Google, Microsoft und Meta tracken Sie auch dann, wenn Sie sich abgemeldet haben – neue Studie
Ein neuer forensischer Bericht versetzt der Privatsphäre der Verbraucher einen schweren Schlag: Er zeigt, dass die Technologiekonzerne Google, Microsoft und Meta gesetzlich festgelegte Datenschutzeinstellungen systematisch ignorieren.
Laut dem von webXray durchgeführten "California Privacy Audit" vom März 2026 setzen 194 Online-Werbedienste Tracking-Cookies, selbst nachdem Nutzer die "Global Privacy Control" (GPC) ausdrücklich aktiviert haben.
Unter der Leitung von Dr. Timothy Libert, einem ehemaligen Leiter der Cookie-Richtlinie bei Google, analysierte die webXray-Studie den Web-Traffic auf Tausenden beliebter Webseiten in Kalifornien.
Die Ergebnisse decken auf, was die Forscher als Nichteinhaltung des California Consumer Privacy Act (CCPA) im industriellen Maßstab bezeichnen, und stellen fest, dass 55 % der geprüften Webseiten trotz Opt-outs der Nutzer Werbe-Cookies setzen.
Die Untersuchung beleuchtet die spezifischen technischen Mechanismen, mit denen diese Unternehmen Datenschutzpräferenzen umgehen. Wenn ein Nutzer GPC aktiviert, sendet sein Browser einen Netzwerk-Request-Header "sec-gpc: 1".
Nach kalifornischem Recht müssen Unternehmen dies als gültige Aufforderung zur Einstellung der Weitergabe personenbezogener Daten respektieren, doch die Untersuchung deckte eklatante Verstöße auf:
Google (86 % Fehlerquote): Wenn Googles Werbeserver das sec-gpc: 1-Signal empfangen, ignorieren sie es routinemäßig und antworten mit einem Befehl zur Erstellung des zweijährigen "IDE"-Werbe-Cookies. Forscher merken an, dass Google dies leicht beheben könnte, indem es stattdessen den HTTP-Statuscode 451 "Unavailable For Legal Reasons" zurückgibt.
Microsoft (50 % Fehlerquote): Ähnlich wie Google empfängt das Tracking-Netzwerk von Microsoft das GPC-Signal, sendet jedoch bedingungslos ein einjähriges "MUID"-Tracking-Cookie an das Gerät des Verbrauchers zurück.
Meta (69 % Fehlerquote): Das Tracking-Pixel-Snippet von Meta, das Publisher in ihre Webseiten einbetten, enthält keinen Code zur Überprüfung des GPC-Signals. Es wird bedingungslos ausgelöst und zeichnet Tracking-Ereignisse unabhängig von den Datenschutzeinstellungen des Nutzers auf.
Die vielleicht besorgniserregendste Erkenntnis ist das Versagen von Consent Management Platforms (CMPs). Die Prüfung ergab, dass die überwiegende Mehrheit der Cookie-Banner die Nutzer tatsächlich nicht schützt.
Noch schlimmer ist, dass von Google offiziell zertifizierte Cookie-Choice-Banner häufig nicht verhindern, dass Google Cookies setzt, nachdem ein Nutzer sich abgemeldet hat. Bei drei großen, von Google zertifizierten CMP-Anbietern, die von webXray getestet wurden, lagen die Opt-out-Fehlerquoten zwischen 77 % und 91 %.
Regulatorische Folgen und Abwehrmaßnahmen
Die kalifornischen Regulierungsbehörden haben deutlich gemacht, dass das Ignorieren des GPC eine strafbare Handlung ist, und jüngste Durchsetzungsmaßnahmen im Rahmen des CCPA haben zu massiven Strafen für Unternehmen geführt, die Opt-outs nicht ordnungsgemäß verarbeiten.
Das California Privacy Audit prognostiziert aufgrund dieser anhaltenden Verstöße ein potenzielles Haftungsrisiko von insgesamt 5,8 Milliarden US-Dollar für die gesamte Branche.
Um diese Datenschutzrisiken zu mindern und Bußgelder zu vermeiden, sollten Unternehmen die folgenden Strategien umsetzen:
Serverseitige Ablehnung: Ad-Server müssen so konfiguriert werden, dass sie den Header "sec-gpc: 1" erkennen und die Anfrage sofort verwerfen, um sicherzustellen, dass keine Tracking-Daten übermittelt werden.
Bedingtes Laden von Skripten: Webseiten-Administratoren sollten Tracking-Skripte von Drittanbietern in bedingte Anweisungen einbinden, die vor der Ausführung auf "navigator.globalPrivacyControl" prüfen.
Unabhängige Traffic-Überwachung: Unternehmen dürfen nicht blind auf Einwilligungsbanner von Drittanbietern vertrauen; Compliance-Teams müssen Live-Netzwerkanfragen aktiv überwachen, um zu überprüfen, ob Cookies tatsächlich blockiert werden.