Tech-Giganten ignorieren millionenfach Datenschutz-Signale

Eine großangelegte Untersuchung des digitalen Werbemarkts zeigt: Die größten Tech-Konzerne missachten systematisch ein gesetzlich anerkanntes Datenschutzsignal. Die Branche riskiert Milliardenstrafen.

Systematischer Bruch von US-Datenschutzgesetzen

Die Welt des Online-Marketings steht vor einem handfesten Skandal. Eine umfassende Prüfung der Forschungsfirma webXray belegt, dass Branchenriesen wie Google, Meta und Microsoft Nutzer tracken und Werbe-Cookies setzen – selbst wenn diese ausdrücklich ein globales Opt-out-Signal senden. Die Untersuchung, die Anfang dieser Woche veröffentlicht wurde, analysierte den Datenverkehr auf über 7.600 populären Websites. Das Ergebnis: Ein industrielles Maß an Nicht-Einhaltung von Gesetzen wie dem kalifornischen CCPA ist zur Normalität geworden. Die Forscher sprechen von einem Versagen der Unternehmensverantwortung und der eingesetzten Einwilligungstools.

Während große Tech-Konzerne wegen systematischer Tracking-Verstöße in der Kritik stehen, müssen Unternehmen hierzulande vor allem ihre eigenen Dokumentationspflichten im Griff haben. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. Kostenlose Muster-Vorlage und Anleitung jetzt herunterladen

Global Privacy Control: Ein wirkungsloses Signal?

Im Zentrum steht das Global Privacy Control (GPC). Diese Browsereinstellung signalisiert automatisch den Wunsch, den Verkauf persönlicher Daten zu unterbinden. Kalifornische Behörden erkennen GPC seit Jahren als rechtsverbindlich an. In der Praxis bleibt die Wirkung jedoch begrenzt. Rund 55 Prozent der getesteten Websites setzten trotz GPC-Signal weiterhin Werbe-Cookies.

Die Bilanz der großen Werbeplattformen ist besonders verheerend. Google ignorierte das Opt-out in 86 Prozent der Fälle und setzte oft sein IDE-Werbecookie. Meta zeigte eine Missachtungsrate von 69 Prozent, Microsoft von 50 Prozent. Insgesamt agieren fast 200 Werbe-Technologie-Anbieter damit im direkten Widerspruch zu staatlichen Vorgaben. Laut Dr. Timothy Libert, dem Leitenden Forscher der Studie, ist diese Nicht-Compliance im Netzwerkverkehr klar sichtbar. Manche Server antworten auf das Opt-out-Signal sogar mit expliziten Befehlen, Werbe-Cookies zu setzen – eine bewusste Geschäftsentscheidung, kein technisches Versehen.

Das Versagen der Einwilligungs-Banner

Besonders brisant: Die sogenannten Consent Management Platforms (CMPs) versagen flächendeckend. Diese Pop-up-Banner, die Unternehmen als Compliance-Lösungen verkauft werden, sollen Nutzerentscheidungen in technische Aktionen umsetzen. Die Studie fand sie jedoch weitgehend wirkungslos.

Alle 11 von Google zertifizierten Cookie-Banner scheiterten daran, Google-Tracking nach einem GPC-Signal zu blockieren. Selbst wenn ein Banner Privatsphäre-Einstellungen verspricht, laden die Webseiten oft bedingungslos Tracking-Skripte. Mehrere führende CMP-Anbieter hatten eine 100-Prozent-Ausfallrate. Für Verlage und Marken klafft damit eine riesige Lücke zwischen ihrer Datenschutzerklärung und der Realität auf ihrer Website. Viele Unternehmen wiegen sich in falscher Sicherheit.

Die mangelhafte Umsetzung von Datenschutz-Vorgaben bei Tracking-Tools zeigt, wie schnell Verantwortliche den Überblick über ihre Compliance-Pflichten verlieren können. Erfahren Sie in diesem kostenlosen Experten-Report, welche häufig übersehenen Pflichtfelder im Verarbeitungsverzeichnis bei einer Prüfung sofort auffallen und wie Sie diese rechtssicher ergänzen. Was viele Unternehmen beim Verarbeitungsverzeichnis falsch machen – jetzt lesen

Tech-Konzerne in der Defensive

Auf die Vorwürfe reagierten die Tech-Giganten mit unterschiedlichen Rechtfertigungen. Meta bezeichnete die Studie als Marketing-Trick und verwies auf eine angeblich falsche Darstellung der GPC-Funktion. Das Signal solle nicht die Datenerfassung, sondern die Weitergabe zwischen Unternehmen regulieren.

Google argumentierte mit einem angeblichen Grundverständnisfehler der Produktarchitektur. Das Unternehmen halte gesetzlich vorgeschriebene Opt-outs ein und habe seine Einwilligungsinfrastruktur kürzlich konsolidiert. Kritiker entgegnen, dass diese Änderungen das Kernproblem – die Ignoranz gegenüber Browser-Signalen – nicht lösen.

Datenschutzaktivisten lassen diese technischen Unterscheidungen nicht gelten. Sie betonen: Unter Gesetzen wie dem CCPA ist ein universelles Opt-out-Signal ein rechtsverbindlicher Befehl, der interne Richtlinien überstimmt. Die Behebung des Problems wäre technisch minimal, so die Forscher.

Milliardenrisiko und härtere Regulierung

Die finanziellen Risiken der Branche sind enorm. Analysten von webXray schätzen die potenzielle Gesamthaftung aus den dokumentierten Verstößen auf rund 5,8 Milliarden Euro. Grundlage sind durchschnittliche Strafen kalifornischer Behörden.

Die Aufsicht wird zunehmend schärfer. Bereits im Februar 2026 einigte sich The Walt Disney Company auf eine 2,75-Millionen-Euro-Strafe wegen mangelhafter Opt-out-Umsetzung. 2022 hatte Sephora bereits 1,2 Millionen Euro Strafe gezahlt, weil es GPC-Signale ignorierte.

Aktuell haben zwölf US-Bundesstaaten umfassende Datenschutzgesetze erlassen, die universelle Opt-out-Mechanismen vorschreiben. Aufsichtsbehörden in Kalifornien, Colorado und Connecticut kündigten gemeinsame Überprüfungen an. Die kalifornische CPPA betont, dass die Minimierung von Daten und die Achtung von Nutzerwünschen Grundvoraussetzungen sind – unabhängig von technischen Präferenzen.

Wird Datenschutz endlich Standard?

Der Konflikt zwischen Datensammelwut und staatlichem Datenschutz steht vor einer Zuspitzung. Bisher war die GPC-Funktion eine freiwillige Entscheidung der Browser-Hersteller. Das ändert sich nun durch neue Gesetze.

Eine in Kalifornien Ende 2025 unterzeichnete Regelung schreibt vor: Alle großen Webbrowser müssen bis Anfang 2027 eine eingebaute Opt-out-Funktion enthalten. Datenschutz soll damit vom Nischen-Feature zum Standard werden. Experten sind sich einig: Sobald Browser wie Chrome, Safari und Edge diese Signale standardmäßig senden, wird die dokumentierte „industrielle“ Nicht-Compliance vor Gericht kaum noch zu verteidigen sein.

Bis dahin bleibt die Kluft zwischen Gesetzeslage und technischer Realität groß. Das GPC-Signal bietet einen rechtlichen Rahmen für Nutzerautonomie – doch für die meisten Verbraucher verpufft es derzeit im digitalen Nichts. Die Werbebranche steht vor der Wahl: technische Reform oder eskalierende Konfrontation mit dem Gesetz.

de | boerse | 69183105 |