Google plant IP-basierte Werbepersonalisierung in UK und EU – was das für Nutzer und Unternehmen bedeutet

Google wird ab dem 3. August 2026 IP-Adressen von Nutzern im Vereinigten Königreich, im Europäischen Wirtschaftsraum (EWR) sowie in der Schweiz für Werbemessung und -personalisierung verwenden. Diese Ankündigung markiert einen signifikanten Wandel in der bisherigen Praxis des Konzerns und wirft Fragen zu Datenschutz, Compliance und Nutzerkontrolle auf. Bisher nutzte Google IP-Adressen vor allem für technische Routing-Zwecke, etwa zur Auslieferung von Werbung oder zur Betrugsprävention. Doch ab dem genannten Datum sollen dieselben Daten nun gezielt zur Identifizierung von Geräten und damit zur Personalisierung von Werbung eingesetzt werden. Dies ist ein Novum in einer Region, in der IP-Adressen als personenbezogene Daten gelten und strengen regulatorischen Vorgaben unterliegen.

Die technische Infrastruktur für diese Umstellung ist bereits vorhanden: Google erhält IP-Adressen bei nahezu jedem Nutzeraufruf über Kunden-Tags, SDKs, HTTP-Aufrufe und Daten-Uploads. Doch bisher beschränkte sich die Nutzung dieser Daten auf technische Abläufe. Mit dem neuen Ansatz wird die IP-Adresse nun explizit als Grundlage für Werbepersonalisierung herangezogen – ein Schritt, der unter Datenschutzgesetzen wie der DSGVO und dem UK Data Protection Act als besonders kritisch gilt. Die Frage ist nicht nur technischer, sondern auch rechtlicher Natur: Die Verwendung von IP-Adressen zur Geräteidentifikation fällt unter die Kategorie des "Fingerprinting", also der Erstellung eines digitalen Fingerabdrucks eines Geräts. Dieses Verfahren wird oft eingesetzt, um Nutzer auch ohne Cookies zu verfolgen. Bereits 2019 hatte ein damaliger Chrome-Technologieleiter von Google diese Methode als problematisch bezeichnet, da sie die Nutzerwahl untergräbt und nicht einfach durch Löschen von Cookies rückgängig gemacht werden kann. Doch seit Dezember 2024 hat Google seine Haltung zu diesem Thema revidiert und die Nutzung von IP-Adressen für Werbezwecke in der Region nun explizit angekündigt.

Warum Google die IP-basierte Werbepersonalisierung jetzt vorantreibt

Der Wechsel zu IP-basierter Werbepersonalisierung ist Teil einer breiteren Strategie von Google, die Datenerfassung und -verarbeitung in der Werbeindustrie zu modernisieren. Der Konzern argumentiert, dass diese Methode im Einklang mit sogenannten Privacy-Enhancing Technologies (PETs) steht. Dazu zählen On-Device-Verarbeitung, vertrauenswürdige Ausführungsumgebungen und sichere Multi-Party-Computation. Diese Technologien sollen es ermöglichen, Nutzerdaten zu analysieren und personalisierte Werbung auszuliefern, ohne dass die Daten selbst zentral gespeichert oder an Dritte weitergegeben werden müssen. Google betont, dass die Verarbeitung auf dem Gerät des Nutzers selbst erfolgt, was die Privatsphäre schützen soll.

Doch die Ankündigung kommt zu einem Zeitpunkt, an dem die Datenschutzaufsichtsbehörden im UK und der EU ihre Regeln verschärfen. Die britische Information Commissioner’s Office (ICO) prüft derzeit neue Richtlinien zum Umgang mit Einwilligungen in der Werbeindustrie. Gleichzeitig steht Google vor der Herausforderung, seine Werbeplattform an die neuen Anforderungen des IAB Europe Transparency and Consent Framework (TCF) anzupassen. Im Rahmen dieses Frameworks wird die Nutzung von IP-Adressen zur Geräteidentifikation als "Feature 3" klassifiziert – eine Methode, die an die Personalisierungszwecke geknüpft ist und damit eine explizite Einwilligung des Nutzers erfordert. Google hat sich bereits beim TCF registriert, um diese Funktion ab August 2026 nutzen zu können. Die Registrierung selbst ist jedoch kein Freibrief für die Nutzung, sondern lediglich die technische Voraussetzung, um die Funktion in die bestehende Consent-Infrastruktur einzubinden.

Datenschutzrechtliche Implikationen: IP-Adressen als personenbezogene Daten

Die zentrale rechtliche Frage bei dieser Umstellung ist, ob und unter welchen Bedingungen eine IP-Adresse als personenbezogenes Datum eingestuft werden kann. Sowohl die DSGVO in der EU als auch der UK Data Protection Act 2018 behandeln IP-Adressen als personenbezogene Daten, wenn sie einer bestimmten Person zugeordnet werden können – etwa durch Kombination mit anderen Datenquellen. Die Nutzung einer IP-Adresse zur Identifizierung eines Geräts fällt zudem unter den Begriff des "Fingerprinting", das in der Vergangenheit von Datenschützern kritisiert wurde. Der Europäische Datenschutzausschuss (EDPB) hat in früheren Stellungnahmen betont, dass solche Methoden nur unter strengen Auflagen und mit ausdrücklicher Einwilligung der Nutzer eingesetzt werden dürfen.

Google argumentiert, dass die Verarbeitung der IP-Adressen im Einklang mit den Grundsätzen der DSGVO steht, da sie auf einer Rechtsgrundlage wie der Einwilligung oder einem berechtigten Interesse beruhen kann. Allerdings ist die Nutzung von IP-Adressen zur Geräteidentifikation ein besonders sensibler Anwendungsfall, der eine detaillierte Datenschutz-Folgenabschätzung erfordert. Unternehmen, die Google-Werbedienste nutzen, müssen sicherstellen, dass sie die neuen Anforderungen erfüllen und ihre Nutzer transparent über die Verwendung ihrer IP-Adressen informieren. Dies betrifft insbesondere Werbetreibende, die auf Googles Plattformen wie Google Ads oder Display & Video 360 werben.

Auswirkungen auf Nutzer: Transparenz und Kontrolle

Für Nutzer im UK, der EU und der Schweiz bedeutet die Ankündigung von Google zunächst einmal mehr Transparenz – und gleichzeitig mehr Komplexität. Google plant, auf seinen eigenen Plattformen wie der Google-Suche oder YouTube Nutzern die Möglichkeit zu geben, zwischen personalisierter und nicht-personalisierter Werbung zu wählen. Diese Option soll jedoch erst zu einem späteren Zeitpunkt eingeführt werden, voraussichtlich Ende 2025 oder Anfang 2026. Bis dahin werden Nutzer keine direkte Kontrolle über die Verwendung ihrer IP-Adressen für Werbezwecke haben.

Die Einführung einer solchen Wahlmöglichkeit ist zwar ein Schritt in Richtung mehr Nutzerautonomie, wirft aber auch Fragen auf. Zum einen ist unklar, wie granular diese Einstellungen sein werden. Können Nutzer beispielsweise nur zwischen personalisierter und nicht-personalisierter Werbung wählen, oder haben sie auch die Möglichkeit, bestimmte Kategorien von Werbung auszuschließen? Zum anderen bleibt offen, wie Google sicherstellen will, dass Nutzer tatsächlich eine informierte Entscheidung treffen können. Die Komplexität der Datenschutzrichtlinien und die technischen Hintergründe des Fingerprinting sind für viele Nutzer schwer verständlich.

Ein weiteres Problem ist die technische Umsetzung: Selbst wenn Nutzer der Verwendung ihrer IP-Adressen für Werbepersonalisierung widersprechen, bleibt unklar, wie effektiv diese Ablehnung durchgesetzt werden kann. IP-Adressen werden bei jedem Besuch einer Website oder Nutzung einer App übertragen, und eine einmalige Ablehnung könnte leicht umgangen werden, etwa durch Wechsel der IP-Adresse oder Nutzung eines VPN. Google müsste hier sicherstellen, dass die Nutzerpräferenzen zuverlässig und dauerhaft gespeichert und angewendet werden – eine technische Herausforderung, die nicht unterschätzt werden sollte.

Herausforderungen für Werbetreibende und die Werbeindustrie

Für Unternehmen, die auf Googles Werbeplattformen setzen, bedeutet die Umstellung eine Reihe von Herausforderungen. Zunächst einmal müssen sie sicherstellen, dass ihre Werbekampagnen weiterhin konform mit den neuen Datenschutzbestimmungen sind. Dies umfasst die Überprüfung der Einwilligungsmanagement-Systeme, die Anpassung der Datenschutzerklärungen und die Schulung der Mitarbeiter im Umgang mit den neuen Anforderungen.

Ein besonders kritischer Punkt ist die Zusammenarbeit mit Partnern und Dienstleistern. Viele Werbetreibende nutzen externe Tools und Plattformen, um ihre Kampagnen zu verwalten und auszuwerten. Diese Tools müssen ebenfalls an die neuen Vorgaben angepasst werden, um sicherzustellen, dass keine personenbezogenen Daten unrechtmäßig verarbeitet werden. Zudem müssen Werbetreibende sicherstellen, dass ihre Nutzer tatsächlich eine informierte Einwilligung geben können – ein Prozess, der oft mit technischen und rechtlichen Hürden verbunden ist.

Die Werbeindustrie steht zudem vor der Herausforderung, dass die Nutzung von IP-Adressen zur Geräteidentifikation nicht in allen Regionen gleich behandelt wird. Während Google in der EU und im UK nun auf diese Methode setzt, nutzt das Unternehmen IP-Signale bereits seit längerem in anderen Teilen der Welt, etwa zur Betrugsprävention und Spamerkennung. Diese unterschiedliche Behandlung wirft Fragen nach der Konsistenz der Datenschutzpraktiken auf und könnte zu regulatorischen Ungleichbehandlungen führen. Werbetreibende, die international agieren, müssen daher sicherstellen, dass ihre Kampagnen sowohl den lokalen als auch den globalen Anforderungen entsprechen.

Technische und regulatorische Hintergründe: Warum IP-basiertes Fingerprinting?

Die Nutzung von IP-Adressen zur Geräteidentifikation ist ein zentraler Baustein des sogenannten Fingerprinting. Dabei werden verschiedene technische Merkmale eines Geräts – wie Bildschirmauflösung, installierte Schriftarten oder die Reihenfolge der HTTP-Header – kombiniert, um ein eindeutiges Profil zu erstellen. Dieses Profil kann dann genutzt werden, um Nutzer auch ohne Cookies zu verfolgen. Der Vorteil für Werbetreibende liegt auf der Hand: Sie können Nutzer über verschiedene Websites und Apps hinweg identifizieren und personalisierte Werbung ausliefern.

Doch Fingerprinting ist aus Datenschutzsicht problematisch, da es die Nutzerwahl untergräbt. Nutzer können zwar Cookies löschen, um ihre Tracking-Präferenzen zurückzusetzen, doch ein digitaler Fingerabdruck bleibt bestehen, solange sich die technischen Merkmale des Geräts nicht ändern. Aus diesem Grund hat Google die Methode in der Vergangenheit kritisiert. Doch seit Dezember 2024 hat das Unternehmen seine Position geändert und setzt nun selbst auf IP-basiertes Fingerprinting – zumindest in der Region UK, EU und Schweiz.

Die technische Umsetzung erfolgt über sogenannte Privacy-Enhancing Technologies (PETs). Google nennt hier insbesondere die On-Device-Verarbeitung, bei der die Analyse der IP-Adresse direkt auf dem Gerät des Nutzers erfolgt, ohne dass die Daten an Google-Server gesendet werden. Zudem kommen vertrauenswürdige Ausführungsumgebungen (Trusted Execution Environments, TEE) zum Einsatz, die sicherstellen sollen, dass die Verarbeitung der Daten in einer geschützten Umgebung erfolgt. Schließlich wird auch die sichere Multi-Party-Computation (SMPC) genutzt, um die Daten so zu verarbeiten, dass sie nicht im Klartext vorliegen und nicht von einer einzelnen Partei eingesehen werden können.

Praktische Empfehlungen für Nutzer und Unternehmen

Für Nutzer im UK, der EU und der Schweiz gibt es mehrere Schritte, um sich auf die Änderungen vorzubereiten und ihre Privatsphäre zu schützen. Zunächst sollten Nutzer die Einstellungen in ihren Google-Konten überprüfen und sicherstellen, dass sie über die Verwendung ihrer Daten informiert sind. Sobald Google die Wahlmöglichkeit zwischen personalisierter und nicht-personalisierter Werbung anbietet, sollten Nutzer diese Option nutzen, um ihre Präferenzen klar zu kommunizieren. Zudem können Nutzer den Einsatz von VPNs in Betracht ziehen, um ihre IP-Adresse zu maskieren und so das Tracking zu erschweren.

Unternehmen, die auf Googles Werbeplattformen setzen, sollten proaktiv handeln, um die neuen Anforderungen zu erfüllen. Dazu gehört die Überprüfung der Einwilligungsmanagement-Systeme, die Anpassung der Datenschutzerklärungen und die Schulung der Mitarbeiter. Zudem sollten Unternehmen sicherstellen, dass ihre Partner und Dienstleister ebenfalls die neuen Vorgaben einhalten. Ein weiterer wichtiger Schritt ist die Durchführung einer Datenschutz-Folgenabschätzung, um sicherzustellen, dass die Verarbeitung der IP-Adressen im Einklang mit den gesetzlichen Anforderungen steht.

Werbetreibende sollten zudem die Entwicklungen im Bereich der Privacy-Enhancing Technologies (PETs) im Auge behalten. Diese Technologien könnten in Zukunft eine größere Rolle spielen und Unternehmen dabei helfen, personalisierte Werbung anzubieten, ohne gegen Datenschutzbestimmungen zu verstoßen. Gleichzeitig sollten Unternehmen die regulatorischen Entwicklungen in der EU und im UK genau verfolgen, da sich die Anforderungen an die Werbepersonalisierung weiter verschärfen könnten.

Ausblick: Was kommt nach der IP-basierten Personalisierung?

Die Ankündigung von Google markiert nur den Anfang einer größeren Verschiebung in der Werbeindustrie. Die Nutzung von IP-Adressen zur Geräteidentifikation ist ein erster Schritt hin zu einer stärker datenschutzkonformen Werbepersonalisierung. Doch die technischen und regulatorischen Herausforderungen sind enorm, und es bleibt abzuwarten, wie sich die Praxis in den kommenden Monaten und Jahren entwickeln wird.

Eines ist jedoch klar: Die Tage, in denen Werbetreibende ohne große Einschränkungen auf personenbezogene Daten zugreifen konnten, sind gezählt. Die DSGVO, der UK Data Protection Act und andere regulatorische Vorgaben setzen klare Grenzen, und Unternehmen müssen sich an diese neuen Realitäten anpassen. Google selbst hat mit der Ankündigung gezeigt, dass es bereit ist, diese Grenzen auszuloten – allerdings unter dem Vorbehalt, dass die neuen Methoden als datenschutzkonform gelten.

Für Nutzer bedeutet dies, dass sie in Zukunft mehr Kontrolle über ihre Daten erhalten werden. Die Einführung von Wahlmöglichkeiten zwischen personalisierter und nicht-personalisierter Werbung ist ein Schritt in die richtige Richtung. Doch die technische Umsetzung und die regulatorische Durchsetzung bleiben Herausforderungen, die es zu lösen gilt. Unternehmen und Nutzer sollten daher die Entwicklungen genau verfolgen und sich proaktiv auf die neuen Anforderungen vorbereiten. Nur so lässt sich sicherstellen, dass die Werbeindustrie auch in Zukunft innovativ bleibt – ohne dabei die Privatsphäre der Nutzer zu vernachlässigen.