Totgesagte leben länger: Drittanbieter-Cookies
Tilman Herbrich Schriftleitung Datenschutz-Berater
Sehr geehrte Leserinnen und Leser,
die Luft für die von der Werbewirtschaft geliebten Drittanbieter-Cookies werde dünn, hieß es in unzähligen Pressemitteilungen der vergangenen Monate und sogar Jahre. Zu verlockend, zu einfach war das Geschäft mit der globalen Einheitstechnologie zur webseitenübergreifenden Wiederkennung von Nutzer:innen, die allen Ad-Tech-Anbietern offenstand und vielen sehr gute Umsätze bescherte. Wir haben eingehend zu den Entwicklungen berichtet (vgl. DSB 2024, 109), die knapp ein Jahr später jedoch einmal mehr überholt sind.
Noch im Sommer 2024 nahm Google Abstand von der vollständigen Deaktivierung von Drittanbieter-Cookies im Chrome-Browser und verkündete die Einführung eines „user-choice-prompt“. Nutzer:innen sollen beim Start von Chrome selbst über den Verbleib von Drittanbieter-Cookies auf ihren Endgeräten entscheiden können. Zu groß war der Druck der mächtigen Competition and Market Authority aus UK (CMA), zu groß die Furcht vor kartellrechtlichen Konsequenzen. Also nun doch kein Aus für die Drittanbieter-Cookies? Googles neuer Ansatz erinnert an die Systemabfrage à la Apples In-App-Popup beim Start einer App „Darf „[App]“ deine Aktivitäten in Apps und auf Websites anderer Unternehmen erfassen? Die Erfahrungen der letzten knapp drei Jahre hinterlassen Sorgenfalten auf der Stirn vieler Marketer. Formuliert man die Zustimmungsabfrage so klar, werden knapp 80 % der Nutzer:innen Tracking ablehnen. In der Folge drohen Reichweitenverluste bei zielgerichteter Werbung und substanzielle Lücken bei der Messung von Conversions, die sich vor allem negativ auf die bisherigen KPIs von Marketingabteilungen auswirken.
Google verlautbarte auf der Branchenkonferenz zur Zukunft der digitalen Werbung, der d3con Anfang März in Hamburg, man teste derzeit weltweit Designs und der User-Choice-Prompt in Chrome würde auch alsbald im digitalen Windkanal getestet werden. Seit der ersten Ankündigung von Googles Privacy-Strategie und der Geburtsstunde der Privacy Sandbox sind nunmehr fünf Jahre verstrichen. Damals hatte Google das Device-Fingerprinting als Cookie-ähnliche Technologie in der Programmrichtlinie für Plattformprodukte verboten: „We think this subverts user choice and is wrong”, führte Google zur Begründung an.
Werbungtreibende blieben seither zurückhaltend beim Einsatz neuer ID-Solutions zur Wiederkennung von Nutzer:innen, die zumeist First-Party-Daten wie gehashte E-Mail-Adressen als Identifier nutzen. Noch stellen ID-Solutions für Werbungtreibende Insellösungen dar, haben eine geringe Abdeckung oder führen zu einer weiteren Abhängigkeit in einer an Abhängigkeiten nicht gerade armen Online-welt.
Und dann kam die Überraschung: Im Dezember 2024 mussten sich selbst erfahrene AdTech-Expert:innen mehrfach die Augen reiben: Google hat das Verbot für Device-Fingerprinting bei der Nutzung von Google-Werbeprodukten wieder aufgehoben und eine 180-Grad-Wende vollzogen. Fingerprinting als Alternative für Drittanbieter-Cookies? Manche Branchenvertreter konnten ihr Glück kaum fassen. Doch, zu früh gefreut. Die britische Datenschutzaufsichtsbehörde bringt es auf den Punkt: „The ICO’s view is that fingerprinting is not a fair means of tracking users online because it is likely to reduce people’s choice and control over how their information is collected.“ Für App-Betreiber und -Entwickler gibt es noch ein stärkeres Argument für den Verzicht auf Fingerprinting-Technologien. Apple verbietet Device-Fingerprinting mittels Software Development Kits (SDK) selbst bei Nutzer:innen, die ihre Zustimmung zum Tracking erteilt haben. Möchte man den Ausschluss einer App aus Apples App-Store vermeiden, ist man gut beraten, nicht mit Fingerprinting-Methoden zu hantieren.
Doch es gibt einen Lichtblick, um in dem Wirrwarr der Tracking-Technologien den Überblick zu behalten. Die Coalition for Privacy Compliance in Advertising (CPCA) reichte nach Abstimmung mit führenden Werbeverbänden in UK jüngst ein Zertifizierungsschema mit technischen und organisatorischen Controls für AdTech-Produkte bei der ICO ein. Bereits Ende des Jahres könnte die weltweit erste datenschutzrechtliche Zertifizierung durch einen Regulator im AdTech-Bereich für Rechtssicherheit sorgen. Verlorenes Vertrauen auf Seiten der Werbungtreibenden könnte durch einheitliche Bedingungen für einen fairen Wettbewerb zurückgewonnen werden.
Wir freuen uns, Sie über die weiteren Entwicklungen auf dem Laufenden zu halten; für den Moment wünsche ich Ihnen im Namen der Redaktion eine wie gewohnt spannende Lektüre.
Ihr
Tilman Herbrich
Datenschutz-Berater
Datenschutz-Berater
Der Datenschutz-Berater (DSB) ist eine der führenden Fachzeitschriften für Datenschutz und Datensicherheit. Mit den täglich wachsenden Möglichkeiten der Datenerhebung, -verarbeitung und -nutzung wird das Thema Datenschutz immer wichtiger. Technische und rechtliche Neuerungen – wie etwa die EU-Datenschutzgrundverordnung – fordern von den Verantwortlichen, sich fortlaufend zu informieren. Der Datenschutz-Berater bringt monatlich die wichtigsten Neuigkeiten, Risiken und die aktuelle Rechtsprechung auf den Punkt und berät seine Leser mit konkreten Handlungsempfehlungen, Arbeitsmitteln und Checklisten für die tägliche Praxis. Literaturtipps und Terminhinweise für Aus- und Weiterbildung runden das Angebot ab.
Zielgruppen
Alle, die sich tagtäglichen mit Fragen des Datenschutzes auseinandersetzen müssen:
- Fach- und Führungskräfte in Datenschutzabteilungen
- interne und externe Datenschutzbeauftragte
- Personalabteilungen und HR Specialists
- Geschäftsführer
- IT-Sicherheitsexperten - Revisoren
DSK 2025
Datenschutzkonferenz
Praxis | Recht | Innovation
Jetzt anmelden und vom 24. bis 26. September 2025 in Düsseldorf dabei sein!
Die Datenschutzkonferenz 2025 ist eine der richtungsweisenden Jahrestagungen im Bereich Datenschutz und Datensicherheit.
Mehr Informationen unter www.datenschutzkonferenz.de
DSB 2025, 85
