Third-Party-Cookies: Definition, Funktionsweise und praktische Bedeutung im Tracking
Was sind Third-Party-Cookies?
Third-Party-Cookies sind Cookies, die nicht von der aktuell besuchten Website selbst gesetzt werden, sondern von einer externen Domain. Diese Drittanbieter stammen meist aus dem Bereich Werbung, Tracking oder Social Media. Typische Beispiele sind Werbenetzwerke, Retargeting-Plattformen oder eingebettete Dienste wie Videos oder Social Plugins.
Der zentrale Unterschied zu First-Party-Cookies liegt in der Domain. Während First-Party-Cookies nur innerhalb einer Website funktionieren, können Third-Party-Cookies Nutzer über mehrere Websites hinweg wiedererkennen. Genau das macht sie für Marketing und Tracking so wertvoll, aber gleichzeitig auch datenschutzrechtlich kritisch.
Warum Third-Party-Cookies im Marketing lange so wichtig waren
Third-Party-Cookies sind die Grundlage für viele klassische Online-Marketing-Mechaniken:
- Retargeting über mehrere Websites hinweg
- Aufbau von Nutzerprofilen
- Frequency Capping bei Werbung
- Conversion-Attribution über Domains hinweg
- Zielgruppenbildung in Ad-Netzwerken
Ohne Third-Party-Cookies war es lange kaum möglich, einen Nutzer außerhalb der eigenen Website wiederzuerkennen.
Wie Third-Party-Cookies technisch funktionieren
Der Ablauf ist technisch relativ klar und lässt sich sauber nachvollziehen:
- Ein Nutzer ruft eine Website auf.
- Die Website lädt externe Inhalte nach, zum Beispiel ein Werbebanner oder ein Tracking-Skript.
- Dieses Skript stammt von einer Drittanbieter-Domain.
- Der Drittanbieter setzt ein Cookie im Browser des Nutzers.
- Dieses Cookie enthält eine eindeutige ID.
- Besucht der Nutzer später eine andere Website mit demselben Drittanbieter, wird die ID wieder erkannt.
So entsteht ein domainübergreifendes Tracking.
Wichtiger technischer Punkt:
Das Cookie liegt zwar im Browser des Nutzers, gehört aber zur Domain des Drittanbieters. Dadurch kann jede Website, die diesen Anbieter eingebunden hat, indirekt auf denselben Nutzer referenzieren.
Technische Details aus der Praxis
- Cookie-Inhalt: meist eine anonyme User-ID, Zeitstempel und teilweise Event-Informationen
- Lebensdauer: von Session bis mehrere Monate, je nach Setup
- SameSite-Regeln: moderne Browser blockieren Third-Party-Cookies standardmäßig oder schränken sie stark ein
- Browser-Eingriffe: Safari und Firefox blockieren seit Jahren Third-Party-Cookies komplett
- Chrome: befindet sich im finalen Übergang zur Abschaffung
Das bedeutet in der Praxis: klassisches Third-Party-Tracking funktioniert heute nur noch eingeschränkt oder gar nicht mehr.
Case 1: Klassisches Retargeting über Werbenetzwerke
Ausgangslage:
Ein Nutzer besucht einen Online-Shop und schaut sich ein Produkt an, kauft aber nicht.
Technischer Ablauf:
- Auf der Produktseite ist ein Tracking-Skript eines Werbenetzwerks eingebunden
- Dieses Skript setzt ein Third-Party-Cookie mit einer eindeutigen ID
- Gleichzeitig wird ein Event an das Werbenetzwerk geschickt, z. B. „Produkt angesehen“
- Die Information wird im System des Werbenetzwerks gespeichert
Späterer Effekt:
- Der Nutzer besucht eine andere Website mit Werbeeinbindung
- Das Werbenetzwerk erkennt den Nutzer anhand des Cookies
- Die Anzeige wird gezielt ausgespielt
Problem heute:
Da Third-Party-Cookies blockiert werden, bricht diese Kette an mehreren Stellen:
- Cookie wird gar nicht gesetzt
- Cookie wird nicht mehr gelesen
- Nutzer kann nicht wiedererkannt werden
Folge:
Retargeting verliert massiv an Genauigkeit.
Case 2: Cross-Domain-Tracking bei Social Media und Plattformen
Ausgangslage:
Eine Website nutzt Social Plugins oder Tracking-Skripte von Plattformen.
Technischer Ablauf:
- Beim Laden der Seite wird ein externes Skript geladen
- Dieses setzt oder liest ein Third-Party-Cookie
- Aktionen wie Seitenaufrufe oder Klicks werden an die Plattform gesendet
Wichtig:
Die Plattform kennt den Nutzer oft bereits über Login-Daten oder eigene First-Party-Cookies
Ergebnis:
- Nutzerverhalten außerhalb der Plattform wird angereichert
- Zielgruppen werden erweitert
- Inhalte oder Werbung werden personalisiert ausgespielt
Problem:
Auch hier greifen Browser-Einschränkungen.
Deshalb werden zunehmend serverseitige Schnittstellen genutzt, um Tracking-Daten direkt zu übertragen.
Warum Third-Party-Cookies aussterben
Der Hauptgrund ist eine Kombination aus Technik und Regulierung:
1. Datenschutzgesetze
- DSGVO verlangt klare Einwilligung
- ePrivacy setzt zusätzliche Grenzen
- Tracking ohne Zustimmung ist nicht zulässig
2. Browser-Restriktionen
- Safari blockiert Third-Party-Cookies komplett
- Firefox ebenfalls
- Chrome zieht nach
3. Nutzerverhalten
- steigendes Bewusstsein für Datenschutz
- Adblocker und Tracking-Schutz
Das Ergebnis ist eindeutig: Third-Party-Cookies sind ein Auslaufmodell.
Welche Alternativen heute genutzt werden
In der Praxis verschiebt sich das Tracking stark in Richtung anderer Ansätze:
- eigene Cookies
- Login-Daten
- CRM-Verknüpfung
Server-Side-Tracking
- Daten werden vom eigenen Server an Plattformen gesendet
- weniger abhängig vom Browser
- besser kontrollierbar
Conversion APIs
- direkte Server-zu-Server Kommunikation
- Umgehung von Browser-Blocking
Kontextuelles Targeting
- keine Nutzerprofile
- Ausspielung basierend auf Seiteninhalt
Google Privacy Sandbox
- neue Modelle wie Topics
- Ziel: Werbung ohne individuelles Tracking
Praktische Auswirkungen für Tracking und Kampagnen
Wenn Third-Party-Cookies wegfallen, entstehen konkrete Probleme:
- weniger stabile Attribution
- steigende „Direct“ und „(not set)“ Anteile
- schlechtere Zielgruppenbildung
- geringere Remarketing-Reichweite
- stärkere Abweichungen zwischen Tools
Gerade in GA4 und Ads sieht man das direkt in den Daten.
Typische Fragen zu Third-Party-Cookies
Was ist der Unterschied zwischen First- und Third-Party-Cookies?
First-Party-Cookies kommen von der eigenen Domain. Third-Party-Cookies kommen von externen Domains und ermöglichen Tracking über mehrere Websites hinweg.
Sind Third-Party-Cookies erlaubt?
Nur mit klarer Einwilligung. In der Praxis sind sie durch Browser-Einschränkungen zusätzlich technisch stark limitiert.
Warum funktionieren meine Retargeting-Kampagnen schlechter?
Weil Nutzer durch fehlende Third-Party-Cookies nicht mehr zuverlässig erkannt werden können.
Werden Third-Party-Cookies komplett abgeschafft?
Ja, alle großen Browser bewegen sich in diese Richtung. Chrome ist der letzte große Schritt.
Welche Rolle spielen Third-Party-Cookies in GA4?
GA4 setzt primär auf First-Party-Daten, aber viele Marketing-Integrationen basieren weiterhin indirekt auf Third-Party-Mechaniken.
Wie kann man Tracking ohne Third-Party-Cookies umsetzen?
Über Server-Side-Tracking, First-Party-Daten und Conversion APIs.
Warum zeigt GA4 mehr Daten als Ads oder umgekehrt?
Unterschiedliche Datenquellen, Consent, Cookie-Blocking und Modellierungen führen zu Abweichungen.
Was passiert ohne Consent mit Third-Party-Cookies?
Sie dürfen nicht gesetzt werden. Dadurch fehlen wichtige Daten für Marketing und Analyse.
Sind Third-Party-Cookies anonym?
Formal oft ja, praktisch aber eindeutig zuordenbar über IDs und Profile.
Was ist heute die wichtigste Strategie im Tracking?
Eigene Daten aufbauen und technisch sauber über First-Party und Server-Side arbeiten.
Fazit
Third-Party-Cookies waren lange das Rückgrat des Online-Marketings. Sie haben Retargeting, Attribution und Zielgruppenaufbau überhaupt erst möglich gemacht.
Heute brechen diese Mechaniken weg. Nicht schrittweise, sondern sehr konkret durch Browser und Gesetze.
Wer weiterhin saubere Daten will, muss sein Setup umbauen.
Weg von Third-Party.
Hin zu First-Party, Server-Side und klarer Datenkontrolle.
Das ist kein Trend, sondern die neue technische Grundlage für Tracking und Performance Marketing.