CookiesiOS 14ITPDatenschutz

Cookie-Tracking nach iOS 14: Was sich geändert hat und wie du reagierst

Attrifly

Der Tag, an dem Tracking kompliziert wurde

Im April 2021 hat Apple mit iOS 14.5 eine Funktion eingeführt, die die gesamte Online-Werbung verändert hat: App Tracking Transparency (ATT). Seitdem muss jede App den Nutzer explizit fragen, ob sie ihn über Apps und Websites hinweg tracken darf.

Das klingt nach einem kleinen Pop-up. In der Praxis hat es eine Kettenreaktion ausgelöst, die bis heute — im Jahr 2026 — das Tracking für Online-Shops massiv beeinflusst.

Was iOS 14 und ATT konkret verändert haben

Vor iOS 14.5 konnten Apps wie Facebook, Instagram oder TikTok den sogenannten IDFA (Identifier for Advertisers) auslesen — eine eindeutige Geräte-ID, mit der Nutzer über Apps und Websites hinweg verfolgt werden konnten. Damit konnte Meta zum Beispiel genau sehen: Dieser Nutzer hat auf Instagram eine Werbung gesehen, dann im Safari deinen Shop besucht und dort gekauft.

Nach iOS 14.5 müssen Apps aktiv um Erlaubnis fragen. Und die Zahlen sprechen für sich: Rund 75-80 % der Nutzer lehnen das Tracking ab. Das bedeutet, dass Meta, TikTok und andere Plattformen für den Großteil der iPhone-Nutzer keine Cross-App-Attribution mehr durchführen können.

Die Folgen waren sofort spürbar:

  • Facebook/Meta Ads verloren massiv an Datenqualität — CPAs stiegen, ROAS-Reporting wurde ungenau
  • Retargeting-Zielgruppen auf Meta schrumpften drastisch
  • Lookalike Audiences wurden weniger präzise, weil die Quelldaten dünner wurden
  • Conversion-Reporting zeigte oft nur noch 50-60 % der tatsächlichen Conversions

ITP: Safaris stiller Krieg gegen Cookies

Parallel zu ATT hat Apple in Safari eine Technologie namens Intelligent Tracking Prevention (ITP) immer weiter verschärft. ITP läuft im Hintergrund und betrifft nicht nur Apps, sondern das gesamte Web-Tracking im Safari-Browser.

Die wichtigsten ITP-Regeln für Shop-Betreiber:

  • Third-Party Cookies werden in Safari komplett blockiert — seit 2020 schon
  • First-Party Cookies, die per JavaScript gesetzt werden (also durch Tracking-Pixel und Tags), werden nach maximal 7 Tagen gelöscht
  • Wenn der Nutzer über einen bekannten Tracking-Link kommt (z. B. eine Facebook-Ad mit Click-ID), wird das Cookie sogar auf 24 Stunden begrenzt

Das bedeutet konkret: Ein iPhone-Nutzer klickt am Montag auf deine Google-Anzeige. Das _gclid-Cookie wird per JavaScript gesetzt. Am Dienstag ist das Cookie weg. Wenn der Nutzer am Mittwoch kauft, kann Google die Conversion dem Klick nicht mehr zuordnen.

In Deutschland nutzen rund 30-35 % der Nutzer Safari. Das ist kein Randproblem — es betrifft ein Drittel deines Traffics.

Chrome und das Ende der Third-Party Cookies

Während Apple aggressiv vorging, hat Google einen anderen Weg gewählt. Chrome — der mit Abstand meistgenutzte Browser — hat die Abschaffung von Third-Party Cookies mehrfach verschoben und schließlich einen Kompromiss gewählt.

Stand 2026 sieht die Lage so aus:

  • Third-Party Cookies in Chrome werden nicht komplett entfernt, aber Nutzer bekommen mehr Kontrolle und können sie leichter blockieren
  • Privacy Sandbox APIs (Topics API, Attribution Reporting API) sollen als Alternative dienen, sind aber kein vollwertiger Ersatz für das alte Cookie-Tracking
  • Die Tendenz ist klar: Auch in Chrome werden Third-Party Cookies zunehmend eingeschränkt

Für dein Tracking bedeutet das: Sich auf Third-Party Cookies zu verlassen ist keine Strategie mehr — egal welchen Browser deine Kunden nutzen.

Was bedeutet das für dein Shop-Tracking?

Die kombinierten Effekte von ATT, ITP und Cookie-Einschränkungen treffen Online-Shops an mehreren Stellen:

Attribution wird ungenauer

Wenn Cookies nach 24 Stunden oder 7 Tagen verschwinden, bricht die Customer Journey ab. Nutzer, die mehrere Touchpoints haben (Instagram-Ad → Google-Suche → Direktbesuch → Kauf), werden nicht mehr korrekt zugeordnet. Der letzte Touchpoint bekommt oft zu viel Credit, oder die Conversion wird gar keinem Kanal zugeordnet.

Retargeting verliert Reichweite

Retargeting-Pixel (Meta, Google, TikTok) können Nutzer nur noch tracken, solange das Cookie existiert. Bei Safari-Nutzern sind das maximal 7 Tage — oft weniger. Deine Retargeting-Audiences werden kleiner und unvollständiger.

Bidding-Algorithmen werden schlechter

Google und Meta optimieren ihre Kampagnen auf Basis von Conversion-Daten. Wenn 30-40 % der Conversions nicht mehr gemessen werden, optimieren die Algorithmen auf einem verzerrten Datensatz. Das Ergebnis: höhere CPAs, niedrigerer ROAS, schlechtere Skalierbarkeit.

Reports stimmen nicht mehr

Dein Google Ads Dashboard zeigt 50 Conversions, Shopify zeigt 80 Bestellungen, und Meta zeigt 30 Conversions — alle für denselben Zeitraum. Ohne zuverlässiges Tracking kannst du nicht mehr erkennen, welcher Kanal wirklich performt.

Was funktioniert noch: Die Lösungen für 2026

Die gute Nachricht: Es gibt erprobte Lösungen. Die schlechte: Es ist kein einzelner Trick, sondern ein Zusammenspiel mehrerer Maßnahmen.

1. Server-Side Tracking

Der wichtigste Hebel. Statt Tracking-Pixel direkt im Browser des Nutzers laufen zu lassen, schickst du die Daten über deinen eigenen Server an Google, Meta & Co. Der Server-Side Google Tag Manager (sGTM) läuft auf einer Subdomain deines Shops (z. B. tracking.deinshop.de).

Vorteile:

  • Cookies werden vom Server gesetzt, nicht per JavaScript — das umgeht ITP-Einschränkungen
  • Der Request kommt von deiner eigenen Domain — kein Third-Party-Kontext
  • Ad-Blocker blockieren den Request seltener, weil er von deiner Domain kommt
  • Du hast volle Kontrolle über die Daten, die gesendet werden

Ein Cookie Keeper ist ein serverseitiger Mechanismus, der die Laufzeit von First-Party Cookies verlängert. Das funktioniert so:

Normalerweise setzt ein JavaScript-Tag (z. B. der Google Tag) ein Cookie mit einer Laufzeit von 2 Jahren. ITP erkennt das und kürzt es auf 7 Tage. Ein Cookie Keeper fängt dieses Cookie ab und setzt es serverseitig neu — als HTTP-Cookie von deiner eigenen Domain. Safari behandelt serverseitig gesetzte Cookies anders und lässt die volle Laufzeit zu.

Das Ergebnis: Statt 7 Tage bleibt das Cookie bis zu 2 Jahre gültig. Die Customer Journey bricht nicht mehr nach einer Woche ab.

Technisch wird der Cookie Keeper in der Regel als Teil des Server-Side GTM Setups implementiert. Der sGTM empfängt den Request, liest das Cookie, und setzt es über einen Set-Cookie-Header in der Server-Response neu.

3. First-Party Data nutzen

Cookies sind nur ein Weg, Nutzer zu identifizieren. First-Party Daten — also Daten, die der Kunde dir direkt gibt — sind robuster:

  • E-Mail-Adresse (beim Kauf, Newsletter-Anmeldung, Account-Erstellung)
  • Telefonnummer (beim Checkout)
  • Kundenkonto-Login (sofortige Identifikation)

Diese Daten kannst du über Enhanced Conversions (Google), die Conversions API (Meta) oder Events API (TikTok) direkt an die Plattformen senden — gehasht und datenschutzkonform. So umgehst du das Cookie-Problem komplett.

Google Consent Mode v2 ist seit 2024 Pflicht für EU-Werbetreibende. Im Advanced Mode kann Google auch bei fehlendem Cookie-Consent modellierte Conversions berechnen. Das ersetzt keine echten Daten, aber es füllt einen Teil der Datenlücke.

5. Serverseitige Conversion APIs

Neben Enhanced Conversions für Google gibt es für Meta die Conversions API (CAPI) und für TikTok die Events API. Das Prinzip ist dasselbe: Conversion-Daten werden Server-to-Server gesendet, ohne Abhängigkeit von Browser-Cookies.

Wichtig: Diese APIs sollten immer parallel zum Browser-Pixel laufen (Redundanz-Setup), nicht als Ersatz. Der sGTM kann beides aus einem einzigen DataLayer-Event heraus bedienen.

Was du als Shop-Betreiber jetzt tun solltest

Hier ist die priorisierte Checkliste:

  1. Server-Side GTM einrichten — das ist die Basis für alles Weitere
  2. Cookie Keeper aktivieren — verlängert die Cookie-Laufzeit von 7 Tagen auf bis zu 2 Jahre
  3. Enhanced Conversions für Google Ads einrichten — mehr gemessene Conversions, besseres Bidding
  4. Meta Conversions API über sGTM einrichten — gleicher Effekt für Meta Ads
  5. Consent Mode v2 korrekt implementieren — Pflicht für EU-Werbetreibende und ermöglicht Conversion-Modeling
  6. Tracking regelmäßig prüfen — Browser-Updates und neue Datenschutzregeln können jederzeit Anpassungen erfordern

Fazit: Tracking ist nicht tot — nur anders

iOS 14 war ein Wendepunkt, aber kein Todesurteil für Online-Werbung. Die Shops, die heute profitables Advertising betreiben, haben ihr Tracking-Setup an die neue Realität angepasst. Server-Side Tracking, Cookie Keeper und First-Party Data sind keine optionalen Extras — sie sind die neue Grundlage.

Wer sich weiterhin auf clientseitige Pixel und Third-Party Cookies verlässt, fährt mit angezogener Handbremse. Die Daten werden immer unvollständiger, die Kampagnen immer ineffizienter.

Bei Attrifly helfen wir Shopify-Shops genau bei dieser Umstellung — mit einem Setup, das Server-Side Tracking, Cookie Keeper, Enhanced Conversions und Consent Mode v2 aus einem Guss liefert.

Alle Artikel