Wer seine Website nicht mit verbundenen Augen steuern und optimieren will, braucht Cookies. Doch die meisten Nutzer sind von deren Nutzen alles andere als überzeugt und blockieren sie mit Hilfe von Webwashern und Anti-Spyware. Die Beziehung zwischen Web Analytics und Cookies gleicht somit der Ausgangsposition einer klassischen Tragödie: Wie man sich auch entscheidet, am Ende gewinnt keiner.
Lou Montulli mag sich in seinem Netscape-Büro in Palo Alto im Juni 1994 nicht viele Gedanken um Privatsphäre und Datenschutz gemacht haben. Cookies waren seine Lösung, um bestimmte Daten jenseits der URL zu speichern, und die eCommerce-Ambitionen von Netscape konnten erst so realisiert werden. Die Einführung der Cookies mit dem Netscape Navigator 1.0 gilt als Wende von einem Internet des reinen Informationsaustauches zu einem auch kommerziell nutzbaren Medium. Der Mann, der kurioserweise 1999 vom Peoples Magazin auch noch zum zweit-sexiesten lebenden Mann gewählt wurde, hat mit seiner Erfindung der www-Welt ein Erbe vermacht, an dem sich diese noch heute regelmässig verschluckt.
Worum es geht
Cookies sind kleine Dateien, die von Webservern auf dem Computer der Besucher abgelegt werden, um diese wiedererkennen zu können. Cookies sind eine schlechtsitzende Prothese für ein Problem, dass durch eine Eigenart des HTTP-Protokolls entsteht: Jede Anfrage wird dort als einzelne behandelt, es gibt keine zusammenhängende Folge von Abrufen, keine Klammer, die einen Seitenabruf, eine Session oder gar einen Besucher umfasst oder markiert. Da aber auf der einen wie auf der anderen Seite des Monitors Menschen sitzen, versuchen die Betreiber von Websites seit je aus den einzelnen Abrufen Besucher zu konstruieren, um den Erfolg ihres Angebotes zu messen und zu erhöhen. Ein ‚Besucher‘ ist in dieser Logik ein einzelner Nutzer, der zunächst während seines Weges durch die Site klar und verlässlich von anderen Besuchern unterschieden und zudem bei einem erneuten Besuch wiedererkannt werden kann. Ist die Wiedererkennung nicht gewährleistet, kann nicht vernünftigerweise von ‚Besuchern‘ sondern nur von nicht-zusammenhängenden ‚Besuchen‘ oder ‚Sessions‘ gesprochen werden. Es gibt verschiedene Wege und Methoden dies zu erreichen, die einzig realistische und einigermassen zuverlässige Chance besteht derzeit im Einsatz von Cookies. Technische Alternativen wie das LSO (ein Macromedia-Flashobjekt, das ähnliches wie ein Cookie leisten kann), Fingerprints (aus IP-Adresse, User-Agent u.ä.) oder inhaltliche Alternativen wie LogIn-Bereiche, können aus verschiedenen Gründen weder gegenwärtig noch zukünftig einen Ersatz in der Breite bieten.
Das Misstrauen der Besucher
Am Monitor am anderen Ende des Signals sitzen aber Menschen, denen es heute im besten Fall egal ist, ob sie als Besucher (wieder-)erkannt werden oder nicht. Technische Feinheiten spielen keine Rolle, solange PC und Online-Angebote funktionieren und wer soll sich mit den vielen Begriffen und Eigentümlichkeiten des Internets auch auskennen. Mehr noch: Die Vernetztheit und das nicht-Fassbare des Datenstroms bieten Raum für Befürchtungen und Fantasien, die ausgehend von realen Bedrohungen im Promille-Bereich, keine Unterschiede mehr machen. Die Unsicherheiten werden dabei von den Anti-Spyware-Tools, Virenschützern und Firewall-Anbietern noch unterstützt. Cookies werden teilweise als bösartige Software eingestuft und so in einen Topf mit Trojanern oder Viren geworfen. So weist auch die amerikanische Web Analytics Association (WAA) in ihrem kürzlich veröffentlichten „statement of principles“ auf die fehlende Differenzierung zwischen schadhafter Software und harmlosen Cookies sowohl bei den Herstellern von Anti-Viren-Software, als auch, und das ist noch unglücklicher, in den in einigen Bundesstaaten der USA gültigen Anti-Spyware-Gesetzen hin. Auch die Beratungen für ein US-Bundesgesetz scheinen hier nicht sehr hoffnungsfroh zu stimmen. In Deutschland ist die Verwendung von Cookies rechtlich kar geregelt. Nachdem ein Gesetzesvorschlag des Europäischen Parlamentes aus dem Jahre 2001 zur Einschränkung von Cookies abgelehnt wurde, bleibt es in Deutschland untersagt, Daten ohne Einwilligung der Betreffenden zu speichern, die eine Rückführung auf deren tatsächliche Identität erlauben. Dies gilt z.B. für IP-Adressen, die nichtsdestotrotz massenhaft in den Logfile-Bergen der Webserver gespeichert werden, aber nicht für Cookies, die keine persönlichen Daten enthalten oder Bezug zu ihnen herstellen können. Anders ist dies erst, wenn Nutzer auf Websites sich registrieren oder eine Bestellung abschliessen. Dann ist der Bezug herstellbar und die Speicherung bedarf der Einwilligung des Besuchers.
Cookies – technisch betrachtet
Cookies sind enthalten keine Möglichkeit, ein Programm auszuführen, sie sind reine Text-Dateien. Die Inhalte variieren, meist sind sind es Zeichenfolgen die vom absendenden Webserver erkannt und wieder zugeordnet werden können.
Cookies gibt es in verschiedenen Ausprägungen. Zunächst kann zwischen bleibenden (persistant) und Session-Cookies unterschieden werden. Session-Cookies existieren nur für die Dauer des Besuches auf der Website. Gewöhnlich wird angenommen, dass eine Sitzung nach 30 Minuten endet, spätestens dann wird der Cookie gelöscht. Wird der Browser geschlossen, geschieht dies in jedem Fall. Permanente (persistant) Cookies bekommen von ihrem Absender dagegen ein meist weit in die Zukunft verlegtes Verfallsdatum. Einen praktische Relevanz hat diese Datierung in den seltensten Fällen, da Hard- & Software schnellen Austauschzyklen unterliegen. Mit diesen bliebenden Cookies können Nutzer bei einem wiederholten Besuch wiedererkannt werden.
Eine für die Diskussion um das Gefahrenpotential wichtigere Unterscheidung ist die zwischen 1-Party-Cookie und 3-Party-Cookie. Unterschieden wird nach dem Absender der Datei. Wird etwa bei einem Besuch der Internetseiten von Stern-Online (stern.de) ein Cookie von stern.de gesetzt, so ist dies ein 1-Party-Cookie. Absender und besuchte Domain stimmen überein (stern.de). Wird dagegen bei einem Besuch von Spiegel-Online (spiegel.de) ein Cookie von mediaplex.com gesetzt, so handelt es sich um einen 3-Party-Cookie.
Durch Subdomains kann dies machmal unklarer wirken, bleibt aber immer noch eindeutig geregelt: Bei einem Besuch der Internetseiten von GMX (gmx.de) und einem Cookie von mail.gmx.de, handelt es sich um einen 1-Party-Cookie. Absender und besuchte Domain stimmen überein (gmx.de). Bei einem Besuch von MSN (msn.de) und einem Cookie von msn.microsoft.de handelt es sich um einen 3-Party-Cookie. Entscheidend für die Zugehörigkeit ist immer die Domain vor dem Punkt (‚.de‘), nicht die erste nach ‚www.‘
Für den Betreiber einer Website kann die Sache recht einfach sein: Um seine Besucher erkennen und wiedererkennen zu können, setzt er Cookies ein. Webdomain und Cookie-Domain stimmen überein, es besteht keine Notwendigkeit für Umwege. Anders wird dies erst durch die Kooperation mit Banner-Vermarktern oder – dummerweise eben auch – Web-Analytics-Anbietern.
Banner-Vermarkter wie mediaplex.com, falk.de oder doubleclick.net betreuen Anzeigen auf vielen verschiedenen Internet-Seiten. Durch das Setzen der Cookies können diese Vermarkter die Besucher also nicht nur auf einer Seite verfolgen, sondern über viele verschiedene Seiten hinweg. Das macht misstrauisch und erscheint für den Benutzer komplett ohne Nutzen. Kann ein Besucher vielleicht noch akzeptieren, dass das von ihm aufgerufene Content-Angebot oder der Online-Shop für einen reibungslosen Ablauf Cookies braucht, so hat er mit der Vermarktungsagentur der Banner (der dritten Partei) gar nichts zu tun und profitiert auch in keiner Weise von deren Datenspeichern. 3-Party-Cookies sind also a) nutzlos für den Surfer und b) werden mit ihrer Hilfe grosse Datenmengen ohne Kontrollmöglichkeit gehortet. Aus diesem Grund werden 3-Party-Cookies als potentiell schädliche Software eingestuft und von Anti-Viren-Programmen oder ähnlichem zur Löschung, bzw. zur Blockade empfohlen. Tatsächlich ’schaden‘ können Textdateien dem eigenen Computer zwar nicht, aber warum soll man sich andererseits ungewollt und ungefragt beim Surfen verfolgen lassen. Unter diesem begründetem Misstrauen leiden nun wiederum die Anbieter und Nutzer von Web-Analytics-Lösungen. Anbieter wie etwa etracker aus Hamburg bieten ihren Kunden einen unkomplizierten und günstigen Service, müssen dabei aber auf die Nutzung von 3-Party-Cookies zurückgreifen: Die Seiten der Webdomain xyz.de wird mit dem Code von etracker ausgestattet und kann nun getrackt werden. Dafür wird bei jedem Aufruf Code zu den Servern von etracker geschickt und auch ein Cookie von etracker gesetzt. Für den Nutzer, den Administrator von xyz.de, ist dies ein denkbar einfaches Verfahren, zuverlässige und präzise Daten über seinen Traffic zu bekommen. Für den Besucher der Website xyz.de handelt es sich aber um einen 3-Party-Cookie. Diese können bereits im Browser selbst blockiert werden. Der Internet Explorer bietet die Möglichkeit der ausschliesslichen Blockade der entsprechenden Dateien und auch die Mozilla-Browser warten mit vielen Wegen der Blockade und Kontrolle von Cookies auf – auch wenn dies, wie teilweise berichtet, in keinem Browser zu den Standard-Einstellungen gehört.
Damit stellt sich die entscheidende Frage: Wenn ein zunehmender Teil der Surfer diese Cookies blockiert oder löscht, wie zuverlässig sind dann noch die Statistiken der Anbieter? Und wenn mehr und mehr Betreiber von Online-Angeboten das Potential besserer Analysen schätzen lernen und sich damit die Verbreitung von 3-Party-Cookies erhöht, wird dies zu einer noch höheren Medienpräsenz und damit einer noch höheren Blockade- bzw- Löschrate führen?
Cookies werden zunehmend geblockt
Im März vergangenen Jahres veröffentlichte Jupiter Research – ein angesehenes und in diesem Bereich einflussreiches amerikanisches Analysten-Unternehmen – alamierende Zahlen: Angeblich würden 39% der Internet-Nutzer ihre Cookies regelmässig löschen. Diese Nachricht schlug in der Branche wie eine Bombe ein: Viele Diskussionen flammten um die Zuverlässigkeit der Daten auf und in den nächsten Monaten kündigten sämtliche grossen Unternehmen den Einsatz von 1-Party-Cookies für ihre Datenerhebungen an oder vermarkteten sich selbst als diejenigen, die schon immer diesen Weg nutzten. Allerdings sind die Zahlen von Jupiter Research alles andere als unumstritten oder zuverlässig. Ebenso präsentierte Webtrends selbst, die dieses Thema in der Folge für sich entdeckten, im April 05 einige Zahlen: 12,4% aller Nutzer blockieren oder löschen 3-Party-Cookies. Auch Coremetrics, ein weiterer Anbieter berichtete im Juli 2005 von deutlichen Unterschieden bei der Registrierung anonymen Traffics, also Nutzern die 3-Party-Cookies (13,8%) bzw. alle Cookies (0,6%) blockieren. Schon im September 2004 veröffentlichte das deutsche Marktforschungsunternehmen W3B noch erstaunlichere Ergebnisse: 90% aller Internet-Nutzer wissen, was Cookies sind, 80% blockieren Cookies mindestens teilweise und jeder Dritte löscht regelmässig Cookies auf seiner Festplatte.
Das konkrete Ausmaß der Blockierung und Löschung von 1-Party- und 3-Party-Cookies bleibt im Dunkeln. Die Auswahl der Befragten und die bekannte Differenz zwischen Antworten in Interviews und tatsächlichem Verhalten macht die Ergebnisse immer angreifbar. Klar aber bleibt, dass Cookies ein wachsendes Problem für die Messung von Besucherzahlen werden. So kommt auch der „Cookie Report“ (September 05) des US-Marktforschungsunternehmens eMarketer zu dem Schluss, dass nur eine gross angelegte Cookie-Kampagne zur Aufklärung der Internet-Nutzer eine Lösung für das Problem sein könnte. Die bereits erwähnte Initiative der WAA wäre ein Schritt in diese Richtung.
Aber wie man es auch wendet: Cookies bleiben ein Problem.
Was können Website-Betreiber tun?
1. Vertrauen schaffen
Ein intransparenter Einsatz von Cookies kann nur zu Misstrauen bei den Besuchern einer Website führen. Besser ist es, den Einsatz und die ausgetauschten Daten offen zu legen. Viele Anbieter haben inzwischen Seiten, auf denen der Gebrauch und die Notwendigkeit von Cookies erklärt wird.
2. Nutzen schaffen und erklären
Vertrauen ist gut, aber besser ist es, einen klar verstehbaren Nutzen zu kommunizieren. Es ist schon so, das Websites gewöhnlich sehr viel mehr Daten von ihren Besuchern sammeln und erfragen, als sie diesen für deren Daten wieder zurückgeben. Dieser ‚Personalisierungs-Index‘ – das Verhältnis zwischen gesammelten Daten und personalisiertem Nutzen – ist bei den meisten Sites im negativen Bereich.
3. Wo möglich: 1-Party-Cookies einsetzen
Es gibt gute Gründe 3-Party-Cookies einzusetzen. Für manche Anwender und Anwendungen, z.B. das Tracken über verschiedene Domains, sind sie unverzichtbar. Wo es aber geht, sollten Website-Betreiber auf 1-Party-Cookies umsteigen, denn diese werden deutlich seltener abgelehnt bzw. gelöscht. Im Effekt sinkt die Zahl der gemessenen ‚Besucher‘, während die Zahl der ‚Besuche‘ gleicht bleibt. Konversionsraten und der Erfolg von z.B. Online-Kampagnen können weitaus präziser gemessen werden.
4. P3P-Policy anlegen
Der Internet Explorer prüft Websites gegen eine interne Datenschutzrichtline. Diese kann vom Nutzer individuell gestaltet werden. Mit dieser Funktion lassen sich ebenso Datenschutzerklärungen der Website-Betreiber aufrufen. Auch wenn nicht klar ist, wie viele Nutzer dies tatsächlich tun – ein Fehlen dieser Erklärung ist kein Hinweis auf einen guten Umgang mit Nutzerdaten und -befürchtungen.