DatenschutzHackerangriffeCyberkriminalität

Studie: Google, Meta und Microsoft ignorieren kalifornische Datenschutz-Opt-out-Anfragen

Studie: Google, Meta und Microsoft ignorieren kalifornische Datenschutz-Opt-out-Anfragen
Zusammenfassung

Ein aktuelles Audit der Datenschutzfirma WebXray hat erhebliche Verstöße gegen kalifornisches Datenschutzrecht durch führende Technologiekonzerne aufgedeckt. Die Untersuchung von über 7.600 Websites zeigt, dass Google, Meta und Microsoft in mindestens 50 Prozent der Fälle Opt-out-Anfragen ignorieren, die gemäß dem California Consumer Privacy Act (CCPA) von 2020 rechtlich bindend sind. Google schneidet dabei mit einer Ablehnungsquote von 86 Prozent am schlechtesten ab, gefolgt von Meta mit 69 Prozent und Microsoft mit etwa 50 Prozent. Das Audit dokumentiert technisch nachvollziehbar, wie diese Unternehmen Global Privacy Control-Signale missachten und trotzdem Tracking-Cookies setzen. Für deutsche Nutzer und Unternehmen ist dies relevant, da ähnliche Mechanismen auch unter der europäischen Datenschutz-Grundverordnung zum Einsatz kommen und vergleichbare Compliance-Probleme aufdecken könnten. Deutsche Behörden sollten prüfen, ob gleichartige Verstöße auch hierzulande vorliegen. Das Audit zeigt ein systemisches Versagen bei der Umsetzung von Nutzerschutzrechten und unterstreicht die Notwendigkeit strengerer Überwachungs- und Sanktionsmechanismen im digitalen Datenschutz.

Das kalifornische Consumer Privacy Act (CCPA) sollte eine Antwort auf die massive kommerzielle Überwachung im Internet sein. Doch neue Forschungsergebnisse offenbaren ein systematisches Versagen der Kontrolle: Die Datenschutzfirma WebXray hat in ihrer Audit-Studie vom März 2025 nachgewiesen, dass die drei größten Technologiekonzerne Datenschutz-Opt-out-Signale gezielt ignorieren.

Google schneidet am schlechtesten ab. Mit einer Fehlerquote von 86 Prozent missachtet der Suchmaschinen-Gigant das Global Privacy Control (GPC) – ein technisches Signal, das Nutzer über ihren Browser senden können, um ihre Daten nicht zu teilen oder zu verkaufen. Besonders fragwürdig: Google verwendet dabei einfache technische Tricks, um sich dieser Verpflichtung zu entziehen. Wenn ein Browser mit GPC-Signal Googles Server kontaktiert, sendet dieser das Kommando ‘sec-gpc: 1’. Googles Server ignoriert dies jedoch und setzt trotzdem ein Werbe-Cookie namens IDE – technisch leicht nachzuweisen und daher “versteckt in voller Sicht”, wie die Prüfer feststellen.

Meta rangiert mit 69 Prozent Fehlerquote knapp dahinter. Das Unternehmen instruiert Publisher, Tracking-Code auf ihren Seiten einzubauen, der gar keine Checks für das Global Privacy Control vorsieht. Obwohl Meta diesen Code öffentlich veröffentlicht, habe bislang niemand nachgefragt, warum diese Standardprotokolle fehlen, so die Audit-Ergebnisse.

Microsoft ehrt Opt-out-Signale immerhin etwa 50 Prozent der Zeit. Allerdings setzt das Unternehmen in ähnlicher Weise wie Meta das Microsoft User Identifier (MUID) Cookie, wenn dies nicht geschehen sollte.

Die Folgen dieser Nicht-Compliance sind erheblich: Google hat bereits 2,32 Milliarden Dollar in Datenschutz-Bußgeldern gezahlt, Meta sogar 9,3 Milliarden Dollar. Disney und Sephora wurden von Kaliforniens Generalstaatsanwalt jeweils mit Millionen-Bußgeldern belegt.

Obwohl WebXray betont, dass die Audit-Ergebnisse selbst keine rechtliche Bedeutung haben, zeigen sie ein strukturelles Problem: Große Tech-Konzerne behandeln Datenschutzgesetze wie optionale Guidelines. Die Prüfer empfehlen Sicherheitsexperten, kontinuierlich Opt-out-Signale zu testen, Third-Party-Datenflüsse zu audieren und Datenschutz wie Sicherheit zu monitoren.

Ähnliche Artikel