10 Minuten Lesezeit

Unsere Website ohne Cookies - so geht's!

CentralStationCRM - Cookieless Website mit Schaf

Eine Website ist das Tor zur Welt für viele Unternehmen – für uns ist sie besonders wichtig, weil SEO unser wichtigster Kanal ist. Beim Aufsetzen unserer neuen Seite haben wir uns entschieden, das Konzept „Cookieless Tracking" mitzuberücksichtigen. So wollen wir das Nutzererlebnis verbessern und nur die Daten von unseren Besuchern sammeln, die wir wirklich brauchen.

Zum ersten Mal kommt Anfang 2023 die Idee auf, die Website für unser CRM zu Marketing-Zwecken neu zu gestalten. Da wir ein organisch gewachsenes, mit eigenem Geld gegründetes Unternehmen sind, ist zu diesem Zeitpunkt auch die Website “organisch gewachsen" – unter anderem sorgen ein selbstgebautes CMS und eine hohe Zahl von Hintergrund-Apps für einen unverhältnismäßig hohen Wartungsaufwand.

Unsere Ziele für die neue Website: 

  • wir wollen schönere Landingpages bauen, die ein einheitliches Design haben
  • die Website soll insgesamt schneller werden und ein besseres Nutzererlebnis bieten
  • der Wartungsaufwand soll deutlich niedriger werden

Da wir ein Software-Unternehmen sind, übernehmen wir Design, Programmierung und Umzug der Website selbst. Wir entscheiden uns für ein frisches, einfaches und klares Design, bei dem unser Maskottchen Ruby eine tragende Rolle spielt.

CentralStationCRM - unser Team bleibt gleich
Unsere Website wird klar, einfach und direkt – wie unser Team!

Die Idee: Kann eine Website ohne Cookies funktionieren?

Relativ früh im Prozess ist uns klar: Wir wollen weg von Google Analytics. Das permanente Tracking von Nutzerdaten über Webseiten hinweg zum Zwecke der gezielten Werbung wollen wir nicht länger unterstützen.

Im Zuge dessen kommt der nächste Gedanke auf: Können wir eine Website bauen, auf der überhaupt kein 3rd-Party-Tracking mehr stattfindet? Eine Website, die DSGVO-konform ist und für die wir trotzdem kein nerviges Pop-up mit Cookie Consent mehr brauchen?

Aus einer Wunschvorstellung wird ein Plan

Eine Website ohne Cookies also. Wäre das überhaupt möglich? Würden wir nicht Tonnen an Funktionen verlieren? Würde es nicht sehr viel Aufwand bedeuten, diesen Plan über die ganze Seite hinweg durchzuziehen?

Nach viel Recherche und einigen Gesprächen wird klar, dass sich der Aufwand in Grenzen hält. Wir verlieren zwar, wie noch ersichtlich werden wird, an Funktionalität, wir sind aber der Meinung, dass wir auch ohne diese Funktionen gut zurechtkommen werden.

Don’t be evil

Mit dem Plan, Google Analytics zu verlassen, verfolgen wir ironischerweise genau den Ansatz, mit dem Google einst gestartet ist: "Don't be evil". Trotz vielfältiger Möglichkeiten, unsere Nutzer hinters Licht zu führen und ihre Daten zu stehlen, entscheiden wir uns für den “guten” Weg.

Diese Erkenntnis sorgt für gute Laune und große Motivation bei unseren Entwicklern. Das Team macht sich umgehend ans Werk und baut das Konzept Cookieless Tracking in unseren Website-Umzug mit ein.

Unser Support wird effektiv in Szene gesetzt
Unser Support wird effektiv in Szene gesetzt.

Kurz zur Theorie: Was ist Cookieless Tracking?

Cookieless Tracking ist in den letzten Jahren schon beinahe zum Modewort geworden. Das hat unter anderem mit den rechtlichen Änderungen zur Datenspeicherung zu tun. Seit der Datenschutzgrundverordnung muss stets eine Einwilligung des Nutzers eingeholt werden, wenn seine Daten gespeichert werden. Das hat zu den bekannten (und unglaublich nervigen) Cookie-Consent-Pop-ups geführt. Die Vorstellung, eine Seite ohne Pop-up zu bauen, ist eine der großen Motivationen für uns, sich mit dem Thema Cookieless Tracking zu beschäftigen.

Aber auch sonst ist abzusehen, dass sich das Internet in Bezug auf die Nutzung von Cookies weiterentwickeln wird. Safari und Firefox haben die Nutzung von 3rd Party Cookies bereits eingeschränkt. Google wollte das 2024 für Chrome ebenfalls umsetzen, die US-Werbebranche stellte sich allerdings dagegen und verzögerte den Prozess (fürs Erste).

Unserer Meinung nach ist es nur eine Frage der Zeit, bis auch der Chrome-Browser keine solchen Cookies mehr zulässt oder sie zumindest als negativen Faktor für eine Website bewertet. Wir springen also lieber früher als später auf diesen Zug auf. Ändern wird sich in Sachen Cookies ganz sicher noch einiges.

Anzumerken wäre noch, dass “Cookieless Tracking” kein korrekter Begriff ist – ganz ohne Cookies wird eine Website nicht funktionieren. Korrekter wäre “Eine Website, die keine permanenten Nutzerdaten aufzeichnen und insbesondere keine Nutzerdaten an Unternehmen außerhalb ihrer Website sendet”.

Welche Sorten von Cookies gibt es?

Cookies sind beinahe so alt wie das Internet selbst. Ihr Browser nutzt sie, um die Aktionen des Nutzers auf der Website nachzuverfolgen.

Gemeinhin werden zwei “große” Kategorien von Cookies unterschieden:

  • First-Party-Cookies, die von der besuchten Website kommen
  • Third-Party-Cookies, die von Drittanbietern ausgestellt werden und Daten an Domains außerhalb der besuchten Website senden

Der erste, offensichtliche Schritt zum Cookieless Tracking ist also, die Third-Party-Cookies von der Website zu verbannen. Im nächsten Schritt muss man sich aber auch die First-Party-Cookies, also die eigenen Cookies, noch einmal genauer ansehen.

Hier kann man weiter unterschieden:

  • Notwendige Cookies. Diese tracken die IP des Nutzers und andere Daten, die der Browser zum Arbeiten braucht. Ohne diese Cookies würde die Website nicht funktionieren, sie bleiben also, wo sie sind. 
  • Performance Cookies. Diese sind schon etwas kniffliger. Sobald Nutzerverhalten auf Websites gesammelt wird, sind auch diese zustimmungspflichtig.
  • Funktionale Cookies. Sie speichern Dinge wie Login-Daten und sind ebenfalls zustimmungspflichtig.

Eine einfache Art, hier die Spreu vom Weizen zu trennen, ist es, sich die Verweildauer der Cookies anzusehen. Cookies, die nur für den Zeitpunkt der User-Session aufzeichnen, sind unbedenklich – sobald aber Nutzerdaten über die Verweildauer des Nutzers auf der Website hinaus speichern, sind sie meldepflichtig.

So geht’s: Website ohne Cookies erstellen

Im Folgenden präsentieren wir Ihnen unsere Tipps und Erfahrungen zur Umsetzung einer Cookieless Website. (Übrigens hoffen wir, Ihnen gefällt die neue Website genauso sehr wie uns. Wir sind immerhin stolz genug auf das End-Resultat, um einen Blogartikel über drei Seiten zu schreiben!)

Natürlich können wir Ihnen damit keine echte Website-Beratung ersetzen. Wir denken aber trotzdem, ein Bericht aus einem echten Unternehmen mit echten Erfahrungen zum Thema dürfte allemal etwas wert sein.

Schritt 1: Welche Cookies nutzt meine Website?

So sollten Ihre DevTools aussehen.
Das DevTools-Fenster bei Google Chrome.

Chrome:

  • Rufen Sie Ihre Homepage auf und machen Sie einen Rechtsklick.
  • Klicken Sie im Menü auf den Punkt “Untersuchen”. Es erscheint das DevTool-Fenster im Browser.
  • Suchen Sie den Reiter “Application” und klicken Sie darauf.
  • Im Punkt Storage können Sie sich nun alle Cookies anzeigen lassen. Überprüfen Sie, welche Domains bei Ihnen zu der Website Cookies hinterlassen haben. Wenn andere Domains als die Ihrer Website zu sehen sind, nutzt ihre Technik 3rd-Party-Cookies.

Firefox:

  • Rufen Sie Ihre Homepage auf und machen Sie einen Rechtsklick.
  • Klicken Sie im Menü auf den Punkt “Untersuchen”. Es erscheint das DevTool-Fenster im Browser.
  • Suchen Sie den Reiter “Web-Speicher” und klicken Sie darauf.
  • Hier können Sie sich alle Cookies anzeigen lassen. Überprüfen Sie, welche Domains bei Ihnen zu der Website Cookies hinterlassen haben. Wenn andere Domains als Ihre eigene zu sehen sind, nutzt ihre Website 3rd-Party-Cookies.

Safari:

  • Beim Apple-Browser muss erst der Entwicklermodus eingeschaltet werden. Dazu gehen Sie bitte ins Menü “Einstellungen” und setzen dort im Reiter “Erweitert” ganz unten das Häkchen bei “Funktionen für Web-Entwickler anzeigen”. Nun haben Sie Zugriff auf das Entwicklermenü.
  • Surfen Sie auf Ihre Homepage und wählen Sie im Entwicklermenü  “Webinformationen einblenden” aus. Es erscheinen das entsprechende Fenster im Browser.
  • Im Reiter “Speicher” können Sie sich alle Cookies anzeigen lassen. Überprüfen Sie, welche Domains bei Ihnen zu der Website Cookies hinterlassen haben. Wenn andere Domains als Ihre eigene zu sehen sind, nutzt ihre Technik 3rd-Party-Cookies.

Schritt 2: Welche Anbieter setzen 3rd-Party-Cookies?

Wahrscheinlich werden Sie ein Cookie von Google finden. Die meisten Seiten nutzen nämlich Google Analytics – für uns wie gesagt der Grund, warum wir das Projekt Cookieless Tracking überhaupt begonnen haben.

Aber auch Content-Marketing-Anbieter wie Optimizely oder Vidyard setzen 3rd-Party-Cookies. Von diesen Diensten müssen Sie sich verabschieden, wenn Sie Ihre Nutzer mit Cookieless Tracking erfreuen wollen.

Auch beim Einbinden von Videos auf der Website haben Sie ein Cookie-Problem. Wir sind aus diesem Grund von YouTube zu Vimeo gewechselt und mussten trotzdem eine Abfrage einrichten (dazu mehr in Schritt 5).

Schritt 3: Wie implementiere ich korrekt?

Eine der ersten Fragen, die Sie sich stellen werden, wenn alle 3rd-Party-Cookies von der Website verschwunden sind, ist folgende: Brauchen wir jetzt trotzdem noch einen Hinweis für die Ausnahmefälle?

Wir würden aus unserer Erfahrung dazu raten, sowohl im Impressum entsprechende Absätze zu verankern, als auch am jeweiligen Ort auf der Website auf das Impressum und die Datenschutzerklärung zu verlinken. Nichts ist ärgerlicher für den Nutzer, als bei näherer Betrachtung herausfinden zu müssen, dass man beim Tracking hinters Licht geführt wurde.

Trotzdem wird das größte Ärgernis, die von der DSGVO geforderte Einwilligung zum Cookie Consent, auf Ihrer Website wegfallen, wenn Sie keine 3rd-Party-Cookies mehr nutzen und selbst auch nur technisch notwendige Cookies verwenden. Schon dafür lohnt sich der Aufwand unserer Meinung nach.

Schritt 4: Darauf achten, in Zukunft keine neuen Consent-Fälle auszulösen

Gerade bei kleineren Unternehmen kann es vorkommen, dass auch Leute an der Website arbeiten dürfen, die nicht alle technischen Details im Blick haben.

Hier lohnt sich ein genaues Monitoring: wenn wir einen neuen Dienst implementieren, bekommen wir dann nicht doch wieder Probleme mit dem Cookie Consent? Es sollte von nun an immer gut abgewogen werden, ob etwaige neue Funktionalität es wirklich wert ist, die User Experience auf der Website doch wieder durch ein Banner zu verschlechtern.

Endlich schöne Videos auf unserer Website
Endlich hübsche Videos – Datenschutz bleibt gewährt!

Schritt 5: Spezialfälle beachten

Vimeo – für Datenschutz braucht es doch wieder ein Overlay

Vimeo war für uns der Anbieter der Wahl für das Hosting von Videos, weil hier von vornherein viel weniger getrackt wird als bei der allmächtigen Google-Konkurrenz. Aber auch bei Vimeo heißt es aufpassen: Ganz ohne Cookies geht es hier nämlich oft nicht.

Auf jeden Fall sollte man, wenn man einen Player für Vimeo auf der Website einbindet, den Parameter “dnt” (für do not track – nicht nachverfolgen) senden. Da aber trotz dieses Parameters nicht sichergestellt werden kann, dass Vimeo nicht doch ab und zu einen Cookie setzt, haben wir uns für eine Overlay-Lösung entschieden.

Dabei binden wir das Video von Vimeo nicht von vornherein in die Website ein. Erst, wenn der Nutzer seine Zustimmung gibt, laden wir das Video. Ein Hinweis zeigt an, dass wir in diesem Fall Zugeständnisse machen und der Nutzer beim Ansehen des Videos möglicherweise Nutzerdaten nach Amerika sendet.

YouTube wegen Blogimport

Da wir unseren alten Blog beim Umzug komplett importiert haben, sind noch einige YouTube-Videos mit umgezogen worden. Für diese implementieren wir ebenfalls ein Overlay. Zwar rufen wir die Videos über eine NoCookie-URL ab, über die theoretisch keine Cookies gesetzt werden dürften – praktisch sendet der Player aber trotzdem einen Request an die Google Server, weshalb auch hier ein Hinweis und eine Bestätigung für den Nutzer notwendig sind.

Plausible – unser Tipp für Cookieless Website Analytics

Plausible ist eine Alternative zu Google Analytics, die wir allen Marketing-Spezialisten wärmstens ans Herz legen können. Zwar hat Plausible auf dem Papier viel weniger Features und erlaubt kein Tracking eines einzelnen Website-Besuchers – gerade für kleine Teams und Unternehmen reichen die Funktionen aber völlig aus.

Im Gegenzug für die verlorenen Features erlaubt Plausible weiter Tracking von Nutzern auf der Website – aber eben nur pro Session und anonym und damit DSGVO-konform. Alle Daten werden nur pro Tag gesammelt und die Besucher werden nicht über Webseiten und Geräte hinweg verfolgt.

Wer möchte (und kann), betreibt Plausible auf seinen eigenen Servern. Das ist praktisch und aufgrund der Open Source-Philosophie des Unternehmens auch kostenlos. Wir haben uns aus Support- und Workload-Gründen für den Betrieb beim Anbieter entschieden. Auch dieser ist aus Datenschutzgründen unbedenklich, weil die Server des Unternehmens in der EU gehostet werden.

Kurz: Plausible ist wunderbar und reicht für die Optimierung und Pflege unserer Websites völlig aus.

Google Ads – geht das überhaupt ohne Analytics?

Google Ads funktioniert natürlich immer noch – Sie müssen sich nur angewöhnen, die beworbenen Links selber über UTM-Parameter zu tracken. Plausible bietet zum Beispiel ähnlich wie Google Analytics die Möglichkeit an, ihre UTM-Parameter auszulesen. Dabei bleiben Sie DSGVO-konform, da Sie den Nutzer nicht personenbezogenen nachverfolgen, sondern nur tracken, wie viele Leute auf den jeweiligen Link geklickt haben.

A/B-Testing – Stand jetzt ungelöst

Eine Sache, für die wir bisher keine Lösung gefunden haben, ist das A/B-Testing von Sektionen auf der Seite. Dabei werden einer bestimmten Anzahl Besucher die eine und dem Rest die andere Version einer Website ausgespielt, sodass man testen kann, welche besser funktioniert. Wir werden erstmal beobachten, wie wir ohne diese Möglichkeit fahren.

Unsere Reise mit einer Website ohne 3rd-Party-Tracking

Der Hauptvorteil einer Website ohne Nutzerdaten-Tracking liegt auf der Hand: Die Nutzer:innen werden sich auf der Website wohler fühlen. Sie müssen keine Cookie-Pop-Ups mehr navigieren und können sich sicher sein, dass ihre Handlungen keine Auswirkungen auf ihre Google-Werbung haben werden. Außerdem wird die Seite (minimal) schneller sein, da bestimmte Skripte nicht zum Einsatz kommen.

Für uns als Unternehmen ist es zudem wichtig, dass die Website damit DSGVO-konform bleibt und die Sicherheit der Besucherdaten gewährleistet bleibt. 

Fazit

Das Betreiben einer Cookieless Website müssen Sie vor allem Ihrer Marketing-Abteilung schmackhaft machen. Denn die verliert die Möglichkeit, Nutzer über einen längeren Zeitraum und über mehrere Besuche hinweg zu verfolgen.

In unserem Fall ist das Problem nicht so groß, wie man annehmen möchte. Unsere Marketing-Funnel sind nicht besonders kompliziert und wir müssen gar nicht pro Nutzer genau nachverfolgen können, was über den Seitenbesuch hinaus passiert. Für Kampagnen nutzen wir UTM-Parameter, sodass wir Dinge wie die Effektivität von Kanälen oder die grobe Customer Journey bis zum Sign-up weiterhin nachverfolgen können.

Unserer Erfahrung nach sammeln viele Unternehmen Nutzerdaten einfach nur, um sie zu besitzen. Das kann im schlimmsten Fall sogar schädlich sein – nicht alle Probleme sind kompliziert und bei vielen ist eine riesige Datenbasis eher hinderlich. Auch haben wir als eher kleines Team gar nicht die Mannstärke, um personenbezogenes, nicht anonymes Nutzertracking sinnvoll auszuwerten.

Wir haben deshalb für uns entschieden, lieber nicht evil zu sein und unseren Besuchern ein optimales Erlebnis auf der neuen Website zu ermöglichen. Wir hoffen, Ihnen gefällt das Resultat genauso wie uns!


Autor
Christian Lipowsky