Fingerprinting vor dem Aus – Was kommt als Nächstes?

Seit Jahren warnen Expertinnen und Experten davor: Fingerprinting zur User-Identifizierung ist ein Katz-und-Maus-Spiel zwischen Tracking-Technologien und den Anbietern von Betriebssystemen und Browsern. Mit der Ankündigung von iOS 26 scheint Apple diesem Spiel nun ein Ende gesetzt zu haben. Statt lediglich die Menge an übertragbaren Parametern zu reduzieren, wird nun standardmäßig sogenanntes Noise-Data-Injection* eingesetzt. Die dadurch entstehenden zufälligen Störinformationen machen Fingerprinting faktisch unbrauchbar.

*Noise Data bzw. Noise Data Injection bezeichnet das gezielte Einfügen zufälliger, falscher oder verfälschter Informationen in einen Datensatz, um dessen Verwertbarkeit zu reduzieren oder zu verhindern.

Im Kontext von Fingerprinting heißt das: Der Browser liefert bei Abfragen zu technischen Parametern wie Bildschirmauflösung, installierte Fonts oder Farbtiefe nicht nur die echten Werte, sondern mischt zufällig generierte Abweichungen darunter. Dadurch wird das Erstellen eines eindeutigen „Fingerabdrucks“ unmöglich, weil die Daten inkonsistent und nicht reproduzierbar sind.

Mit anderen Worten: Apple hat das Match gewonnen.

Warum User-Identifizierung im Marketing unverzichtbar bleibt

Für erfolgreiches Online-Marketing ist eine stabile und langfristige Identifizierung von Usern essenziell. Sie ist die Grundlage für eine saubere Webanalyse. Fehlt diese Verbindung, geraten Marketing-Teams schnell in den „Blindflug“ – wir wissen nicht mehr, woher ein User kommt, welchen Weg er nimmt und welche Interaktionen am Ende zur Conversion führen.

Dabei steht die Branche vor einer doppelten Herausforderung:

• Theoretischer Datenschutz durch gesetzliche Vorgaben wie DSGVO oder ePrivacy
• Praktischer Datenschutz durch technische Restriktionen, etwa in Browsern und Betriebssystemen

Beides macht die präzise Messung komplexer als je zuvor.

Qualitätsstufen der User-Identifizierung

Stellen wir uns einen Besucher vor, der an unterschiedlichen Tagen auf unterschiedlichen Geräten interagiert:

• einmal mit dem Smartphone
• einmal mit dem Laptop
• einmal vom Bürocomputer

Jedes Mal legt er Produkte in den Warenkorb, stellt eine Anfrage und schließt schließlich den Kauf ab. Die Frage ist: Wie können wir diese einzelnen Sitzungen als ein und denselben Nutzer erkennen?

In der Webanalyse lassen sich heute mehrere Stufen der User-Identifizierung unterscheiden:

Cross-Device Tracking

Hierbei wird die komplette Customer Journey auch über verschiedene Geräte hinweg erfasst.
Das ist technisch besonders anspruchsvoll, denn Geräte „wissen“ in der Regel nicht, dass sie von derselben Person genutzt werden. Selbst wenn diese Information existiert, etwa durch einen Google-Login auf mehreren Geräten, wird sie meist nicht mit Website-Betreibern geteilt.

Es gibt Methoden, um Cross-Device-Tracking dennoch umzusetzen, allerdings funktioniert dies oft nur für einen Teil der Besucher. Der Rest wird hochgerechnet oder in einer niedrigeren Qualitätsstufe erfasst.

Cross-Domain Tracking (3rd und 2nd Party)

Das Ziel ist, einen Besucher über verschiedene Domain-Grenzen hinweg zu identifizieren – auf demselben Gerät.

Es gibt zwei Szenarien:

• 3rd Party Tracking: Die Domains gehören unterschiedlichen Organisationen.
• 2nd Party Tracking: Die Domains gehören derselben Organisation.

Technisch gibt es keinen Unterschied. In beiden Fällen kommen identische Methoden zum Einsatz.
Der Unterschied liegt jedoch im Datenschutz und in der Organisation:

Beispiel für 2nd Party Tracking:
Ein Besucher landet versehentlich auf der deutschen Version eurer Website, obwohl er eigentlich in Österreich kaufen möchte. Ihr leitet ihn auf die österreichische Domain weiter (z. B. shop.de → shop.at) und wollt ihn über diese Domain-Grenze hinweg wiedererkennen. Das lässt sich oft sowohl technisch als auch rechtlich problemlos umsetzen.

Beispiel für 3rd Party Tracking:
Ein Nutzer sieht eine Anzeige auf google.de und gelangt anschließend auf eure Website shop.de. Da hier unterschiedliche Organisationen beteiligt sind, gelten andere Datenschutzvorgaben – und die Umsetzung ist organisatorisch deutlich komplexer.

Single-Domain, Cross-Session Tracking

Die wohl am häufigsten eingesetzte Methode im Alltag: Das Tracking ist auf eine einzelne Domain beschränkt, erkennt aber Besucher auch über mehrere Sitzungen hinweg wieder – egal ob diese an unterschiedlichen Tagen stattfinden. 

Wechselt ein Nutzer jedoch das Gerät oder ruft eine andere Domain auf, werden diese Touchpoints nicht mehr miteinander verknüpft.

Für viele Anwendungsfälle ist diese Tracking-Qualität ausreichend. Mit modernen Server-Side-Tracking-Setups lässt sie sich zudem vergleichsweise einfach und datenschutzkonform umsetzen.

Single-Session Tracking

Eine Stufe darunter liegt das Single-Session Tracking. Hier beschränkt sich die Wiedererkennung auf einen einzigen Besuch. Beim nächsten Aufruf der Website gilt der Nutzer technisch als „neu“.

Für ein umfassendes Marketing-Tracking ist diese Methode kaum geeignet. Sie findet vor allem in spezialisierten Bereichen Anwendung – etwa bei UX-Analysen, bei denen nur das Verhalten innerhalb einer Session relevant ist.

Hit Tracking

Die niedrigste „Qualität“ der Nutzererfassung ist streng genommen gar kein User Tracking mehr. Hier wird jeder einzelne Seitenaufruf (Hit) anonym und ohne Bezug zu einer Person gemessen. Das kann für technische Kennzahlen, wie Lasttests oder Performance-Statistiken, sinnvoll sein – für Marketingzwecke aber in aller Regel wertlos.

Von der Theorie zur Praxis: Wie funktioniert User-Identifizierung überhaupt?

Nachdem wir nun die Qualitätsstufen der Nutzererkennung kennen, stellt sich die Frage:
Welche Verfahren stehen uns überhaupt zur Verfügung, um diese zu realisieren?

Grundsätzlich unterscheiden wir zwischen deterministischen und probabilistischen Methoden:

• Deterministische Verfahren arbeiten mit eindeutigen Identifikatoren, die eine sichere Zuordnung erlauben. Beispiele sind Login-Daten, E-Mail-Adressen oder Geräte-IDs.
• Probabilistische Verfahren basieren auf Wahrscheinlichkeitsrechnungen. Sie kombinieren Parameter wie IP-Adresse, Browser-Konfiguration, Tageszeit oder Spracheinstellungen und ermitteln daraus mit einer gewissen Wahrscheinlichkeit, ob es sich um denselben Nutzer handelt.

Die Herausforderung der Speicherung: Warum das Web vergisst

Selbst wenn ein Nutzer identifiziert wurde, müssen wir diese Information auch speichern – persistieren.
Das Problem: Das Web wurde ursprünglich als zustandsloses System konzipiert.
Weder Browser noch Server merken sich von Haus aus, wer eine Website besucht hat.

Diese Lücke schloss erst Lou Montulli 1994 bei Netscape – mit der Erfindung des Cookies.
Fast 30 Jahre später hatten wir bei JENTIS die Gelegenheit, ihn persönlich zu interviewen:

• The Origin Story of the Web Cookie and the Struggle for the Free Web
• The Rise and Fall of Third-Party Cookies

Methoden zur dauerhaften Speicherung und Wiedererkennung einer User-ID

Es gibt verschiedene Möglichkeiten, eine User-ID langfristig zu speichern und später wieder auszulesen. Jede Methode bringt eigene technische Voraussetzungen, Vor- und Nachteile mit sich.

1st Party Cookie

Ein Cookie ermöglicht es dem Betreiber einer Website, eine kurze Information im Browser eines Besuchers zu speichern und bei Bedarf wieder auszulesen.
Ein 1st Party Cookie wird immer im Kontext einer bestimmten Domain und eines Nutzers gespeichert und kann nur von dieser Domain wieder gelesen werden.

Bei den meisten Browsern gilt: clientseitig gesetzte Cookies haben im 1st Party Kontext eine maximale Lebensdauer von 7 Tagen.

Serverseitig gesetzte Cookies sind hier im Vorteil – sie können im 1st Party Kontext oft mehrere Jahre bestehen bleiben.

3rd Party Cookies

Im Prinzip funktionieren sie wie 1st Party Cookies, mit dem Unterschied, dass sie auch von anderen Domains gelesen werden können.

Das macht sie besonders geeignet, um Informationen cross-domain zu speichern.

Heute sollte man sich jedoch nicht mehr auf diese Methode verlassen: Die meisten Browser und AdBlocker blockieren 3rd Party Cookies standardmäßig, ihre Unterstützung ist daher minimal. Inwiefern 1st und 3rd-Party-Cookies sich unterscheiden, kannst du in diesem Blogartikel nachlesen. 

URL Decoration

Eine weitere Möglichkeit, Informationen zwischen Seiten zu übertragen, ist die sogenannte URL Decoration.
Ein bekanntes Beispiel ist die gclid, die Google beim Klick auf eine Anzeige in die URL einfügt, um den Klick auf der Zielseite zu identifizieren.

Diese Methode lässt sich nicht nur für Werbung einsetzen – auch innerhalb einer eigenen Domain oder beim Domainwechsel kann man so Nutzer innerhalb einer Session wiedererkennen.

Allerdings gibt es Einschränkungen:

• Über mehrere Sessions hinweg funktioniert die Wiedererkennung nicht.
• Jeder Link muss angepasst werden, was den Implementierungsaufwand erhöht.
• Browser wie Firefox und Safari haben bereits angekündigt, gegen diese Methode vorzugehen.

Fingerprinting

Eine der umstrittensten Methoden, da sie ohne Cookies und ohne zusätzliche Hilfsmittel auskommt und trotzdem Nutzer, teilweise sogar cross-domain, wiedererkennen kann.

Dabei werden Parameter ausgewertet, die auf die Einstellungen eines Nutzers zurückzuführen sind, z. B. Bildschirmauflösung, Farbtiefe, installierte Plugins und vieles mehr.
Die Kombination dieser Werte ist oft so eindeutig, dass sie einer User-ID gleichkommt.

Die Schwachstelle: Der Browser muss den Zugriff auf diese Daten erlauben. Werden Parameter blockiert oder verfälscht, verliert Fingerprinting schnell seine Wirkung.

Apples Ankündigung: Das Ende des Fingerprintings?

Mit dem jüngsten Press Release zu iOS 26, iPadOS 26 und macOS 26 hat Apple eine Neuerung angekündigt, die große Auswirkungen hat: Die Advanced Fingerprinting Protection wird standardmäßig aktiviert.

Das Besondere:

• Bisher wurden lediglich Parameter reduziert, um Fingerprinting ungenauer zu machen.
• Jetzt werden Noise-Daten eingeführt – absichtlich falsche Werte, die zufällig unter die echten gemischt werden.

Das Ergebnis: Die für Fingerprinting notwendigen Daten sind nicht mehr zuverlässig nutzbar, und die Methode wird praktisch unbrauchbar.

Da Apple bereits bei der Blockade von 3rd Party Cookies eine Vorreiterrolle hatte, ist davon auszugehen, dass andere Browser-Hersteller diese Maßnahme bald übernehmen werden.

* Cross Device Tracking ist nur möglich, wenn du selbst für die User-Erkennung deterministisch sorgst, also z.B. durch einen Login. Wenn du auf beiden Devices den User erkannt hast, kannst du die normalen Cross Domain Methoden verwenden, um diese Information zu speichern und zu lesen.

** Cross Domain Tracking mittels url Decoration. Funktioniert nur, wenn es einen Klick von einer Domain zur anderen gibt. Sollte der Besucher die Domain verlassen und z.B. einen Tag später die 2. Domain besuchen kann man diesen User nicht Cross Domain mittels url Decoration erfassen.

Welche User-Identifizierung funktioniert heute noch?

Nach den jüngsten Entwicklungen stellt sich die zentrale Frage: Welche Methoden zur User-Identifizierung, -Speicherung und -Wiedererkennung sind aktuell noch verlässlich?

Cross-Device-Tracking ist weiterhin nur dann möglich, wenn der Nutzer sich selbst eindeutig identifiziert – beispielsweise über einen Login oder eine E-Mail-Adresse.

Für Cross-Domain- und Cross-Session-Tracking wird künftig kein Weg mehr am Server-Side Tracking vorbeiführen. Diese Technologie ermöglicht es, serverseitige Cookies zu setzen und gleichzeitig URL Decoration zu nutzen, um Nutzerdaten auch über Domain-Grenzen hinweg zu erfassen.

Konkrete Handlungsschritte

1. Server-Side Tracking einführen
2. Serverseitige Cookies setzen – inklusive Proxy-Lösungen für Safari 16.3 und neuer
3. URL Decoration für Cross-Domain-Tracking einsetzen
4. Eigene Login-Lösung entwickeln und die so gewonnenen Daten serverseitig im Backend-User-Storage zusammenführen