{"id":73945,"date":"2026-07-06T04:47:03","date_gmt":"2026-07-06T04:47:03","guid":{"rendered":"https:\/\/taggrs.io\/?p=73945"},"modified":"2026-07-06T06:54:31","modified_gmt":"2026-07-06T06:54:31","slug":"safari-27-tracking-schutz","status":"publish","type":"post","link":"https:\/\/taggrs.io\/de\/safari-27-tracking-schutz\/","title":{"rendered":"Safari 27 Tracking-Schutz: Was das f\u00fcr die Conversion-Messung bedeutet"},"content":{"rendered":"\n<p>Safari 27 wurde im Juni 2026 als Entwickler-Beta ver\u00f6ffentlicht. Die offiziellen Release-Notes befassen sich mit CSS-Korrekturen und Verbesserungen bei der Darstellung. Wir sind noch einen Schritt weiter gegangen und haben den Open-Source-Code von WebKit unter <a href=\"https:\/\/github.com\/WebKit\/WebKit\" target=\"_blank\" rel=\"noopener\">github.com\/WebKit\/WebKit<\/a> unter die Lupe genommen \u2013 also die Datenschutz-Infrastruktur, die tats\u00e4chlich steuert, wie Safari mit Tracking-Anfragen umgeht. Hier ist, was wir herausgefunden haben.   <\/p>\n\n<p>Dies ist eine Fortsetzung unserer <a href=\"https:\/\/taggrs.io\/de\/safari-26-tracking-changes-2\/\">Analyse zu Safari 26<\/a>. Wenn du Hintergrundinformationen zum erweiterten Fingerabdruck-Schutz und zur Funktionsweise des Link-Tracking-Schutzes suchst, fang dort an. In diesem Beitrag geht es um die Neuerungen in Version 27.  <\/p>\n\n<p>Die offiziellen Versionshinweise von Apple zu Safari 27 Beta sind <a href=\"https:\/\/developer.apple.com\/documentation\/safari-release-notes\/safari-27-release-notes\" target=\"_blank\" rel=\"noopener\">auf der Apple-Entwickler-Website<\/a> verf\u00fcgbar.<\/p>\n\n<h2 id=\"one-structural-change-that-makes-everything-else-worse\" class=\"wp-block-heading\">Eine strukturelle Ver\u00e4nderung, die alles andere noch schlimmer macht<\/h2>\n\n<p>Bevor wir ins Detail gehen, gibt es eine Erkenntnis aus der Quelle, die wichtig ist, um alles, was jetzt folgt, richtig zu verstehen.<\/p>\n\n<p>Die Datenschutzregeln von Safari sind nicht fest in die Browser-Bin\u00e4rdatei integriert. Welche Klick-IDs entfernt, welche Skripte eingeschr\u00e4nkt und welche IP-Adressen blockiert werden: Apple speichert all das in einer separaten Systembibliothek, die unabh\u00e4ngig von Safari selbst aktualisiert wird. Apple kann eine neue Tracking-Domain, einen neuen Klick-ID-Parameter oder einen neuen IP-Bereich eines Werbenetzwerks zur Sperrliste hinzuf\u00fcgen, ohne ein Browser-Update ver\u00f6ffentlichen zu m\u00fcssen. Jedes Ger\u00e4t, auf dem Safari installiert ist, kann aktualisierte Regeln im Hintergrund automatisch erhalten.   <\/p>\n\n<p>Das bedeutet in der Praxis: Selbst wenn Apple in einer bestimmten Safari-Version keine \u00c4nderungen bez\u00fcglich des Trackings ank\u00fcndigt, k\u00f6nnen sich die Regeln, nach denen deine Kampagnen laufen, jederzeit \u00e4ndern. Das Safari-27-Update erweitert diese Listen, aber das n\u00e4chste Update der Listen k\u00f6nnte ohne \u00f6ffentliche Ank\u00fcndigung erscheinen. <\/p>\n\n<h2 id=\"link-tracking-protection-now-covers-more-platforms\" class=\"wp-block-heading\">Der Link-Tracking-Schutz deckt jetzt mehr Plattformen ab<\/h2>\n\n<p>Seit Safari 17 entfernt Safari bekannte Tracking-Parameter aus URLs. Im privaten Modus, in Mail und in Nachrichten verschwinden Klick-IDs, noch bevor die Zielseite \u00fcberhaupt geladen wird. Die Liste der betroffenen Parameter wird mit jeder neuen Version l\u00e4nger.  <\/p>\n\n<p>Neu in Safari 27: Drei weitere Plattformen werden in den Filter aufgenommen:<\/p>\n\n<ul class=\"wp-block-list\">\n<li><strong>Threads<\/strong>: xmt wurde entfernt<\/li>\n\n\n\n<li><strong>YouTube<\/strong>: \u201esi\u201c wird entfernt<\/li>\n\n\n\n<li><strong>X<\/strong> (ehemals Twitter): twclid, cn und cxt werden entfernt<\/li>\n<\/ul>\n\n<p>Google- und Meta-Klick-IDs wurden bereits behandelt. Das Hinzuf\u00fcgen von Threads, YouTube und X ist f\u00fcr alle wichtig, die auf diesen Plattformen bezahlte Kampagnen schalten. <\/p>\n\n<p><em>twclid<\/em> ist die prim\u00e4re Klick-ID von X und erf\u00fcllt dieselbe Funktion <em>wie gclid<\/em> bei Google Ads. <em>si ist <\/em>eine Share-Source- und Sitzungs-ID, die an YouTube-Share-Links angeh\u00e4ngt wird. Es handelt sich dabei nicht um eine ID f\u00fcr bezahlte Klicks wie bei <em>twclid<\/em>, doch durch ihre Entfernung geht der Quellenkontext des YouTube-Traffics in Safari-Sitzungen verloren. Der Verlust einer der beiden Kennungen in Safari-Sitzungen f\u00fchrt zu derselben Attributionsl\u00fccke, die Google-Ads-Werbetreibende bereits aus der Handhabung von <em>gclid<\/em> durch Safari kennen.  <\/p>\n\n<p>LTP wird beim normalen (nicht privaten) Surfen mit Safari noch schrittweise eingef\u00fchrt. Ab Safari 26 wurden Klick-IDs in Standardsitzungen weiterhin weitergeleitet. Apple geht \u00fcblicherweise so vor, dass zuerst die Liste erweitert wird und die Durchsetzung erst in einem sp\u00e4teren Update auf das normale Surfen ausgeweitet wird. Die Parameter sind nun vorhanden. Die Durchsetzung in allen Sitzungen ist der logische n\u00e4chste Schritt.    <\/p>\n\n<h2 id=\"afp-is-not-a-binary-block\" class=\"wp-block-heading\">AFP ist kein Bin\u00e4rblock<\/h2>\n\n<p>In den meisten Berichten \u00fcber \u201eAdvanced Fingerprinting Protection\u201c hei\u00dft es: \u201eSafari blockiert diese Skripte.\u201c Der Quellcode liefert ein detaillierteres Bild, und das ist wichtig, um zu verstehen, welche Teile deines Trackings tats\u00e4chlich nicht mehr funktionieren. <\/p>\n\n<p>Wenn Apple ein Skript als Fingerprinting-Tool einstuft, blockiert es dieses nicht einfach nur. Es weist diesem Skript vielmehr bestimmte Berechtigungen zu: eine Liste dessen, worauf das Skript zugreifen darf und worauf nicht. Zu den Kategorien, die Apple einzeln widerrufen kann, geh\u00f6ren:  <\/p>\n\n<ul class=\"wp-block-list\">\n<li>URL-Abfrageparameter (Klick-IDs, UTM-Werte)<\/li>\n\n\n\n<li>Verweisdaten (Traffic-Quelle)<\/li>\n\n\n\n<li>Zugriff auf Cookies<\/li>\n\n\n\n<li>Zugriff auf den lokalen Speicher<\/li>\n\n\n\n<li>Canvas-API (eine g\u00e4ngige Plattform f\u00fcr Fingerprinting)<\/li>\n\n\n\n<li>Bildschirmgr\u00f6\u00dfe und Abmessungen des Darstellungsbereichs<\/li>\n\n\n\n<li>Informationen zur Hardware-Parallelit\u00e4t<\/li>\n\n\n\n<li>Netzwerkanfragen<\/li>\n<\/ul>\n\n<p>Ein als \u201eclassified\u201c eingestuftes Skript verliert m\u00f6glicherweise den Zugriff auf URL-Parameter und Referrer-Daten, kann aber weiterhin Netzwerkanfragen stellen. Oder es darf keine Canvas- und Audio-APIs mehr nutzen, beh\u00e4lt aber den Zugriff auf Cookies. Die konkreten Auswirkungen h\u00e4ngen davon ab, welche Berechtigungen Apple f\u00fcr dieses bestimmte Skript entzieht.  <\/p>\n\n<p>Das LinkedIn Insight Tag (snap.licdn.com) steht auf der Fingerprinting-Liste. F\u00fcr das Conversion-Tracking sind die gravierendsten Einschr\u00e4nkungen der Verlust des Zugriffs auf Abfrageparameter (es kann keine Klick-ID ausgelesen werden) und der Verlust von Referrer-Daten (keine Zuordnung der Traffic-Quelle). Das Skript kann zwar weiterhin eine Netzwerkanfrage an die Server von LinkedIn senden, doch ohne die Identifikatoren, die n\u00f6tig sind, um eine Conversion einem Klick zuzuordnen, lassen sich die gesendeten Daten nicht mit einer Kampagne verkn\u00fcpfen.  <\/p>\n\n<p>Auf derselben Liste stehen Tealium, Segment, DPG Media und Blueonic.<\/p>\n\n<p>Wenn eine CDP wie Tealium oder Segment als Fingerprinting-Tool eingestuft wird, gelten f\u00fcr jedes Tag, das sie ausl\u00f6st, dieselben Einschr\u00e4nkungen. Ein Conversion-Pixel, das \u00fcber einen eingeschr\u00e4nkten CDP-Container bereitgestellt wird, verliert denselben Zugriff wie ein direkt als Fingerprinting-Tool eingestuftes Skript. <\/p>\n\n<h2 id=\"apple-is-using-chromiums-own-ad-detection-lists\" class=\"wp-block-heading\">Apple nutzt die eigenen Werbeerkennungslisten von Chromium<\/h2>\n\n<p>Aus der Quelle geht hervor, dass der \u201eResource Monitor\u201c von Safari \u2013 also die Funktion, die ganze Tracking-Endpunkte und nicht nur einzelne Parameter blockiert \u2013 seine Regeln in dasselbe Format zusammenfasst, das auch von Safari-Erweiterungen zum Blockieren von Inhalten verwendet wird. Die eigentlichen Filterdaten stammen aus der Systembibliothek von Apple. <\/p>\n\n<p>Wenn man sich die Regeln auf einem Ger\u00e4t mit Safari 27 Beta ansieht, stimmen die Blockierungsmuster mit den Filtereintr\u00e4gen aus der Open-Source-Infrastruktur zur Werbeerkennung von Chromium \u00fcberein. Apple greift auf dieselben Filterdaten zur\u00fcck, die Google f\u00fcr Chromium-basierte Browser entwickelt und als Open Source zur Verf\u00fcgung gestellt hat. <\/p>\n\n<p>Quelle: <a href=\"https:\/\/github.com\/chromium\/chromium-ads-detection\" target=\"_blank\" rel=\"noopener\">https:\/\/github.com\/chromium\/chromium-ads-detection<\/a> <\/p>\n\n<h2 id=\"blocking-has-moved-below-the-application-layer\" class=\"wp-block-heading\">Die Blockierung findet nun unterhalb der Anwendungsschicht statt<\/h2>\n\n<p>Fr\u00fchere Versionen des Tracking-Schutzes in Safari funktionierten auf der Anwendungsebene. Skripte wurden blockiert oder eingeschr\u00e4nkt, bevor sie ausgef\u00fchrt werden konnten, oder Netzwerkanfragen wurden anhand des Domainnamens blockiert. In Safari 27 wird ein Teil der Blockierung auf die Netzwerk-Transportschicht verlagert, die unterhalb aller Elemente auf der Seite l\u00e4uft.  <\/p>\n\n<p>Wenn ein Skript versucht, Konversionsdaten zu senden, baut es eine Netzwerkverbindung zu einem Zielserver auf. Safari 27 f\u00e4ngt diese Verbindung ab, bevor sie hergestellt ist. Dabei wird nicht der Inhalt der Anfrage \u00fcberpr\u00fcft, sondern die Ziel-IP-Adresse mit einer Liste bekannter Subnetze von Werbenetzwerken abgeglichen.  <\/p>\n\n<p>Beispielsweise ist bat.bing.com der UET-Endpunkt von Bing. Er verweist auf die Werbeinfrastruktur von Microsoft. Befindet sich der IP-Bereich des Microsoft-Werbeservers auf der Sperrliste, wird die Verbindung unterbrochen, bevor Daten den Browser verlassen. Dabei spielt es keine Rolle, woher das Skript stammt, von welcher Domain es geladen wurde oder wie die Anfrage aufgebaut war.   <\/p>\n\n<p><strong>First-Party-Proxy-Konfigurationen<\/strong> sind eine g\u00e4ngige Umgehungsl\u00f6sung, bei der du ein Tracking-Skript von deiner eigenen Subdomain l\u00e4dst. Diese Umgehungsl\u00f6sung hilft hier jedoch nicht weiter. Das Skript wird zwar von deiner Domain geladen, muss seine Daten aber dennoch an die Server einer Werbeplattform senden. Diese Server haben feste IP-Adressen. Genau diese Verbindung zu diesen IP-Adressen blockiert Safari.    <\/p>\n\n<p>In der Quelle gibt es au\u00dferdem Hinweise auf eine separate Kategorie von Domains, die fest als bedingungslos blockierbar hinterlegt sind \u2013 unabh\u00e4ngig davon, welche Datenschutzeinstellungen der Nutzer aktiviert hat. Der Mechanismus ist im Code sichtbar; der konkrete Inhalt dieser Liste ist es jedoch nicht, da er sich in einer unver\u00f6ffentlichten Apple-Datei befindet. Betrachte die Existenz dieser Kategorie als beobachtet und ihren genauen Umfang als unbest\u00e4tigt.  <\/p>\n\n<h2 id=\"safaris-blocking-history-layer-by-layer\" class=\"wp-block-heading\">Der Blockierverlauf von Safari, Schicht f\u00fcr Schicht<\/h2>\n\n<p>Mit jeder gr\u00f6\u00dferen Version kommt eine neue Oberfl\u00e4che hinzu.<\/p>\n\n<ul class=\"wp-block-list\">\n<li>2017: Mit dem ITP wurden Einschr\u00e4nkungen f\u00fcr Cookies und Speicherfristen eingef\u00fchrt<\/li>\n\n\n\n<li>Safari 17: ATFP hat im privaten Modus die Netzwerkblockierung auf Domain-Ebene sowie das Entfernen von Klick-IDs aus Links eingef\u00fchrt<\/li>\n\n\n\n<li>Safari 26: AFP hat die Klassifizierung von Fingerprinting-Skripten in allen Browsermodi eingef\u00fchrt, mit der M\u00f6glichkeit, Berechtigungen f\u00fcr einzelne Skripte zu widerrufen<\/li>\n\n\n\n<li>Safari 27: Sperrung von IP-Bereichen auf der Netzwerk-Transportschicht, ein erweiterter Klick-ID-Filter und CDPs auf der Fingerprinting-Liste<\/li>\n<\/ul>\n\n<p>Fr\u00fchere Schutzma\u00dfnahmen zielten darauf ab, was Skripte lesen oder speichern konnten. Die Blockierung auf Netzwerkebene zielt darauf ab, wohin Daten gelangen k\u00f6nnen. Du kannst den Dateinamen eines Skripts, einen URL-Pfad oder eine First-Party-Subdomain \u00e4ndern. Die IP-Adressen, auf denen die Ad-Server von Microsoft oder LinkedIn gehostet werden? Die \u00e4ndern sich nicht.    <\/p>\n\n<h2 id=\"where-taggrs-fits\" class=\"wp-block-heading\">Wo TAGGRS passt<\/h2>\n\n<p><a href=\"https:\/\/taggrs.io\/de\/gtm-server-side-tagging-hosting\/\">Server-side GTM<\/a> ver\u00e4ndert die Architektur so, dass die Einschr\u00e4nkungen auf Browserebene von Safari keine Rolle mehr spielen. Nicht, weil es irgendetwas auf raffinierte Weise umgeht, sondern weil die Tracking-Anfragen, die Safari blockiert, gar nicht erst durch den Browser laufen. <\/p>\n\n<p>Bei einer standardm\u00e4\u00dfigen clientseitigen Konfiguration f\u00fchrt der Browser das Skript aus, liest die ben\u00f6tigten Daten von der Seite aus und sendet die Konversionsanfrage an den Endpunkt einer Werbeplattform. Die Netzwerkschicht von Safari erkennt diese ausgehende Verbindung und blockiert sie. <\/p>\n\n<p>Mit sGTM sendet der Browser eine Anfrage an deinen eigenen Server, deine eigene Subdomain, deine eigene IP-Adresse. Der Server \u00fcbernimmt von dort aus alles. Er verarbeitet die Events und leitet die Daten \u00fcber Server-zu-Server-Aufrufe an Google, Meta, LinkedIn oder Bing weiter, ohne dass diese jemals den Browser des Nutzers passieren. Es gibt nichts, was Safari abfangen k\u00f6nnte.   <\/p>\n\n<p>bat.bing.com und snap.licdn.com werden auf Domain- und IP-Ebene blockiert. Mit sGTM ruft dein Setup diese URLs niemals vom Browser aus auf. Die Verbindungen zu den Werbeplattformen werden auf dem Server hergestellt, nachdem die Browser-Interaktion bereits aufgezeichnet wurde.  <\/p>\n\n<p><a href=\"https:\/\/taggrs.io\/docs\/server-side-tracking\/enhanced-tracking-script\">Das \u201eEnhanced Tracking Script\u201c von TAGGRS f\u00fcgt eine weitere Ebene hinzu <\/a>: Es verschl\u00fcsselt die Anfrage vom Browser zum Server, wodurch verhindert wird, dass Ad-Blocker durch Mustererkennung die Anfrage als Tracking-Traffic identifizieren, noch bevor sie die Seite \u00fcberhaupt verl\u00e4sst.<\/p>\n\n<p>Bei LinkedIn ist der praktische Ansatz \u201eLinkedin CAPI\u201c \u00fcber den sGTM-Container, wobei das Insight-Tag durch einen server-side Conversion-Aufruf ersetzt wird. Bei Bing ist es das entsprechende Microsoft Ads API. Beide l\u00f6sen die Abh\u00e4ngigkeit von der browserseitigen Skriptausf\u00fchrung, die Safari nun blockiert.  <\/p>\n\n<p>Die Vorteile summieren sich. Da die Konvertierungsanfrage vom Browser aus niemals den Endpunkt einer Werbeplattform erreicht, gibt es f\u00fcr die Netzwerkschicht von Safari nichts abzufangen, und die Blockierung hat schlichtweg keine Angriffsfl\u00e4che.   <\/p>\n\n<p>Au\u00dferdem beh\u00e4ltst du <a href=\"https:\/\/taggrs.io\/de\/privacy-focused-first-party-data-marketing-guide\/\">die Kontrolle \u00fcber deine First-Party-Daten <\/a>: Das Event landet zuerst auf deinem Server, sodass du bestimmst, was weitergeleitet wird und wie. Die Ladezeiten verbessern sich, da ressourcenintensive clientseitige Tags von der Seite entfernt werden. Die L\u00f6sung ist langlebiger als Browser-Workarounds. Wenn Apple eine Blockliste erweitert oder eine neue Safari-Version ver\u00f6ffentlicht, muss eine server-side Architektur nicht neu gepatcht werden, da sie von vornherein nie von der Ausf\u00fchrung auf der Browserseite abh\u00e4ngig war.   <\/p>\n\n<h2 id=\"what-is-already-at-risk\" class=\"wp-block-heading\">Was bereits auf dem Spiel steht<\/h2>\n\n<p>Die stabile Version von Safari 27 wird zusammen mit iOS 27 und macOS 27 ausgeliefert, die voraussichtlich im Laufe des Jahres 2026 erscheinen werden. Die Quellenanalyse erm\u00f6glicht es, die Sicherheitsl\u00fccken zu erfassen, bevor das Update in die Produktion geht. <\/p>\n\n<p><strong>YouTube- und X-Kampagnen<\/strong> \u2013 \u201esi\u201c und \u201etwclid\u201c sind im neuen Klick-ID-Filter enthalten. Bei der Attribution f\u00fcr Safari-Nutzer, die auf YouTube-Links oder X-Anzeigen klicken, wird es zu L\u00fccken kommen, sobald die LTP-Durchsetzung auf das normale Surfen ausgeweitet wird. YouTube geh\u00f6rt zu den Werbeplattformen mit dem h\u00f6chsten Traffic. \u201etwclid\u201c ist die prim\u00e4re Klick-Kennung von X. Beides ist kein Randfall.    <\/p>\n\n<p><strong>CDPs, die Conversion-Tags verarbeiten<\/strong> \u2013 Tealium und Segment stehen auf der Liste der Fingerprinting-Skripte. Jedes Conversion-Pixel oder Remarketing-Tag, das \u00fcber eine eingeschr\u00e4nkte CDP ausgel\u00f6st wird, unterliegt denselben Zugriffseinschr\u00e4nkungen. Die CDP selbst wird zum Schwachpunkt, nicht das einzelne Tag.  <\/p>\n\n<p><strong>LinkedIn Insight Tag und Bing UET<\/strong> \u2013 das Insight Tag steht auf der Fingerprinting-Liste, wobei der Zugriff auf Abfrageparameter und Referrer gesperrt wurde. Der Bing-UET-Endpunkt wird sowohl auf Domain-Ebene als auch \u00fcber das IP-Subnetz blockiert. Beides wurde durch die Quellenanalyse best\u00e4tigt.  <\/p>\n\n<p>First-Party-Proxy-Einrichtungen \u2013 Die Blockierung auf Netzwerkebene in Safari \u00fcberpr\u00fcft die Ziel-IP-Adresse, nicht die Ursprungsdomain des Skripts. Ein Proxy auf deiner eigenen Domain leitet die Daten weiterhin an die Server einer Werbeplattform weiter. Die Verbindung zu diesen Servern wird unterbrochen.  <\/p>\n\n<p>Jede browserbasierte Umgehungsl\u00f6sung \u2013 wie First-Party-Proxys, umbenannte Skripte oder neue Subdomains \u2013 f\u00e4llt unter die aktuellen Blockierungsma\u00dfnahmen von Safari. Durch server-side Tracking werden die Conversion-Daten komplett aus diesen Bereichen herausgenommen, sodass Safari nichts mehr abfangen kann. <\/p>\n\n<p>Wenn du sehen m\u00f6chtest, wie diese Konfiguration in der Praxis funktioniert, findest du in <a href=\"https:\/\/taggrs.io\/de\/safari-26-tracking-changes-2\/\">unserer detaillierten Anleitung zu Safari 26<\/a> eine ausf\u00fchrliche Beschreibung der sGTM-Architektur.<\/p>\n\n<p>Bist du bereit, mit dem server-side Tracking loszulegen? <a href=\"https:\/\/dashboard.taggrs.io\/de\/register\">Erstelle ein kostenloses TAGGRS-Konto<\/a>.  <\/p>\n\n<h2 id=\"faq\" class=\"wp-block-heading\">FAQ<\/h2>\n\n<h3 id=\"is-safari-really-blocking-trackers\" class=\"wp-block-heading\">Blockiert Safari Tracker wirklich?<\/h3>\n\n<p>Ja. Safari blockiert auf mehreren Ebenen: Cookie-Einschr\u00e4nkungen (<a href=\"https:\/\/webkit.org\/tracking-prevention\/\" target=\"_blank\" rel=\"noopener\">Intelligent Tracking Prevention<\/a>), Netzwerkblockierung auf Domain-Ebene im privaten Modus (<a href=\"https:\/\/webkit.org\/blog\/15697\/private-browsing-2-0\/\" target=\"_blank\" rel=\"noopener\">Private Browsing 2.0<\/a>), Einschr\u00e4nkungen f\u00fcr Fingerprinting-Skripte (<a href=\"https:\/\/webkit.org\/blog\/17333\/webkit-features-in-safari-26-0\/\" target=\"_blank\" rel=\"noopener\">Safari 26.0-Versionshinweise von WebKit<\/a>), sowie die Blockierung von IP-Bereichen auf der Netzwerk-Transportschicht in Safari 27 (best\u00e4tigt durch eine Analyse des WebKit-Quellcodes, noch nicht in Apples \u00f6ffentlichen Versionshinweisen dokumentiert). Browserbasiertes Tracking f\u00fcr Safari-Nutzer wird mit jeder neuen Version unzuverl\u00e4ssiger. Server-side Konfigurationen sind davon nicht betroffen, da keine Tracking-Anfragen den Browser passieren.   <\/p>\n\n<h3 id=\"which-parameters-does-safari-27-strip-from-urls\" class=\"wp-block-heading\">Welche Parameter entfernt Safari 27 aus URLs?<\/h3>\n\n<p>Im privaten Modus und beim \u00d6ffnen von Links aus \u201eMail\u201c oder \u201eNachrichten\u201c entfernt Safari <a href=\"https:\/\/webkit.org\/blog\/15697\/private-browsing-2-0\/#link-tracking-protection\" target=\"_blank\" rel=\"noopener\">mithilfe des Link-Tracking-Schutzes eine st\u00e4ndig wachsende Liste von Klick -ID-Parametern<\/a>. Apple erkl\u00e4rt den Mechanismus dort: Bekannte Tracking-Abfrageparameter werden vor dem Aufruf entfernt, und Skripte von Drittanbietern auf der Zielseite k\u00f6nnen die vollst\u00e4ndige URL nicht lesen. Neu in Safari 27: xmt (Threads), si (YouTube), twclid, cn, cxt (X\/Twitter). Zu den bereits zuvor abgedeckten Parametern geh\u00f6ren gclid, fbclid und msclkid. Hintergrundinformationen dazu, warum Klick-IDs in URLs \u00fcberhaupt eine Rolle spielen, findest du <a href=\"https:\/\/webkit.org\/blog\/9521\/intelligent-tracking-prevention-2-3\/\" target=\"_blank\" rel=\"noopener\">im ITP 2.3-Beitrag von WebKit zum Thema \u201eLink Decoration<\/a>\u201c. Standard-UTM-Parameter (utm_source, utm_medium, utm_campaign) sind davon nicht betroffen.     <\/p>\n\n<h3 id=\"will-these-changes-affect-regular-safari-browsing-too\" class=\"wp-block-heading\">Werden sich diese \u00c4nderungen auch auf das normale Surfen mit Safari auswirken?<\/h3>\n\n<p>Der Schutz vor Link-Tracking im normalen (nicht privaten) Surfmodus wird schrittweise eingef\u00fchrt. Ab Safari 26 werden Klick-IDs in Standardsitzungen weiterhin weitergeleitet. Safari 27 erweitert die Filterliste, aber Apple f\u00fchrt die Durchsetzung in der Regel schrittweise ein. Nutzer k\u00f6nnen bereits jetzt den st\u00e4rkeren Schutz im privaten Modus f\u00fcr alle Sitzungen aktivieren \u2013 \u00fcber <a href=\"https:\/\/webkit.org\/blog\/15697\/private-browsing-2-0\/\" target=\"_blank\" rel=\"noopener\">den \u201eErweiterten Schutz vor Tracking und Fingerprinting\u201c<\/a> (in den Safari-Einstellungen auf \u201eAlle Browsersitzungen\u201c eingestellt; siehe <a href=\"https:\/\/support.apple.com\/guide\/safari\/ibrw1075\/mac\" target=\"_blank\" rel=\"noopener\">Apples Safari-Anleitung<\/a>). Die vollst\u00e4ndige Durchsetzung in allen Sitzungen ohne diese Umschaltoption ist das Ziel, auf das Apple hinarbeitet.    <\/p>\n\n<h3 id=\"what-is-afp-and-does-it-fully-block-a-script\" class=\"wp-block-heading\">Was ist AFP, und blockiert es ein Skript vollst\u00e4ndig?<\/h3>\n\n<p>AFP (Advanced Fingerprinting Protection) stuft Skripte als Fingerprinting-Tools ein und wendet auf jedes einzelne eine bestimmte Reihe von Zugriffsbeschr\u00e4nkungen an. Es handelt sich nicht um eine pauschale Sperre. <a href=\"https:\/\/webkit.org\/blog\/17333\/webkit-features-in-safari-26-0\/\" target=\"_blank\" rel=\"noopener\">In der Ank\u00fcndigung zu WebKits Safari 26.0<\/a> wird beschrieben, was eingeschr\u00e4nkt wird: APIs, die Ger\u00e4teeigenschaften preisgeben (Bildschirmgr\u00f6\u00dfe, Hardware-Parallelit\u00e4t, Canvas, Audio), durch Skripte geschaffener Speicher (Cookies, localStorage) und Navigationsdaten (Abfrageparameter, document.referrer). Apple kann einige dieser Einschr\u00e4nkungen aufheben, w\u00e4hrend andere bestehen bleiben. Die praktischen Auswirkungen h\u00e4ngen davon ab, welche Zugriffsrechte Apple f\u00fcr das jeweilige Skript entzieht. Die urspr\u00fcngliche Version des \u201ePrivate Browsing\u201c-Modus wird <a href=\"https:\/\/webkit.org\/blog\/15697\/private-browsing-2-0\/#advanced-fingerprinting-protection\" target=\"_blank\" rel=\"noopener\">im Abschnitt \u201eAdvanced Fingerprinting Protection\u201c von WebKit<\/a> erl\u00e4utert.    <\/p>\n\n<h3 id=\"what-is-the-difference-between-afp-and-atfp\" class=\"wp-block-heading\">Was ist der Unterschied zwischen AFP und ATFP?<\/h3>\n\n<p>AFP (Advanced Fingerprinting Protection) schr\u00e4nkt den Zugriff auf bestimmte Fingerprinting-Skripte ein. ATFP (Advanced Tracking and Fingerprinting Protection) ist die f\u00fcr den Nutzer sichtbare Safari-Einstellung, die den Schutz des privaten Browsens \u2013 einschlie\u00dflich des Entfernens von Link-Parametern und des Blockierens von Trackern auf Domain-Ebene \u2013 auf das normale Surfen ausweitet, wenn sie aktiviert ist. <a href=\"https:\/\/webkit.org\/blog\/15697\/private-browsing-2-0\/\" target=\"_blank\" rel=\"noopener\">Der WebKit-Beitrag zu \u201ePrivates Surfen 2.0\u201c<\/a> behandelt beides: AFP k\u00fcmmert sich um die Einschr\u00e4nkungen f\u00fcr Fingerprinting-Skripte, w\u00e4hrend der Schalter \u201eErweiterter Schutz vor Tracking und Fingerprinting\u201c steuert, ob LTP und das Blockieren von Trackern auch au\u00dferhalb des privaten Surfens gelten. ATFP ist standardm\u00e4\u00dfig nur im privaten Surfen aktiviert. Die AFP-Schutzma\u00dfnahmen wurden in Safari 26 auf alle Sitzungen ausgeweitet. Apples \u00dcbersicht f\u00fcr Verbraucher zu diesen Funktionen findest du unter <a href=\"https:\/\/www.apple.com\/privacy\/features\/\" target=\"_blank\" rel=\"noopener\">apple.com\/privacy\/features<\/a>.    <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Safari 27 wurde im Juni 2026 als Entwickler-Beta ver\u00f6ffentlicht. Die offiziellen Release-Notes befassen sich mit ...<\/p>\n","protected":false},"author":15,"featured_media":73936,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[336,348],"tags":[],"class_list":["post-73945","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-fortgeschrittene","category-server-side-tracking-de-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/posts\/73945","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/comments?post=73945"}],"version-history":[{"count":2,"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/posts\/73945\/revisions"}],"predecessor-version":[{"id":73947,"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/posts\/73945\/revisions\/73947"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/media\/73936"}],"wp:attachment":[{"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/media?parent=73945"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/categories?post=73945"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/taggrs.io\/de\/wp-json\/wp\/v2\/tags?post=73945"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}