Zurück zum Blog

Was ist der Unterschied zwischen First Party-Cookies und Third Party-Cookies?

Advertising Analytics

Geschrieben von ,

Veröffentlicht August 21, 2018 Aktualisiert Februar 14, 2024

Was ist der Unterschied zwischen First Party-Cookies und Third Party-Cookies?

Beim Browsen durch das Internet stoßen User auf verschiedenen Websites immer wieder auf Cookies. Es gibt verschiedene Arten von Cookies, die alle unterschiedliche Funktionen haben und in der Regel nützlich sind, um die User Experience zu erleichtern.

Dabei werden die unterschiedlichsten Daten an entsprechende Server übermittelt, genutzt und gegebenenfalls weiterverwendet. Oftmals ist dem User gar nicht klar, welche Cookies im Hintergrund laufen und was diese tatsächlich an Informationen speichern und übermitteln.

Hier ist ein Blick hinter die Kulissen notwendig, um den konkreten Unterschied von First Party- und Third Party-Cookies zu verstehen.

Um Ihren Usern ein gewisses Maß an Transparenz zu bieten und vor allem auch datenschutzkonform zu agieren oder eventuelle Optimierungen vorzunehmen, ist es wichtig, die Punkte zu kennen, die hier den Unterschied ausmachen.

Im Folgenden haben wir die wichtigsten Merkmale zu First Party- und Third Party-Cookies zusammengestellt. Dabei gehen wir auf die Vor- und Nachteile der Verwendung von Cookies für Sie und Ihre Nutzer ein und beleuchten das Thema anonymes Surfen im Netz sowie den Datenschutz.

Wir haben noch mehr zum Thema Cookies:

First Party- vs. Third Party-Cookies

Prinzipiell unterscheiden wir zwischen First und Third Party-Cookies. First Party-Cookies setzt die Website, auf der ein User gerade surft. Sie sind von Browsern nicht domainübergreifend zugänglich.

Ein Third Party-Cookie hingegen setzt ein Dritter, also nicht die Website, auf der sich der Besucher gerade befindet.

Es ist also möglich, dass während des Besuchs einer Website sowohl First Party-Cookies als auch Third Party-Cookies gespeichert werden. Third Party-Cookies speichern häufig Werbetreibende, die Werbung auf der besuchten Website schalten.

Funktionen und Einsatz von First Party-Cookies

First Party-Cookies stammen in der Regel vom Websitebetreiber, auf dessen Seite der User unterwegs ist. Diese werden lokal auf dem Rechner des Users gespeichert.

Bei einem First Party-Cookie kann der Nutzer nur von der Seite wiedererkannt werden, von der der Cookie stammt, nicht aber über mehrere Domains hinweg. Mit First Party-Cookies erhält der Websitebetreiber aussagekräftige Berichte über die Besucher seiner Website. Hierunter fallen beispielsweise:

  • Notwendige Cookies, diese werden unter anderem in Online-Shops eingesetzt und enthalten z. B. Informationen zur Identifikation eines Warenkorbs
  • Performance Cookies, mit denen Parameter wie Ladezeiten oder das Verhalten der Website bei verschiedenen Browser-Typen gemessen werden.
  • Funktionale Cookies, diese sind nicht unbedingt notwendig, aber erhöhen die Usability einer Website ungemein und haben einen positiven Effekt auf die User Experience.
  • Werbe-Cookies, die dazu dienen, dem User entsprechend seines Surfverhaltens Werbung anzuzeigen.

First Party-Cookies sind ein wertvolles Asset für den Websitebetreiber

Da die Browser First Party-Cookies generell nicht blockieren, sind die gesammelten Daten akkurat. Sie bilden das Verhalten des Users auf einer Website klar ab. Die Daten werden nicht an Dritte weitergegeben.

Diese Daten helfen Ihnen, Ihre Nutzer besser kennenzulernen, Ihre Website den Nutzerbedürfnissen anzupassen oder konkrete Marketing-Strategien einzuleiten.

Hauptaufgabe von Third Party-Cookies: Advertising & Targeting

Third Party-Cookies nutzen die Werbetreibenden, die über ihre Werbeschaltungen auf anderen Seiten mit den Cookies Nutzerinformationen sammeln. Es handelt sich dabei um Datensätze, die im Browser des Nutzers hinterlegt werden, wenn er eine Seite mit Werbung besucht.

Begibt er sich erneut auf eine Website mit Werbung des gleichen Anbieters, wird er wiedererkannt. Third Party-Cookies, auch Tracking-Cookies genannt, sind ein verbreitetes Mittel, den Besucher einer Website zu markieren, um ihn später wiedererkennen.

Mit Third Party-Cookies beobachten Sie das Surfverhalten eines Users über einen längeren Zeitraum und über mehrere Webangebote hinweg. Es geschieht auch, wenn der Benutzer sich auf einer Website nicht explizit angemeldet. Third Party-Cookies liefern Werbenden Informationen wie:

  • Navigation des Nutzers über Links
  • Verweildauer auf unterschiedlichen Sites
  • Verschiedene Seitenaufrufe und die Häufigkeit der Aufrufe

Nutzer- und Interessenprofile mit Hilfe von Third Party-Cookies

Die Gesamtheit dieser Informationen liefert ein klares Bild zu den Interessen des Users. Sie tracken nicht nur, wofür er sich innerhalb einer Domain interessiert, sondern über mehrere Domains hinweg.

Third Party-Cookies erlauben damit die Erstellung von umfangreichen Nutzerprofilen und bilden einen Teil der User Journey im Internet ab. So kann der Werbende bei einem erneuten Besuch auf den Nutzer zugeschnittene Werbung ausspielen.

Betreiber verschiedener Websites können zusammenarbeiten, um einen Besucher auch über verschiedene Websites hinweg serverübergreifend zu verfolgen. Es sieht folgend aus:

Ein Benutzer meldet sich bei einer Website A an. Danach ruft er eine Website B auf, in welche eine URL der Website A eingebettet ist. So kann Website A auf die Cookies, die die Anmeldedaten enthalten, zugreifen und sie dann an Website B übermitteln.

Eine solche Implementierung einer Webadresse könnte etwa ein Werbebanner oder Zählpixel sein. Gegebenenfalls ordnen Sie so den Besuch unterschiedlicher Websites einem User zu.

So entsteht dann eine serverübergreifende Session. Daraus schließen Sie auf die Interessen des Nutzers und personalisieren Sie entsprechend Ihre Webseiten.

Durch eine gezielt gesetzte Ausnahme für die Same-Origin-Policy fragt eine Website B auch Informationen einer Website A ab.

Die Same-Origin-Policy (kurz SOP) ist ein Sicherheitskonzept, das Skriptsprachen wie JavaScript und ActionScript nur dann auf Objekte (z. B. Cookies) einer Webseite zugreifen lässt, wenn diese demselben Ursprung entspricht. In modernen Browsern stellt sie ein wesentliches Sicherheitselement in allen modernen Browsern und Webanwendungen zum Schutz vor Angriffen dar.

Ob die Website A bei einer Einbettung von einer anderen Website auf die Cookies des Browsers zugreifen kann, ist allerdings abhängig von der Browser-Konfiguration.

Die Vor- und Nachteile von First und Third Party-Cookies

Die Verwendung von First Party-Cookies bietet Ihnen einige Vorteile, die Sie nicht außer Acht lassen sollten. Da Ihre Domain die Daten sammelt, haben Sie generell mehr Datenkontrolle.

AdBlocker unterbinden nicht automatisch First Party-Cookies, sodass Sie eine größere Chance haben, entsprechende Daten zu tracken. Außerdem erlaubt Ihnen die Nutzung von First Party-Cookies, die gesammelten Daten zu speichern und besser zu nutzen.

Als Nachteil wäre allerdings die technisch etwas komplizierte Implementierung von First Party-Cookie-Tracking zu nennen.

Erfahren Sie mehr zum Thema in unserem weiterführenden Blogartikel: Die Vorteile eines First Party-Cookie-Ansatzes im Online-Advertising

Adblocker unterbinden Third Party-Cookies

Die Third Party-Cookies lassen sich technisch einfacher implementieren als First Party-Cookies. Sie benötigen auf der Website, auf der die Cookies eingebunden werden sollen, keinen Code zu hinterlegen. Es reicht die Ad vom AdServer des Drittanbieters. Doch die Nachteile überwiegen eindeutig.

Wie bereits erwähnt, AdBlocker und weitere Methoden, die diese Art des Trackings unterbinden, bereiten Probleme für die Verwendung von Third Party-Cookies.

Third Party-Cookies werden blockiert, wenn der User:

  • Cookie- und Tracking-Einstellungen in seinem Browser verändert
  • Im Privatsphäre-Modus surft
  • Adblocker oder verwandte Erweiterungen installiert
  • Safari auf seinem mobilen Apple-Gerät verwendet (der Browser blockiert Third Party-Cookies standardmäßig)
  • „Tor“, einen anonymen Browser, der Spuren verwischt, nutzt
Vergleich
Vergleich

Ein detaillierter Blick hinter kostenlose Web Analytics Plattformen

Hier finden Sie den kompletten, barrierefreien Vergleich der kostenlosen Alternativen zu Google Analytics in 65 Punkten. Das ohne ein Formular ausfüllen und keine Daten angeben zu müssen, einfach nur downloaden und informieren.

Barrierefrei downloaden

Third Party-Cookies und der Datenschutz

Datenschützer kritisieren oft Third Party-Cookies. Sie bemängeln, dass dieser Art des Trackings die Anonymität fehle, da über andere Websites hinweg Daten des Nutzers gesammelt werden und Dritten der Zugriff darauf erlaubt wird.

Zwar gibt es zur Speicherung, Verarbeitung, Nutzung und Weitergabe persönlicher Daten eine europäische Verordnung – die ePrivacy-Verordnung – diese wurde allerdings bisher noch nicht konkret umgesetzt.

Aktuell hat Apple’s Intelligent Tracking Prevention den Third Party-Cookies den Kampf angesagt. Lesen Sie mehr zum Thema in unserem Blogartikel Lesen Sie mehr zum Thema in unserem Blogartikel “Wie funktioniert Apples Intelligent Tracking Prevention?

Auch der EuGH hat mit seinem Urteil vom Oktober 2019 den Kampf gegen Cookies eröffnet, lesen Sie dazu: “Nach EuGH-Urteil: Cookie-Banner müssen

Denn es gibt noch immer Unklarheiten, welche Vorschriften für deutsche Websites gelten. Gemäß dieser Verordnung muss der User dem Tracken seiner Daten ausdrücklich zustimmen. Die Einhaltung dieser Vorgabe sollte durch die sogenannte Opt-in/Opt-out Funktion umgesetzt werden.

Noch greift das Telemediengesetz

Deutschland hat zwar die Richtlinie nie aktiv umgesetzt, genauer gesagt wurde kein separates Gesetz dazu erlassen. Es wird davon ausgegangen, dass die deutsche Rechtslage mit dem Telemediengesetz (TMG), einer Novelle des Telekommunikationsgesetzes (TKG) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zum 1. Dezember 2021 bereits diese Vorgaben erfüllte.

Betreiber von Website begeben sich damit (aktuell noch) auf einen rechtlich weitestgehend sicheren Weg, wenn sie die Opt-Out-Lösung gemäß dem Telemediengesetz wählen.

ePrivacy-Verordnung noch in der europäischen Diskussion

Die neue ePrivacy-Verordnung sollte eigentlich gemeinsam mit der DSGVO verabschiedet werden und 2018 in Kraft treten. Die Europäische Kommission hat dazu bereits am 10. Januar 2017 einen Entwurf vorgelegt. Die Verhandlungen im Rat der EU kamen jedoch lange nicht entscheidend voran.

Die Mitgliedstaaten der EU einigten sich endlich am 10. Februar 2021 auf eine gemeinsame Position. Die letzten Verhandlungen des Rats der Europäischen Union mit der Europäischen Kommission und dem Europaparlament dauern immer noch an. Bis dahin gilt weiterhin die e-Privacy-Richtlinie.

Im November 2023 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien formuliert, die den neuen technischen Anwendungsbereich von Art. 5 (3) der ePrivacy-Richtlinie umreißen.

Diesem Artikel zufolge sind Unternehmen verpflichtet, eine vorherige Einwilligung einzuholen, bevor sie Informationen auf dem elektronischen Gerät eines Nutzers speichern oder darauf zugreifen. Die einzige Ausnahme besteht, wenn dies erforderlich ist, um die angeforderte Dienstleistung zu erbringen. Bislang galt dieser Grundsatz hauptsächlich für Internet-Cookies. 

In den jüngsten Leitlinien wird die Liste der unter Art. 5 (3) fallenden Technologien erheblich erweitert. Sie umfasst nun auch neue Tracking-Methoden und technische Verfahren. 

Der EDSA konzentriert sich auf fünf kritische Elemente der Cookie-Regel und interpretiert sie alle umfassend:

  • Informationen beinhalten sowohl nicht-personenbezogene als auch personenbezogene Daten, unabhängig davon, wie und von wem sie gespeichert werden.
  • Endgeräte sind Geräte, die an das öffentliche Telekommunikationsnetz angeschlossen sind, z. B. Smartphones, Laptops, vernetzte Autos, vernetzte Fernsehgeräte oder intelligente Brillen.
  • Ein elektronisches Kommunikationsnetz ist ein System, das die Übertragung von elektronischen Signalen ermöglicht. Die Leitlinie betrifft öffentliche Kommunikationsdienste, die über solche Netze erbracht werden. Die Kommunikation über ein Netz, das einer begrenzten Anzahl von Personen (z. B. Abonnenten) zur Verfügung steht, gilt jedoch auch als öffentlich.
  • Zugriff – der EDSA wendet eine sehr weit gefasste Abgrenzung des Zugriffs an. Ein Zugriff vorliegt, wenn eine Stelle aktiv Schritte unternimmt, um Zugang zu den auf einem Endgerät gespeicherten Informationen zu erhalten.
  • Die Speicherung bezieht sich auf Informationen jeglicher Art, in jeglicher Menge und über einen beliebigen Zeitraum (auch so kurz wie die Speicherung im RAM oder CPU-Cache).

Vor diesem Hintergrund würde der Art. 5 (3) der ePrivacy-Richtlinie auch für folgende Technologien gelten:

  • URL- und Pixel-Tracking (einschließlich „Identifikatoren“)
  • Lokale Verarbeitung
  • Tracking nur anhand der IP-Adresse
  • JavaScript-Code
  • Internet of Things (IoT)-Reporting
  • andere Geräte-Fingerprinting-Techniken

Die Vorschläge des EDSA sind umstritten, da sie sich negativ auf den Markt auswirken könnten. Dies spiegelte sich auch in den Stellungnahmen der Branchenverbände zu den neuen Leitlinien im Rahmen der öffentlichen Konsultation wider. 

Um die Federation of European Data and Marketing zu zitieren: 
Die weite Auslegung des Begriffs „Zugriff erhalten“ durch den EDSA würde (…) bedeuten, dass jede Kommunikation über das Internet in einer Weise einen „Zugriff“ auf Informationen im Sinne von Art. 5(3) der ePrivacy-Richtlinie darstellt (…). Dabei erfasst die Auslegung des Richtlinienentwurfs auch Technologien und grundlegende technische Vorgänge, die nicht unbedingt mit Marketing- oder Werbezwecken verbunden sind (…). Es ist daher unklar, wie eine Einwilligungspflicht für nicht-invasive technische Vorgänge, die nicht unbedingt die Verarbeitung personenbezogener Daten beinhalten, dem Nutzer einen besseren Schutz der Privatsphäre bringen soll. Dies scheint sich auch nachteilig auf das Online-Erlebnis des Nutzers auszuwirken, da er aufgefordert wird, sich mit zusätzlichen Einwilligungsanfragen zu befassen, was wahrscheinlich die sogenannte „Einwilligungsmüdigkeit“ verschärft.

Der Zentralverband der deutschen Werbewirtschaft ZAW e.V. wies auf die Notwendigkeit eines risikobasierten Ansatzes in den neuen Leitlinien hin. Das IAB sprach unter anderem die Vernachlässigung der technischen Aspekte an. 

Dennoch ist zu bedenken, dass die Leitlinien die Rechtsauffassung der EU-Datenschutzbehörden widerspiegeln. Sie sind nicht unmittelbar verbindlich. Ob es der EDSA gelingen wird, die neuen Leitlinien erfolgreich und vollständig durchzusetzen, ist bisher nicht sicher.

Fazit

Generell sind Cookies wichtig und vor allem nützlich. Sie erleichtern Ihren Usern das Surfen auf Ihrer Website und ermöglichen eine unkomplizierte und gute User Experience. Zudem haben Sie die Möglichkeit, durch das Setzen von Cookies einiges über Ihren Besucher zu erfahren. Ausgehend von diesen gewonnenen Daten gestalten Sie Ihre Website oder Ihr Produkt nutzerfreundlicher.

Sie sind in der Lage, mit First Party-Cookies wertvolle, akkurate Informationen zum Verhalten eines Users auf Ihrer Website zu erhalten. Diese Daten sind natürlich wichtig hinsichtlich möglicher Optimierungen. Allerdings sollten Sie immer auf die Verwendung von Cookies auf Ihrer Seite hinweisen und dem User transparent gegenübertreten.

Einen kritischen Blick sollten Sie allerdings auf Third Party-Cookies werfen. Genießen Sie deren Vorteile mit Vorsicht. Wenn Sie die DSGVO und die kommende ePrivacy-Verordnung einhalten möchten, implementieren Sie einen Consent Manager.

So können Ihre User entscheiden, welchen Tracking-Methoden sie zustimmen. Willigen sie z. B. für die Nutzung des Facebook Pixels ein, können Sie diese Daten verwenden und eigenes Advertising auf der Social Media Plattform betreiben. Sie agieren datenschutzkonform, bleiben transparent und erhalten wertvolle Daten über Ihre Kunden und User.

Diese Artikel könnten Ihnen ebenfalls gefallen:

6 Wege wie Sie Daten online sammeln und der Vergleich 6 beliebter Analytics Plattformen

5 Alternativen zu Google Analytics – kostenlos & kostenpflichtig →

Web Analytics Anbieter Vergleich: Welche Plattform ist für Sie die richtige? →

Autor

Tatjana Hein

Mehr von diesem Autor lesen

Autor

Beata Moryl

Senior Content Marketer

Beata Moryl ist ein Profi mit 20 Jahren freiberuflicher Erfahrung im Übersetzen und Verfassen von Inhalten. Sie verfügt außerdem über einen soliden betriebswirtschaftlichen Hintergrund und Erfahrung als Managerin in den Bereichen Kundenservice, Produktmanagement und Geschäftsentwicklung. Beata übersetzte fast 20 wirtschaftsbezogene Bücher (zu den Themen Marketing, Soft Skills, Coaching, HR und Kundenservice) für etablierte Verlage wie den Verlag C.H. Beck. Bei Piwik PRO spezialisiert sie sich auf die rechtlichen Aspekte der Webanalyse, den Datenschutz und die Optimierung von Geschäftsergebnissen mithilfe moderner IT-Tools. LinkedIn Profil.

Mehr von diesem Autor lesen

Core – der kostenlose Piwik PRO Plan

Leistungsstarke Analytics, integrierter Consent Manager und Hosting in Deutschland.

Anmelden

Kategorien