Thought Leadership
Marktführende Online-Werbedienste ignorieren rechtlich bindende Opt-out-Signale fast flächendeckend. Trotz klarer gesetzlicher Vorgaben setzen Google, Microsoft und Meta weiterhin Tracking-Cookies gegen den expliziten Willen der Nutzer. Die geschätzte Haftungssumme für die Branche beläuft sich auf 5,8 Milliarden US-Dollar.
Das deckte ein aktuelles forensisches Audit unter der Leitung von Dr. Timothy Libert auf, wie Cybernews berichtete. Die Diskrepanz zwischen den glänzenden Marketingversprechen der großen Technologiekonzerne und ihrer technischen Realität hat eine neue Dimension erreicht. Während Unternehmen wie Google, Meta und Microsoft öffentlich betonen, dass die Privatsphäre ihrer Nutzer höchste Priorität genießt, zeigt eine detaillierte Untersuchung des Privacy-Auditors webXray, dass diese Zusicherungen im digitalen Maschinenraum oft wertlos sind. Das California Privacy Audit belegt ein industrielles Ausmaß an Non-Compliance, das den Kern des modernen Datenschutzes erschüttert.
Der technische Hintergrund: Was ist das GPC-Signal?
Die Global Privacy Control (GPC) wurde als universelle Lösung konzipiert, um dem unübersichtlichen Geflecht aus Cookie-Bannern ein Ende zu setzen. Anstatt auf jeder einzelnen Webseite mühsam Präferenzen angeben zu müssen, sendet der Browser des Nutzers automatisch ein Signal an jeden Server.
Technisch gesehen überträgt der Browser dabei den Netzwerk-Header sec-gpc: 1. Unter dem California Consumer Privacy Act (CCPA) ist dieses Signal eine rechtlich bindende Aufforderung. Unternehmen sind gesetzlich dazu verpflichtet, dieses Signal als gültigen Wunsch zu behandeln, den Verkauf oder das Teilen persönlicher Daten umgehend zu stoppen. Das Ziel dieser Technologie ist ein automatisierter Schutz der Privatsphäre ohne manuelle Nutzerinteraktion auf jeder besuchten Domain. Obwohl das GPC-Signal in mehreren US-Bundesstaaten und zunehmend auch international als Goldstandard für den digitalen Widerspruch anerkannt ist, zeigt das Audit, dass die Umsetzung aufseiten der Werbenetzwerke eine rein oberflächliche Angelegenheit geblieben ist.
Die Ergebnisse des webXray-Audits
Unter der Leitung von Dr. Timothy Libert, einem renommierten Experten und ehemaligen Verantwortlichen für die Cookie-Richtlinien bei Google, analysierte das Team von webXray den Datenverkehr auf tausenden der populärsten Webseiten. Die Ergebnisse sind für die Werbeindustrie niederschmetternd.
Insgesamt wurden 194 Online-Werbedienste unter die Lupe genommen. Die Studie kam zu dem Schluss, dass 55 Prozent der untersuchten Webseiten weiterhin Werbe-Cookies setzen, obwohl der Nutzer über das GPC-Signal widersprochen hatte. Die Untersuchung macht deutlich, dass es sich nicht um isolierte Einzelfälle oder versehentliche technische Fehler handelt, sondern um ein systematisches Ignorieren gesetzlicher Vorgaben in einem bisher unbekannten Ausmaß.
Google: Fehlquote von 86 Prozent
Trotz seiner marktbeherrschenden Stellung und der Zertifizierung eigener Consent-Management-Plattformen weist Google eine Fehlquote von 86 Prozent auf. Wenn die Ad-Server von Google das GPC-Signal empfangen, quittieren sie diesen Datenschutzwunsch im Hintergrund oft mit einer direkten Anweisung an den Browser, den berüchtigten IDE-Cookie zu setzen. Dieser Cookie hat eine Laufzeit von zwei Jahren und ist das zentrale Werkzeug für das seitenübergreifende Advertising-Tracking. Google ignoriert die gesetzliche Vorgabe also nicht nur passiv, sondern antwortet aktiv mit einem Tracking-Befehl.
Ähnlich verhält es sich bei Microsoft. Das Tracking-Netzwerk des Softwarekonzerns empfängt das GPC-Signal technisch einwandfrei. Doch anstatt die Datensammlung zu stoppen, wird laut Audit grundsätzlich der MUID-Cookie auf das Endgerät des Nutzers geladen. Dieser Cookie dient der eindeutigen Identifizierung eines Browsers über ein volles Jahr hinweg. Und das vollkommen ungeachtet des vom Nutzer aktivierten Schutzes.
Meta geht in seiner Missachtung sogar noch einen Schritt weiter. Das forensische Audit ergab, dass das weit verbreitete Meta-Pixel. ein Code-Schnipsel, der auf Millionen von Webseiten eingebunden ist, keinerlei Code enthält, um das GPC-Signal überhaupt abzufragen. Das Pixel arbeitet bedingungslos. Es registriert Interaktionen, Käufe und Besuche und übermittelt diese an Meta, völlig egal, ob der Nutzer über seinen Browser signalisiert hat, dass er nicht getrackt werden möchte.
Die Illusion der Cookie-Banner
Ein zentraler Aspekt der Studie ist die Entlarvung von Consent Management Platforms (CMPs). Diese Banner suggerieren dem Nutzer eine Wahlmöglichkeit. Google zertifiziert diese Plattformen sogar, um eine vermeintlich rechtssichere Einholung von Einwilligungen zu garantieren. Das Audit von webXray zeigt jedoch, dass keine von Google zertifizierte CMP, die evaluiert wurde, in 100 Prozent der Fälle korrekt funktioniert. Alle scheitern regelmäßig daran, Google am Setzen von Cookies zu hindern, selbst wenn global standardisierte Opt-out-Signale vorhanden sind.
Diese Erkenntnis ist besonders für Webseitenbetreiber gefährlich. Sie verlassen sich auf die Lösungen der CMP-Anbieter und gehen davon aus, dass sie rechtskonform handeln. Tatsächlich fungieren diese Banner oft nur als visuelle Beruhigung für den Nutzer, während im Hintergrund die Werbenetzwerke von Google und Microsoft weiterhin ungehindert Daten erfassen.
Rechtliche Konsequenzen und finanzielle Risiken
Die Missachtung des GPC-Signals ist kein Kavaliersdelikt. Der CCPA gibt Verbrauchern das explizite Recht, dem Verkauf und Teilen ihrer Daten zu widersprechen. Da das GPC-Signal als rechtlich wirksame Ausübung dieses Rechts anerkannt ist, stellt jede Missachtung einen direkten Gesetzesverstoß dar.
Die kalifornischen Behörden haben bereits in der Vergangenheit gezeigt, dass sie bei Fehlkonfigurationen von Opt-outs hart durchgreifen. Die hohe Fehlquote von 86 Prozent bei Google liefert Klägern eine ideale Basis für umfangreiche Schadensersatzforderungen. webXray projektiert eine potenzielle Haftung von 5,8 Milliarden US-Dollar für die gesamte Industrie. Dies basiert auf der Anzahl der betroffenen Nutzer und den im Gesetz vorgesehenen Strafen pro Verstoß.
Industrialisierte Non-Compliance
Dr. Timothy Libert spricht in seinem Bericht von einer industrialisierten Non-Compliance. Das bedeutet, dass der Verstoß gegen Datenschutzregeln fest in die Geschäftsmodelle der Werbeindustrie integriert ist. Der ökonomische Anreize, Nutzerprofile zu schärfen und Werbeplätze präzise auszusteuern, ist offenbar deutlich höher als die Sorge vor regulatorischen Konsequenzen.
Das Audit beweist, dass das aktuelle System der Selbstregulierung und der Cookie-Banner gescheitert ist. Wenn selbst klare, maschinenlesbare Signale wie die GPC ignoriert werden, bleibt den Regulierungsbehörden nur noch der Weg über harte Sanktionen und technische Blockaden auf Netzwerkebene.
Webseitenbetreiber sollten sich nicht blind auf die Versprechen ihrer CMP-Anbieter oder die Funktionen der großen Werbenetzwerke verlassen. Ein eigener technischer Check, ob trotz GPC-Signal Cookies von Drittanbietern gesetzt werden, ist unumgänglich, um das eigene Haftungsrisiko zu minimieren. In einer Welt, in der die Forensik der Datenschützer immer präziser wird, ist Unwissenheit kein Schutz mehr vor den Forderungen der Aufsichtsbehörden.
