Für ihre Untersuchung analysierte WebXray 7.634 populäre Websites, die von einer kalifornischen privaten IP-Adresse aus aufgerufen wurden — einmal mit aktiviertem GPC und einmal ohne. Das Ergebnis: Große Technologieunternehmen ignorierten die weltweit definierten Opt-out-Signale schlicht, was den Verdacht einer Nichteinhaltung der kalifornischen Vorgaben im industriellen Maßstab nahelege.

Google schneidet dabei am schlechtesten ab. Der Konzern weist laut den Ergebnissen eine Opt-out-„Fehlerquote" von 86 Prozent auf und hat bislang 2,32 Milliarden US-Dollar an Datenschutzstrafen gezahlt. Die Forscher beschreiben den Mechanismus als im Netzwerkverkehr leicht auffindbar: Sendet ein Browser mit GPC den Code „sec-gpc: 1" an Googles Server, sollte Google keine Cookies zurückgeben. Stattdessen antworte der Server ausdrücklich mit dem Befehl „set-cookie" und lege ein Werbe-Cookie namens IDE an. Diese Nichteinhaltung sei „leicht zu erkennen und versteckt sich im Verborgenen ganz offen".

Meta folgt mit einer Fehlerquote von 69 Prozent. Ursache sei vor allem ein Tracking-Code, den das Unternehmen seinen Publishern zur Installation vorgibt und der „keine Prüfung auf weltweit standardisierte Opt-out-Signale" enthalte. Der Facebook- und Instagram-Eigentümer hat WebXray zufolge bislang 9,3 Milliarden US-Dollar an Datenschutzstrafen gezahlt. Obwohl Meta diesen Code öffentlich veröffentliche, habe bisher niemand gefragt, warum er die Prüfung auf das GPC-Signal auslasse.

Microsoft beachtet Opt-out-Signale etwa in der Hälfte der Fälle und hat bisher 390 Millionen US-Dollar an Datenschutzstrafen gezahlt. Laut der Prüfung scheitert das Werbenetzwerk auf ähnliche Weise wie bei Meta: Es setze auf der Domain bing.com das Werbe-Cookie Microsoft User Identifier (MUID), obwohl Microsofts Tracking-Pixel eigentlich so eingestellt sei, dass es kein Cookie zurückgibt.

Auf Anfragen von Dark Reading reagierten Google und Microsoft am Mittwoch zunächst nicht. In einem öffentlichen Bericht argumentierten Google und Meta jedoch, ihre Datenschutzfunktionen würden falsch dargestellt; Microsoft erklärte, der Schutz der Privatsphäre der Verbraucher habe für das Unternehmen oberste Priorität. Eine Meta-Sprecherin nannte die Prüfung gegenüber Dark Reading „einen plumpen Marketing-Trick, der falsch darstellt, wie die Global-Privacy-Control-Einstellung funktioniert und welche Rolle Meta dabei spielt". Die Einstellung beschränke, wie Daten geteilt, nicht wie sie erhoben würden; Werbetreibende dürften beim Einsatz des Meta-Pixels nur Informationen weitergeben, zu deren Weitergabe sie berechtigt seien.

WebXray betont, dass die Prüfung für sich genommen keine rechtliche Bindung habe und die Ergebnisse nicht als Gesetzesverstöße gegen den CCPA zu werten seien. Es gebe jedoch Präzedenzfälle: Der kalifornische Generalstaatsanwalt verhängte 2022 gegen Sephora 1,2 Millionen und 2025 gegen Disney 2,75 Millionen US-Dollar wegen CCPA-Verstößen. Die Prüfung reiht sich zudem in eine Studie der University of California, Irvine, aus dem Jahr 2025 ein, wonach die Hälfte der Datenhändler im Netz Opt-out-Anfragen ignoriert.