Der Monoid-Blog

Datenschutz, Analytics und das offene Web — geschrieben für Entwickler.

RSS-Feed
6 Min. LesezeitEngineering & Performance

Timing-Allow-Origin: Was Analytics in der Resource Timing API sieht

Der Timing-Allow-Origin-Header steuert, wie viele Cross-Origin-Timing-Details eine Seite auslesen darf. Hier erfahren Sie, was das für datenschutzfreundliche Performance-Messung bedeutet.

Weiterlesen
7 Min. LesezeitEngineering & Performance

Speculation Rules und Prerendering: Was Analytics bei vorab geladenen Seiten falsch macht

Chromes Speculation Rules API kann eine Seite rendern, bevor ein Nutzer überhaupt klickt. Hier erfahren Sie, wie das naive Analytics verzerrt — und wie cookiefreie, edge-basierte Messung ehrlich bleibt.

Weiterlesen
4 Min. LesezeitEngineering & Performance

Ihr Analytics-Skript deaktiviert vermutlich den Back/Forward-Cache

Der Back/Forward-Cache macht Navigationen über den Zurück-Button nahezu sofortig, aber ein einziger unload-Listener deaktiviert ihn für die gesamte Seite. Tracking-Skripte sind meist die Ursache — und CrUX misst inzwischen den Schaden.

Weiterlesen
4 Min. LesezeitLaw & Regulation

Datenübermittlungen unter der DSGVO sind das einzige Compliance-Risiko, das du wegarchitektieren kannst

Der EU-US-Datenschutzrahmen hat seine erste gerichtliche Anfechtung überstanden, liegt nun aber dem EuGH zur Berufung vor. Eine Analytics, die niemals EU-Daten in die USA übermittelt, hat ohnehin nichts zu verlieren.

Weiterlesen
5 Min. LesezeitLaw & Regulation

Das Durchsetzungsziel des EDSA für 2026 ist Ihre Datenschutzerklärung

Die koordinierte Aktion des EDSA für 2026 prüft die Transparenz nach den DSGVO-Artikeln 12–14. Der kürzeste Weg hindurch: so wenig erheben, dass sich die Erklärung von selbst schreibt.

Weiterlesen
5 Min. LesezeitEngineering & Performance

Dein Analytics-Skript ist das Loch in deiner Content-Security-Policy

Eine strikte CSP stopft XSS. Ein Drittanbieter-Analytics-Tag reißt es wieder auf. Warum Host-Allowlists und fehlende SRI deine Policy aushöhlen — und was ein First-Party-Tracker behebt.

Weiterlesen
5 Min. LesezeitEngineering & Performance

Privacy by Default auf HTTP-Ebene: Header, die deine Tracking-Oberfläche verkleinern

Zwei Response-Header — Permissions-Policy und Referrer-Policy — bestimmen, wie viel deine Seiten an Ad-Tech und Dritte preisgeben. Einmal gesetzt, schließt sich die Überwachungsfläche standardmäßig.

Weiterlesen
4 Min. LesezeitEngineering & Performance

INP Bestraft Schwere Analytics: Warum Dein Tracker im Main Thread Läuft

Interaction to Next Paint ist der Core Web Vital, an dem die meisten Seiten scheitern, und Felddaten zeigen, dass Verhaltens-Tracking-Skripte eine Hauptursache sind. Die Lösung: weniger Arbeit an den Main Thread schicken.

Weiterlesen
4 Min. LesezeitLaw & Regulation

Der Digital Omnibus will First-Party-Analytics von der Einwilligung befreien

Der EU-Digital-Omnibus vom November 2025 schlägt eine Einwilligungsausnahme für First-Party-Reichweitenmessung zur internen Nutzung vor. Er beschreibt das Modell, das cookiefreie Analytics längst betreibt.

Weiterlesen