Google kehrte sein Fingerprinting-Verbot um – und beerdigte Privacy Sandbox. So sieht Online-Tracking heute aus.
Die Geschichte, die hätte passieren sollen: Google würde Third-Party-Cookies abschaffen, die Branche zwingen, Privacy-Sandbox-Alternativen zu übernehmen, und das Web würde privater werden. Die Geschichte, die tatsächlich passierte: Google hob sein Fingerprinting-Verbot im Februar 2025 auf, stellte Privacy Sandbox im April 2025 offiziell ein, schloss die seit 2020 immer wieder versprochene Cookie-Abschaffung nie ab – und 2026 ist Online-Tracking technisch ausgefeilter und für Nutzer schwerer zu blockieren als zu Beginn dieser Geschichte.
Um zu verstehen, was passiert ist, muss man drei verschiedene Stränge trennen, die in der Berichterstattung durcheinandergeraten sind: das Schicksal der Third-Party-Cookies, das Schicksal von Privacy Sandbox und den Aufstieg von Fingerprinting als Nachfolge-Tracking-Methode. Sie hängen zusammen, sind aber nicht dieselbe Geschichte.
Was mit Third-Party-Cookies geschah
Third-Party-Cookies – der Mechanismus, der es einem Ad-Netzwerk ermöglicht, Sie über verschiedene Websites hinweg zu erkennen, auf denen seine Anzeigen erscheinen – sollten in Chrome bis 2022 sterben. Diese Frist verschob sich auf 2023, dann 2024, dann Q4 2025. Im April 2025 bestätigte Google, dass es keine universelle Abschaffung von Third-Party-Cookies in Chrome umsetzen würde. Stattdessen würden die bestehenden Cookie-Einstellungen in Chrome beibehalten und Nutzer einmalig aufgefordert, ihre Präferenzen zu konfigurieren.
Das ist kein technischer Sieg für Third-Party-Cookies. Safari und Firefox blockieren Cross-Site-Tracking seit Jahren standardmäßig, und diese Browser machen zusammen etwa 35 % des globalen Web-Traffics aus. Chomes Entscheidung, nicht abzuschaffen, bedeutet, dass Third-Party-Cookies in dem Browser, den 65 % des Webs nutzen, weiterleben – aber die Werbeindustrie hatte sich bereits auf ihren eventuellen Tod eingestellt, und viele dieser Anpassungen basierten auf Fingerprinting.
Das praktische Ergebnis: Third-Party-Cookies funktionieren in Chrome immer noch, aber ihre Reichweite wird durch Consent-Frameworks, die Tatsache, dass viele Nutzer Cookie-Banner ignorieren oder ablehnen, und die fortschreitende Erosion ihrer Effektivität eingeschränkt, da die Identitätsauflösung auf andere Methoden umsteigt.
Privacy Sandbox: Die Alternative, die nie kam
Privacy Sandbox war Googles Versuch, die Funktionalität von Third-Party-Cookies durch datenschutzfreundliche Alternativen zu ersetzen. Die Flaggschiff-Vorschläge – Topics API (interessenbasierte Werbung ohne individuelles Tracking), Attribution Reporting API (Messung von Anzeigenkonversionen ohne Cross-Site-Daten) – sollten das Werbe-Ökosystem ohne individuelle Cross-Site-Identifikatoren funktionsfähig halten.
Privacy Sandbox wurde im April 2025 offiziell eingestellt. Die genannten Gründe: geringe Akzeptanz bei Websites und der Ad-Tech-Branche, regulatorischer Druck durch die britische Wettbewerbsbehörde (die Bedenken hatte, ob Privacy Sandbox vor allem Googles Werbegeschäft nützt, nicht dem breiteren Ökosystem), und die praktische Realität, dass ohne die erzwungene Cookie-Abschaffung kein zwingender Grund für die Branche bestand, unvollständige Alternativen zu übernehmen.
Die ICO in Großbritannien vertrat die Ansicht, dass Privacy Sandbox immer noch eine explizite Nutzereinwilligung für Tracking-Zwecke erforderte – das heißt, Privacy Sandbox löste das Consent-Problem nicht, es verschob nur, wo Consent erforderlich war. Mit dieser regulatorischen Entscheidung verdampfte die wirtschaftliche Grundlage für die Übernahme von Privacy Sandbox weitgehend.
Die Fingerprinting-Kehrtwende: Was sich änderte und was das bedeutet
Browser-Fingerprinting – das Erstellen einer eindeutigen Geräte-ID durch Kombination von Merkmalen wie GPU-Rendering-Verhalten, installierte Schriften, Bildschirmauflösung, Zeitzone, Akkustand und Hunderten anderer Signale – ist seit Jahren technisch möglich. Google hatte Fingerprinting zuvor als Verstoß gegen seine Werberichtlinien eingestuft und es in dieselbe Kategorie wie Praktiken eingeordnet, die die Datenschutzkontrollen der Nutzer umgehen.
Im Februar 2025 kehrte Google diese Richtlinie um. Fingerprinting ist jetzt in Googles Werbeprodukten erlaubt, wobei Google sich auf datenschutzverbessernde Technologien als Rechtfertigung beruft. In der Praxis bedeutet dies, dass Fingerprinting von einer Technik, die Werbetreibende still und leise einsetzten, zu einer offen eingesetzten und offiziell sanktionierten Methode des weltgrößten Digitalwerbeunternehmens wurde.
Der technische Stand von Fingerprinting im Jahr 2026 ist ernüchternd. Moderne Fingerprinting-Systeme kombinieren über 100 Geräte- und Browser-Signale. KI-gestützte Analyse dieser Signale erreicht eine Identifikationsgenauigkeit von bis zu 99,78 % auf mobilen Geräten. Selbst mit deaktiviertem JavaScript können Canvas-Fingerprinting, Font-Enumeration und Verhaltenssignale Nutzer mit 94,2 % Eindeutigkeit identifizieren. Die Technik funktioniert im privaten Modus, überlebt das Löschen von Cookies und bleibt über Browser-Updates hinweg bestehen, da sich die zugrunde liegende Hardware- und Softwarekonfiguration nur langsam ändert.
Die britische ICO vertritt die Ansicht, dass Fingerprinting unter der DSGVO eine explizite Nutzereinwilligung erfordert – eine Position, die rechtliche Spannungen mit Googles Erlaubnispolitik erzeugt. Die Durchsetzung dieser Spannung hängt jedoch davon ab, ob die Regulierungsbehörden sowohl die Ressourcen als auch die technischen Fähigkeiten haben, Fingerprinting-Implementierungen in großem Maßstab zu prüfen, was wesentlich schwieriger ist als die Prüfung von Cookie-Nutzung.
Polymorphes Fingerprinting: Warum Blockieren immer schwieriger wird
Traditionelles Fingerprinting kann teilweise durch Anti-Detect-Browser ausgehebelt werden – Tools, die Browser-Eigenschaften fälschen, erfundene Canvas-Renderings präsentieren und andere Fingerprinting-Signale manipulieren, um ein irreführendes Geräteprofil zu erzeugen. Datenschutzorientierte Browser wie Brave und Firefox implementieren von Haus aus einen gewissen Fingerprinting-Schutz.
Polymorphes Fingerprinting, das 2026 aufkam, verändert die Dynamik des Konflikts. Anstatt statischen JavaScript-Code zu verwenden, den Fingerprinting-Blocker erkennen und abfangen können, verändert polymorphes Fingerprinting dynamisch den Code, der zum Sammeln von Signalen verwendet wird – Funktionsnamen, Ausführungsreihenfolge und Datenumwandlungsmuster ändern sich bei jeder Anfrage. Eine serverseitige Kohärenzvalidierung prüft dann, ob das Fingerabdruckmuster dem erwarteten Verhalten entspricht, und markiert Inkonsistenzen, die auf eine Fälschung hindeuten. Anti-Detect-Browser, die eine Fingerprinting-Implementierung erfolgreich blockieren, werden erneut identifiziert, weil die gefälschten Signale intern inkonsistent sind – und der Server dies erkennen kann.
Der Wettrüsten zwischen Fingerprinting und Fingerprinting-Abwehr hat es schon immer gegeben. Polymorphes Fingerprinting stellt einen echten Fortschritt auf der Seite der Fingerprinting-Fähigkeiten dar, nicht nur eine inkrementelle Verbesserung.
Was Cookies wirklich ersetzt: Die eigentliche Antwort der Branche
Die wahre Antwort der Ad-Tech-Branche auf die begrenzte Zukunft der Cookies ist keine einzelne von Google unterstützte API – es ist eine Kombination von Ansätzen, die gemeinsam die Abhängigkeit von einem einzigen Tracking-Mechanismus reduzieren:
First-Party-Daten: Direkt von Nutzern gesammelte Daten, die diese explizit zur Verfügung gestellt haben – E-Mail-Adressen, Kaufhistorie, erklärte Präferenzen. Diese Daten sind hochgenau und einwilligungskonform, aber auf Marken beschränkt, die direkte Beziehungen zu Nutzern haben.
Unified ID 2.0 (UID 2.0): Ein Open-Source-Framework, das anonymisierte, verschlüsselte Identifikatoren aus E-Mail-Adressen mit Nutzereinwilligung erstellt. Der Publisher fragt nach einer E-Mail; UID 2.0 wandelt sie in eine pseudonyme ID um, die für Targeting verwendet werden kann, ohne die rohe E-Mail an Werbetreibende weiterzugeben. Die Akzeptanz wächst, erfordert aber eine Nutzeraktion (Angabe einer E-Mail), die bei den meisten Surfsitzungen nicht vorkommt.
Data Clean Rooms: Sichere Rechenumgebungen, in denen mehrere Parteien ihre kombinierten Datensätze analysieren können, ohne rohe Nutzerdaten zu teilen. Eine Marke kann First-Party-Kundendaten einbringen; ein Publisher kann Logged-In-Nutzerdaten einbringen; der Clean Room findet die Überschneidungen und misst die Kampagneneffektivität, ohne dass eine Partei die rohen Daten der anderen sieht.
Kontextuelle Werbung: Targeting basierend auf dem Inhalt der gerade angezeigten Seite, nicht auf der Historie des Nutzers, der sie ansieht. Ein Nutzer, der eine Auto-Review liest, bekommt Autoanzeigen, unabhängig von seiner Browsing-Historie. Geringere Präzision als verhaltensbasiertes Targeting, aber kein Cross-Site-Tracking erforderlich.
Keine dieser Methoden ersetzt vollständig die Präzision des verhaltensbasierten Targetings mit Cross-Site-Tracking. Diese Präzision ist für Nutzer verloren, die Cookies blockieren, Safari verwenden oder von DSGVO-Consent-Anforderungen betroffen sind. Für die Nutzer, die das nicht tun – die Mehrheit – ist Fingerprinting der Standardidentifikator in einer Welt, in der Cookie-basierte Alternativen weitgehend gescheitert sind.
Was Nutzer tatsächlich tun können
Praktisch: Verwenden Sie Firefox oder Brave anstelle von Chrome – beide haben einen integrierten, aggressiveren Fingerprinting-Schutz. Aktivieren Sie den strengen Tracking-Schutz (Firefox) oder die Fingerprinting-Abschirmung (Brave). Nutzen Sie ein VPN, um Ihre IP zu verschleiern, da dies eines der stärksten Fingerprinting-Signale ist. Verstehen Sie, dass der private Modus lokales Tracking (gespeicherte Chronik, Cookies) verhindert, aber kein Fingerprinting unterbindet – die Gerätemerkmale sind unabhängig vom Browser-Modus dieselben.
Kein Verbraucher-Tool besiegt modernes Fingerprinting vollständig. Was Fingerprinting-Schutz bewirkt, ist, Sie zu einem Teil einer größeren Gruppe zu machen, die gleich aussieht – das schränkt verhaltensbasiertes Targeting ein, auch wenn es die Geräteidentifikation nicht völlig verhindert. Die Datenschutzlücke zwischen einem fingerprinting-resistenten Browser und einer Standard-Chrome-Installation ist real und signifikant.