Chrome hat Drittanbieter-Cookies abgeschafft. Die Werbebranche hat sich mit etwas Schlimmerem neu aufgestellt.

Google kündigte im Januar 2020 erstmals an, Drittanbieter-Cookies im Chrome-Browser abzuschaffen, mit einem Zieltermin Anfang 2022. Nach vier Jahren Verzögerung – verursacht durch Widerstand der Werbebranche, Eingriffe der britischen Wettbewerbs- und Marktaufsichtsbehörde (CMA) und mehrere gescheiterte Iterationen der Privacy-Sandbox-Ersatz-APIs – schloss Google die Abschaffung Mitte 2025 ab. Jeder Chrome-Nutzer weltweit surft nun ohne Drittanbieter-Cookies, gemeinsam mit Firefox- und Safari-Nutzern, die dies bereits seit 2019 bzw. 2017 taten.

Die lang versprochene Verbesserung des Datenschutzes war da. Die Werbebranche hat sich angepasst. Und eine wachsende Zahl von Forschungsarbeiten deutet darauf hin, dass das, was Drittanbieter-Cookies ersetzt hat, in der Summe invasiver ist – weil es schwerer zu erkennen und unmöglich zu löschen ist.

Was Drittanbieter-Cookies eigentlich taten

Ein Drittanbieter-Cookie wird von einer anderen Domain gesetzt als der, die Sie besuchen. Sie gehen auf eine Nachrichtenseite; ein Werbenetzwerk setzt ein Cookie von seiner eigenen Domain, das Ihnen auf andere Websites folgt, die dasselbe Werbenetzwerk nutzen. Dieses Cookie ermöglicht websiteübergreifendes Tracking: Das Werbenetzwerk weiß, dass Sie die Nachrichtenseite, die Shopping-Seite und die Sportseite besucht haben, und kann ein Profil Ihrer Interessen erstellen, um Werbung gezielt auszuspielen.

Der Grund, warum Cookies gleichzeitig allgegenwärtig und schließlich abgeschafft wurden, ist, dass sie technisch transparent sind. Die Entwicklertools Ihres Browsers zeigen Ihnen genau, welche Cookies von wem gesetzt werden. Datenschutzorientierte Browsererweiterungen wie uBlock Origin konnten Drittanbieter-Cookies problemlos blockieren. Nutzer, die von ihrer Existenz wussten, hatten Werkzeuge, um sie zu stoppen. Regulierungsbehörden verstanden, wie sie Regeln dafür aufstellen konnten – die DSGVO-Anforderungen an die Einwilligung für Cookies waren unvollkommen, aber verständlich.

Googles Privacy Sandbox: Was Cookies ersetzte

Privacy Sandbox ist Googles Sammelbegriff für die APIs, die Drittanbieter-Cookies ersetzten. Die beiden bedeutendsten:

Topics API klassifiziert Ihr Surfverhalten in eine von etwa 470 Interessenkategorien (Sport, Finanzen, Kochen, Technologie) und gibt teilnehmenden Werbetreibenden Zugriff auf drei Ihrer aktuellen Hauptthemen, ohne preiszugeben, welche Websites Sie besucht haben. Die Interessenhistorie verbleibt im Browser, nicht auf externen Servern. Google bezeichnet dies als eine Verbesserung des Datenschutzes – und das ist es auch, verglichen mit dem granularen websiteübergreifenden Tracking, das Drittanbieter-Cookies ermöglichten. Kritiker merken an, dass der Werbetreibende dennoch etwas über Ihre Interessen erfährt, die Klassifizierung von Googles Modellen durchgeführt wird und es innerhalb von Chrome keine Opt-out-Möglichkeit gibt, außer die Funktion vollständig zu deaktivieren.

Protected Audience API (ehemals FLEDGE) kümmert sich um Retargeting – die Erfahrung, Werbung für ein Produkt zu sehen, das Sie auf einer Website angesehen haben, während Sie eine andere besuchen. Bei Protected Audience läuft die Retargeting-Logik in einer abgeschotteten Umgebung innerhalb des Browsers und nicht auf einem externen Werbeserver. Der Werbetreibende kann Sie basierend auf früheren Website-Besuchen ansprechen, ohne dass das Werbenetzwerk erfährt, welche Websites Sie besucht haben. Das ist technisch elegant. Aus Nutzersicht ist es jedoch identisch mit dem, was Cookies boten: Sie sehen Werbung für Dinge, die Sie sich kürzlich angesehen haben.

Privacy Sandbox bietet Werbetreibenden etwa 80 % dessen, was Drittanbieter-Cookies boten – genug, um Googles Werbegeschäft intakt zu halten – während es technisch gesehen Nutzerdaten für weniger externe Parteien sichtbar macht. Ob dies eine sinnvolle Verbesserung des Datenschutzes darstellt, hängt davon ab, was Sie ursprünglich als Problem mit Cookies betrachteten.

Die Fingerprinting-Explosion

Browser-Fingerprinting nutzt Merkmale Ihrer Browserkonfiguration – Bildschirmauflösung, installierte Schriftarten, GPU-Renderer-Informationen, Audioverarbeitungsverhalten, Canvas-Rendering, Zeitzone, Spracheinstellungen – um eine quasi-eindeutige Kennung für Ihr Gerät zu generieren. Im Gegensatz zu Cookies werden Fingerabdrücke nicht auf Ihrem Gerät gespeichert, können vom Nutzer nicht gelöscht werden und erfordern nach den meisten aktuellen Rechtsrahmen keine Einwilligung.

Forschungsergebnisse des Web Transparency and Accountability Project der Princeton University, der Electronic Frontier Foundation und mehrerer akademischer Gruppen aus den Jahren 2024–2025 zeigen durchweg, dass die Nutzung von Drittanbieter-Tracking-Skripten nach der Cookie-Abschaffung in Chrome leicht zurückging, während die Einführung von Fingerprinting-Skripten deutlich zunahm. Eine Studie aus dem Jahr 2025, die 100.000 beliebte Websites untersuchte, fand Fingerprinting-Skripte auf 42 % der Seiten, gegenüber 26 % im Jahr 2022. Canvas-Fingerprinting (unsichtbaren Text in einem versteckten Element zeichnen und messen, wie die GPU ihn rendert) ist heute auf der Mehrheit der großen kommerziellen Websites vorhanden.

Die Mechanismen werden zunehmend ausgefeilter. AudioContext-Fingerprinting verarbeitet ein kleines Audiosignal und misst, wie der Audio-Stack des Geräts es verarbeitet – Variationen in Hardware und Software erzeugen eine erkennbare Signatur. WebGL-Fingerprinting rendert eine 3D-Szene und liest die Ausgabe aus – GPU-Varianten erzeugen konsistente, verfolgbare Unterschiede. Diese Techniken funktionieren sogar im privaten Modus, selbst mit den meisten Cookie-blockierenden Erweiterungen und selbst wenn der Nutzer das Tracking innerhalb der Einwilligungsverwaltungsplattform einer Website abgelehnt hat.

Serverseitiges Tracking: Der Infrastrukturwandel

Gleichzeitig mit den Änderungen auf Browser-Ebene verlagerte die Werbebranche bedeutende Tracking-Infrastruktur auf die Serverseite. Serverseitiges Tagging – die Platzierung von Google Tag Manager, Metas Conversion API (CAPI) und anderen Tracking-Tools auf einem eigenen Server anstatt sie von einer Drittanbieter-Domain zu laden – macht die Blockierung von Cookies auf Browser-Ebene praktisch irrelevant. Wenn Ihr Analyseserver die Aufrufe tätigt, sieht Ihr Browser nie eine Drittanbieter-Anfrage, die es zu blockieren gälte.

Facebook CAPI, das 2020 in Erwartung der iOS-Tracking-Einschränkungen eingeführt wurde, erlaubt es Werbetreibenden, Konversionsdaten direkt von ihren Servern an Meta zu senden – und damit die Datenschutzkontrollen auf Browser-Ebene vollständig zu umgehen. Metas Daten deuten darauf hin, dass CAPI 10–15 % des Konversions-Trackings zurückgewinnt, das iOS App Tracking Transparency und Werbeblocker sonst verhindern würden. Googles Enhanced Conversions macht dasselbe für Google Ads. Beide Tools verwenden gehashte E-Mail-Adressen und Telefonnummern als Identifikatoren, gleichen Nutzer über Sitzungen hinweg ab – auf eine Weise, die nach DSGVO legal ist (da sie auf Daten beruhen, die der Nutzer freiwillig bereitgestellt hat), aber für den Nutzer unsichtbar und unmöglich zu verhindern ist, ohne jemals Kontaktinformationen mit irgendeiner Website zu teilen.

Was sich tatsächlich verbessert hat

Das Web nach den Cookies ist nicht durchweg schlecht für den Datenschutz. Einige Dinge haben sich tatsächlich verbessert:

Der lange Schweif obskurer Drittanbieter-Tracker – kleine Werbenetzwerke und Datenmakler, die auf Cookie-Synchronisation zwischen Publishern angewiesen waren, um Profile zu erstellen – wurde erheblich gestört. Cookie-Synchronisation (zwei Tracker teilen Cookie-IDs, um Nutzeridentitäten über ihre jeweiligen Datenbanken hinweg abzugleichen) funktioniert ohne Cookies nicht. Dies hat das Tracking-Ökosystem um eine kleine Anzahl großer Player (Google, Meta, einige große CDPs) konsolidiert, anstatt es über Hunderte kleinerer Broker zu verteilen. Ob konzentriertes Tracking durch drei große Unternehmen besser ist als verteiltes Tracking durch 300 kleine Unternehmen, ist eine legitime philosophische Frage.

Die Erhebung von Erstanbieter-Daten und kontextbezogene Werbung sind beide tatsächlich weniger invasiv als verhaltensbasiertes Tracking in großem Maßstab. Ein Publisher, der Werbung basierend auf dem Inhalt eines Artikels und nicht auf Ihrer Browser-Historie verkauft, baut kein Überwachungsprofil auf. Kontextbezogene Werbung erlebt ein Comeback, und mehrere große Publisher, die in redaktionelle Qualität und direkte Publikumsbeziehungen investiert haben, haben die Erwartungen in einer Welt ohne Cookies übertroffen.

Das regulatorische Umfeld hat sich ebenfalls verschärft. Das britische Information Commissioner's Office veröffentlichte 2024 Durchsetzungsleitlinien zum Fingerprinting, behandelte es als Verarbeitung personenbezogener Daten gemäß der britischen DSGVO und forderte denselben Einwilligungsrahmen wie für Cookies. Der Europäische Datenschutzausschuss (EDSA) gab ähnliche Leitlinien heraus. Ob die Durchsetzung im Maßstab des Webs wirksam sein wird, bleibt abzuwarten – Regulierungsbehörden haben Mühe, mit der technischen Umsetzung Schritt zu halten –, aber die Rechtslage behandelt Fingerprinting nicht länger als kostenlose Alternative zu Cookies.

Die praktischen Konsequenzen für Nutzer

Wenn Sie Firefox mit uBlock Origin oder Safaris Intelligent Tracking Prevention verwenden, hat sich Ihre Datenschutzlage mit der Cookie-Abschaffung verbessert und bleibt besser als die von Chrome. Firefox blockiert bekannte Fingerprinting-Skripte. Safaris ITP begrenzt den websiteübergreifenden Datenaustausch, der Fingerprinting kommerziell nutzbar macht. Chromes Privacy Sandbox schützt Sie vor einigem websiteübergreifenden Tracking, hält Sie aber innerhalb von Googles Werbeökosystem.

Wenn Sie ein Website-Betreiber sind, der für Analysen oder Attribution auf Drittanbieter-Cookies angewiesen war, lautet die praktische Antwort bis 2026: Erstanbieter-Datenplattformen, serverseitiges Ereignis-Tracking und konsentierter E-Mail-basierter Abgleich. Die Messlücken sind real, aber geringer als zunächst befürchtet. Verloren ging in erster Linie die Fähigkeit, Nutzer zu verfolgen, die explizit widersprochen haben – eine Fähigkeit, die es wohl von Anfang an nicht hätte geben sollen.

Die schwierigere Frage – ob das Web ohne Cookies sinnvoll privater ist als mit ihnen – hat eine unbequeme Antwort. Für die meisten Nutzer von Chrome, in den meisten Ländern, mit Standardeinstellungen, lautet die Antwort: geringfügig, in mancher Hinsicht, während Fingerprinting und serverseitiges Tracking expandiert sind, um die Lücken zu füllen. Die Abschaffung war ein echter und notwendiger Schritt. Sie war jedoch auch nur ein Schritt.