First-Party- vs. Third-Party-Cookies
Cookie ist nicht gleich Cookie. Der Unterschied zwischen First-Party und Third-Party klingt nach technischem Kleingedruckten, entscheidet aber darüber, ob dein Tracking in den nächsten Jahren noch funktioniert. Die einen werden von deiner eigenen Website gesetzt und bleiben weitgehend verschont. Die anderen werden von fremden Domains gesetzt, und genau die verschwinden gerade. Dieser Artikel erklärt den Unterschied ohne Fachjargon, zeigt warum die eine Sorte stirbt, und was das konkret für dein Conversion-Tracking heißt.
Worum es geht, und warum der Unterschied wichtig ist
Ein Cookie ist nichts weiter als eine kleine Textdatei, die eine Website im Browser ablegt, um dich beim nächsten Besuch wiederzuerkennen. Soweit die Theorie aus jedem Erklärtext. Was die meisten Erklärtexte überspringen, ist der eine Punkt, auf den im Tracking wirklich alles ankommt: Welche Domain hat den Cookie gesetzt. Genau daran hängt die Unterscheidung in First-Party und Third-Party, und genau diese Unterscheidung entscheidet über die Zukunft des Cookies.
Die Logik ist einfacher, als die Begriffe vermuten lassen. Besuchst du eine Seite, sagen wir deinen-shop.de, dann ist ein Cookie, den deinen-shop.de selbst setzt, ein First-Party-Cookie. Er gehört zu der Domain, die in der Adresszeile steht. Lädt auf derselben Seite aber ein Skript von einer fremden Domain mit, etwa von einem Werbenetzwerk, und setzt dieses Skript einen Cookie, dann ist das ein Third-Party-Cookie. Erste Hand gegen dritte Hand: Es geht nur darum, ob die besuchte Website oder ein Dritter den Cookie ausstellt.
Dieser kleine Unterschied hat große Folgen. Weil ein Third-Party-Cookie von derselben fremden Domain auf vielen verschiedenen Websites gesetzt wird, lässt sich ein Nutzer damit über Seitengrenzen hinweg wiedererkennen. Das war jahrelang das Fundament von Retargeting und plattformübergreifender Messung. Und es ist genau die Eigenschaft, die Browser und Datenschützer mittlerweile unterbinden. Die eine Cookie-Sorte stirbt, die andere bleibt. Wer das nicht trennt, versteht den ganzen Umbruch im Tracking nicht.
Zurück zum Überblick: Cookieless Tracking, der Leitfaden. Im Glossar: First-Party-Cookie, Third-Party-Cookie.
First-Party-Cookies: was sie sind und können
First-Party-Cookies werden von der Domain gesetzt, die du gerade besuchst. Sie sind die unauffällige, nützliche Hälfte der Cookie-Welt und arbeiten in fast jeder Website, ohne dass jemand sie bemerkt. Sie merken sich, dass du eingeloggt bist, halten deinen Warenkorb über mehrere Seiten zusammen, speichern deine Sprach- oder Währungseinstellung und liefern der Website ihre eigene Reichweiten-Statistik.
Aus technischer Sicht haben sie einen entscheidenden Vorteil: Sie sind im Browser unverdächtig. Kein Browser möchte das Login oder den Warenkorb kaputtmachen, deshalb werden First-Party-Cookies grundsätzlich akzeptiert und deutlich seltener gekürzt als ihre Third-Party-Verwandten. Sie überleben länger, sie werden von den Tracking-Schutzmechanismen weniger aggressiv behandelt, und sie funktionieren auch dann noch, wenn das fremde Cross-Site-Tracking längst blockiert ist.
Die Grenze der First-Party-Sicht
Eine Einschränkung gehört trotzdem dazu, sonst entsteht ein falsches Bild. Ein First-Party-Cookie sieht nur, was auf seiner eigenen Domain passiert. Er weiß, dass ein bestimmter Browser deinen Shop dreimal besucht hat, aber nicht, dass derselbe Mensch vorher eine Anzeige auf einer Nachrichtenseite gesehen hat. Diese Sicht über mehrere Websites hinweg leisten First-Party-Cookies nicht, und das ist kein Mangel, sondern der Kern des Datenschutz-Vorteils.
Ein verbreitetes Missverständnis sei gleich hier ausgeräumt: First-Party heißt nicht einwilligungsfrei. Ob ein Cookie Consent braucht, hängt nicht von der Domain ab, sondern vom Zweck. Der Warenkorb-Cookie ist technisch notwendig und braucht keine Einwilligung. Sobald ein First-Party-Cookie aber für Analyse oder Marketing genutzt wird, gilt dieselbe Consent-Pflicht wie überall. Widerstandsfähiger gegen Browser, nicht befreit vom Consent.
Im Glossar: First-Party-Data. Was eine eigene Tracking-Domain bringt: First-Party-Domain in DataFirst Track.
Third-Party-Cookies: was sie waren und warum sie verschwinden
Third-Party-Cookies werden nicht von der besuchten Website gesetzt, sondern von einer fremden Domain, deren Skript auf der Seite mitlädt. Klassisch ist das ein Werbepixel oder ein Tracking-Tag eines Netzwerks. Der Clou lag immer in der Wiederkehr derselben fremden Domain: Taucht dasselbe Werbenetzwerk auf tausenden Websites auf, kann es denselben Browser über all diese Seiten hinweg wiedererkennen und ein Profil über das Verhalten zusammenstellen.
Genau das hat das Web jahrelang angetrieben. Retargeting, das dir ein angesehenes Produkt auf der nächsten Seite wieder vorlegt, beruht darauf. Die Reichweiten- und Frequenzsteuerung großer Kampagnen beruht darauf. Und ein erheblicher Teil der Messung in den Werbeplattformen beruhte darauf, dass ein fremder Cookie eine Anzeige und einen späteren Kauf demselben Browser zuordnen konnte. Das Modell war bequem, weil es ohne Zutun der einzelnen Website funktionierte.
Warum das Modell bricht
Diese seitenübergreifende Beobachtbarkeit, ohne dass die einzelne Website sie kontrolliert, ist aus Datenschutz-Sicht das Problem. Die Browser-Hersteller haben darauf reagiert, jeder in eigenem Tempo. Safari blockiert Third-Party-Cookies über die Intelligent Tracking Prevention, kurz ITP, schon seit Jahren standardmäßig. Firefox tut im Kern dasselbe. Chrome, lange der große Ausreißer, schränkt sie schrittweise ein und drängt die Branche zu Alternativen.
Das Ergebnis ist branchenweit dasselbe, unabhängig vom genauen Fahrplan eines einzelnen Browsers: Auf einen Third-Party-Cookie ist kein Verlass mehr. Mal wird er blockiert, mal nach kurzer Zeit gelöscht, mal gar nicht erst gesetzt. Tracking, das auf dieser fremden Cookie-Sorte aufbaut, verliert nicht plötzlich alles, aber es verliert verlässlich und wachsend an Reichweite und Genauigkeit. Auf einem schwindenden Fundament lässt sich nichts Stabiles steuern.
Wie Safari im Detail eingreift: ITP und Tracking-Prevention. Im Glossar: Cookieless Tracking.
Was der Wegfall fürs Tracking bedeutet
Sortieren wir, was konkret betroffen ist, denn nicht alles bricht gleichermaßen weg. Es sind vor allem zwei Bereiche, die an den Third-Party-Cookies hängen und mit ihnen schwächer werden: das klassische Cross-Site-Retargeting und die Messung über die Third-Party-Pixel der Werbeplattformen. Wer ein Produkt verlassen sieht und es auf anderen Websites erneut bewirbt, verliert die Brücke dorthin. Und wer den Erfolg seiner Kampagnen am plattformeigenen Pixel abliest, sieht durch ein immer trüberes Fenster.
Spürbar wird das oft zuerst an einer wachsenden Lücke zwischen den Zahlen der Werbeplattform und den echten Verkäufen im Shop. Die Plattform meldet weniger Conversions, als tatsächlich stattfinden, weil ihr ein Teil der Zuordnung über die fremden Cookies verloren geht. Das Bidding bekommt dadurch ein lückenhaftes Signal und steuert ungenauer. Genau dieser Datenverlust ist der unscheinbare, teure Effekt des Cookie-Sterbens, und er kostet eher im Stillen als mit einem Knall.
Eine Klarstellung, weil die Schlagzeilen oft das Gegenteil suggerieren: Das ist nicht das Ende der Messbarkeit. Es ist eine Verschiebung. Das, was wegbricht, war die Erfassung über fremde Domains. Was bleibt und sogar an Bedeutung gewinnt, sind die Daten, die du im direkten Kontakt mit deinen Nutzern selbst erhebst, und die Erfassung über deine eigene Domain. Marketing wird dadurch nicht unmessbar, es wird auf ein anderes Fundament gestellt. Und dieses Fundament ist robuster als das alte.
Woher der Datenverlust kommt und wie du ihn schließt: Datenverlust im Tracking. Die zentrale Schicht dafür: Server-Side Tracking.
Der Weg nach vorn: First-Party und Server-Side
Die Antwort auf den Wegfall der Third-Party-Cookies besteht aus drei Bausteinen, die zusammengehören. Erstens: konsequent eigene Daten erheben, mit Einwilligung. Zweitens: das Tracking auf die eigene Domain holen, also serverseitig statt über fremde Skripte im Browser. Drittens: die unvermeidlich verbleibenden Lücken durch modellierte Conversions schließen, statt sie zu ignorieren. Keiner der drei ersetzt die anderen, erst zusammen ergeben sie ein belastbares Setup.
Eigene Daten und die eigene Domain
First-Party-Data sind die Daten, die in deinem direkten Kontakt mit den Nutzern entstehen: Käufe, Logins, Newsletter-Anmeldungen, das Verhalten auf deiner Seite. Sie gehören dir, sind nicht von einem fremden Anbieter abhängig und mit der richtigen Rechtsgrundlage nutzbar. Server-Side Tracking ist der technische Hebel, der diese Daten sauber einsammelt: Statt vieler fremder Skripte im Browser läuft die Erfassung über deinen eigenen Server auf deiner eigenen Domain. Die First-Party-Cookies, die dabei entstehen, leben länger und werden von den Browsern weniger aggressiv gekürzt.
Modellierte Conversions für den Rest
Eine ehrliche Anmerkung: Auch das beste First-Party-Setup misst nicht jede einzelne Conversion lückenlos. Wo ein Nutzer die Einwilligung verweigert oder Daten technisch fehlen, bleibt eine Lücke. Modellierte Conversions schätzen diesen fehlenden Teil auf Basis der beobachteten Muster und liefern ein vollständigeres Bild, ohne den Einzelnen zu re-identifizieren. Das ist keine Notlösung, sondern der normale Umgang mit einer Welt, in der nicht mehr jeder Klick einem fremden Cookie folgt.
Der Übergang ist Arbeit, aber kein Sprung ins Ungewisse. Die Bausteine sind bekannt, die Reihenfolge ist klar: erst die eigene Datenbasis und die eigene Domain, dann das Modell für den Rest. Wer hier früh umstellt, verliert beim weiteren Schwinden der Third-Party-Cookies weniger als jemand, der bis zuletzt am alten Modell festhält.
Was DSGVO-konforme Messung praktisch heißt: Google-Analytics-Alternative. Die eigene Tracking-Domain im Produkt: First-Party-Domain. Das technische Fundament: Server-Side Tracking.
Häufige Fragen zu First-Party- und Third-Party-Cookies
Was ist der Unterschied zwischen First-Party- und Third-Party-Cookies?
Der Unterschied liegt nicht im Cookie selbst, sondern darin, welche Domain ihn setzt. Ein First-Party-Cookie wird von der Domain gesetzt, die du gerade besuchst, und gehört zu dieser Website. Ein Third-Party-Cookie wird von einer anderen Domain gesetzt, die auf der Seite mitlädt, etwa ein Werbe- oder Tracking-Skript. Genau dieser fremde Ursprung erlaubt das Wiedererkennen über mehrere Websites hinweg, und genau er wird von den Browsern blockiert.
Warum werden Third-Party-Cookies abgeschafft?
Treiber sind Datenschutz und der Wettbewerb der Browser-Hersteller um Vertrauen. Third-Party-Cookies ermöglichen, das Verhalten von Nutzern über viele Websites hinweg zu verfolgen, ohne dass die einzelne Website das kontrolliert. Safari blockiert sie über ITP seit Jahren standardmäßig, Firefox tut es ebenfalls, und Chrome schränkt sie zunehmend ein. Der branchenweite Effekt ist derselbe: Das Modell, auf dem klassisches Cross-Site-Tracking beruhte, trägt nicht mehr verlässlich.
Sind First-Party-Cookies DSGVO-konform?
First-Party-Cookies sind technisch unkritischer, aber nicht automatisch einwilligungsfrei. Entscheidend ist der Zweck, nicht die Domain. Streng technisch notwendige Cookies, etwa für den Warenkorb oder das Login, brauchen keine Einwilligung. Sobald ein First-Party-Cookie aber Analyse oder Marketing dient, gilt dieselbe Consent-Pflicht wie bei jedem anderen nicht notwendigen Cookie. First-Party heißt also widerstandsfähiger gegen Browser-Blockaden, nicht befreit vom Consent.
Was bedeutet das Ende der Third-Party-Cookies fürs Marketing?
Vor allem zwei Dinge brechen weg oder werden ungenauer: klassisches Cross-Site-Retargeting und die Messung über Third-Party-Pixel der Werbeplattformen. Wer ausschließlich darauf gesetzt hat, verliert sowohl Reichweite als auch Sichtbarkeit auf den eigenen Erfolg. Das ist kein Ende der Messbarkeit, aber eine Verschiebung: Erste-Hand-Daten, eigene Domains und modellierte Conversions ersetzen die fremden Cookies als Fundament. Marketing wird dadurch nicht unmessbar, es wird anders gemessen.
Was ist First-Party-Data?
First-Party-Data sind die Daten, die du im direkten Kontakt mit deinen Nutzern selbst erhebst: Käufe, Logins, Newsletter-Anmeldungen, das Verhalten auf deiner eigenen Website. Sie gehören dir, sind nicht von einem fremden Anbieter abhängig und mit der passenden Rechtsgrundlage nutzbar. Im Gegensatz zu zugekauften oder über Third-Party-Cookies gesammelten Daten sind sie genauer und stabiler. Sie sind die Grundlage, auf der zukunftsfähiges Tracking und zukunftsfähige Werbung aufsetzen.
Ersetzt Server-Side Tracking die Cookies?
Server-Side Tracking ersetzt nicht die Cookies selbst, sondern verändert, wo und wie sie gesetzt und verarbeitet werden. Statt dass viele fremde Skripte direkt im Browser Daten sammeln, läuft die Erfassung über deinen eigenen Server auf deiner eigenen Domain. Die First-Party-Cookies, die dabei entstehen, sind langlebiger und werden von Browsern weniger aggressiv gekürzt. Server-Side ist damit kein Ersatz für Consent oder für saubere Daten, aber die technische Antwort auf den Wegfall der Third-Party-Cookies.