Der Cookie, der nie starb: Was sechs Jahre Datenschutzversprechen tatsächlich brachten
Die Beerdigung des Drittanbieter-Cookies wurde so oft angesetzt und wieder abgesagt, dass die Werbebranche aufgehört hat, darauf zu warten. Google kündigte die Abschaffung der Cookies im Januar 2020 an, mit Ziel 2022. Dann 2023. Dann 2024. Im Juli 2024 kehrte Google den Kurs komplett um – statt Cookies abzuschaffen, sollte Chrome den Nutzern einen Auswahl-Prompt anzeigen. Bis April 2025 war selbst der Prompt aufgegeben. Cookies bleiben in Chrome unter den üblichen Privatsphäre-Einstellungen erhalten – genau da, wo sie 2019 waren.
Am 17. Oktober 2025 stellte Google die Privacy Sandbox ein – das Dachprojekt, das die datenschutzfreundliche Werbeinfrastruktur aufbauen sollte, um die Cookie-Abschaffung möglich zu machen. Die Topics API, die Protected Audience API, die Attribution Reporting API und acht weitere Technologien wurden abgeschaltet. Sechs Jahre Branchenvorbereitung, hunderte Millionen Dollar Entwicklung und mehrere Runden regulatorischer Prüfung endeten mit dem unveränderten Status quo.
Warum die Privacy Sandbox scheiterte
Die technischen Gründe waren zweitrangig gegenüber den wirtschaftlichen. Das IAB Tech Lab kam nach einer sechsmonatigen Analyse zu dem Schluss, dass die Privacy Sandbox „erhebliche Hürden für die digitale Werbewirtschaft einführt“. Criteos Modellierung ergab, dass Publisher bis zu 60 Prozent ihrer Chrome-Werbeeinnahmen verlieren könnten, wenn die Privacy Sandbox der einzige Targeting-Mechanismus wäre. Index Exchange fand in Implementierungstests einen Rückgang der CPM-Raten um 33 Prozent. Die Akzeptanz der Topics API bei Publishern, die das interessenbasierte Targeting ersetzen sollte, überschritt nie die Schwellenwerte, die für Erlösneutralität nötig gewesen wären.
Die britische Wettbewerbs- und Marktaufsichtsbehörde CMA, die Googles Privacy-Sandbox-Verpflichtungen 2022 per rechtsverbindlicher Verfügung festgelegt hatte, entband Google im Oktober 2025 gleichzeitig von diesen Auflagen – obwohl alle 15 öffentlichen Konsultationsteilnehmer gegen die Aufhebung waren. Die CMA begründete dies damit, dass die Cookie-Abschaffung nicht mehr auf dem Tisch liege, sodass die Auflagen, die Googles Machtausübung einschränken sollten, keinen Zweck mehr hätten.
Werbetreibende und Publisher hatten jahrelang Privacy-Sandbox-Integrationen aufgebaut, Teams mit den neuen APIs vertraut gemacht und Kunden den Übergang erklärt. Die Reaktion der Branche auf die Einstellung reichte von Erleichterung über Erschöpfung bis hin zu Besorgnis, was als Nächstes kommt. Google behält enorme Kontrolle darüber, wie Werbung in Chrome funktioniert – mehr Kontrolle, so ließe sich argumentieren, als vor der Privacy-Sandbox-Saga, denn die Prüfung, die zur CMA-Verfügung führte, ist nun beendet.
Der Apple-Vergleich, der alles erklärt
Während sich die Cookie-Saga von Chrome in Zeitlupe abspielte, tat Apple etwas Einfaches: Es fragte die Nutzer, ob sie getrackt werden wollen, und setzte die Antwort durch. App Tracking Transparency (ATT), im April 2021 eingeführt, verlangt von Apps, vor dem Zugriff auf den Werbeidentifikator des Geräts einen Prompt anzuzeigen. In den USA sank die Tracking-Rate von 72,6 Prozent auf 17,9 Prozent – ein Rückgang um 54,7 Prozentpunkte. Die globale ATT-Opt-in-Rate lag Mitte 2025 bei etwa 35 Prozent, was bedeutet, dass etwa zwei Drittel der iOS-Nutzer das Tracking verweigern, wenn sie direkt gefragt werden.
Meta bezifferte die Werbeeinbußen allein durch ATT bis 2022 auf 13 Milliarden Dollar. Konversionsoptimierte Anzeigen verzeichneten einen Rückgang der Klickraten um 37 Prozent. Apps, die keine Opt-in-Rate von über 30 Prozent erreichen, verlieren Schätzungen zufolge 58 Prozent ihrer Werbeeinnahmen. Die Werbebranche passte sich an – über Metas Conversions API, Apples SKAdNetwork, modellierte Konversionen und First-Party-Daten-Strategien –, aber die Anpassung galt einem wirklich veränderten Umfeld, nicht einer Veränderung, die immer wieder verschoben wurde.
Der Kontrast ist lehrreich. Apple setzte Datenschutz durch, weil Apple Geräte und Software verkauft, keine Werbung. Seine Anreize decken sich mit der Privatsphäre der Nutzer. Googles Privacy Sandbox versuchte, einen Konflikt zwischen Nutzerprivatsphäre und dem Werbegeschäftsmodell zu lösen, das die Entwicklung von Chrome finanziert – und dieser Konflikt erwies sich letztlich als nicht auf eine Weise lösbar, die beide Seiten zufriedenstellt.
Was die Branche stattdessen gebaut hat
Die sechs Jahre Vorbereitung auf die Cookie-Abschaffung waren nicht umsonst. Sie beschleunigten die Entwicklung von Alternativen, die nun im großen Maßstab eingesetzt werden – auch wenn die Krise, die den Umstieg erzwingen sollte, nie eintrat.
Data Clean Rooms – sichere Umgebungen, in denen Werbetreibende und Publisher Abfragen über kombinierte Datensätze ausführen können, ohne dass eine Seite die rohen Nutzerdatensätze der anderen sieht – sind heute normalisierte Infrastruktur. Der Markt erreichte 2025 ein Volumen von 3,2 Milliarden Dollar und wächst jährlich um über 20 Prozent. Google, AWS, LiveRamp und Snowflake halten den Großteil des Marktes. Im Mai 2026 übernahm Publicis LiveRamp für 2,167 Milliarden Dollar – die größte Übernahme einer Agenturholding im Bereich Dateninfrastruktur –, was zeigt, dass Clean-Room-Fähigkeiten auf Holding-Ebene zu einer strategischen Ressource geworden sind. WPP kaufte InfoSum 2024.
Universelle Identitätslösungen haben bedeutende, aber ungleichmäßige Fortschritte erzielt. The Trade Desks Unified ID 2.0 (UID2), auf Basis von gehashten E-Mail-Adressen mit Nutzereinwilligung, deckt laut eigenen Angaben etwa 75 Prozent des Drittanbieter-Datenökosystems auf der Trade-Desk-Plattform ab. LiveRamps RampID ist in einem Netzwerk von über 1.000 Partnern verfügbar, das 2,9 Milliarden monatlich aktive mobile Geräte umfasst. Die Einschränkungen sind real: Ein großer CTV-Publisher verbrachte drei Monate damit, kryptografisch fehlerhafte UID2-Token zu generieren, ohne dass der Trade Desk die Fehler beanstandete – und nach der Korrektur sah er keine messbare Veränderung der Werbeeinnahmen. Das deutet darauf hin, dass Käufer UID2 in der Praxis noch nicht nutzten, trotz theoretischer Akzeptanzzahlen.
Server-seitiges Tracking ist zu einem Standardwerkzeug zur Wiederherstellung des Messsignals geworden. Indem sie Konversionsdaten direkt vom Server der Marke an Werbeplattformen senden, anstatt auf Browser-Pixel zu setzen, gewinnen Werbetreibende im Durchschnitt 34 bis 37 Prozent mehr attribuierte Konversionen zurück. Bei weltweit 1,77 Milliarden Nutzern von Werbeblockern messen client-seitige Pixel allein zwischen 60 und 80 Prozent der tatsächlichen Aktivität.
Was verloren ging und was sich änderte
Drittanbieter-Cookies ermöglichten deterministisches Cross-Site-Tracking: Derselbe Nutzer, der auf eine Social-Media-Anzeige klickte, eine Produktseite besuchte und über die Suche zurückkehrte, konnte auf ganzer Strecke protokolliert und attribuiert werden. Diese Kette ist außerhalb von Walled Gardens heute unterbrochen – nicht wegen der Chrome-Politik, sondern weil Safari und Firefox Drittanbieter-Cookies schon vor Jahren abgeschafft haben und einen erheblichen Anteil des Surfens ausmachen. Dass Chrome die Cookies behält, ist vor allem im programmatischen Ökosystem relevant, wenn es um das Targeting von Chrome-Nutzern geht.
Frequency Capping über Publisher hinweg – das Verhindern, dass ein Nutzer dieselbe Anzeige auf verschiedenen Websites vierzig Mal sieht – ist heute weitgehend Glückssache außerhalb von eingeloggten Umgebungen. Multi-Touch-Attribution über das offene Web ist in probabilistische Modelle kollabiert oder wurde zugunsten von Incrementality-Tests und Marketing-Mix-Modellierung aufgegeben. Nischen-B2B-Werbetreibende, die auf Cross-Site-Intent-Signale angewiesen waren, um spezifische Berufsgruppen zu erreichen, wurden am härtesten getroffen. Breite Konsumgüterwerbetreibende mit großen First-Party-Datenbeständen haben sich erfolgreicher angepasst.
Das programmatische Ökosystem des offenen Webs hat den Schaden aufgefangen, den die Walled Gardens komplett vermieden haben. Google Search, YouTube, Metas Plattformen und Amazon Retail Media operieren alle in authentifizierten First-Party-Umgebungen. Ihre Targeting-Fähigkeiten waren nie von Drittanbieter-Cookies abhängig und werden von der gesamten Saga nicht beeinträchtigt. Die Konsolidierung der Werbeausgaben auf diesen Plattformen, die in den Umsatzzahlen seit 2021 sichtbar ist, ist zumindest teilweise eine Folge der Unsicherheit, die die Cookie-Abschaffungssaga erzeugte – Marken verlagerten Investitionen dorthin, wo die Signale zuverlässig waren, und diese Oberflächen gehören zufällig den drei Unternehmen mit den größten First-Party-Datenbeständen der Erde.
Wie es weitergeht
Nach der Einstellung der Privacy Sandbox ist die W3C Private Advertising Technology Working Group nun der Ort, an dem Browserhersteller, Werbetreibende und Datenschutzaktivisten den nächsten Versuch datenschutzfreundlicher Werbemessung aushandeln. Die Gruppe baut auf Prinzipien des Differential Privacy auf – mathematisches Rauschen, das zu aggregierten Messberichten hinzugefügt wird, um die Identifizierung einzelner Nutzer zu verhindern –, das Apple bereits in SKAdNetwork und der ATT-Messung eingesetzt hat.
Die Arbeitshypothese lautet, dass der Weg, den Apple für mobile Werbung erzwungen hat, irgendwann auch im Web ankommen wird – entweder durch Regulierung oder Wettbewerbsdruck –, selbst wenn Google ihn nicht freiwillig gestalten konnte. Das EU-Digital Markets Act und die ePrivacy-Verordnung sind weiterhin aktive Regulierungsfronten. Die Werbebranche baut First-Party-Dateninfrastruktur, Clean-Room-Fähigkeiten und server-seitige Messung auf, nicht weil der Cookie dieses Jahr stirbt, sondern weil der Trend seines eventualen Niedergangs sich nicht geändert hat – nur der Zeitplan.