Ein neuer Bericht einer unabhängigen Wirtschaftsprüfungsagentur mit Sitz in Kalifornien zeigt, dass in den letzten Jahren auf Websites aufgetauchte Cookie-Einwilligungs-Pop-ups, die angeblich Nutzern die Möglichkeit geben sollen, „zu wählen“, ob sie von Anzeigen getrackt werden möchten, in vielen Fällen tatsächlich nutzlos sind – selbst wenn Nutzer ausdrücklich auf „Ablehnen“ klicken, setzen große Werbetechnologieunternehmen wie Google, Microsoft und Meta weiterhin wie üblich Tracking-Cookies ein und zahlen als „kostengünstigere“ Option Bußgelder, die Milliarden von Dollar erreichen können.

Der von der Prüfungsagentur webXray im März 2026 veröffentlichte Prüfungsbericht wies darauf hin, dass Technologiegiganten die Cookie-Ablehnungssignale der Benutzer beim Besuch kalifornischer Websites im Allgemeinen ignorierten und weiterhin das Benutzerverhalten mithilfe von Cross-Site-Cookies verfolgten. Google, Microsoft und Meta bestreiten diese Schlussfolgerung. Diese Cookie-Popups wurden als Reaktion auf europäische Datenschutzbestimmungen erstellt, die von Websites verlangen, dass sie die ausdrückliche Zustimmung der Benutzer einholen, bevor sie Anzeigen schalten oder Cookies verfolgen.

Nachdem sich Benutzer jahrelang über „undurchsichtige Inhalte und verlockende Klicks“ und „Menschen lesen im Grunde nicht direkt“ beschwert haben, haben die europäischen Regulierungsbehörden kürzlich auf eine Vereinfachung der Cookie-Regeln gedrängt, doch die jüngste Prüfung von webXray ergab, dass die tatsächliche Situation immer noch nicht optimistisch ist. In einem Stichprobentest mit kalifornischen Nutzern setzten 55 % der Websites immer noch Cookies, nachdem Nutzer auf „Verweigern“ geklickt hatten, und 78 % der Pop-ups zur Cookie-Einwilligung setzten die Wahl des Nutzers technisch nicht um, sondern dienten lediglich der Dekoration. webXray schätzt, dass diese Werbetechnologieunternehmen bei strikter Befolgung der aktuellen Regeln möglicherweise Bußgelder in Höhe von etwa 5,8 Milliarden US-Dollar zahlen müssen, sie scheinen es jedoch vorzuziehen, „zuerst zu verfolgen und dann die Bußgelder für die Kosten verantwortlich zu machen“.

Die Prüfergebnisse zeigen, dass die Werbetechnologiekomponente auf Websites, die die Werbenetzwerke von Google oder Microsoft nutzen, auch dann Anweisungen zum Platzieren von Cookies auf dem Gerät des Benutzers erteilt, wenn das System explizit ein Benutzerablehnungssignal empfängt. webXray verfolgte dieses Verhalten anhand öffentlicher Netzwerkverkehrsaufzeichnungen und ging davon aus, dass die betreffenden Unternehmen es kaum verheimlichten, es aber weiterhin offen verfolgten. In Bezug auf konkrete Daten ignorierte das Werbenetzwerk von Microsoft etwa die Hälfte der „Disavow“-Signale und verfolgte weiterhin Benutzer auf 35 % der Kunden-Websites, was zu einer geschätzten Geldstrafe von etwa 390 Millionen US-Dollar führte.

Die Situation von Google ist sogar noch ernster: Die Prüfung ergab, dass das Unternehmen 86 % der Ablehnungsanfragen ignorierte und weiterhin das Nutzerverhalten auf 77 % seiner Websites aufzeichnete, was potenziellen Bußgeldern in Höhe von 2,31 Milliarden US-Dollar entspricht. Gleichzeitig wurde die Implementierung von Meta dafür kritisiert, dass sie „Ablehnungssignale überhaupt nicht berücksichtigt“: Der Tracking-Code scheint technisch gesehen die einheitlichen Opt-out-Anweisungen des Benutzers überhaupt nicht zu prüfen. Von den Websites, die Ausstiegssignale erkennen, entscheiden sich 69 % immer noch dafür, diese zu ignorieren, und 21 % verfolgen sie weiterhin. webXray schätzt, dass Meta dafür möglicherweise Geldstrafen in Höhe von bis zu 9,3 Milliarden US-Dollar gezahlt hat.

Timothy Libert, Gründer und CEO von webXray, arbeitete zuvor als Datenschutzingenieur bei Google. In einem Interview mit 404 Media sagte er, dass die Führungskräfte von Unternehmen während seiner Amtszeit oft nicht klar zwischen „Steuern“ und „Strafen“ unterschieden hätten. Dies bedeutete, dass Bußgelder bei einigen Geschäftsentscheidungen als vorhersehbare und akzeptable Betriebskosten und nicht als Compliance-Risiko angesehen wurden, das vermieden werden muss.

Angesichts der Schlussfolgerungen des Audits widerlegten alle drei großen Unternehmen, dass der Bericht die Art und Weise, wie ihre Technologie implementiert wurde, „missverstanden“ habe. Microsoft gab an, dass einige Cookies für die Funktionalität der Website von entscheidender Bedeutung sind und nicht einfach als Tools zur Werbeverfolgung betrachtet werden können. Während Meta betonte, dass unter bestimmten technischen Konfigurationen die Website selbst das einheitliche Exit-Signal außer Kraft setzen oder ändern kann, was bedeutet, dass ein Teil der Verantwortung beim Website-Betreiber und nicht beim Plattformcode selbst liegt. Nach Ansicht von webXray besteht jedoch eine deutliche Lücke zwischen den aktuellen tatsächlichen Implementierungsergebnissen und der ursprünglichen Absicht der Aufsicht, was bedeutet, dass es selbst dann, wenn Benutzer geduldig das Popup-Fenster lesen und „Ablehnen“ wählen, immer noch schwierig ist, ihre Datenschutzrechte wirklich zu schützen.