Datenschutz: Risiken und Nebenwirkungen für SEO, SEA und Usability

Das Ende einer Online-Marketing-Ära prognostizierten manche nach dem EuGH-Urteil zum Thema aktiver Zustimmung zu Cookies. Anfang Dezember 2019 entschied die EU-Kommission aber auch, die E-Privacy-Verordnung scheitern zu lassen, um einen ganz neuen Anfang zu wagen. Sie sollte das Cookie-Problem eigentlich neu regeln. Es ist also unklar, ob es zu dem Thema von der EU überhaupt noch eine Regelung geben wird. Klar ist, dass das EuGH-Urteil zu Cookies aufzeigt, dass Regelungsbedarf besteht.

Google regelt seit Februar die Neuordnung von Third Party Cookies: Die sogenannte SameSite-Option ist aktiviert und bewirkt, dass Third Party Cookies nur noch funktionieren, wenn der Seitenbetreiber für jedes Cookie eine entsprechende SameSite-Anweisung in seinen Quellcode einbaut. Siehe auch einfach.st/heise4.

Die Auswirkungen von Cookie-Layern

Die Abbildung 1 zeigt grafisch alle Anfragen eines Browsers für die Darstellung einer Seite, die sogenannte Request-Map.

Der blaue Kreis unten links mit dem gestrichelten Rand ist der Start, die Abfrage der URL, hier eine Domain. Drum herum sehen Sie Pfeile und Kreise, das Herunterladen externer Ressourcen (Elemente wie Bilder, CSS-Dateien, JavaScript-Dateien, weitere HTML-Seiten). Die Größe der Kreise steht für die Dateigröße, rote Kreise sind beispielsweise Bilder.

Unten mittig orange hinterlegt sind die fünf Download-Aufrufe für etracker (Webanalytics-Lösung). Hellblau hinterlegt sehen Sie die Aufrufe für das Consent-Tool von faktor.io, also die Abfrage der Wünsche des Nutzers bezüglich seiner Präferenzen zu Cookies, welche er akzeptiert und welche nicht. Und man erkennt sofort etwas Gravierendes: Das Herunterladen aller Elemente für diesen Cookie-Layer besteht aus viel mehr Elementen als der Inhalt der Seite selbst!

Die Kreise und Linien zeigen, dass bestimmte Abrufe erst möglich sind, wenn einzelne Elemente heruntergeladen sind. Bei diesem Cookie-Layer sind nicht nur deutlich mehr Pfeile und Elemente vorhanden, diese liegen auch teilweise gestaffelt hintereinander. Der Speedindex, die Kennzahl von Google für die Ladezeit einer Webseite (http://einfach.st/speed53), steigt durch dieses Consent-Tool um mehr als das Dreifache! Die Absprungrate liegt bei der Website bei über 80 %. Warum? Weil dieser Cookie-Layer sehr viel Zeit braucht, bis er lädt, und die Nutzer das nicht akzeptieren. Die Absprungrate hat sich seit der Implementierung dieses Tools mehr als verdoppelt.

Wenn Sie die Seite www.adage.com im Smartphone öffnen, können Sie live ein Extrembeispiel sehen. Bis man die Präferenzen gewählt hat und am Ende noch eine Warnung angezeigt wird (siehe Abbildung 2), können schon mal mehr als 30 Sekunden vergehen. Das macht schlicht keinen Sinn. Das Thema der Seite ist Online-Marketing, diese Umsetzung eigentlich ein schlechter Witz.

Chrome schafft Third Party Cookies ab

Während Safari und Firefox schon länger die SameSite-Option eingebunden haben, hat nun Google in Chrome diese Option aktiviert und verbreitet das Update seit dem 17. Februar 2020. Im Chromium Blog gibt es mehrere Artikel zu dem Thema mit einer Zusammenfassung, was man wissen muss (http://einfach.st/chrome23).

Begrenzt Google damit sein eigenes Online-Marketing-Monopol oder ist es ein geschickter Schachzug? Da sich das EuGH-Urteil zu planet49 vor allem auf eine Menge Third Party Tracking Cookies bezog, entzieht Google damit der Cookie-Diskussion einen Großteil der Grundlagen. Denn als marktführender Browser werden damit jetzt schon Third Party Cookies weitgehend inaktiv, weil kaum eine Website die SameSite-Anweisungen für alle Third Party Cookies einbauen wird, nicht zuletzt auch vor dem Hintergrund des EuGH-Urteils.

Abbildung 3 zeigt, wie die Chrome Developer-Tools das Thema ausgeben. Öffnen Sie Chrome, drücken Sie F12 und klicken Sie in dem Fenster mit den Developer-Tools auf „Console". Dort werden schon seit einiger Zeit Warnungen zu Cookies ausgegeben. In dem Beispiel möchte die Website amazon.de ein Cookie zur Domain yahoo.com setzen. Mit dem nächsten Chrome-Update wird das nur noch mit SameSite gehen.

Sie sollten Ihre Entwickler oder Agentur ansprechen, ob sie auf dieses Update vorbereitet sind. Google hat für Entwickler Beispiele für Tests bereitgestellt (https://github.com/GoogleChromeLabs/samesite-examples).

In zwei Jahren, so Google, werden Third Party Cookies in Chrome gar nicht mehr funktionieren (siehe dazu einfach.st/heise4). Faktisch passiert es aber zum Großteil schon jetzt.

Tatsache ist auch, dass Google parallel angekündigt hat, seine eigenen Marketing-Tools auf die SameSite-Option anzupassen. Man weiß, dass Google, Facebook und Amazon heute mit anderen Technologien arbeiten wie Fingerprint-Verfahren, mit denen Benutzer zuverlässig ohne Cookies erkannt werden. Das macht das EuGH-Urteil nicht ganz hinfällig, aber es wirft die Frage auf, ob sich daraus nicht auch politisch Konsequenzen ergeben. Die E-Privacy-Verordnung sollte ja alle Techniken regulieren, nicht nur Cookies.

Was bedeute das für Unternehmen?

Wenn Sie sich mit Cookie-Layern oder Consent-Tools befassen, sollten Sie vorher genau abwägen, welche Lösung Sie einsetzen und welche Auswirkungen diese hat. Zudem sollten Sie alle weiteren Punkte prüfen, ob diese aus Datenschutzgründen angepasst werden müssen. Grundsätzlich beeinflusst so ein Tool die Ladezeit aller Erstbesucher, aber auch die von wiederkehrenden, da die getätigte Auswahl der Cookies abgefragt wird.

Es ist sogar möglich, dass mit den Änderungen in Chrome auch Ihr Cookie-Layer oder Consent-Tool nicht mehr funktioniert. Grundsätzlich sollte man sich fragen, ob man dieses Datenschutzthema einem dritten Anbieter überlässt und damit ein neues Fass aufmacht. Es gibt kostenlose Open-Source-Lösungen, die man auf dem eigenen Server installieren kann, womit man das Cookie-Datenschutzproblem nicht aus der Hand gibt.

Wie muss man auf Cookies hinweisen?

Hierzu werden Sie jetzt keine Antwort bekommen, aber Denkanstöße. Abbildung 3 zeigt, dass Amazon nach wie vor nur einen simplen Cookie-Hinweis anzeigt. Alle großen Anbieter wie Facebook, Zalando oder otto.de verfahren so. Die Cookie-Richtlinie der EU ist ja nun in den meisten europäischen Ländern schon länger gültig und wurde auch so in nationalen Gesetzen umgesetzt. Ob zalando.fr, asos.co.uk oder www.esselungaacasa.it, dort herrschen die einfachen Cookie-Hinweise mit der üblichen Opt-out-Funktion vor. Wird die Rechtslage im EU-Ausland anders wahrgenommen und ausgelegt? Oder sind die großen Anbieter gelassener, obwohl Sie eher genau deswegen ins Kreuzfeuer geraten können. Die Zukunft wird es zeigen. Egal aber, was man implementiert, man sollte es gut überlegen und messen.

Time to Interactive ist der neue Speedindex

Jede Cookie-Lösung, auch ein einfaches Cookie-Banner, kann Probleme machen. Nicht nur für die Nutzbarkeit, sondern auch bei der Ladezeit. Speedindex ist nach wie vor ein wichtiger Wert, den man mit dem kostenlosen webpagetest.org ermitteln kann. Allerdings misst dieser nur, bis wann der sichtbare Bereich in einem Smartphone gezeichnet wurde. Stellen Sie für eine Messung mittels webpagetest.org die Bandbreite auf „3G Fast" ein, denn Google bewertet so Websites. Es spielt keine Rolle, ob Ihre Website an Ihrem PC flüssig wirkt. Die Messlatte von Google sind mobile Nutzer in einem schnellen 3G-Netz. Und das ist in Deutschland ja nicht gerade abwegig, schließlich ist unsere Netzabdeckung nun wirklich bescheiden. Sie erhalten bei webpagetest.org aber nicht den sehr wichtigen Messwert Time to Interactive (TTI) (siehe einfach.st/lighth4).

Er drückt aus, wie lange es dauert, bis ein Nutzer die Seite benutzen kann. Dies ist gerade bei solchen Cookie-Layern ein wichtiger Wert, da die meisten Lösungen die Nutzung der Website blockieren, bis der Nutzer eine Auswahl getätigt hat oder klickt. Zwischen dem Zeichnen des Inhalts im Browser und dem TTI-Zeitpunkt können erhebliche und entscheidende Differenzen liegen.

Sie können den Wert mittels des Tools Lighthouse von Google ermitteln und kostenlos in Chrome installieren (http://einfach.st/lighth6).

Für eine Messung müssen Sie vorhandene Adblocker deaktivieren und im Inkognito-Modus sein (in Chrome Strg + Umschalttaste + N drücken). Abbildung 4 zeigt das Ergebnis der deutschen Startseite von ibm.com.

Zwischen dem Speedindex-Wert und dem TTI-Wert liegen mehr als sechs Sekunden. Der Speedindex-Wert selbst ist bei der IBM-Website schon ziemlich schlecht. Laut den Google-Erläuterungen zu Lighthouse hat der Wert Time to Interactive die größte Gewichtung aller Kennzahlen, man sollte ihm also mehr Beachtung schenken (http://einfach.st/github9).

Lassen Sie sich eine bestehende Implementierung der präferierten Cookie-Lösung zeigen und prüfen Sie, ob und wie stark die Lösung die Ladezeit und die Nutzbarkeit beeinflusst. Das ist im Einzelfall nicht ganz einfach, aber technisch mit etwas Aufwand und Erfahrung möglich.

Abbildung 5 zeigt das Cookie-Banner der Website der Internet World Expo in der mobilen Ansicht. Kopf und Logo der Seite werden dadurch verdeckt. Die rote Farbe für den OK-Button ist denkbar schlecht. Hier sollte wirklich ein gut sichtbarer Button verwendet werden.

Das belegt auch die Wahrnehmungsanalyse: Abbildung 6 zeigt, dass der OK-Link in den ersten drei Sekunden nicht wahrgenommen wird.

Cookie-Banner sollten möglichst unten angezeigt werden und in keinem Fall das Logo der Website verdecken. Prüfen Sie zudem genau, ob die Darstellung auf allen Bildschirmgrößen einwandfrei funktioniert. In jedem Fall sind Kennzahlen zu erfassen wie Absprungrate, Speedindex und Time to Interactive vor und nach einer Implementierung, um die Auswirkungen zu erfassen. Denn es gibt kein solches Banner komplett ohne messbare Auswirkungen. Kleinere Cookie-Banner auf mobilen Seiten reduzieren messbar die Absprungrate.

Ein historischer Abriss

Wer die wichtigsten „Höhepunkte" der Datenschutz-Historie für Websites kennt, versteht die Entwicklung besser und kann sämtliche Datenschutzprobleme nachvollziehen. Hier eine Kurzfassung:

• 2009: Europäische Cookie-Richtlinie mit dem deutschen Sonderweg (Opt-out-Lösung)
• 2011: Einigung über die Anonymisierung bei Google Analytics
• 2015: Safe-Harbour-Abkommen wird durch eine Privatperson gekippt
• 2018: Nachfolger Privacy Shield hat kein Vertrauen, Aussetzung steht bei der EU im Raum
• 2019: DSGVO tritt in Kraft und sorgt für weitere Verwirrung, aber auch Klarstellungen, E-Privacy Shield ist erst mal vom Tisch

Aus diesen Highlights sind viele einzelne Punkte entstanden, die datenschutzrechtlich für Websites problematisch sind. Hierzu zählen:

• Personenbezogene Daten: War schon vor der DSGVO schwierig. So sind E-Mail-Adressen, IP-Adressen, Namen, Telefonnummern, Adressen, Kreditkartennummern etc. problematisch.
• Datensparsamkeit: Nur Daten, die für die Durchführung der Aufgabe benötigt werden, dürfen erfraget werden. Die Abfrage einer Telefonnummer für eine normale Bestellung ist also meistens unbegründet, führt aber auch zu einer schlechteren Conversion-Rate.
• Datenspeicherung: Wo und wie lange werden die Daten gespeichert? Alleine in Google Analytics und jedem anderen Trackingsystem können unbewusst personenbezogene Daten gespeichert sein, Gleiches gilt für Log-Files.
• Übertragung von Daten, Kontaktformularen, E-Mails: Daten müssen verschlüsselt (HTTPS) übertragen werden.
• IP-Adresse des Nutzers: Ob Google Analytics, eingebettete Videos, iframes, Google Maps, Google Fonts, externe JavaScripts, CSS-Dateien oder reCaptcha: Überall wird die IP-Adresse des Nutzers übertragen. In einzelnen Fällen gibt es Lösungen: So kann man Google Fonts auch auf dem eigenen Server hosten und reCaptcha ist in der Regel aus Nutzersicht sehr problematisch. Für Accelerated Mobile Pages bietet Google auch eine individuelle Lösung namens „amp consent" an.

Es gibt also weitaus mehr Punkte, die aus Datenschutzgründen zu beachten sind, die sich aber auch auf die Usability auswirken können. Mit einem Cookie-Layer sind diese Probleme nicht behoben, man schafft sich aber dafür ganz andere Probleme.

Das Ende des Affiliate-Marketings

Awin hat das nahende Ende durchaus selbstkritisch bereits im März 2019 angekündigt (http://einfach.st/affmisdead) und auch bei Tradedoubler weiß man das. Und das lässt sich auch am Aktienkurs ablesen. Die Firma Criteo versucht scheinbar, mittels dubiosen CNAME-Cloakings aus Third Party Cookies First Party Cookies zu machen, damit Adblocker nicht greifen und um die anstehende Änderung in Chrome zu überleben (http://einfach.st/mediumcom).

Wer noch Affiliate-Marketing oder Remarketing jenseits von Google oder Facebook betreibt, sollte spätestens jetzt alles auf den Prüfstand stellen. Mit geringem Aufwand kann man den (in der Regel sehr geringen oder nicht vorhandenen Nutzen) erkennen und Schlüsse ziehen. Das Thema Cookie-Dropping wird sich deutlich reduzieren, vor allem über Gutscheinportale bei Shops. Um Nutzer im Bestellprozess nicht zu verlieren, sollte man dennoch sehr genau darauf achten, wie und wo man Gutscheinfelder im Bestellprozess platziert.

Basket-Freeze und Cookie-Weichen, die mehrfache Provisionierungen verhindern, werden wohl auch bald nicht mehr benötigt. Eigentlich eine gute Nachricht. Direkte Affiliate-Links, die ohne Third Party Cookies auskommen wie das Amazon-Partnerprogramm werden noch funktionieren. Aber das große Spielfeld des Affiliate-Marketings neigt sich dem Ende zu, daher sollte man selbst schon den Stecker ziehen, bevor die Kräfte am Markt noch letzte Schlupflöcher finden.

Unbrauchbare Analytics-Daten

Wer ganz rechtskonform bezüglich Cookies vorgeht und die explizite Einwilligung der Nutzer für das Tracken einholt, wird (je nach Umsetzung) den Großteil der Daten verlieren. Das Auswerten von Online-Marketing-Maßnahmen wäre damit tatsächlich eher ein Blindflug. Das kann niemand wollen, auch die Politik nicht. Man kann rechtskonform auf erheblichen Umsatz verzichten, oder aber man ist pragmatisch, behält die Ruhe und geht klug an das Thema ran.

Google Analytics lässt sich aber ganz offiziell auch ohne Cookies betreiben und das Identifizieren eines Nutzers ist dennoch möglich. Hierfür kursieren schon Lösungen im Netz, die getestet werden. Es ist gut möglich, dass man auf Cookies ganz verzichten kann und Analytics dennoch ganz gute Zahlen liefert.

Mehr Details dazu in einem Whitepaper unter einfach.st/whitepaper5.