Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Third-Party-Cookies: Abschaffung, Alternativen und Datenschutz

Third-Party-Cookies sind das technische Fundament des Werbe-Trackings im Web. Dieser Artikel erklärt, wie sie funktionieren, warum ihr Ende absehbar ist, welche Alternativen entstehen und was das für Datenschutz und Website-Betreiber bedeutet.

Inhaltsverzeichnis (6 Abschnitte)

Ein Third-Party-Cookie (Drittanbieter-Cookie) ist ein Cookie, das nicht vom Betreiber der besuchten Website gesetzt wird, sondern von einer dritten Partei - typischerweise ein Werbenetzwerk, ein Analyse-Dienst oder ein Social-Media-Anbieter. Das Besondere: Derselbe Drittanbieter-Cookie kann auf tausenden verschiedenen Websites vorhanden sein und ermöglicht es, das Surfverhalten eines Nutzers domainübergreifend zu verfolgen.

Technische Funktionsweise

Wenn ein Nutzer eine Website besucht, können auf dieser Seite Ressourcen von fremden Domains eingebunden sein - Tracking-Pixel, Werbebanner, Social-Media-Buttons oder Analyse-Skripte. Beim Laden dieser Ressourcen kann der externe Anbieter einen Cookie im Browser des Nutzers setzen.

Der Ablauf läuft typischerweise in drei Schritten ab: Beim ersten Seitenbesuch (z. B. beispiel-shop.de) lädt der Browser ein eingebettetes Script von werbeanbieter.com, der daraufhin einen Cookie mit einer Nutzer-ID setzt. Bei einem zweiten Besuch auf einer anderen Site (z. B. nachrichten-portal.de) mit demselben Drittanbieter-Script sendet der Browser diesen Cookie automatisch mit - der Anbieter weiß nun, dass derselbe Nutzer beide Sites besucht hat. Nach Hunderten solcher Seitenbesuche ist ein detailliertes Interessenprofil entstanden.

Technische Voraussetzung für Cross-Site-Tracking ist das Cookie-Attribut SameSite=None; Secure, das seit 2020 in Chrome Pflicht ist, um einen Cookie in einem Drittanbieter-Kontext zu senden.

Warum Third-Party-Cookies verschwinden

Die DSGVO hat Third-Party-Cookies rechtlich unter Druck gesetzt: Sie gelten als Verarbeitung personenbezogener Daten und bedürfen einer Rechtsgrundlage - in der Praxis meist die Einwilligung des Nutzers. Cookie-Banner sind die sichtbare Folge davon. Viele Nutzer lehnen Tracking-Cookies ab, was das Profiling weniger vollständig macht.

Parallel dazu haben Browser-Hersteller angekündigt, Third-Party-Cookies technisch zu beenden. Safari (Apple) blockiert sie seit 2017 standardmäßig via Intelligent Tracking Prevention (ITP). Firefox (Mozilla) blockiert bekannte Tracker seit 2019 (Enhanced Tracking Protection). Chrome (Google) hatte einen "Privacy Sandbox"-Plan angekündigt, das Ende von Third-Party-Cookies mehrfach verschoben und schließlich entschieden, sie nicht vollständig zu blockieren, sondern Nutzern eine informierte Wahl anzubieten.

Der Stand der Browser-Unterstützung für Third-Party-Cookies (Stand 2025):

  • Safari: Intelligent Tracking Prevention seit 2017; Third-Party-Cookies werden nach 7 Tagen ohne direkten Seitenbesuch gelöscht, Tracker ohne Nutzerinteraktion vollständig blockiert.
  • Firefox: Enhanced Tracking Protection blockiert bekannte Tracker-Domains; Total Cookie Protection gibt jeder Website ein eigenes "Cookie Jar", das Cross-Site-Tracking via Cookie-Weitergabe verhindert.
  • Chrome: Der ursprüngliche Abschaffungsplan (2022, dann 2023, dann 2024) wurde zurückgezogen. Aktuell ist stattdessen ein Nutzer-Wahl-Dialog geplant; Privacy Sandbox APIs wurden als Alternative bereitgestellt.
  • Brave: Aggressivste Blockierung von Third-Party-Cookies und Fingerprinting.
  • Edge: Tracking Prevention mit drei Stufen (Basic, Balanced, Strict).

Die Privacy Sandbox und ihre Alternativen

Google hat als Ersatz für Third-Party-Cookies eine Reihe von APIs unter dem Oberbegriff "Privacy Sandbox" entwickelt. Das Ziel: Interessenbasierte Werbung weiterhin ermöglichen, aber ohne Cross-Site-Tracking auf Basis von Cookie-IDs.

Die bekannteste API ist Topics API (früher FLoC - Federated Learning of Cohorts): Der Browser selbst beobachtet das Surfverhalten und ordnet den Nutzer Themen-Kategorien zu (z.B. "Reise", "Elektronik", "Sport"). Werbeanbieter können diese Kategorien abfragen, ohne die genauen besuchten URLs zu kennen. Kritiker - darunter die EFF - bemängeln, dass die API Google-Infrastruktur privilegiert und Chrome als Gatekeeper für Werbe-Targeting positioniert.

Weitere APIs: Die Protected Audience API (früher FLEDGE) ermöglicht Remarketing ohne serverseitiges Profil, indem Interessengruppen lokal im Browser gespeichert werden und Auktionen direkt im Browser stattfinden. Die Attribution Reporting API erlaubt Konversionsmessung ohne Cross-Site-Tracking durch aggregierte, verrauschte Berichte.

Alternativen außerhalb der Privacy Sandbox:

  • First-Party-Daten: Die Website sammelt Nutzerdaten direkt über Newsletter, Login oder Käufe - aufwändig, aber datenschutzrechtlich solide und ohne Drittanbieter.
  • Kontextbezogene Werbung: Werbung passend zum Seiteninhalt statt zum Nutzerprofil. War das dominante Modell vor dem Ad-Tech-Boom und funktioniert ohne Tracking.
  • Server-Side-Tracking: Konversionsdaten werden serverseitig als First-Party-Daten gespeichert. Kein Cross-Site-Tracking, aber datenschutzrechtlich komplex (Auftragsverarbeitung).
  • Cohort-basierte Analyse: Nutzer werden in Gruppen zusammengefasst, Statistiken über Gruppen statt Einzel-Profile. Matomo bietet einen anonymisierten Modus ohne personenbezogene Daten.

Fingerprinting als Nachfolger?

Das Ende der Third-Party-Cookies bedeutet nicht das Ende des Trackings. Browser-Fingerprinting ermöglicht die eindeutige Identifizierung von Nutzern ohne Cookies, allein anhand von Browser- und Systemeigenschaften.

Gängige Techniken umfassen Canvas-Fingerprinting (das Rendern eines verdeckten HTML5-Canvas-Elements ergibt durch GPU-, Schriften- und OS-Unterschiede eine quasi-eindeutige Zeichenkette), WebGL-Fingerprinting (GPU-Informationen und Rendering-Kapazitäten), Schriften-Erkennung sowie die Kombination aus Bildschirmauflösung, Zeitzone, Spracheinstellungen, installierten Plugins, Touch-Support und Audio-Kontext-Fingerprinting. Die Kombination mehrerer Merkmale ergibt in Studien eine Unique-Rate von über 95 % - und ändert sich nicht bei Cookie-Löschung.

Schutz bieten Brave (Zufalls-Rauschen bei Fingerprinting-Anfragen), Firefox (strikte Fingerprinting-Protection im privaten Modus) und Tor Browser (standardisierter "common look" für alle Nutzer; mehr zur Funktionsweise des Tor-Netzwerks in unserem Darknet-Leitfaden).

Datenschutzrechtliche Einordnung

Aus DSGVO-Perspektive ist die Lage eindeutig: Sowohl Third-Party-Cookies als auch Browser-Fingerprinting stellen die Verarbeitung personenbezogener Daten dar, sofern eine eindeutige Identifizierung des Nutzers möglich ist. Die Rechtsgrundlage ist in der Regel Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) - was Cookie-Banner erklärt.

Für Website-Betreiber gilt: Die Einbindung von Drittanbieter-Diensten, die Third-Party-Cookies setzen, muss in der Datenschutzerklärung transparent gemacht werden. Die Weitergabe von Nutzerdaten an Drittanbieter außerhalb des EWR (z.B. US-amerikanische Dienste) unterliegt zusätzlichen Anforderungen (Angemessenheitsbeschluss, Standardvertragsklauseln).

Checkliste für Website-Betreiber:

  • Bestandsaufnahme: Welche Drittanbieter-Dienste sind eingebunden (Google Analytics, Meta Pixel, LinkedIn Insight Tag, HubSpot, etc.)? Welche Cookies setzen diese Dienste? Welche Daten werden in welche Länder übermittelt?
  • Einwilligungsmanagement: Consent Management Platform implementiert; Drittanbieter-Dienste nur nach Einwilligung geladen (kein Pre-Loading); Ablehnen muss so einfach sein wie Zustimmen (EuGH-Urteil 2019); Einwilligungen dokumentiert und widerrufbar.
  • Alternativen prüfen: Kann Google Analytics durch Matomo (self-hosted) ersetzt werden? Kann Conversion-Tracking ohne Third-Party-Cookies umgesetzt werden? First-Party-Daten-Strategie entwickeln.
  • Datenschutzerklärung: Alle eingebundenen Drittanbieter namentlich aufgeführt; Zweck der Datenverarbeitung je Dienst; Rechtsgrundlage angegeben; Datentransfers in Drittländer dokumentiert.

Auswirkungen auf Website-Betreiber und Analytics

Für Website-Betreiber, die bisher auf Google Analytics oder ähnliche Dienste gesetzt haben, entstehen durch den Rückgang der Third-Party-Cookies praktische Konsequenzen. Cross-Device-Tracking - also das Verfolgen eines Nutzers über mehrere Geräte hinweg - wird schwieriger, da dies bisher stark auf Third-Party-Cookies basierte.

Die Lösung, die datenschutzkonform und gleichzeitig aussagekräftig ist, heißt First-Party-Analytics: Ein selbst gehostetes Tool wie Matomo sammelt Analysedaten ausschließlich im eigenen Kontext, ohne dass Daten an Dritte übermittelt werden. Matomo kann vollständig ohne Cookies betrieben werden (Anonymize IP + cookielose Konfiguration), was auch ohne Cookie-Einwilligung DSGVO-konform ist.

Das Ende der Third-Party-Cookies markiert einen strukturellen Wandel im Online-Marketing, löst aber das grundlegende Tracking-Problem nicht. Alternativen wie Browser-Fingerprinting sind datenschutzrechtlich mindestens genauso problematisch. Für Nutzer bleibt die selbstbestimmte Browser-Konfiguration (Brave, Firefox mit Total Cookie Protection) der zuverlässigste Schutz.

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 15.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de