Privacy Sandbox von Google: Wettbewerbsbehörde findet Schwachstellen – und fordert Änderungen
Neues von der Einführung der Privacy Sandbox: Die britische Wettbewerbsbehörde (CMA) hat am 26. April 2024 einen neuen Bericht zu ihrer Sicht auf den Nachfolger der Third-Party-Cookies – der allerdings laut Google selbst kein vollständiger Ersatz wird – veröffentlicht. Insgesamt werden an verschiedenen Stellen Bedenken hinsichtlich des Datenschutzes und des Wettbewerbs geäußert. Es werden aber auch Fortschritte aufgelistet.
Verschiedene Privacy-Sandbox-API wurden betrachtet
In dem Report wird auf unterschiedliche API der Privacy Sandbox eingegangen. Es werden jeweils die Ergebnisse des Reports vom Januar den neuen vorausgestellt. Dazu bezieht sich die CMA in ihren Aussagen auch auf das Information Commissioner’s Office (ICO), das Büro des Leiters der britischen Datenschutzbehörde – beide beschäftigen sich kritisch mit der Einführung.
Für den jüngsten Report habe die CMA eng mit dem ICO zusammengearbeitet, die Ergebnisse wurden auf 99 Seiten zusammengestellt. Mehrere Bedenken werden in dem Report aufgeführt. Ein Punkt: Google mache nicht klar, wie mit den Daten der Nutzer:innen in der Topics-API umgegangen werde. Auf diesen Punkt hat Google laut dem Report bereits reagiert: Sie würden unter anderem das Consent-Interface anpassen.
Datenschutz: Daten so kurz wie möglich speichern
Zudem würden die Daten drei Woche gespeichert werden – in dem Report heißt es, Google habe den Zeitraum so gewählt, da in diesem Rahmen die Gefahr der Reidentifizierung nicht verhältnismäßig geringer sei. Dagegen fordert das ICO, auf das an der Stelle des Reports verwiesen wird, generell den kürzesten Zeitraum, der möglich ist. Das Motto: so wenige Daten im kürzest möglichen Zeitraum speichern.
Dahinter steht auch die Sorge, die Daten könnten nach dem eigentlichen Zeitraum weiterverwendet werden – auch für Zwecke, die über jene der Privacy Sandbox hinausgehen. Google habe in Bezug darauf verbesserte Leitlinien für diejenigen API-Nutzer:innen vorgeschlagen, die mit den Daten regulär arbeiten werden.
Benachteiligung kleiner Unternehmen durch Zertifizierung wird nicht gesehen
Es gibt auch eine Sorge, die die CMA nicht teilt: Eine Benachteiligung kleinerer Unternehmen durch den Zertifizierungsprozess der Topics-API sehen sie nach derzeitigem Stand nicht. Generell verweisen sie jedoch auf den ungleichen Zugang zu Daten.
Ein Punkt, über den CMA und Google noch diskutieren: Google selbst wäre weniger von der Topics-API abhängig als andere Marktteilnehmer. Generell wird an mehreren Stellen – auch mit Blick auf andere API der Privacy Sandbox – eine Sorge vor einer Beeinflussung des Wettbewerbs durch die Einführung zugunsten von Google deutlich.
API-Nichtnutzung soll nicht auf Suchmaschinen-Ranking wirken
Auch in der Frage, ob sich eine Nichtnutzung der API auf das Google-Ranking auswirke, ist noch nicht alles geklärt. Zwar habe Google bereits zugesagt, die Topcis-API-Nutzung werde keine Wirkung auf das Suchmaschinen-Ranking haben – die CMA fordert jedoch auch eine Zusicherung in Bezug auf alle Privacy-Sandbox-Tools. Deren Nutzung solle für das Ranking keine Rolle spielen. Eine Antwort seitens Google steht laut dem jüngsten Report noch aus.
Außerdem geht es in dem Report unter anderem um die falsche Einordnung von Websites. Für Publisher könnte das ein Problem sein: Sie würden dann nicht die passenden Werbeanzeigen für ihr Publikum bekommen. Bei der CMA hätten sich seit dem Bericht Anfang des Jahres mehrere Marktteilnehmer gemeldet, die Vorschläge für den Umgang mit falschen Klassifizierungen hätten. Diese seien an Google weitergeleitet worden.
Ende der Third-Party-Cookies auf 2025 verschoben
Insgesamt ist sowohl im Bereich Datenschutz als auch bei dem Thema der möglicherweise wachsenden Marktdominanz von Google für die CMA noch einiges offen. Der nächste Report soll im Juli 2024 erscheinen.
Außerdem wird eine Meldung zur Privacy Sandbox ebenfalls vom ICO erwartet. Wie die US-amerikanische Zeitung Wall Street Journal berichtet, werden darin ebenfalls der Datenschutz und der Wettbewerb thematisiert werden. Im Februar hatte sich außerdem der Branchenverband IAB Tech Lab kritisch zur Funktion der Privacy Sandbox geäußert und mehrere Probleme gesammelt.
Die Abschaffung der Third-Party-Cookies sorgt insgesamt für Spannungen: Unternehmen, die derzeit noch an den Third-Party-Cookies verdienen, fürchten Einschränkungen bezüglich der Datensammlung; Datenschützer:innen wollen möglichst weitreichende Schutzmaßnahmen. Da passende Lösungen zu finden, dauert offensichtlich: Google hatte kurz vor der Veröffentlichung des aktuellen CMA-Reports die Abschaffung der Third-Party-Cookies erneut verschoben – von Ende 2024 auf Anfang 2025.