Streben Browser nach einer Cookie-losen Zukunft?

Jüngste Gesetze wie die europäische DSGVO, die ePrivacy-Richtlinie, der kalifornische CCPA und die bevorstehenden ePrivacy-Verordnungen haben Browser dazu veranlasst, sich dem Schutz der Privatsphäre der Benutzer anzuschließen.

Mit Safari ITP und Firefox ETP an der Spitze der Bemühungen und Google, das kürzlich hinzugekommen ist, arbeiten Internetgiganten hart daran, einen einheitlichen Rechtsrahmen zu schaffen.

Für Unternehmen, die A/B-Testing-Tools und Personalisierung verwenden und die Zeit verlängern möchten, in der sie derselben Person eine Personalisierung oder Variation zeigen – beispielsweise auf mehr als 7 Tage –, ist die Umstellung auf DNS über HTTP(s), auch als DNS bezeichnet, die beste Lösung ein CNAME-Setup, um Erstanbieter-Cookies zu setzen.

Dies ist ein umstrittener Schritt. Lesen Sie weiter (oder sehen Sie sich das Video unten an), um zu sehen, warum wir es empfehlen und wie Sie es richtig verwenden (oder nicht) können.

Was wollen Browser, Europa und der CCPA für Benutzer?

In Europa ist das Setzen von Cookies (selbst für Analysen, A/B-Tests oder Personalisierungszwecke) ohne Zustimmung eine fragwürdige Praxis, da einige von ihnen personenbezogene Daten enthalten, und das ist ein GROSSES Problem.

Browser wie Safari und Firefox (und in geringerem Maße Chrome) möchten ihre Benutzer auch vor dieser Art von Cookies schützen, die zum Erstellen von Benutzerprofilen und Kaufinteressen verwendet werden. Diese Informationen werden dann verkauft und verwendet, um Benutzer auf anderen Websites anzusprechen. Der Anzeigenverkäufer erzielt bei einer Anzeigenplatzierung mit verifizierter Absicht einen höheren Gewinn als bei einer reinen Anzeigenimpression. Führende Vertreter der Anzeigenbranche wissen, dass der Weg in die Zukunft weniger Tracking und mehr Anzeigenplatzierungen sind, die der Absicht des Benutzers auf der Seite entsprechen (durch Verwendung von Content Ad Matching).

Diese Verschiebung verändert die Online-Werbebranche erheblich. Wir haben jetzt Unternehmen mit Anfragen wie: „Ändern Sie Ihren DNS für CNAME in diesem 2-Minuten-Job und wir machen wie gewohnt weiter“.

Diese Praxis hat den Begriff CNAME Cloaking und BAM eingeführt, wir betreten die dunkle Seite der nützlichen CNAME-Funktion. Werbenetzwerke können sich hinter einer Subdomain eines Unternehmens verstecken und weiterhin persönliche Informationen sammeln und Profile erstellen, um höhere Werbeeinnahmen zu erzielen.

Genau das versuchen Browser und europäische Gesetze zu verhindern .

Lassen Sie uns über die Idee hinter diesen Gesetzen und die Browsertechnologien sprechen, die eingeführt werden. Sie sollen Website-Besuchern Transparenz bieten und Anfragen ausdrücklich zustimmen. Sie sollen auch verhindern, dass versteckte Daten gesammelt und personalisierte Profile erstellt werden, ohne dass die Benutzer davon Kenntnis haben.

Das Internet wird langsam zu einem gruseligen Ort, an dem ein paar große Spieler mehr über Sie wissen als Ihr Lebenspartner.

Hör auf! Sie müssen aufhören, Werbenetzwerken so viel Zugriff auf die Daten Ihrer Benutzer zu gewähren. Zeitraum!

Technologie-Hack oder permanenter Kampf?

Sie sehen dies vielleicht als ein Katz-und-Maus-Technologiespiel, das Sie gewinnen können, aber alles, was Sie tun, ist, das Unvermeidliche hinauszuzögern.

Dadurch schränken Sie Ihre anderen Marketingmaßnahmen ein, die noch als sicher gelten.

Browser oder Datenschutzgesetze wollen nicht, dass Sie Ihre Conversion als Vermarkter verlieren, sobald Ihnen eine Anzeige gezeigt wird (selbst wenn es in einem Monat ist). Sie haben nichts dagegen, dass Sie ein universelles Login für mehrere Websites verwenden oder anonyme Analysen auf Ihrer Website verwenden, um die Auswirkungen zu messen. Sie haben jedoch etwas dagegen, dass Sie (oder Ihr Provider, Google oder Facebook) überall Tracking-Skripte eingeschmuggelt haben, um gleichzeitig Benutzerprofile zu erstellen. Benutzer wollten sich anmelden, nicht teilen, dass sie sich bei Facebook angemeldet hatten, und würden nun dazu gedrängt, einer Anzeigenkategorie, die sie interessiert, +1 zu geben. Wenn Sie das tun, werden sie Sie abschneiden, aber neue Initiativen werden Ihnen helfen, diese Konversion zu sammeln (lesen Sie weiter…)

Webkit, die Organisation hinter ITP in Safari, erklärt dies in ihrer Tracking-Präventionsrichtlinie:

ITP Unbeabsichtigte Auswirkungen

Es gibt Praktiken im Web, die wir nicht stören wollen, die aber versehentlich beeinträchtigt werden können, weil sie auf Techniken angewiesen sind, die auch zur Nachverfolgung verwendet werden können. Wir halten dies für eine unbeabsichtigte Auswirkung. Zu diesen Praktiken gehören:

Finanzierung von Websites mit zielgerichteter oder personalisierter Werbung (siehe Messung privater Klicks unten).

• Messung der Werbewirksamkeit.

• Föderierte Anmeldung mit einem Anmelde-Drittanbieter.

• Einmalige Anmeldung bei mehreren Websites, die von derselben Organisation kontrolliert werden.

• Eingebettete Medien, die die Identität des Benutzers verwenden, um seine Vorlieben zu respektieren.

• „Gefällt mir“-Schaltflächen, Verbundkommentare oder andere soziale Widgets.

• Betrugsprävention.

• Bot-Erkennung.

• Verbesserung der Sicherheit der Client-Authentifizierung.

• Analytics im Rahmen einer einzelnen Website.

• Zielgruppenmessung.

Wenn wir mit einem Kompromiss konfrontiert werden, priorisieren wir normalerweise die Vorteile für die Benutzer gegenüber der Beibehaltung aktueller Website-Praktiken. Wir glauben, dass dies die Rolle eines Webbrowsers ist, der auch als Benutzeragent bekannt ist.

Wir werden jedoch versuchen, die unbeabsichtigten Auswirkungen zu begrenzen. Wir können die Tracking-Präventionsmethoden ändern, um bestimmte Anwendungsfälle zuzulassen, insbesondere wenn eine strengere Vorgehensweise die Benutzererfahrung beeinträchtigen würde. In anderen Fällen werden wir neue Webtechnologien entwerfen und implementieren, um diese Praktiken wieder zu ermöglichen, ohne die Tracking-Funktionen wieder einzuführen. Beispiele hierfür sind die Speicherzugriffs-API und die Messung privater Klicks .

Ich bin sicher, dass andere Browser diese Idee teilen.

Obwohl ihre Technologie und Implementierungsgeschwindigkeit ihre Politik und Vision widerspiegeln, arbeiten sie alle daran, die Transparenz und das Opt-in der Benutzer in der einen oder anderen zu erhöhen. Ein nützliches Tool, um all ihre Bemühungen zu verfolgen, ist Cookie Status von Simo Ahava.

CNAME als Übergangslösung

Wenn Sie Dienste wie CookieSaver und TraceDock verwenden, die vorgeben, Ihnen das „Business as usual“ zurückzugeben, und der Fokus auf dem liegt, was Sie „ vermissen “, könnten Sie die Logik hinter den neuen Datenschutzgesetzen und Browseränderungen übersehen .

Aber seien Sie klar, einige Cookies sollten Sie von CNAME fernhalten! Es ist eine neue Welt, in der die Menschen wählen, ob sie ihre gesamte Privatsphäre für Komfort und Opt-in und Log-in aufgeben möchten. Sie können Menschen nicht weiterhin die Privatsphäre nehmen, um Ihre Geschäftsziele zu erreichen. Du kannst nicht mehr so ​​egoistisch sein. Sie müssen darauf vertrauen, dass Ihr Unternehmen wachsen wird, wenn Sie das Richtige tun. Vertrauen und messen….

Browser wie Chrome und Safari arbeiten an Initiativen, die Ihnen Zugriff auf personalisierte Benutzerinformationen geben, die der Benutzer genehmigt hat. Auf dieser Grundlage wird eine gewisse Personalisierung möglich sein (sie sind noch zwei Jahre entfernt).

Chrome und Webkit (Safari) arbeiten an Technologien, mit denen Sie die Anzeigenkonvertierungen mithilfe einer API zurückerhalten können. Das bedeutet, dass Sie 3 bis 60 Tage nach dem Tag der Impression eine Zuordnung vornehmen und sogar Conversions verfolgen können.

Das Problem dabei ist, dass die Datenschutzgesetze jetzt durchgesetzt werden, während diese Alternativen noch nicht verfügbar sind.

Nur weil CNAME derzeit eine Option sein könnte, um das Tracking von Werbenetzwerken zu erweitern und ihnen zu ermöglichen, persönliche Profile zu erstellen, ist es keine praktikable langfristige Lösung.

Es ist die Absicht des Browsers, Benutzer davor zu schützen. Wenn Sie die Lebensdauer von Cookies verlängern, die es ermöglichen, Profile von Benutzern auf Ihrer Website zu erstellen, und sie an anderer Stelle erneut ansprechen, oder noch schlimmer, Benutzerprofile erstellen und sie verkaufen … dann werden Browser und Drittanbieter damit beginnen, Sperrlisten für solche dubiosen Netzwerke zu erstellen.

Sie sollten die Unterstützung von Systemen einstellen, die persönliche Profile außerhalb Ihrer Domain erstellen . Das wollen Benutzer, Browser und Datenschutzgesetze. Es ist das, was dich beißen wird, wenn du es nicht tust. Stellen Sie sicher, dass jemand Ihre Marke dafür bloßstellt.

Diese Vorgehensweise könnte auch ein Sicherheitsrisiko für Ihre Website darstellen.

Wenn Sie Ad-Tracker mit einem Drittanbieter-Cookie mithilfe von CNAME in ein Erstanbieter-Cookie verschieben, erhöht dies das Risiko, dass ihre Skripts Authentifizierungen und Anmelde-Cookies Ihrer Benutzer lesen können.

Die meisten Artikel über CNAME Cloaking konzentrieren sich auf Anzeigensysteme, die Profile für Benutzer erstellen. Von dieser Praxis möchten wir uns ausdrücklich distanzieren.

A/B-Testing- und Personalisierungstools haben seit Jahren First-Party-Cookies. Sie waren bereits in der Lage, die gesamte Site und die Login-Systeme als Teil des Systems, das sie haben, zu manipulieren. Für diese Arten von Tools ändert sich durch die Verwendung von CNAMEs nichts, außer dass die Erfahrungen für 30-60 Tage statt 7 Tage konsistent sein könnten.

Europäische ePrivacy-Verordnungen folgen Browsern

Europa arbeitet an seinen neuesten Entwürfen der ePrivacy-Verordnung, die das Platzieren von Cookies für Analysen und Website-Optimierung ermöglichen. Damit wird ein klares Signal gesetzt, dass ab sofort nur noch essenzielle Cookies, wie das Speichern von Login-Sessions oder Produkten in Warenkörben, sowie Analytics und A/B-Testing zum Nutzen des Nutzers erlaubt sind.

Am 8. November 2019 veröffentlichte die finnische Regierung einen überarbeiteten Vorschlag für die ePrivacy-Verordnung mit einigen Änderungen.

Gaming Tech Law fasst es wie folgt zusammen:

Die Verwendung von Cookies (und ähnlichen Dateien/Tags) erfordert generell eine Einwilligung. Die ePrivacy-Verordnung sieht jedoch zahlreiche Ausnahmen vor, darunter sowohl bereits bekannte Ausnahmen (Cookies, die aus Kommunikations- oder technischen Gründen erforderlich sind) als auch neue Ausnahmen wie (bestimmte Formen von) Analytics, Sicherheit (einschließlich Betrugsprävention), Software-Updates und Ausführung der Aufgaben der Arbeitnehmer sowie die weiteren oben aufgeführten Ausnahmen.

Für A/B-Testzwecke benötigen Sie höchstwahrscheinlich keine Einwilligung und können problemlos Cookies platzieren, wie der neueste Entwurf der ePrivacy-Verordnung (Nov 2019) in Artikel 21a feststellt :

Cookies können auch ein legitimes und nützliches Werkzeug sein, zum Beispiel bei der Bewertung der Effektivität eines bereitgestellten Dienstes der Informationsgesellschaft, zum Beispiel des Website-Designs und der Werbung, oder indem sie dabei helfen, die Anzahl der Endnutzer zu messen, die eine Website oder bestimmte Seiten einer Website besuchen Website oder die Anzahl der Endnutzer einer Anwendung. Dies gilt jedoch nicht für Cookies und ähnliche Identifikatoren, die verwendet werden, um festzustellen, wer die Website nutzt, was immer die Zustimmung des Endbenutzers erfordert.

Der Entwurf der ePrivacy-Verordnung konzentriert sich auf die Idee, dass Tracking und Analysen ohne Zustimmung erlaubt sind, solange sie nicht zum Erstellen von Benutzerprofilen verwendet werden, wie in Artikel 17AA erwähnt:

Da Endbenutzer großen Wert auf die Vertraulichkeit ihrer Kommunikation legen, einschließlich ihrer physischen Bewegungen, können solche Daten nicht verwendet werden, um die Art oder Eigenschaften eines Endbenutzers zu bestimmen oder ein Profil eines Endbenutzers zu erstellen, um vermeiden Sie beispielsweise, dass die Daten zu Segmentierungszwecken verwendet werden, um das Verhalten eines bestimmten Endbenutzers zu überwachen oder Rückschlüsse auf das Privatleben eines Endbenutzers zu ziehen. Aus dem gleichen Grund muss der Endnutzer über diese stattfindenden Verarbeitungstätigkeiten informiert werden und das Recht haben, dieser Verarbeitung zu widersprechen.

Was wird der endgültige Entwurf sagen?

Wir müssen die endgültige Fassung der Verordnungen und dann die nationalen Gesetze abwarten, um wirklich mit der eingehenderen Diskussion der Richtlinien zu beginnen. Aber die aktuelle ePrivacy-Richtlinie lässt auf A/B-Tests hoffen. Paul Schmitt wies mich darauf hin, dass, obwohl die ICO (die britische Datenschutzbehörde) und die CNIL (die französische Datenschutzbehörde) geregelt haben, dass Cookies für A/B-Tests und Analysen eine Zustimmung benötigen, die neuesten Richtlinien der CNIL (auf Französisch) von Github besagen Andernfalls. Hier ist eine Übersetzung:

Profitieren Sie vom Einwilligungsausschluss, unter bestimmten Voraussetzungen sind Cookies, die zur Reichweitenmessung verwendet werden, von der Einwilligung ausgenommen. Diese Bedingungen, wie in den Richtlinien zu Cookies und anderen Trackern angegeben, sind (1) Benutzer über ihre Verwendung zu informieren; (2) ihnen die Macht zu geben, sich dagegen zu wehren; (3) das System nur auf die folgenden Zwecke zu beschränken: Reichweitenmessung und A/B-Tests.

Zusammenfassend wollen beide Browser und die Datenschutzgesetze dasselbe. Sie sind nicht hier, um Ihre Bemühungen zu stoppen, Benutzer (auf Ihrer Website) zu analysieren oder A/B-Tests durchzuführen, um die Benutzererfahrung zu verbessern und zu optimieren.

Keine Cookies … Verwenden wir Fingerprinting

Fingerabdruck bedeutet, eine eindeutige Kennung zu erstellen, indem mehrere Eigenschaften kombiniert werden, die an sich nicht eindeutig für Sie sind, Browserbeschränkungen für Cookies umgangen und Sie sogar über Geräte hinweg verfolgen können (dies ist etwas, was Cookies nicht können).

Einige dieser Eigenschaften sind Ihre IP-Adresse, Ihre Betriebssystemversion, Ihre Browserversion, Ihre Computersprache, Ihre Uhrzeit, die Größe Ihres Bildschirms, die Pixeldichte Ihres Bildschirms, wie schnell Ihr Computer ist, und die Liste geht weiter und weiter an.

Sie können erwägen, für bestimmte Techniken überhaupt keine Cookies zu verwenden. Dies bedeutet jedoch nicht, dass Sie auf Transparenz und Datenschutzbedenken verzichten können, um zu verbergen, was Sie den einzelnen Besuchern auf der Serverseite oder am CDN-Rand gegenüber tun. Das ist einer der Gründe, warum wir absolute Transparenz bei den Tests und Personalisierungsbemühungen fördern, die auf unserer Website durchgeführt werden.

Sie können A/B-Tests am Rand ohne Cookies (auf Fastly) einrichten, aber das ist nicht transparent und kann verpönt sein. Browser begrenzen die Informationen, die Sie erhalten, um eine gehashte/einzigartige Erfahrung für jemanden zu machen.

ePrivacy-Verordnungen sind klar – sie erlauben keine Fingerabdrücke. Browser und Datenschutzbehörden werden Sie wegen Fingerabdrücken noch härter bekämpfen als gegen Cookies. Gehen Sie nicht dorthin.

Mehr Transparenz, nicht weniger

Convert Experiences ist unser A/B-Test- und Personalisierungstool. Es erlaubt standardmäßig keine Erstellung von Benutzerprofilen mit personenbezogenen Daten.

Wir aggregieren Daten in Berichten und senden Warnungen, wenn Segmente so klein werden, dass sie Benutzer identifizierbar machen, oder wenn wir vermuten, dass personenbezogene Daten in Feldern hinzugefügt wurden, wo dies nicht der Fall sein sollte.

Unser Tool wird häufig von Marken verwendet, denen die Einhaltung aller Datenschutzgesetze weltweit wichtig ist. Wir bieten Optionen an, bei denen Websitebesitzer einen Link oder eine Tastenkombination teilen können, um transparent zu machen, welche Erfahrungen auf der Website ausgeführt werden und in welchen Erfahrungen sich Benutzer befinden.

Wir ermutigen unsere Kunden, Erfahrungen zu schaffen, die die Benutzererfahrung verbessern und den Ablauf optimieren.

Wenn Sie eine bessere Welt aufbauen wollen, machen Sie Formulare besser und kürzer . Browser, Benutzer und die Datenschutzgesetze unterstützen Sie dabei. Was sie nicht unterstützen, ist ein A/B-Test, bei dem Sie sich in einen standardmäßig aktivierten Upsell einschleichen. Verbessern Sie Ihre Eigenschaften und dann wird es kein Problem sein, darüber transparent zu sein. A/B-Tests kommen Nutzern zugute und können gut fürs Geschäft sein, weil Sie die besten Online-Erlebnisse bieten.

Wenn Sie also CNAME für Ihr A/B-Testtool installieren, stellen Sie sicher, dass Ihr Tool keine Benutzerprofile erstellt. Verwenden Sie keine Identifikatoren wie Geschlecht, Alter, Rasse und Religion zum Targeting (einige Tools – nicht unsere – bieten das an). Gehen Sie nicht dorthin, es lohnt sich nicht und niemand will das mehr.

Richten Sie einen CNAME für Tools ein, denen Sie vertrauen. Lassen Sie nicht zu, dass sie Informationen über Ihre Besucher auf Websites und Standorte von Drittanbietern leiten. Sie allein sind dafür verantwortlich, was diese Tools speichern und mit den Daten machen. Sie können sich jedes Tool und die Tonnen von Snippets ansehen, die sie mit dem Tool anheben (Sie können Collision verwenden – siehe Abbildung unten). Richten Sie CNAME nur für ein Unternehmen ein, für das Sie eine unterzeichnete DPA (Datenverarbeitungsvereinbarung) haben – unsere finden Sie hier.

Was jetzt?

Ich habe in diesem Beitrag alles dargelegt, was ich über CNAME weiß – ich hoffe, Sie fanden es nützlich und es hat etwas Licht in dieses komplizierte Thema gebracht.

Fühlen Sie sich frei, sich mit mir auf LinkedIn zu verbinden oder lesen Sie, wie wir uns 2018 vollständig auf den Datenschutz konzentriert haben.

Sehen Sie sich an, wie wir mit Privacy Shield, SCC, CCPA und unseren allgemeinen Bemühungen in diesem Bereich umgehen.

Ich hoffe, dieser Artikel hat deutlich gemacht, wie Sie CNAME in Ihren Bemühungen verwenden können, Ihre A/B-Testexperimente von 7 auf 30 Tage zu verlängern. Kaufen Sie bitte keine CNAME-Tools, die die Lebensdauer von Werbe-Cookies verlängern, die Benutzerprofile erstellen.

Probieren Sie unsere A/B-Testsoftware kostenlos aus, wenn Sie sehen möchten, wie ein datenschutzfreundliches Tool funktioniert. Wir (genau wie die ePrivacy-Verordnung) sind davon überzeugt, dass A/B-Tests eine positive Methode sind, die dazu beitragen kann, die Bemühungen von Unternehmen zu validieren, den Benutzern ein besseres Erlebnis zu bieten und sie nicht auszunutzen.