Bei einem sind sich mittlerweile (fast) alle einig: So wie es derzeit im Web läuft, kann es einfach nicht weitergehen. Das umfassende User-Tracking, das die Grundlage für große Teile der Onlinewerbung darstellt, ist über die Jahre immer stärker in die Kritik gekommen. Die Basis dafür bieten vor allem die sogenannten Drittanbieter-Cookies, über die seitenübergreifend Daten im Browser gespeichert werden können. Diese will Google nun zwar abschaffen, sie aber mit einer "datenschutzfreundlichen" Alternative ersetzen, wie man es selbst formuliert: die sogenannte Privacy Sandbox.

Beschwerde

Genau das bringt dem Unternehmen nun aber neues Ungemach ein. Die in Wien ansässige Datenschutz-NGO Noyb hat nun nämlich eine DSGVO-Beschwerde gegen die Privacy Sandbox eingebracht. Dabei stößt man sich vor allem an der Art, wie das neue System über die letzten Monate den Nutzerinnen und Nutzern von Chrome unterbreitet wurde, und zwar über eine Reihe von sogenannten Dark Patterns, wie Noyb kritisiert.

Google Logo am Googleplex in Mountain View
Datenschützer kritisieren: Hinter den schönen Versprechungen Googles rund um die Privacy Sandbox verbirgt sich bloß weiteres Tracking. Und zwar Tracking, für das man sich mit irreführenden Dialogen die Zustimmung sichert.
Proschofsky / STANDARD

Das beginnt schon mit der Benennung: Google verkauft die Privacy Sandbox als eine Datenschutzfunktion. Doch auch wenn diese unzweifelhaft ein weniger invasives Tracking als aktuell genutzte Methoden darstellt, so ist es doch eben zunächst einmal vor allem eines: ein zusätzliches Tracking, wie auch in einem STANDARD-Hintergrundbericht zu dem Thema im Vorjahr festgehalten wurde.

Widerspruch

"Google hat seine Nutzer:innen einfach belogen. Die Leute dachten, sie würden einer Datenschutzfunktion zustimmen. Stattdessen wurden sie dazu verleitet, Googles First-Party-Werbetracking zu akzeptieren", kritisiert Noyb-Vorsitzender Max Schrems. Und weiter: "Um gültig zu sein, muss eine Einwilligung informiert und unmissverständlich sein. Google hat genau das Gegenteil getan."

Der Softwarehersteller habe zudem mit unterschiedlichen Formulierungen experimentiert, um Chrome-Userinnen und -User zum Einwilligen zu bringen. Würde man hingegen offen sagen, dass es sich dabei um eine neue Form des Trackings handle – egal ob weniger invasiv oder nicht –, würde wohl kaum jemand zustimmen. "Weniger schrecklich zu sein ist kein Datenschutzfeature", bringt es Noyb auf den Punkt. "Wenn man den Leuten nur weniger Geld stiehlt als ein anderer Dieb, kann man sich nicht als 'Vermögensschützer' bezeichnen. Aber das ist im Grunde genau das, was Google hier macht", spitzt Schrems die eigene Kritik weiter zu.

Die Datenschutzgrundverordnung (DSGVO) schreibt in Artikel 4(11) vor, dass es einer "informierten und unmissverständlichen" Einwilligung der User vor der Aktivierung solcher datensammelnden Funktionen bedarf. Die sieht Noby durch die Verwendung solcher Dark Patterns als nicht gegeben an.

Bei Google hat man wenig überraschend eine andere Sicht der Dinge und kann die Kritik nicht teilen. In einem Statement gegenüber dem STANDARD heißt es: "Diese Beschwerde verkennt die bedeutenden Datenschutz-Mechanismen, die wir in die Privacy Sandbox-APIs eingebaut haben, einschließlich in die Topics-API, sowie die bedeutende Verbesserung des Datenschutzes, die sie im Vergleich zu den heutigen Technologien bieten, einschließlich der Drittanbieter-Cookies. Die Privacy Sandbox wurde entwickelt, um die Privatsphäre der Nutzer:innen zu verbessern und der Branche datenschutzfreundliche Alternativen zum Cross-Site-Tracking anzubieten. Wir stehen in engem Kontakt mit Datenschutz- und Wettbewerbsbehörden auf der ganzen Welt und werden dies auch weiterhin sein, um ein ausgewogenes Ergebnis zu erzielen, welches für Nutzer:innen und das gesamte Ökosystem funktioniert."

Nicht die einzige Kritik

Während die Privacy Sandbox mittlerweile bei allen Chrome-Usern aktiviert oder zumindest angeboten wurde, bleibt weiterhin unklar, wie es mit dem Ende der Drittanbieter-Cookies weitergeht. Eigentlich wollte Google sie bis Ende des Jahres komplett abgeschafft haben, dieses Unterfangen wurde aber vor einigen Monaten auf frühestens Anfang 2025 verschoben. Der Grund dafür: Bedenken von Regulatoren, konkret der britischen Competition and Markets Authority (CMA).

Dahinter stehen wiederum ganz andere Bedenken: Denn auch wenn alle übereinstimmen, dass ein Streichen der Drittanbieter-Cookies ein Gewinn für die Privatsphäre wäre, so könnte dies doch unerfreuliche Nebeneffekte für den Online-Werbemarkt haben. Immerhin bekommt Google selbst sehr viele private Informationen direkt von seinen Usern, ist also im Vergleich zu anderen Anbietern viel weniger von solchen Daten Dritter abhängig. Das könnte die Dominanz von Google – oder auch Meta – noch weiter stärken, während es für kleinere Anbieter erheblich schwieriger würde. (Andreas Proschofsky, 13.6.2024)