Laut dem Bericht von webXray ignorierte Google die Opt-out-Wünsche der Verbraucher in 86 Prozent der Fälle. „Googles Versäumnis, das GPC-Opt-out-Signal zu berücksichtigen, lässt sich im Netzwerkverkehr leicht nachweisen", heißt es darin. „Diese Nichteinhaltung ist leicht zu erkennen und liegt offen zutage." Geführt wird webXray von Timothy Libert, der bis 2023 bei Google die Richtlinien zum Cookie-Datenschutz verantwortete.
Der Bericht enthält nach eigenen Angaben Abbildungen, die zeigen sollen, wie Googles Server auf Opt-out-Signale reagieren — nämlich mit der Anweisung, ein Werbe-Cookie zu erzeugen. Wenn Googles Server auf die Netzwerkanfrage mit dem Opt-out antworte, erteile er ausdrücklich den Befehl, über den „set-cookie"-Befehl ein Werbe-Cookie namens IDE anzulegen, so der Bericht.
Ein Google-Sprecher erklärte, der Bericht beruhe auf einem „grundlegenden Missverständnis darüber, wie unsere Produkte funktionieren. Wir berücksichtigen die von Werbetreibenden und Publishern bereitgestellten Opt-outs, wie es das Gesetz verlangt."
Microsoft missachtete Opt-out-Wünsche dem Bericht zufolge in 50 Prozent der Fälle; die Methode, mit der das Unternehmen auf Opt-out-Signale mit unzulässigen Befehlen reagiere, ähnele dabei dem System von Google. Ein Microsoft-Sprecher betonte, der Schutz der Privatsphäre habe für das Unternehmen höchste Priorität: „Wenn wir ein GPC-Signal erhalten, schließen wir den Nutzer von der Weitergabe persönlicher Daten an Dritte für personalisierte Werbung aus." Bestimmte Microsoft-Cookies seien jedoch für betriebliche Zwecke notwendig und würden daher möglicherweise auch dann gesetzt und gelesen, wenn ein GPC-Signal erkannt werde.
Bei Meta lag die Quote der nicht berücksichtigten Opt-outs bei 69 Prozent. Der Code des Unternehmens „enthält keine Prüfung auf weltweit standardisierte Opt-out-Signale — er wird bedingungslos geladen, löst ein Tracking-Ereignis aus und setzt ein Cookie, unabhängig von den Datenschutzpräferenzen des Verbrauchers", heißt es im Bericht.
Ein Meta-Sprecher bezeichnete die Untersuchung als „dreisten Marketingschachzug, der falsch darstellt, wie die Einstellung Global Privacy Control funktioniert und welche Rolle Meta dabei spielt". Die Einstellung beschränke, wie Daten weitergegeben, nicht wie sie erhoben würden. Zudem verlange Meta bereits, dass Werbetreibende bei Nutzung des Meta-Pixels nur solche Informationen mit dem Unternehmen teilten, zu deren Weitergabe sie berechtigt seien.