Zurück zum Blog
5 Min. Lesezeitprivacytrackingarchitecturecompliance

Privacy Sandbox Ist Tot: Was Es für Ihren Analytics-Stack Bedeutet

Google hat Topics, Attribution Reporting und Protected Audience im Oktober 2025 eingestellt. Hier ist, was die Abschaltung technisch bedeutet, und warum First-Party-Analytics von Anfang an die richtige Wahl war.

Am 17. Oktober 2025 hat Google den Kern seiner Privacy-Sandbox-Initiative offiziell eingestellt. Topics, Attribution Reporting, Protected Audience und sieben weitere APIs werden nach sechs Jahren Entwicklung, regulatorischem Druck und Branchenwiderstand aus Chrome und Android entfernt. Das Projekt, das Third-Party-Cookies ersetzen sollte, ohne die Messfähigkeit zu verlieren, endete, ohne dass eines der beiden Ziele erreicht wurde.

Für Entwickler, die um diese APIs herum geplant haben, sind die Konsequenzen unmittelbar. Für Entwickler, die auf First-Party-Signalen aufgebaut haben, bestätigt es das, was die Architektur bereits implizierte.

Was tatsächlich abgeschaltet wurde

Die eingestellten APIs decken die beiden Hauptprobleme ab, die Privacy Sandbox zu lösen versuchte: interessenbasiertes Targeting und Conversion-Attribution.

Topics API ersetzte das Verhaltensprofiling, indem Nutzern breite Interessenkategorien zugewiesen wurden, die aus dem Browsing-Verlauf abgeleitet wurden — alles auf dem Gerät. Werbetreibende konnten diese Kategorien abrufen, ohne jemals die rohen Browsing-Daten zu sehen. In der Praxis war die Akzeptanz so gering, dass Google sie als Hauptgrund für die Abschaltung anführte. Die Private Advertising Technology Working Group des W3C hat das Problem geerbt und arbeitet ohne festen Zeitplan an Nachfolgestandards.

Attribution Reporting API war der Ersatz für Conversion-Pixel, die auf seitenübergreifenden Cookies basierten. Sie ermöglichte einem Browser, einen Ad-Impression privat mit einer Conversion abzugleichen, ohne die Nutzeridentität an eine der beiden Parteien preiszugeben. Die API war ausgefeilt — sie verwendete differentielles Datenschutz-Rauschen, um Rekonstruktionen auf individueller Ebene zu verhindern — aber Publisher fanden die Umsatzauswirkungen inakzeptabel. Der Bericht der UK Competition and Markets Authority vom Juni 2025 stellte fest, dass der Publisher-Umsatz beim Einsatz von Sandbox-Tools anstelle von Standard-Cookies grob 30 % niedriger war.

Protected Audience (ehemals FLEDGE) ermöglichte Remarketing-Auktionen auf dem Gerät. Private Aggregation und Shared Storage ermöglichten aggregierte Berichte über Websites hinweg. Alle werden verschwinden.

Was bleibt, ist eine kürzere Liste beibehaltener Technologien: CHIPS (Cookies Having Independent Partitioned State), das Cookies pro Top-Level-Site partitioniert; FedCM, das die Identitätsföderation ohne seitenübergreifendes Tracking optimiert; und Private State Tokens, die helfen, Betrug zu signalisieren, ohne die Identität preiszugeben. Dies sind Infrastruktur-Features, keine Mess-Features. Sie lösen das Analytics-Problem nicht.

Warum die Abschaltung für Analytics wichtig ist

Das Sandbox-Versagen lässt Analytics ohne browser-nativen Ersatz für Drittanbieter-Tracking zurück. Entwickler, die ihre Mess-Architektur um Attribution Reporting herum gebaut haben, müssen sie jetzt neu aufbauen. Aber die bedeutsamere Konsequenz ist strukturell: Der Browser versucht nicht länger, seitenübergreifende Messungen für Sie zu lösen.

Safari und Firefox haben am Sandbox-Ansatz nie teilgenommen. Apples Intelligent Tracking Prevention blockiert Third-Party-Cookies seit 2020 standardmäßig. Firefox folgte. Chrome hielt Third-Party-Cookies 2024 speziell deshalb am Leben, weil Sandbox-Alternativen deren Messwert nicht erreichen konnten — und jetzt sind auch diese Alternativen weg.

Der Nettoeffekt ist, dass seitenübergreifendes Nutzer-Tracking, mit oder ohne Cookies, im Browser keine zuverlässige Zukunft hat. Der Durchsetzungspfad, der Sandbox getötet hat (regulatorischer Druck der CMA, der EU und des US-DOJ-Kartellverfahrens), ist nicht verschwunden. Jedes neue seitenübergreifende Identifikator-Schema steht vor derselben regulatorischen Prüfung.

Die First-Party-Datenarchitektur, die bleibt

Ohne seitenübergreifende Identifikatoren teilt sich die Messung sauber in zwei Kategorien.

Seitenübergreifende Attribution — die Verbindung eines Ad-Impressions auf einer Domain mit einem Kauf auf einer anderen — hat keine datenschutzfreundliche Browser-Lösung. Serverseitiges Event-Matching, Media-Mix-Modellierung und Inkrementalitätstests sind die verbleibenden Werkzeuge, und alle erfordern Infrastruktur und statistische Raffinesse, die über die meisten von Entwicklern gebauten Produkte hinausgeht.

First-Party-Site-Analytics — das Verständnis des Traffics Ihrer eigenen Site, ohne ihn mit externen Identifikatoren zu verbinden — war nie das Problem, das Privacy Sandbox zu lösen versuchte. Es war bereits ohne seitenübergreifende Cookies lösbar, und die Sandbox-Abschaltung ändert nichts daran, wie es funktioniert.

Eine minimale First-Party-Analytics-Architektur verarbeitet eine Anfrage am Edge, leitet aggregierte Signale aus der Anfrage selbst ab und speichert nichts, was einen persistenten geräteübergreifenden Identifikator erfordern würde. Das Land kommt aus request.cf.country. Der Gerätetyp kommt aus einer groben User-Agent-Auswertung. Die Browser-Familie kommt aus demselben Anfrage-Header. Die Referrer-Domain — nicht die vollständige URL — kommt aus dem Referer-Header. Die Besucher-Deduplizierung innerhalb eines Tages verwendet einen serverseitigen Hash:

visitor_hash = SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD)

Die IP und der User-Agent werden niemals gespeichert. Der Hash setzt sich täglich zurück. Es gibt keinen sitzungsübergreifenden Identifikator, keinen seitenübergreifenden Identifikator und nichts, was die Tracking-Schutzmaßnahmen des Browsers blockieren könnten. Diese Architektur wurde nicht als Umgehung des Sandbox-Versagens entworfen — sie ist älter als Sandbox und wird überdauern, was auch immer als Nächstes kommt.

Wie der Entfernungszeitplan aussieht

Chrome 144 macht Topics obsolet; Chrome 150 entfernt es. Attribution Reporting und Protected Audience folgen ähnlichen gestaffelten Zeitplänen. Wenn Sie Sandbox-API-Aufrufe in Produktion betreiben, auditieren Sie sie jetzt — die APIs werden Fehler oder leere Antworten zurückgeben, bevor die Entfernung abgeschlossen ist. Für Websites ohne Abhängigkeit von diesen APIs gibt es nichts zu migrieren. Browser-Richtlinienänderungen erfordern keine Reaktion, wenn Ihr Datenmodell nicht von browserverwalteten Identifikatoren abhängt.

Die Lektion aus sechs Jahren gescheiterter Standardisierung

Das Sandbox-Projekt versuchte, ein technisch reales Problem zu lösen — datenschutzfreundliche seitenübergreifende Attribution — und scheiterte aus einer Kombination von Gründen: Die Umsatzauswirkung war zu groß, die API-Komplexität war für breite Akzeptanz zu hoch, und Regulierungsbehörden in Großbritannien und in der EU stellten infrage, ob Google ein System entwerfen könnte, das die Privatsphäre der Nutzer verbessert, ohne seine eigene Wettbewerbsposition zu stärken.

Die Lektion ist nicht, dass datenschutzfreundliche Messung unmöglich ist. Es ist, dass seitenübergreifende Messung mit starken Datenschutzgarantien ein Niveau an Branchenkoordination und regulatorischem Vertrauen erfordert, das im Browser-Kontext nicht zustande gekommen ist. Entwickler, die ein site-Level-Verständnis ihres Traffics benötigen, brauchen diese Koordination nicht. Sie brauchen ein Datenmodell, das präzise ist in dem, was es erfasst, und ehrlich in dem, was es nicht erfasst.

First-Party-, sitzungsbezogenes, nicht persistentes Analytics ist kein privacy-sandbox-förmiges Loch, das auf die nächste Browser-Initiative wartet. Es ist eine vollständige Antwort auf die Frage, die die meisten Entwickler tatsächlich stellen.