ArtikelAus dem DSGVO-Leitfaden

iOS 14/17 Tracking-Restriktionen und wie man sie umgeht

11 Min. Lesezeit · Zuletzt aktualisiert: 28. Mai 2026 · DSGVO & Compliance

Apple hat das Tracking-Ökosystem in den letzten Jahren grundlegend verändert. Mit Intelligent Tracking Prevention, App Tracking Transparency und Link Tracking Protection sind drei Mechanismen entstanden, die im Web und in Apps die klassischen Tracking-Pfade unterbrechen. Was die einzelnen Restriktionen technisch bewirken, wie sich die Verluste in der Praxis äußern und welche Bausteine ein gutes Setup zurückgewinnt, zeigt dieser Artikel.

Auf dieser Seite
  1. 01 Worum es geht
  2. 02 Intelligent Tracking Prevention erklärt
  3. 03 App Tracking Transparency
  4. 04 Was iOS 17 zusätzlich gebracht hat
  5. 05 Lösungs-Bausteine
  6. 06 Was du nicht zurückbekommst
  7. 07 Häufige Fragen

Worum es geht

Wer Tracking im Jahr 2026 baut, kann nicht so tun, als wäre die Welt noch wie 2015. Apple hat seit 2017 schrittweise Mechanismen eingeführt, die das klassische Browser- und App-Tracking deutlich erschweren. Im Web heißt das Intelligent Tracking Prevention (ITP), in Apps App Tracking Transparency (ATT), und seit iOS 17 kommt mit Link Tracking Protection eine weitere Schicht dazu, die in URLs bekannte Tracking-Parameter entfernt.

Die praktischen Auswirkungen sind erheblich. Cookies, die früher 30 Tage oder länger gehalten haben, werden im Safari nach maximal 7 Tagen gelöscht. App-übergreifendes Tracking funktioniert nur mit aktiver Nutzer-Einwilligung, die in der Praxis bei 15 bis 30 Prozent liegt. Click-IDs in URLs werden teilweise von Mail.app und Safari stillschweigend entfernt.

Für E-Commerce-Marken mit iOS-Anteilen zwischen 40 und 60 Prozent bedeutet das in Summe Verluste von 20 bis 35 Prozent der Conversion-Daten, wenn nichts gegen die Restriktionen unternommen wird. Smart Bidding wird ungenauer, Affiliate-Provisionen werden nicht ausgezahlt, weil die Klick-Zuordnung verloren geht, und die echte Customer Journey ist nicht mehr nachvollziehbar.

Zurück zum Überblick: DSGVO-konformes Tracking, der vollständige Leitfaden.

Intelligent Tracking Prevention erklärt

ITP ist seit 2017 in Safari aktiv und wurde mehrfach verschärft. Die aktuelle Version (ITP 2.3 und darüber) verfolgt drei Hauptziele.

Drittanbieter-Cookies werden vollständig geblockt

Cookies, die von einer anderen Domain als der aufgerufenen Website gesetzt werden, gelten als Third-Party-Cookies und werden seit ITP 2.0 strikt verworfen. Das betrifft die meisten klassischen Tracking-Pixel und Werbe-Cookies, die cross-site funktionieren wollen.

First-Party-Cookies aus JavaScript haben Kurzlauf-Zeit

Cookies, die von der besuchten Domain selbst gesetzt werden, sind grundsätzlich weiterhin erlaubt. Wenn sie aber durch JavaScript erzeugt werden, statt durch den Server, gilt eine Maximal-Lebensdauer von 7 Tagen. Nach Ablauf werden sie gelöscht, auch wenn das Cookie-Expiry-Datum weiter in der Zukunft liegt.

Cross-Site-Tracking-Erkennung

Safari erkennt automatisch Domains, die als Cross-Site-Tracker fungieren, und behandelt deren Cookies besonders restriktiv. Bekannte Werbe-Domains werden proaktiv eingeschränkt.

Praktisch heißt das für E-Commerce-Tracking: Klassische Conversion-Cookies von Google Ads, Meta Pixel und Affiliate-Netzwerken funktionieren in Safari entweder gar nicht mehr oder nur extrem eingeschränkt. Auch wenn der Cookie technisch gesetzt wird, ist er meistens nach einer Woche weg.

App Tracking Transparency

ATT betrifft native iOS-Apps und wurde mit iOS 14.5 im April 2021 eingeführt. Sie verlangt, dass Apps explizit nach Erlaubnis fragen, bevor sie den Werbe-Identifier IDFA (Identifier for Advertisers) auslesen oder das Verhalten des Nutzers über Apps und Websites hinweg verfolgen dürfen.

Das Opt-In-Prompt zeigt einen Standard-Apple-Dialog mit zwei Optionen: „Ask App Not to Track" und „Allow". Die Wortwahl ist bewusst defensiv formuliert, sodass ein erheblicher Teil der Nutzer den Block-Modus wählt. Branchen-Reports zeigen Opt-In-Raten zwischen 15 und 30 Prozent, je nach App-Kategorie und Bevölkerungs-Segment.

Für E-Commerce-Marken mit eigener App heißt das: Die Möglichkeit, App-Nutzer cross-channel zu verfolgen, ist stark eingeschränkt. Wer ohne ATT-Opt-In trackt, verstößt gegen Apple-Guidelines und riskiert App-Store-Sperren.

Indirekt betrifft ATT auch Werbetreibende ohne eigene App. Wer Meta Ads, TikTok Ads oder andere Plattformen nutzt, deren Targeting auf App-übergreifenden Identifiern basiert, sieht in der Auswertung sinkende Reichweite und Genauigkeit bei iOS-Zielgruppen.

Was iOS 17 zusätzlich gebracht hat

Mit iOS 17 im September 2023 kamen drei weitere Mechanismen dazu, die das Tracking zusätzlich einschränken.

Link Tracking Protection

In Safari (Private-Browsing-Modus), Mail.app und Messages werden bekannte Tracking-Parameter automatisch aus URLs entfernt. Konkret betroffen sind unter anderem fbclid (Meta), gclid und gbraid (Google), ttclid (TikTok), mc_eid (Mailchimp) und weitere. Wer also über Newsletter-Klicks aus iOS-Mail auf eine Website kommt, hat die Tracking-Parameter nicht mehr in der URL.

Verbesserte Fingerprinting-Abwehr

Safari randomisiert in der Privacy-Konfiguration verschiedene Browser-Header, sodass klassische Fingerprinting-Methoden weniger Unique-Signale haben. Plugins, Schriftarten und Hardware-Charakteristika werden gegen Identifikations-Versuche gepolstert.

Private Relay-Integration

iCloud-Plus-Nutzer können Private Relay aktivieren, das IP-Adressen über zwei Hops anonymisiert. Für Tracking heißt das: Die IP-Adresse des Nutzers ist nicht mehr die echte, sondern eine Apple-Proxy-IP. Geo-Tracking auf IP-Basis wird damit deutlich ungenauer.

Lösungs-Bausteine

Die meisten Verluste lassen sich mit vier Bausteinen weitgehend zurückgewinnen.

Server-Side Tracking

Wenn Conversions nicht mehr vom Browser, sondern vom Server an die Werbe-Plattformen gemeldet werden, sind die meisten ITP-Mechanismen wirkungslos. Die Conversions API von Meta und Enhanced Conversions von Google sind die Standard-Wege, das umzusetzen.

Vertiefung: Server-Side GTM erklärt.

First-Party-Domain

Eine eigene Tracking-Subdomain (etwa track.deinshop.de), die per CNAME auf den Tracking-Anbieter zeigt, sorgt dafür, dass Cookies als First-Party-Cookies gelten und nicht von ITPs strenger Third-Party-Regel betroffen sind. Die Lebensdauer bleibt entsprechend der Cookie-Expiry-Einstellung, nicht limitiert auf 7 Tage.

Click-ID-basiertes Server-Tracking

Statt Tracking-Cookies werden Click-IDs in URLs verwendet, die beim Klick aus einem Affiliate-Netzwerk oder einer Ad-Plattform mitkommen. Im Backend werden diese Click-IDs gespeichert und bei der späteren Conversion serverseitig zugeordnet. Damit ist die Zuordnung unabhängig vom Browser-Cookie. Wichtig: Mit Link Tracking Protection in iOS 17 werden manche dieser Click-IDs aktiv entfernt, sodass alternative URL-Parameter genutzt werden müssen.

Conversion Modeling

Wenn deterministische Zuordnung nicht mehr möglich ist, kommt statistisches Modeling. Google Consent Mode v2 modelliert fehlende Conversions auf Basis der bekannten. In der Praxis lassen sich damit 60 bis 80 Prozent der durch Browser-Restriktionen verlorenen Conversions zurückgewinnen.

Vertiefung: Consent Mode v2: Implementierung Schritt-für-Schritt.

Was du nicht zurückbekommst

Trotz aller Maßnahmen gibt es harte Grenzen. Drei Dinge bleiben kompliziert.

Echte Cross-Device-Verläufe für iOS-Nutzer ohne Login

Wer am iPhone in der Werbung klickt und am Desktop kauft, ohne sich anzumelden, ist nicht zuordbar. Apple verhindert proaktiv die Verknüpfung, und ohne Login-User-ID gibt es keine seriöse alternative Brücke. Logins und Account-IDs sind die einzige nachhaltige Lösung.

Detaillierte App-übergreifende Pfade

Mit ATT-Block-Quote über 70 Prozent ist die Idee einer durchgängigen App-übergreifenden Customer Journey für iOS-User eine Annäherung über statistisches Modeling, nicht mehr eine deterministische Zuordnung. Wer auf granulare iOS-App-Daten angewiesen ist, sollte realistische Erwartungen setzen.

Mail-Click-Attribution aus iOS-Mail

Mit Link Tracking Protection werden viele Tracking-Parameter in iOS-Mail-Klicks entfernt. Newsletter-Performance aus iOS-Mail-Apps ist damit teilweise blind. Workarounds über alternative URL-Strukturen (etwa eigene Click-IDs, die nicht auf der Apple-Blocklist stehen) helfen, sind aber kein vollständiger Ersatz.

FAQ

Häufige Fragen zu iOS Tracking-Restriktionen

Wie hoch ist der iOS-Anteil in einem typischen DACH-E-Commerce-Shop?

Im B2C-Durchschnitt liegt der iOS-Anteil im DACH-Markt zwischen 35 und 50 Prozent, in Premium-Segmenten (Fashion, Lifestyle) auch über 60 Prozent. Im B2B sind es typischerweise 25 bis 40 Prozent. Diese Werte sollten in jedem Audit individuell aus der eigenen Web-Analytics abgelesen werden, weil Branche und Zielgruppe stark variieren.

Was passiert technisch, wenn ein Safari-Nutzer auf einer Affiliate-Site klickt und 8 Tage später kauft?

Bei klassischem Cookie-Tracking ist die Conversion verloren. Der Klick-Cookie wurde durch ITP nach 7 Tagen gelöscht. Mit Server-Side-Tracking plus First-Party-Domain bleibt der Cookie 30 Tage oder länger, weil er als First-Party gilt. Wer zusätzlich serverseitig Click-IDs erhebt, kann die Zuordnung auch ohne Cookie über die Click-ID im Backend rekonstruieren.

Brauche ich iOS-Restriktionen lösen, wenn ich keine Apple-Geräte als Zielgruppe habe?

Auch ohne expliziten iOS-Fokus ist der Anteil meistens substantiell, weil Safari auf macOS dieselben ITP-Mechanismen nutzt. Plus: Brave und Firefox haben vergleichbare Restriktionen eingeführt. Wer nur Chrome auf Windows als Zielgruppe ansieht, übersieht 30 bis 50 Prozent des realen Traffics.

Was ist der Unterschied zwischen ITP und ATT?

ITP (Intelligent Tracking Prevention) betrifft Safari im Web, also Cookies und JavaScript-Tracking auf Websites. ATT (App Tracking Transparency) betrifft native iOS-Apps und die Frage, ob Werbe-IDs (IDFA) zwischen Apps geteilt werden dürfen. Beide reduzieren Tracking-Daten, aber auf unterschiedlichen technischen Schichten.

Funktioniert Fingerprinting als Alternative zu Cookies?

Apple geht aktiv gegen Fingerprinting vor. Safari randomisiert ausgehende Header und Plugin-Listen, damit klassische Fingerprinting-Methoden weniger Unique-Signale finden. Aus DSGVO-Sicht ist Fingerprinting ohne Einwilligung sowieso problematisch. Wer auf Fingerprinting setzt, sollte das nur als Fallback für extreme Edge-Cases einsetzen, nicht als Haupt-Mechanismus.

Hat Apples Link Tracking Protection wirklich so große Auswirkungen?

In Safari ab iOS 17 werden bekannte Tracking-Parameter wie fbclid, gclid und ähnliche aus URLs entfernt, wenn der Nutzer im Private-Browsing-Modus surft oder Mail.app nutzt. Für Click-ID-basiertes Server-Side-Tracking bedeutet das: Bei Mail-Klicks aus iOS-Mail.app sind die Click-IDs weg. Workarounds laufen über alternative URL-Parameter, die Apples Filter nicht erkennt, oder über zusätzliche Server-Side-Erkennung.

Mehr aus dem DSGVO-Leitfaden

Weitere Detail-Artikel zu den Bausteinen eines DSGVO-konformen Tracking-Setups.

Consent Mode v2: Implementierung Schritt-für-Schritt Server-Side GTM erklärt IP-Hashing für Tracking AVV nach Art. 28 DSGVO Hosting Deutschland vs. US-Cloud Smart-Bidding ohne Mess-Verlust
Zurück zum DSGVO-Leitfaden

Wie viel verlierst du gerade durch iOS-Restriktionen? Wir prüfen es.

Erstgespräch vereinbaren