Chrome schränkt die Cookielaufzeit ein

Klammheimlich hat Google die Cookielaufzeit in Chrome verkürzt. Mit der neuen Version Chrome 104 wurde die Laufzeit für Cookies mit einem Expires oder Max-Age-Attribut von 2 Jahren auf 400 Tage herabgesetzt.

Diese Änderung taucht im Update-Bericht von Google Chrome auf, jedoch nur als kleine Anmerkung im Reiter # And more. In der aktuellen Google-Dokumentation findest du Stand heute (05.09.2022) immer noch die Angabe von zwei Jahren.

Was ist die Cookielaufzeit?
Die Cookielaufzeit beschreibt die Zeit, für die ein Cookie im Browser eines Users oder einer Userin gespeichert wird. Nach diesem Zeitraum muss der User oder die Userin die Einwilligung für die Cookies erneut geben (bzw. ablehnen). Sofern er oder sie die Einwilligung zu den Cookies nicht schon vor Ende der Laufzeit widerruft, wird diese also eingehalten. 2 Jahre waren hier bisher der Maximalwert.
Mit dem Expires-Attribut legst du ein konkretes Ablaufdatum (z. B. 14.09.2023) für den Cookie fest. Lag dieses Ablaufdatum länger als 2 Jahre in der Zukunft, hat Google Chrome sie nach den 2 Jahren automatisch beendet. An Angaben, die weniger als 2 Jahre in der Zukunft lagen, hat Google sich bisher gehalten.
Das Max-Age-Attribut funktioniert ähnlich: Statt eines Ablaufdatums legst du hier die maximale Lebenszeit des Cookies fest (z. B. 14 Monate). Auch bei diesem Attribut wurde die Laufzeit automatisch nach 2 Jahren abgebrochen.
Das war bisher! Seit etwa einem Monat wurden die oben genannten 2 Jahre auf 400 Tage reduziert.

Da sich Google Analytics 4 und Universal Analytics ein Cookie teilen, hat dieses Update Auswirkungen auf beide Analysetools.

Wir haben bekannte Analytics-Expertinnen und Experten nach ihrer Meinung gefragt: Was passiert nun, da die Cookielaufzeit eingeschränkt wurde? Muss ich handeln? Was bedeutet das Ganze für meine Webanalyse? Lies hier ihre Antworten:

Markus Baersch

„Die Verringerung der Maximallaufzeit von Cookies (sei es auf eine Woche in Safari oder nun 400 Tage in Chrome) wird oft als die „absolute Grenze“ der Wiedererkennbarkeit eines Browsers verkannt. Wenn wir aber von Webanalyse sprechen, geht es „nur“ darum, wie lange ein Browser inaktiv sein darf, bevor er nicht mehr wiedererkannt werden kann. Bei jedem Tracking-Aufruf findet bei den meisten Tools eine Erneuerung der Cookies statt und die Lebensuhr der darin gespeicherten ID wird so durch jeden versendeten Hit zurückgesetzt. Sind die Abstände zwischen den Besuchen i. d. R. kleiner als das durch die Cookie-Laufzeit diktierte Zeitfenster, ist der Effekt gar nicht besonders groß.

Das bedeutet für regelmäßig besuchte Medien, Foren, Tools und Cloud-Produkte „des täglichen / geschäftlichen Bedarfs“, dass durch diese Einschränkung nur begrenzte Auswirkungen in den Daten zu sehen sein werden.

Wer hingegen aufgrund des eigenen Angebots eher einen saisonalen Traffic-Verlauf hat (wenn es um einzelne Nutzer:innen geht, die immer nur zu bestimmten Zeiten im Jahr Bedarf für das Angebot haben), wird ggf. die Fähigkeit zur Wiedererkennung verlieren, wenn die Dauer der Saison es erlaubt, dass mehr als 400 Tage zwischen den Besuchen vergehen. Wo vorher ggf. ein noch auf zwei Jahre angelegtes Cookie noch zu finden war, entstehen nun in der kommenden Saison ggf. Lücken in der Erkennungsrate. Tipp: Wer hiervon betroffen ist, kann durch Werbeaktionen in der Mitte der „Offseason“ den Versuch einplanen, eine Erneuerung der Cookies von Stammkund:innen zu forcieren.

Geht es um Werbeerfolgskontolle, kann man das Thema m. E. getrost vergessen, denn die meisten Konversionsfenster haben sich längst geschlossen, bevor ein Cookie das Ende seiner Lebensdauer erreicht… wenn das denn überhaupt geschieht. Denn auch ohne eine Begrenzung auf 400 Tage gibt es zahlreiche Arten, auf denen ein Cookie auf dem Weg verloren geht oder seinen eigentlichen Zweck nicht erfüllen kann.

Ich sehe die aktuelle Diskussion um Cookie-Laufzeiten daher vor allem als einen guten Anlass, um sich ins Gedächtnis zu rufen, dass Webanalyse keine exakte Wissenschaft ist. Auch ohne die Fähigkeit zur langfristigen Wiedererkennung gibt es genug sinnvolle Daten, die erhoben, ausgewertet und genutzt werden können. Wer hingegen langfristige Attribution anstrebt, wird sich ohnehin bereits mit anderen Mitteln und Identifiern darum bemühen, die Lücken zu schließen, welche bei Gerätewechseln etc. entstehen und wo Cookies noch nie eine Lösung waren.“

Demir Jasarevic

“Aus meiner Sicht hört sich das zunächst dramatischer an als es tatsächlich ist. 400 Tage Cookie-Laufzeit sind lange genug, um Nutzer:innen, die länger inaktiv waren, wiederzuerkennen. Mit ca. 13 Monaten Cookie-Laufzeit können somit immer noch jährliche Nutzer:innen erreicht werden. Die Datenqualität bei treuen Nutzerinnen und Nutzern, Bestandskundschaft und allen, die öfter auf die Website wiederkehren, dürfte durch dieses Update nicht leiden. Aber auch bei allen anderen Userinnen und Usern erwarte ich keine starken Änderungen bei der Datenqualität, da es vor diesem Update auch andere Restriktionen bei der Nutzer-Wiedererkennung gab, wie bspw. durch Leeren des Cookie-Speichers und Co.”

Matthias Hausdorf

“Google setzt hier den Entwurf des nächsten RFC-Standards um, den in Kürze auch andere Browser umsetzen werden.
Der Grund ist aber weniger um Marketing-Cookies zu beschränken, sondern um technische Fehler zu vermeiden: Wenn Cookies z. B. tausende Jahre in der Zukunft gesetzt wurden, wurden sie automatisch zu Session-Cookies mit extrem kurzer Laufzeit, weil der Wert zu hoch war. Daher ist es diesmal keine Maßnahme im Sinne des Datenschutzes oder einer Tracking-Prevention, sondern um diesen Fehler zu korrigieren.

Das Gute ist, Marketing-Cookies werden weiterhin bei jedem Besuch einer Website wieder 400 Tage in die Zukunft verlängert. Daher ist es wichtig, Website-Besucher:innen zumindest einmal im Jahr auf die Website zu locken, damit diese weiterhin ihre Cookies behalten. Noch besser ist die Nutzung von First-Party-Daten, um Besucher:innen wiederzuerkennen. Mit einer User-ID, die jede Besucherin und jeden Besucher eindeutig und unabhängig von seinem Gerät identifiziert, ist es egal, ob Browser die Cookies löschen. Selbst wenn man zum Beispiel nicht jedes Jahr ein neues Auto kauft, muss ein:e Autohändler:in seine Kunden und Kundinnen mindestens einmal in 400 Tagen auf seine Website locken, um sie weiterhin wiederzuerkennen.

Dazu kann man die Kundschaft motivieren, sich im Kundenportal einzuloggen, um an Gewinnspielen für Zubehör teilzunehmen, um den nächsten Servicetermin zu vereinbaren oder um einen Überblick der vergangenen Wartungen ihrer Autos zu bekommen. Durch den Login bekommt man einerseits die User-ID für die Wiedererkennung und andererseits verlängert sich das bestehende Cookie wieder um 400 Tage. Eine weitere Maßnahme kann sein, Newsletter mit aktuellen Angeboten oder neuen Produkten zu verschicken, die wiederum die User-ID im Email-Link beinhalten und so zur Wiedererkennung beitragen.

Da die Datenaufbewahrung in Google Analytics 4 auf max. 14 Monate beschränkt ist (für nicht-360 Kundschaft), war es aber auch schon vor dieser Änderung wichtig, Besucher:innen mindestens einmal in 14 Monaten wiederzuerkennen.
Genau wie die Cookies wird auch das Ablaufdatum der GA4 Daten bei jedem Besuch wieder um 14 Monate verlängert. Ich sehe die Änderung daher gelassen. 400 Tage ist ein ausreichend langer Zeitraum und ich glaube nicht, dass es eine Auswirkung auf die Daten z. B. in Google Analytics haben wird. “