Wie sich die Cookie-Limits von Safari ITP überwinden lassen

Die Einführung von Intelligent Tracking Prevention (ITP) durch Apple sowie ähnliche Datenschutzmechanismen anderer Browserhersteller haben die Lebensdauer von Cookies, die für Analysen und Werbung verwendet werden, erheblich verkürzt. Diese Änderungen stören die Möglichkeit von Websites, über längere Zeiträume hinweg persistente Benutzer-IDs aufrechtzuerhalten. Um trotz dieser Einschränkungen wiederkehrende Besucher zuverlässig zu erkennen, gibt es Wege für Unternehmen, Safari ITP zu überwinden und Limitationen zu minimieren.

Wie Browserfunktionen die Cookie-Lebensdauer einschränken

Safari und alle iOS-basierten Browser begrenzen automatisch die Lebensdauer von Cookies, um das Benutzer-Tracking einzuschränken. Seit 2019 hat Safari die Lebensdauer von Cookies, die per JavaScript gesetzt werden, auf maximal sieben Tage beschränkt. Doch dabei bleibt es nicht.

Mit Safari 16.4, das im April 2023 veröffentlicht wurde, unterliegen sogar serverseitig gesetzte First-Party-Cookies einer Beschränkung auf sieben Tage, wenn Safari erkennt, dass der Cookie von einem als verdächtig eingestuften Server stammt. Dies tritt auf, wenn der Server hinter einem CNAME versteckt ist oder in einer Weise gehostet wird, die vom Hauptwebsite-Domainnamen getrennt erscheint – ein Szenario, das häufig bei der Nutzung von CDNs oder serverseitigen Tracking-Lösungen vorkommt. Das bedeutet, dass selbst technisch gesehen First-Party-Cookies vorzeitig ablaufen können, wodurch die Kontinuität des Trackings und die Wiedererkennung von Nutzern unterbrochen wird.

Der Cookie Lifetime Extender (CLE)

Der Cookie Lifetime Extender (CLE) begegnet diesem Problem direkt. Er sorgt dafür, dass Cookies von Safari als echte First-Party-Cookies erkannt werden, indem sie über einen Reverse Proxy geleitet werden, der den strengeren Safari-Regeln entspricht. CLE baut auf der bisherigen Reverse-Proxy-Lösung von JENTIS auf und bietet eine robustere und zukunftssichere Möglichkeit, Cookies für ihre gesamte geplante Lebensdauer aktiv zu halten.

Wie ITP die Cookie-Lebensdauer einschränkt

Apples Intelligent Tracking Prevention (ITP) hat sich seit seiner ersten Einführung im Jahr 2017 erheblich weiterentwickelt. Während es ursprünglich auf Third-Party-Cookies abzielte, wurde sein Anwendungsbereich in späteren Updates erweitert, sodass unter bestimmten Bedingungen auch First-Party-Cookies betroffen sind. Diese Einschränkungen machen Safari zu einem der datenschutzfreundlichsten Browser, insbesondere im Hinblick auf den Umgang mit Cookies.

Automatisches Löschen von Website-Daten

Neben der zeitbasierten Begrenzung von Cookies enthält ITP auch einen Mechanismus zum automatischen Löschen aller Website-Daten. Wenn ein Nutzer 30 Tage lang nicht mit einer bestimmten Domain interagiert, löscht Safari sämtliche mit dieser Seite verbundenen Speicherinhalte, einschließlich Cookies. Dieses Verhalten betrifft selbst First-Party-Speicher und ist Teil von Apples umfassenderem Bestreben, passive Tracking-Möglichkeiten zu minimieren.

Wie serverseitiges Tracking einige dieser Einschränkungen abmildert

Als Reaktion auf browserseitige Einschränkungen wie ITP und ETP hat sich serverseitiges Tracking zu einer gängigen Methode entwickelt, um die Datenkontinuität zu wahren. Indem die Erfassung und Weiterleitung von Nutzerinteraktionsdaten vom Browser auf einen Server-Endpunkt verlagert wird, kann serverseitiges Tracking die restriktivsten clientseitigen Kontrollen teilweise umgehen. Weitere Details darüber, wie serverseitiges Tracking funktioniert, finden sich hier. Allerdings beseitigt dieser Ansatz die Auswirkungen moderner Tracking-Prevention-Systeme nicht vollständig.

Wo Daten erfasst und wo Cookies gesetzt werden

Serverseitiges Tracking beschreibt ein Setup, bei dem eine Website Analysedaten über einen von ihr kontrollierten Server leitet, bevor diese an eine externe Plattform wie Google Analytics oder Meta weitergegeben werden. Dadurch erscheint die Datenübertragung im Browser so, als stamme sie von derselben Domain, die der Nutzer besucht. Dieser Ansatz vermeidet den Third-Party-Status im Speichermodell des Browsers. So entfallen viele der Einschränkungen, die traditionelle clientseitige Integrationen betreffen, bei denen JavaScript-Code direkt mit Third-Party-Domains kommuniziert und daher von ITP und ähnlichen Systemen blockiert oder eingeschränkt wird.

Warum serverseitiges Tracking hilft, aber das Problem nicht vollständig löst

Serverseitiges Tracking verbessert die Datenpersistenz, indem Identifikatoren innerhalb der eigenen Infrastruktur der Website gesetzt und verwaltet werden. Das ermöglicht eine bessere Kontrolle über Zeitpunkt, Struktur und Ablauf von Cookies im Vergleich zu clientseitigen Ansätzen. Es reduziert außerdem die Abhängigkeit von blockierten Third-Party-Skripten und bietet mehr Flexibilität für die Integration von Datenschutzmechanismen wie Consent-Bannern.

Dennoch reicht serverseitiges Tracking allein nicht aus, um alle ITP-Beschränkungen zu umgehen. Wenn das Setup nicht exakt auf Safaris Anforderungen für First-Party-Cookies abgestimmt ist, können Cookies weiterhin nach sieben Tagen ablaufen. Zudem kann serverseitiges Tracking Safaris automatisches 30-Tage-Löschen von Daten bei fehlender Nutzerinteraktion nicht verhindern.

Cookie Lifetime Extender: Wie er funktioniert und was ihn besonders macht

Während serverseitiges Tracking einige Einschränkungen durch ITP abmildern kann, garantiert es nicht automatisch persistente Identifikatoren über längere Zeiträume hinweg. Safaris Durchsetzung von netzwerkbasierten Kriterien zur Einstufung eines Cookies als First-Party stellt auch für serverseitig gesetzte Cookies eine Hürde dar. Der Cookie Lifetime Extender (CLE) schließt diese Lücke mit einem technischen Setup, das Safaris Anforderungen erfüllt.

Um Cookie-Laufzeiten zuverlässig zu verlängern, muss der Webserver oder das CDN als Proxy fungieren, der die strikten Vorgaben moderner Browser wie Safari und Firefox einhält.

Mit dem Cookie Lifetime Extender stellt die Konfiguration des Webservers sicher, dass Tracking-Anfragen über die Hauptdomain oder die eigene Infrastruktur geleitet werden. Dadurch:

• erscheinen Cookies so, als würden sie direkt von der besuchten Website gesetzt und nicht von einem Third-Party-Tracker,

• werden die aktuellen Browserregeln eingehalten,

• kann die Speicherung von Cookies über 1–7 Tage hinaus wieder gewährleistet werden.

Diese Konfiguration ermöglicht es dem Cookie Lifetime Extender von JENTIS, seine Aufgabe zu erfüllen: Cookie-Laufzeiten zu schützen und ein präzises Tracking über Sessions und Geräte hinweg sicherzustellen.

Konzipiert für Datenschutz- und Compliance-Standards

Wichtig ist, dass CLE ohne den Einsatz von Fingerprinting, Cross-Domain-Identifikatoren oder verschleierten Tracking-Mechanismen arbeitet. Es handelt sich um ein deterministisches System, das Browser-Grenzen respektiert und vollständig im First-Party-Kontext operiert. Der Cookie Lifetime Extender sammelt keine zusätzlichen Nutzerdaten. Der Datenfluss, Zweck und die Logik des Trackings bleiben exakt gleich – lediglich die technische Bereitstellungsmethode wird angepasst, um den sich ändernden Browserrestriktionen zu entsprechen.

Zudem werden Consent-Mechanismen vollständig eingehalten. Wenn Nutzerzustimmungen erforderlich sind (z. B. für Marketing oder Analysen), setzt JENTIS diese Regeln weiterhin genauso um, wie sie konfiguriert wurden. Dieses Vorgehen unterstützt zentrale DSGVO-Prinzipien wie Datenminimierung, Zweckbindung und Privacy by Design. Der Reverse Proxy fungiert lediglich als technische Transportschicht, um Browser-Vorgaben einzuhalten – nicht als Umgehung von Nutzerrechten.

Praktische Auswirkungen des CLE auf Analyse- und Marketing-Infrastrukturen

Der Cookie Lifetime Extender (CLE) bietet einen Mechanismus, um die langfristige Wiedererkennung von Nutzern aufrechtzuerhalten, ohne moderne Browserrestriktionen zu verletzen. Für Analysesetups, Werbeplattformen und Attributions-Frameworks hat dies mehrere messbare Effekte auf die Datenqualität und Systemstabilität – insbesondere in Safari-Umgebungen, in denen Identifikatoren häufig vorzeitig ablaufen.

Stabilisierung von Attributionsfenstern

Ohne den Cookie Lifetime Extender (CLE) löschen Browser wie Safari oder Firefox First-Party-Cookies oft schon nach wenigen Tagen, selbst wenn der Nutzer später zurückkehrt. Dies stört das Tracking: Wiederkehrende Besucher werden als neue behandelt, Nutzer-IDs werden zurückgesetzt, und Sessions fragmentieren. Das führt zu aufgeblähten Nutzerzahlen, unterbrochenen Customer Journeys und unvollständigen Funnel-Daten.

Kurzlebige Cookies stören die Attributionslogik erheblich. Ein Nutzer, der beispielsweise auf eine Kampagne klickt und acht Tage später über Safari zurückkehrt, wird typischerweise als neuer Besucher behandelt. Dies setzt die User-ID zurück, trennt die Session-Historie ab und kann dazu führen, dass die Conversion falsch zugeordnet wird.

Wiederkehrende Nutzer zuverlässig erkennen

Der Cookie Lifetime Extender (CLE) sorgt dafür, dass Cookies über ihre geplante Lebensdauer hinweg bestehen bleiben. Dadurch werden wiederkehrende Nutzer zuverlässig erkannt. Das stabilisiert Daten über mehrere Sessions hinweg, verbessert die Attributionsgenauigkeit und hält Kampagnen-Performance-Metriken verlässlich – insbesondere auf Plattformen wie Google Analytics 4, die für präzises Session-Stitching und Conversion-Tracking auf First-Party-Identifikatoren angewiesen sind.

Dies stabilisiert Attributionsmodelle, die auf Multi-Session-Logik basieren, wie 7‑Tage‑, 14‑Tage‑ oder 30‑Tage‑Lookback‑Windows. In der Praxis ermöglicht es eine genauere Zuordnung von Conversions zu den ursprünglichen Traffic-Quellen, besonders in Paid-Media- oder Organic-Search-Funnels, bei denen die User Journey oft mehrere Sessions umfasst.

Diese Effekte sind besonders relevant für Plattformen wie Google Analytics 4, das First-Party-Identifikatoren für Session-Stitching und Conversion-Tracking verwendet. Ohne ein stabiles Cookie generiert GA4 neue Client-IDs für wiederkehrende Nutzer, was zu aufgeblähten Nutzerzahlen und fragmentierten Verhaltensdaten führt.