Schließen Sie die Lücke, die Third-Party-Cookies hinterlassen, mit First-Party- und Zero-Party-Daten

Third-Party-Cookies werden schon bald aus unserem Alltag verschwinden, und viele Marketing-Profis fragen sich schon jetzt, wie sie das Informationsdefizit, das entstehen wird, füllen können.

Die schlechte Nachricht ist, dass es für den breiten Kontext, den Third-Party-Cookies liefern, keinen gleichwertigen Ersatz gibt. Die gute Nachricht ist, dass trotzdem alternative Datenquellen verfügbar sind, die Marketing-Teams bei fundierten strategischen und taktischen Entscheidungen unterstützen – und die auch in Zukunft personalisierte Experiences ermöglichen werden.

Das Beste daran ist aber, dass all diese Datenquellen proprietär sind, weil sie aus der unmittelbaren Kommunikation und Interaktion mit den Kunden des jeweiligen Unternehmens stammen. Wer sich darauf versteht, diese Daten zu erfassen und zu nutzen, wird sich also erfolgreich vom Wettbewerb absetzen können.

In diesem Blogbeitrag werden wir für Sie zunächst die Unterschiede zwischen Third-Party- und First-Party-Cookies zusammenfassen und Ihnen erläutern, warum Third-Party-Cookies ein Auslaufmodell sind. Anschließend untersuchen wir, wie Sie das drohende Informationsdefizit mit Zero-Party-Daten (ZPD) und First-Party-Daten (FPD) schließen können. Und zum Schluss gehen wir darauf ein, warum ein robustes Customer Identity & Access Management (CIAM) für die Erfassung von ZPD und FPD unerlässlich ist — und sicherstellt, dass die Kundendaten, die Sie sammeln, korrekt sind und mit Zustimmung der Anwender erfasst werden.

Ein Crash-Kurs in Sachen Cookies

Cookies – die oft auch als HTTP-Cookies, Web-Cookies, Internet-Cookies und Browser-Cookies bezeichnet werden – sind Text-Files, die ein Web-Server generiert, sobald ein Anwender eine Seite besucht. Anschließend werden sie vom Web-Browser auf dem Gerät des Users gespeichert.

Kehrt der Anwender später noch einmal auf die Webseite zurück, sendet sein Browser alle relevanten Daten wieder an den Web-Server zurück, was es diesem ermöglicht, dem User eine passgenaue und hochwertige Experience zu bieten.

Jeder Cookie enthält ein Label mit einem für den Browser einzigartigen Identifikator. Beim Auslesen der Cookies erkennt der Web-Server also sofort den entsprechenden Anwender. Der Server weiß zwar nicht, um wen es sich bei einem Besucher handelt (sprich: um welche Person), kann ihn aber trotzdem von anderen unterscheiden. So kann der Besucher nach seiner Rückkehr genau da weitermachen, wo er beim letzten Besuch aufgehört hat – auch dann, wenn er nicht eingeloggt ist.

Ebenso wie richtige Kekse in unterschiedlichen Geschmacksrichtungen erhältlich sind, gibt es auch Internet-Cookies in verschiedenen Varianten (auch wenn die Zahl der Optionen übersichtlicher ist, und sie nicht einmal halb so gut schmecken).

Was sind First-Party-Cookies?

Ein First-Party-Cookie kann nur von dem Web-Server erstellt und ausgelesen werden, dessen Domäne besucht wird. Ein First-Party-Cookie, der von Domäne A erstellt wurde, kann also nicht von Domäne B ausgelesen werden.

First-Party-Cookies sind wichtig – und manchmal sogar unverzichtbar – um viele Funktionalitäten moderner Services bereitzustellen. Ein Beispiel: Weil Cookies Stateful-Informationen transportieren, werden sie gerne genutzt, um Waren in einem Einkaufswagen zu tracken oder Informationen in Online-Formularen (z. B. Namen, Adresse, Kontaktinformationen) zu speichern. So können Unternehmen ihren Kunden eine individuelle Experience bieten und diese kontinuierlich verbessern.

Und weil First-Party-Cookies auch Informationen dazu erfassen, wie Besucher mit der Webseite oder dem Service interagieren, sind sie extrem nützlich, um das Anwenderverhalten zu verstehen (sowohl auf User-Ebene als auch mit Blick auf aggregierte Analysen der gesamten User-Basis), die Performance einer Website zu verbessern und personalisierte Dienste zu implementieren.

Was sind Third-Party-Cookies?

Third-Party-Cookies werden von Web-Servern erstellt, die nicht zu der Web-Domäne gehören, die der Anwender direkt besucht. Nehmen wir zum Beispiel einen Anwender, der eine Webseite der Domäne A besucht. Die Seite, die der Browser dieses Benutzers lädt, enthält mitunter aber auch externe Elemente, zum Beispiel Bilder oder JavaScript o. ä., die auf Servern anderer Domänen liegen: zum Beispiel in den Domänen B und C.

In diesem Fall würde man alle Cookies, die von den Domänen B und C generiert werden, als Third-Party-Cookies bezeichnen, weil der Anwender keine der beiden Domänen besucht hat.

Im Gegensatz zu First-Party-Cookies, die lediglich auf der Domäne verfügbar sind, die sie generiert hat, sind Third-Party-Cookies auf allen Webseiten verfügbar, die auf den Code des Third-Party-Servers zugreifen können. Auch wenn Third-Party-Cookies mitunter dazu dienen, zusätzliche Funktionalitäten bereitzustellen (z. B. im Fall eines von einem Third-Party-Provider betriebenen Chat-Bots), werden sie in der Praxis vor allem verwendet, um die Aktivitäten der Benutzer über multiple Sites hinweg zu tracken und User erneut ins Ziel zu nehmen, sobald sie eine neue Seite besuchen.

Die folgende Tabelle fasst die wichtigsten Unterschiede zwischen First-Party- und Third-Party-Cookies zusammen.

Der Third-Party-Cookie hat sein Ablaufdatum erreicht

Vor über zehn Jahren haben Apple Safari und Mozilla Firefox damit begonnen, Third-Party-Cookies von Werbetreibenden zu blockieren. Weil beide Browser aber nur einen relativ kleinen Marktanteil haben, erwies sich der vermeintliche Paradigmenwechsel in der Praxis eher als erstes Warnsignal, denn als echter Abgesang auf die Third-Party-Cookies.

Das änderte sich im Jahr 2020, als Google den Blog-Beitrag Building a more private web: A path towards making third party cookies obsolete veröffentlichte. In diesem Artikel kündigte das Unternehmen an, man werde „die Unterstützung von Third-Party-Cookies in Chrome innerhalb der nächsten zwei Jahre auslaufen lassen.“

Zum Zeitpunkt der Ankündigung hatte Google Chrome weltweit über alle Desktop-, Mobile-, Tablet- und Konsolen-Systeme hinweg einen Marktanteil von über 60 %. Der Kurswechsel schlug im globalen Marketing- und Werbe-Ökosystem entsprechend hohe Wellen.

Die Timeline hat sich in den darauffolgenden Jahren zwar ein wenig verschoben. Doch der letzte Stand seitens Google ist es, dass der Support ab Q1 2024 sukzessive auslaufen wird.

Nachdem sich an der dominanten Marktstellung von Chrome in den Jahren seit der Ankündigung nichts geändert hat, dürften die Third-Party-Cookies also tatsächlich unmittelbar vor dem Aus stehen – und die Marketing-Abteilungen weltweit eines ihrer wichtigsten Werkzeuge einbüßen.

Warum sind Third-Party-Cookies ein Auslaufmodell?

Der Grund für das Aus der Third-Party-Cookies lässt sich in einem einzigen Wort zusammenfassen: Datenschutz.

Für die Kunden von heute genießt der Datenschutz einen sehr hohen Stellenwert, wie der Okta Customer Identity Trends Report belegt. Der Report basiert auf der Befragung von 21.512 Kunden aus 14 Ländern und dokumentiert, dass die überwiegende Mehrzahl der Kunden – rund 71 % – sehr gut wissen, dass ihre Online-Aktivitäten Spuren hinterlassen, und der Großteil dieser Mehrheit versucht, diese aktiv zu minimieren.

Apple und Mozilla haben schon vor Jahren erkannt, dass sich die Einstellung der User ändert. Daraufhin haben sie ihre Browser-Dienste und (im Falle von Apple) ihre Consumer Geräte angepasst – und dem neuen Datenschutzbewusstsein mit neuen Features und einem neuen Messaging Rechnung getragen.

Parallel dazu sahen auch immer mehr Regierungen und andere Behörden die Notwendigkeit, die Datenerfassung und das User-Tracking zu regulieren. Die daraus hervorgegangenen gesetzlichen Vorgaben (etwa der California Consumer Privacy Act (CCPA), die Datenschutz-Grundverordnung (DSGVO bzw. GDPR), der Personal Information Protection & Electronic Documents Act (PIPEDA), etc.) definieren für die Verbraucher wesentlich umfassendere Rechte.

Vieles spricht zudem dafür, dass sich all diese Entwicklungen gegenseitig befeuern: Die hohe Aufmerksamkeit, die das Thema Datenschutz in den Medien erhält, sensibilisiert die Bevölkerung zunehmend dafür, dass ihre Online-Aktivitäten getrackt werden – und dass Dritte mit unseren Daten handeln. Dieses Bewusstsein erhöht den Druck auf unsere Regierungen, sich für unsere Anliegen stark zu machen.

Weil weder Apple noch Mozilla riesige Werbe-Netzwerke betreiben, riskierte keiner von beiden besonders viel, als sie sich vor zehn Jahren für den Datenschutz stark machten.

Für Google ist die Situation komplizierter: Das Unternehmen macht rund 80 % seines Umsatzes mit Werbung..

Google weiß also ebenfalls schon seit einiger Zeit, dass sich die Einstellung der Verbraucher geändert hat (Der Blog-Beitrag vom Januar 2020 stellt fest, dass „die User besseren Datenschutz verlangen – unter anderem mit Blick auf mehr Transparenz, mehr Wahlmöglichkeiten und mehr Kontrolle darüber, wie die eigenen Daten verwendet werden – und es ist offensichtlich, dass sich das Ökosystem des Internets anpassen muss, um diesen Anforderungen gerecht zu werden.“). Die Verantwortlichen konnten aber nicht sofort handeln. Stattdessen musste das Unternehmen auf Zeit spielen, bis eine Alternative gefunden war, die Googles dominante Marktposition im Online-Werbemarkt schützte (oder, wie manche sagen würden, stärkte).

Am 7. September 2023 wurde die Google Privacy Sandbox für das Web für die breite Öffentlichkeit freigegeben, was den Weg für das Aus der Third-Party-Cookies bereitete. .

Mit dem Verschwinden der Third-Party-Cookies gewinnt CIAM im Marketing-Stack enorm an Bedeutung

In der Datenschutz-bewussten, Cookie-losen Zeit von heute basieren Marketing-Kampagnen und personalisierte Experiences nicht mehr auf Third-Party-Daten – sondern auf Daten, die Ihre Kunden bewusst und freiwillig mit Ihnen teilen.

Weil die Abhängigkeit von diesen Daten nach dem Ende der Third-Party-Cookies rasant zunimmt, gewinnt das Customer Identity & Access Management (CIAM) als Werkzeug für die Compliance-konforme Erfassung akkurater Daten immer mehr an Bedeutung.

Der hohe Stellenwert von ZPD und FPD

Mit Blick auf das neue Datenschutz-Paradigma sind Marketing-Teams vor allem auf Folgendes angewiesen:

• ZPD sind Daten, die Ihre Kunden freiwillig mit Ihnen teilen, etwa die Felder in einem Anmeldeformular, ihre Lieferadresse oder eine E-Mail-Umfrage, an der sie teilnehmen. ZPD umfassen oft personenbezogene Daten, die einer natürlichen Person zugeordnet werden können und damit Datenschutzvorgaben unterliegen.
• FPD sind Daten, die ihre Kunden bei der Interaktion mit ihrer Website oder Anwendung generieren – zum Beispiel der Suchverlauf, Analysedaten, Session-Metadaten und mehr. Viele Arten von FPD dürfen nur mit Zustimmung der Benutzer erfasst und verwendet werden. Im Gegensatz zu Zero-Party-Daten können einige Arten von First-Party-Daten anonym sein (z. B. Web-Analytics-Daten) und in einigen Fällen nachträglich de-anonymisiert werden.

Sowohl ZPD als auch FPD sind äußerst wertvoll. Beide sind zum Beispiel unverzichtbar, um das volle Potenzial von Customer-Data-Plattformen (CDP) zu erschließen – und Unternehmen, die sich auf die Erfassung dieser Daten verstehen, werden allen anderen gegenüber klar im Vorteil sein.

Wer Datenschutz-konform zuverlässige Daten echter, bekannter Kunden erfassen will, muss in der Lage sein, die Identitäten seiner Benutzer effizient zu authentisieren und zu managen.

Was Sie über Second-Party-Daten (SPD) wissen müssen

Einige Unternehmen und Einrichtungen haben nur begrenzte Möglichkeiten, mit Endkunden in Kontakt zu treten oder zu interagieren – und tun sich deshalb schwer, ZPD oder FPD zu erfassen. Ein gutes Beispiel sind die Anbieter von Consumer Packaged Goods (CPG), die ihre Produkte ausschließlich über den Großhandel vermarkten.

In diesen Szenarien lässt sich das Informationsdefizit wirkungsvoll durch so genannte Second-Party-Daten (SPD) – schließen – sprich: durch von Partnern bereitgestellte FPD und ZPD.

SPD gehen zwar mit eigenen Datenschutz-Herausforderungen einher. Aber solange Ihre Partner ihre ZPD und FPD verantwortungsbewusst erfassen, dürfte Ihnen dieser Informationskanal auch nach dem Aus für Third-Party-Cookies erhalten bleiben.

CIAM als Gatekeeper für zuverlässige ZPD und FPD

Im Fokus von CIAM stehen Kundendaten und die Tools, um diese Daten zu schützen, verantwortungsbewusst zu managen und mit anderen Daten zu verknüpfen. Die vier Grundfunktionalitäten einer zeitgemäßen CIAM-Lösung sind die Registrierung, die Authentisierung, die Autorisierung und das Identity Management:

• Die Benutzerregistrierung (Identifizierung) bezeichnet das Anlegen der Kundenakte, die alle nachfolgenden Schritte möglich macht. Im Rahmen der Benutzerregistrierung verifiziert die CIAM-Plattform typischerweise, ob die Identifikatoren (etwa die Mail-Adresse oder die Telefonnummer) korrekt sind. Der Prozess kann zudem weitere Formen des Identity- Proofings umfassen. 
• Die zuverlässige Authentisierung stellt sicher, dass die Anwender, die auf die Accounts zugreifen möchten, auch wirklich die sind, für die sie sich ausgeben. Dabei können unterschiedlichste Faktoren und innovative Technologien wie Passkeys zum Einsatz kommen. 
• Die effektive Autorisierung hilft Unternehmen dabei, jedem Anwender angemessene Zugriffsrechte auf Ressourcen oder in Anwendungen zur Verfügung zu stellen.
• Das durchgängige Identity Management umfasst all die Werkzeuge, die für ein effizientes Handling von Updates und Aktualisierungen der Benutzerdaten und Zugriffsrechte erforderlich sind. In einem CIAM werden die Benutzerberechtigungen und Security-Policies in der Regel automatisch zugewiesen. Sie können aber auch manuell von autorisierten Mitarbeitern (Business-Customer-Administratoren, Kunden-Service etc.) angepasst werden. Hinzu kommt, dass viele Kunden ihre Identitäten, Daten und Einstellungen selbst managen möchten – natürlich nur in dem Umfang, in dem es der Use Case und die Regulierungsvorgaben gestatten.

Mit einer zeitgemäßen CIAM-Lösung – und im Kontext der Erfassung von Kundendaten – müssen all diese Funktionalitäten nahtlos ineinandergreifen und mit anderen Systemen verzahnt werden. Dies ermöglicht es Unternehmen:

• Mit hoher Zuverlässigkeit festzustellen, ob es sich bei einem Anwender um einen echten User oder einen Bot handelt:
• Den Kunden-Consent zu managen und dabei den Kundenwünschen ebenso wie den gesetzlichen Datenschutzanforderungen gerecht zu werden – unabhängig von den Downstream-Tools
• ZPD und FPD zu erfassen und diese Informationen mit anderen Systemen zu integrieren, um die Weichen für fundierte strategische und taktische Erfahrungen und hochwertige Experiences zu stellen
• Zum Aufbau vertrauensvoller Kundenbeziehungen beizutragen, die sich über alle Kanäle und Marken des Unternehmens kontinuierlich weiterentwickeln lassen
• Anonyme Benutzerdaten in ganzheitliche Kundenprofile zu überführen

Angesichts der unmittelbar bevorstehenden Ablösung von Third-Party-Cookies werden sich Unternehmen ohne eine ganzheitliche CIAM-Lösung schwer tun, gegen ihre Wettbewerber zu bestehen, die ZPD und FPD effizient erfassen und nutzen können.

Der Blick in die Zukunft

Falls im Mittelpunkt Ihrer Personalisierungsstrategie immer noch Third-Party-Cookies stehen, ist es höchste Zeit, auf andere Datenquellen auszuweichen. Schon bald wird der Third-Party-Cookie ein Relikt aus der Wild-West-Phase des Internets sein – eine verblassende Erinnerung an die Zeit, als Unternehmen das Verhalten von Anwendern über multiple Seiten hinweg verfolgen und die zugehörigen Daten einfach und günstig erstehen konnten.

Unternehmen, die sich bei der Datenerfassung nach wie vor auf die alten Strategien und Tools verlassen, werden 2024 rasch Boden an ihre besser aufgestellten Wettbewerber verlieren. Oder, positiv betrachtet: Proaktiven Unternehmen dürften mit ZPD und FPD in einem dynamischen, digitalen Markt zwei starke neue Wachstumsmotoren zur Verfügung stehen.

Und je mehr authentisierten Kunden-Traffic Sie auf Ihre digitalen Kommunikationskanäle leiten können, desto mehr zuverlässige ZPD und FPD können Sie erfassen. Wenn Ihr Marketing-Team auf diese Daten zugreifen und diese nutzen kann, wird es sich wesentlich leichter tun, wirksame und personalisierte Kampagnen zu entwickeln, Kunden dauerhaft zu binden und fundierte strategische Entscheidungen zu treffen. Und das sind nur einige der Vorteile.

Aber die kundenfreundliche und Compliance-konforme Erfassung von ZPD und FPD ist alles andere als ein Automatismus: Sie erfordert sorgfältige und vorausschauende Planung – und die Implementierung einer zeitgemäßen CIAM-Lösung, die Ihnen den Großteil der Arbeit abnimmt.

Wenn Sie mehr darüber wissen möchten, wie Sie mit einer modernen CIAM-Lösung das Potenzial Ihrer Kundendaten erschließen, holen Sie sich unser E-Book.  

Diese Materialien und die darin enthaltenen Angaben stellen keine Rechts-, Datenschutz-, Sicherheits-, Compliance- oder Geschäftsempfehlungen dar. Diese Materialien sind nur für allgemeine Informationszwecke bestimmt und spiegeln möglicherweise nicht die neuesten Sicherheits-, Datenschutz- und rechtlichen Entwicklungen oder alle relevanten Themen wider. Sie sind dafür verantwortlich, von Ihrem eigenen Rechtsberater oder einem anderen professionellen Berater Rechts-, Sicherheits-, Datenschutz-, Compliance- oder Geschäftsempfehlungen einzuholen und sollten sich nicht auf die hierin enthaltenen Angaben verlassen. Okta haftet Ihnen gegenüber nicht für Verluste oder Schäden, die sich aus der Umsetzung der in diesem Material enthaltenen Angaben ergeben. Okta gibt keine Zusicherungen, Garantien oder sonstige Gewährleistungen in Bezug auf den Inhalt dieser Materialien. Informationen zu den vertraglichen Zusicherungen von Okta gegenüber seinen Kunden finden Sie unter okta.com/agreements.