Nach Jahren der Verzögerung und Ungewissheit hat Google endlich damit begonnen, Cookies von Drittanbietern — der Grundstein für Retargeting — schrittweise abzuschaffen. Am 4. Januar 2024, gerade als die Welt das neue Jahr einläutete, gab Google bekannt, dass es die Cookies von Drittanbietern standardmäßig für 1% der Chrome‑Browser eingeschränkt hat. Das mag wie ein Tropfen auf den heißen Stein erscheinen, aber es ist ein wichtiger Schritt. Und das nicht nur, weil diese Maßnahme etwa 32 Millionen Menschen betreffen wird, was etwa 1% der 3,2 Milliarden Chrome‑Nutzer:innen entspricht.

Chrome-Konkurrenten wie Firefox und Safari (ganz zu schweigen von Browsern wie Brave und Tor, die Datenschutz zu ihrer obersten Priorität gemacht haben) blockieren Cookies von Drittanbietern schon lange standardmäßig. Die Tatsache, dass Chrome, der weltweit beliebteste Browser, sich endlich dieser Liste anschließt, ist also eine große Sache. Was uns im Zusammenhang mit dem Datenschutz jedoch am meisten interessiert, ist der Grund für die lange Verzögerung.

Warum hat es so lange gedauert (und dauert es immer noch)?

Nach dem ersten Versprechen im Januar 2020, Cookies von Drittanbietern oder Tracking-Cookies „in zwei Jahren“ abzuschaffen, hatte Google Schwierigkeiten, einen passenden Ersatz zu finden. Für diejenigen, die sich damit auskennen, war dies keine Überraschung. Google wollte nämlich einen Ersatz finden, der es Werbetreibenden weiterhin ermöglicht, Nutzer:innen auf verschiedenen Websites mit Werbung zu erreichen und gleichzeitig den Datenschutz zu gewährleisten. Mit anderen Worten: Google wollte beides, und das ist in der Regel ein hoher Anspruch.

Die Suche nach einer Alternative war in der Tat schwierig. Der erste vorgeschlagene Ersatz, FLEDGE (Abkürzung für First Locally-Executed Decision over Groups Experiment), war ein Flop, da alle, vor allem die Ad-Tech-Unternehmen, sehr wenig Interesse an seiner Übernahme zeigten. Google hat daher FLEDGE überarbeitet und in Protected Audience API umbenannt, und alles deutet darauf hin, dass es dieses Mal Bestand haben wird. Es ist bereits implementiert, wenn auch nur in 1% der Chrome‑Browser.

Protected Audience ist ein weiteres Puzzleteil der Google Privacy Sandbox. Dabei handelt es sich um Mechanismen, die Google vor einigen Jahren vorgeschlagen hat und von denen es behauptet, dass sie das Ad-Targeting datenschutzfreundlicher machen werden. Zusammen mit der Topics API — mehr dazu hier — ermöglicht die Protected Audience API den Werbetreibenden, den Nutzer:innen weiterhin Werbung anzuzeigen, die auf ihren Interessen basiert, ohne ihre persönlichen Daten oder ihren Browserverlauf preiszugeben.

Quelle: Google

Kurz gesagt ist die Topics API ein Mechanismus, der es dem Browser ermöglicht, Topics (Interessenkategorien) zu beobachten und aufzuzeichnen, während die Protected Audience API ein Mechanismus ist, der es dem Browser ermöglicht, selbstständig On‑Device-Anzeigeauktionen durchzuführen. Mit anderen Worten: Die Topics API konzentriert sich darauf, wofür sich die Nutzer:innen interessieren, während die Protected Audience API sich darauf konzentriert, wer die Nutzer:innen sind und was sie bereits gesehen haben. Im Wesentlichen übernimmt Protected Audience die Rolle, die früher Cookies von Drittanbietern gespielt haben.

Ist Protected Audience aus Datenschutzsicht viel besser als Cookies?

Man könnte meinen, dass der Datenschutz bei dieser Retargeting-Methode im Vordergrund steht, da die Anzeigenauktionen auf dem Gerät in einer sogenannten „Browser-Sandbox“ durchgeführt werden. Einige argumentieren sogar, dass die Protected Audience API möglicherweise nicht einmal die Einwilligung des Nutzers im Rahmen der DSGVO erfordert.

Doch auch wenn der Cookie-Ersatz von Google Chrome technisch gesehen nicht unter das wichtigste EU-Datenschutzgesetz fällt, macht das allein die API nicht privat. Diese API macht den Browser selbst zu einem Instrument für die Platzierung von Anzeigen, zu einem Auktionstool für Anzeigen eigener Art.

Die Auktion, bei der der Browser alle Rollen übernimmt (lesen Sie unbedingt unseren ausführlichen Artikel darüber, wie Anzeigenauktionen im Allgemeinen funktionieren), läuft wie folgt ab: Ihr Browser tritt Interessengruppen bei (z. B. „Rotweinliebhaber“), gibt Gebote für Werbeplätze ab und zeigt Ihnen die Werbung an, die den Zuschlag erhält.

Dies bedeutet, dass Ihr Browser ohne Ihr Wissen oder Ihre Zustimmung verschiedene Skripte und Anzeigen im Hintergrund herunterladen und ausführen kann. Insbesondere kontaktiert Ihr Browser im Hintergrund ständig den Eigentümer der Interessengruppe (z. B. eine Werbeplattform), um Aktualisierungen des Gebotscodes, des Anzeigencodes und der Echtzeitdaten für die Interessengruppe zu erhalten. Es stimmt, dass Ihr Browser den Plattformen, die Werbetreibende beim Verkauf von Anzeigen (SSPs) und beim Kauf von Anzeigen (DSPs) unterstützen, nicht mitteilt, welche Nutzer:innen zu welchen Interessengruppen gehören. Aber der Browser selbst wird über alle Vorgänge informiert. Und die wichtigste Frage ist: Vertrauen Sie Ihrem Browser? Oder, in diesem Fall, vertrauen Sie Google (Alphabet), dem weltweit führenden Werbeunternehmen, dass es für Ihre Privatsphäre verantwortlich ist?

Wir nicht. Und wir sind der Meinung, dass diese Lösung alles andere als datenschutzfreundlich ist. Wenn auch nur auf dem Papier.

Was tut AdGuard, um Nutzer:innen vor Tracking zu schützen?

Im Einklang mit unserer Position zum problematischen Ersetzen von Drittanbieter-Cookies in Google Chrome hat AdGuard bereits Googles API Protected Audience für Nutzer:innen, die den AdGuard Tracking-Schutzfilter aktiviert haben, deaktiviert. Wir arbeiten auch an fortschrittlicheren Methoden zur sicheren Deaktivierung dieser API und an der Aufklärung der Nutzer:innen über die Risiken.

Wir glauben, dass es beim Datenschutz keine Kompromisse geben darf und dass unsere Nutzer:innen und alle Menschen es verdienen, standardmäßig vor Tracking geschützt zu werden. Tracking sollte die Ausnahme und nicht die Regel sein. Deshalb setzen wir uns dafür ein, die besten Tools und Lösungen anzubieten, um Ihre Privatsphäre und Sicherheit im Internet zu schützen.