Es ist kein Geheimnis, dass Google seit Jahren versucht, das Drittanbieter-Cookie abzuschaffen, das die Grundlage für Retargeting-Anzeigen bildet und früher für das Online-Tracking unerlässlich war. Während viele andere Browser Cookies von Drittanbietern bereits blockieren, da sie eine Bedrohung für die Privatsphäre darstellen, lässt Google sie in Chrome noch immer zu und wird dies auch bis mindestens 2024 tun. Chrome ist hinter seinen Konkurrenten zurückgeblieben, denn Google hoffte, eine Alternative zum Drittanbieter-Cookie zu schaffen, die sowohl Werbetreibende als auch datenschutzbewusste Nutzer:innen zufrieden machen würde. Der vorgeschlagene Ersatz, die Topics-API, verspricht, genau das zu tun. Doch leider und vorhersehbarerweise hat es sein Hauptziel nicht erreicht — nämlich interessenbezogene Werbung privater zu gestalten. In unserem Artikel zu diesem Thema haben wir ausführlich erklärt, warum. Und es liegt nicht daran, dass unsere Ansprüche zu hoch sind. Verschiedene Datenschützer, Browser-Anbieter und andere Branchenvertreter haben Googles Ansatz ebenfalls kritisiert.

Jetzt hat die von Google vorgeschlagene API einen weiteren Rückschlag erlitten. Nach der Überprüfung der API kam die W3C Technical Architecture Group (TAG), eine spezielle Arbeitsgruppe innerhalb des World Wide Web Consortiums, zum Schluss, dass Topics sein ehrgeiziges Ziel verfehlt, nämlich die Privatsphäre der Menschen zu schützen und gleichzeitig die Werbetreibenden vor Einnahmeverlusten zu bewahren. Aber was macht die Topics-API, den Herzstück der Datenschutzinitiative von Google, so schlecht?

Werbefreundlich und datenschutzfreundlich — zu schön, um wahr zu sein?

Der Kerngedanke von Topics besteht darin, Werbetreibenden die Möglichkeit zu geben, Nutzer:innen weiterhin mit interessenbezogener Werbung anzusprechen und sie gleichzeitig vor unerwünschtem Tracking und Profiling zu schützen. Wie sich herausstellt, läuft nicht alles ganz so reibungslos.

Laut TAG ändert die neue API nichts am „Status quo der unangemessenen Überwachung im Internet“, da sie es dem Browser nach wie vor ermöglicht, Informationen über den Browserverlauf eines Nutzers an Websites weiterzugeben. Außerdem gibt sie den Nutzer:innen keine „Kontrolle“ darüber, was diese Websites über sie erfahren können. Die TAG möchte, dass Google die Topics API in ihrem Verlauf stoppt. „Wir wollen nicht, dass es weitergeführt wird“, sagte die Gruppe.

Damit tritt die TAG in eine lange Liste von Branchenvertretern ein, die sich gegen Topics aussprechen, Googles zweiten Versuch, das Ad-Targeting neu zu erfinden, nach dem ebenso unpopulären FLOC. Doch bevor wir weitermachen, wollen wir Sie daran erinnern, wie wir zu diesem Punkt gekommen sind.

Ein langer Abschied

Das Drittanbieter-Cookie, das das Rückgrat des Cross-Site-Trackings bildet, hat schon lange seinen Niedergang erlebt. Im Gegensatz zu First-Party-Cookies, bei denen es sich um kleine Daten handelt, die von den von Ihnen besuchten Websites in Ihren Browser geladen werden, werden Third-Party-Cookies von den Werbe- und Tracking-Domains auf diesen Websites geladen. Sie ermöglichen es den Werbetreibenden im Wesentlichen, Sie online zu verfolgen. Datenschutzorientierte Browser wie Brave, Safari und Firefox blockieren Cookies von Drittanbietern bereits seit Jahren standardmäßig. Da die Liste der Browser, die sich gegen Cookies von Drittanbietern entscheiden, immer länger wird, kündigte Google im Januar 2020 an, dass es diese in Chrome „innerhalb von zwei Jahren“ auslaufen lassen würde. Diese Frist wurde dann bis Ende 2023 verlängert und dann erneut auf Ende 2024 verschoben.

Der Grund für die ständigen Verzögerungen war, dass Google das Tracking durch Dritte nicht einfach blockieren wollte, da dies „das Geschäftsmodell vieler werbegestützter Websites untergraben“ und die Verwendung verdeckter Tracking-Techniken, wie z. B. das Fingerprinting von Geräten, fördern würde. Stattdessen wollte Google einen Ersatz für Cookies finden, der sowohl für Werbetreibende als auch für datenschutzbewusste Nutzer:innen geeignet ist. Mit anderen Worten: Google wollte, dass Tracking eine gute Sache ist und auch so klingt (was es nicht ist).

Ein schlechter Anfang…

Der erste Versuch dazu war FLoC (Federated Learning of Cohorts). Google bezeichnete FLoC als eine Technologie, die es Websites ermöglichen würde, unter Wahrung der Privatsphäre etwas über das Nutzerverhalten zu erfahren. Wir wollen hier nicht zu sehr ins Detail gehen, wie diese Technologie, die inzwischen nicht mehr existiert, funktionieren sollte. Kurz gesagt, würde ein Browser mit aktiviertem FLoC Informationen über das Nutzerverhalten sammeln, um dann verschiedene Nutzer:innen auf der Grundlage ihrer gemeinsamen Interessen in Kohorten zu gruppieren. Der Browser würde dann eine Kohorten-ID an Websites und Werbetreibende weitergeben.

Der Vorschlag stieß bei den Verfechtern des Datenschutzes und der Browser nicht auf Gegenliebe. Die Electronic Frontier Foundation argumentierte, dass dies neue Probleme schaffen würde, wie z. B. die Erleichterung von Fingerprinting und die Aufrechterhaltung der Diskriminierung aufgrund des Browserverlaufs. Alle großen Browser, mit Ausnahme von Google Chrome selbst, weigerten sich, es zu übernehmen. Kurz nachdem Google im März 2021 begann, FLoC in Chrome zu testen, haben wir bei AdGuard ebenfalls begonnen, es zu blockieren.

Im Januar 2022 beendete Google offiziell die Zusammenarbeit mit FloC und schlug einen Ersatz vor — die Topics API.

…macht ein schlechtes Ende

Die Topics-API versprach, die Fehler von FloC zu beheben, d. h. Tracking und Datenschutz ein für alle Mal zu vereinen. Aber in diesem Fall, wie auch im vorherigen, konnten die beiden Gegensätze unmöglich miteinander in Einklang gebracht werden, und so wurden sie es auch nicht.

Die neue API könnte als eine Verbesserung von FloC angesehen werden. Kurz gesagt funktioniert sie so: Jede Woche werden die fünf beliebtesten Themen auf dem Gerät des Nutzers anhand seines Online-Verhaltens ermittelt, und ein zufälliges sechstes Thema wird hinzugefügt. Anstelle einer Kohorten-ID teilt ein Browser mit aktivierter Themenfunktion die drei Themen, für die sich ein Nutzer interessiert (jeweils eines aus den letzten drei Wochen), mit Websites und Werbekunden. Um zu verhindern, dass Websites die Nutzer:innen identifizieren können, hat Google vorgeschlagen, dass verschiedene Websites unterschiedliche Themen erhalten. Außerdem versprach Google, sensible Kategorien aus den Themen auszuschließen.

Der Vorschlag mag auf dem Papier gut klingen, aber wie wir in unserem tiefen Einblick in die Topics-API und Googles Privacy Sandbox als Ganzes gezeigt haben, wird er große Unternehmen, die verschiedene Dienste nutzen, nicht davon abhalten, Nutzer:innen zu identifizieren. Wenn überhaupt, würde dies nur das bestehende Werbemonopol von Google stärken.

Innerhalb des letzten Jahres haben sich viele Branchenvertreter gegen Googles Vorschlag ausgesprochen, darunter Mozilla, der Hersteller von Firefox, und Apples WebKit.

Zunehmende Kritik

In einem Kommentar zum vorgeschlagenen Ersatz für Cookies von Drittanbietern im letzten Monat schrieb Martin Thomson von Mozilla, dass die neue API „eher die Nützlichkeit der Informationen für Werbetreibende verringert, als einen sinnvollen Schutz der Privatsphäre bietet“. Thomson kam zu dem Schluss, dass die neue API „eine starke Voreingenommenheit“ gegenüber großen Industrieunternehmen schaffen würde, und argumentierte, dass der Schutz der Privatsphäre „nicht ausreicht, um den Nutzer:innen die Gewissheit zu geben, dass sie nicht erneut identifiziert und verfolgt werden können“.

WebKit, die in Safari verwendete Browser-Engine, spricht sich ebenfalls gegen die API aus. WebKit merkte an, dass die Topics-API das Problem der seitenübergreifenden Datenweitergabe nicht löst und etablierte Akteure wie Ad-Tracker davon profitieren würden. WebKit argumentierte auch, dass die Topics-API das Targeting auf der Grundlage sensibler Interessen nicht verhindern würde, da diese von Kultur, Region und Alter abhängen und nicht ein für alle Mal definiert werden können.

Ein anderer Browser, der datenschutzfreundliche Brave, kritisierte die Topics-API scharf und bezeichnete sie als einen Versuch von Google, „FloC umzubenennen“, ohne die zugrunde liegenden Datenschutzprobleme anzugehen. „Beide Systeme sind so konzipiert, dass sie ohne aktive Erlaubnis oder Zustimmung Informationen über Sie an Werbetreibende und Organisationen weitergeben, die Sie nicht kennen und die die Privatsphäre der Internetnutzer:innen rundheraus ablehnen.“

Google weigert sich, nachzugeben

Die überwältigend negative Reaktion auf FLoC veranlasste Google einmal dazu, es zu verwerfen und nach Alternativen zu suchen. Doch dieses Mal hat Google trotz der Gefahr einer begrenzten Browserakzeptanz signalisiert, dass es nicht die Absicht hat, einen Rückzieher zu machen. In seiner Antwort an TAG sagte Google, dass es die Implementierung der Topics API wie geplant fortsetzen wird.

Wir schätzen den Beitrag von TAG, stimmen aber nicht mit ihrer Darstellung überein, dass Topics den Status quo beibehält. Google setzt sich für Topics ein, da es eine erhebliche Verbesserung des Datenschutzes gegenüber Cookies von Drittanbietern darstellt, und wir machen weiter.

Was wir daraus mitnehmen können

Die Reaktion von Google auf die wachsende Kritik an seiner Topics-API ist zwar nicht überraschend, aber dennoch enttäuschend. Der Tech-Riese scheint wild entschlossen zu sein, die Technologie trotz der fehlenden Zustimmung der Industrie zu implementieren. Dies ist ein weiteres Beispiel für die marktbeherrschende Stellung, die sich Google erarbeitet hat und die es ihm ermöglicht, ohne Rücksicht auf andere Akteure zu handeln.

Zum Glück für AdGuard-Benutzer:innen ist Googles neuer Tracking-Trick kein großes Problem, denn wir haben die Topics-API bereits blockiert.