Am 26. April 2021 hat Apple mit iOS 14.5 das App Tracking Transparency-Framework — kurz ATT — produktiv ausgerollt. Was an diesem Tag ein zusätzlicher Berechtigungsdialog auf Hunderten Millionen iPhones wurde, hat sich in den fünf folgenden Jahren als eine der weitreichendsten Privacy-Plattform-Entscheidungen des mobilen Zeitalters erwiesen. Der Effekt war wirtschaftlich messbar, regulatorisch umstritten und technisch breit gefolgt.

Fünf Jahre später lohnt eine sachliche Bilanz entlang dreier Achsen: der ATT-Funktionsweise und der tatsächlichen Opt-in-Raten, der Folgen für das IDFA-basierte Mobile-Advertising-Ökosystem inklusive Apples eigener Position via SKAdNetwork, und der breiteren Privacy-Architektur — Privacy Manifests, App Privacy Reports — sowie der parallel laufenden Privacy-Sandbox-Initiative von Google.

Was ATT genau tut — und was es nicht tut

Das App Tracking Transparency-Framework ist in der Apple Developer Documentation präzise definiert: Eine App muss vor jeglichem Cross-App-Tracking die Permission ATTrackingManager.requestTrackingAuthorization aufrufen und die Nutzerin oder den Nutzer mit einem standardisierten Systemdialog um Erlaubnis bitten. „Tracking” definiert Apple dabei eng: das Verknüpfen von App-internen Nutzerdaten mit Drittanbieter-Daten zum Zweck targetierter Werbung oder das Teilen von App-Nutzerdaten mit einem Data Broker. Wer nicht trackt, braucht das ATT-Dialog auch nicht aufzurufen.

Was ATT nicht tut: Es blockiert keinen In-App-Analytik-Track, der ausschließlich innerhalb derselben App stattfindet. Es betrifft nicht die First-Party-Werbung im klassischen Werbe-Sinne. Und es regelt nicht, was Apple selbst mit Nutzungsdaten anstellt — eine Asymmetrie, die seit der ATT-Einführung Gegenstand wiederholter Antitrust-Verfahren ist (siehe die im März 2024 eingereichte Klage des U.S. Department of Justice gegen Apple, U.S. v. Apple Inc., Az. 2:24-cv-04055, U.S. District Court for the District of New Jersey).

Die technische Wirkung ist binär: Wer der Tracking-Anfrage nicht zustimmt, bekommt einen IDFA aus Nullen geliefert — der Identifier for Advertisers wird zur 00000000-0000-0000-0000-000000000000-Sequenz, die für Cross-App-Korrelation wertlos ist.

Die Opt-in-Raten fünf Jahre später

Die kumulierte Opt-in-Rate über alle iOS-Apps liegt im Mai 2026 nach den jüngeren Branchenberichten von Adjust, AppsFlyer und Branch zwischen 25 und 30 Prozent — eine relativ stabile Größenordnung, die seit Mitte 2023 nicht mehr substanziell schwankt. Die ursprünglichen Erwartungen vom Frühjahr 2021 lagen mit 10 bis 15 Prozent deutlich darunter; die heute beobachtete Größenordnung ist das Resultat eines mehrjährigen Optimierungs-Prozesses der vorgeschalteten Pre-Permission-Prompts.

Pre-Permission-Prompts sind die kleinen In-App-Erklär-Bildschirme, die App-Anbieter vor dem eigentlichen ATT-Systemdialog platzieren. Sie sind ein eigenständiger Designgegenstand geworden — eine Disziplin mit eigenen Best Practices, A/B-Test-Routinen und Conversion-Rate-Benchmarks. Die Apple Human Interface Guidelines lassen den Pre-Permission-Prompt explizit zu, knüpfen ihn aber an die Bedingung sachlich-zutreffender Information. Tatsachenwidrige oder manipulative Pre-Prompts sind ein anhaltender Reject-Grund im App Review.

Die kategoriellen Variationen der Opt-in-Raten sind beträchtlich und im Mai 2026 stärker ausgeprägt als noch 2022:

• Subscription-Apps mit klarer Value-Proposition (Duolingo, MyFitnessPal, Headspace, Strava): 40 bis 55 Prozent
• Klassische Free-to-Play-Spiele mit IDFA-abhängigem User-Acquisition-Modell: 15 bis 22 Prozent
• News- und Magazin-Apps: 28 bis 38 Prozent
• Banking- und Fintech-Apps: häufig kein ATT-Aufruf — entweder kein Tracking im ATT-Sinne oder bewusste Vermeidung der Permission
• Social-Networking-Apps: 22 bis 32 Prozent (mit erheblichen Unterschieden zwischen den großen Plattformen)

Diese Spreizung erklärt einen Großteil der unterschiedlichen wirtschaftlichen Anpassungs-Strategien der letzten fünf Jahre.

Der IDFA-Verschiebungs-Effekt — und die Meta-10-Mrd-Marke

Der wirtschaftliche Effekt der ATT-Einführung ist in der zweiten Jahreshälfte 2021 erstmals quantifizierbar geworden. Meta hat im Q3-2021-Investor-Call den ATT-bedingten Umsatzschaden für das Geschäftsjahr 2022 auf rund zehn Milliarden US-Dollar geschätzt — eine Größenordnung, die im Lauf des Jahres 2022 in den Quartalsberichten von Meta, Snap und Pinterest in ähnlicher Form bestätigt wurde. Der gesamte Mobile-Advertising-Markt hat 2022 einen historisch einmaligen Cost-per-Acquisition-Anstieg verzeichnet; in einzelnen Vertikalen (Mobile Gaming, Dating, Subscription-Productivity) waren CPI-Steigerungen von 30 bis 80 Prozent über zwölf Monate keine Seltenheit.

Die Anpassungs-Strategien der großen Werbeplattformen verlaufen seither in drei parallelen Spuren:

Erstens, die verstärkte Nutzung first-party-basierter Conversion-Tracking-Schichten — Metas Conversions API, Snaps Conversion API for Snap (CAPI), TikToks Events API. Die Werbung wird weiterhin auf dem mobilen Endgerät ausgeliefert; die Erfolgs-Messung erfolgt aber über server-zu-server-Pings, die ohne IDFA auskommen.

Zweitens, die Investition in eigene Werbeauslieferungs-Logiken mit interner User-ID — Metas Reels-Format, TikToks ads-platform-internes Audience-System, Apple Search Ads.

Drittens, die programmatische Nutzung des Apple-eigenen SKAdNetwork-Frameworks und der seit iOS 17.4 (März 2024) verfügbaren AdAttributionKit-Erweiterung, die die SKAdNetwork-Mechanik um Web-zu-App-Attribution und Re-Engagement-Postbacks ergänzt.

SKAdNetwork und Apples Werbe-Position

SKAdNetwork — das Apple-eigene aggregierte Attribution-Framework — hat in den letzten fünf Jahren eine eigene Versionsfolge durchlaufen. Im Mai 2026 ist Version 5 produktiv; die Versionen 4.0 (Sommer 2023) und 5.0 (WWDC 2024) haben das ursprünglich sehr schmale Postback-Modell (sechs Bit Conversion Value, ein Postback) zu einer mehrschichtigen Attribution-Schicht mit hierarchischen Conversion Values, Source Identifier und drei zeitlich versetzten Postback-Windows ausgebaut.

Apple Search Ads — die Werbeplattform für iOS-App-Store-Such-Ergebnisse — hat seit der ATT-Einführung ein erhebliches Wachstum erlebt. Branchen-Schätzungen für 2025 gehen von einem Jahresumsatz im hohen einstelligen Milliarden-USD-Bereich aus, eine Größenordnung, die Apple Search Ads in die Top-5 der globalen Mobile-Advertising-Anbieter rücken würde.

Die Korrelation zwischen der ATT-Einführung und dem Apple-Search-Ads-Wachstum ist offensichtlich; die Frage, ob diese Korrelation kausal ist und ob Apple seine Plattform-Position dadurch missbraucht, steht im Zentrum mehrerer aktuell laufender Verfahren:

• U.S. v. Apple Inc., eingereicht im März 2024 vor dem U.S. District Court for the District of New Jersey, mit ATT als einem von mehreren Hebeln des Antitrust-Vorwurfs
• EU-Kommissions-Voruntersuchung zu Apple Search Ads, eröffnet im Sommer 2024, im Mai 2026 noch im Vorprüfungs-Stadium
• Bundeskartellamts-Verfahren B6-27/21 in Deutschland, mit ATT als einem von mehreren Untersuchungs-Aspekten

Apple selbst tritt im ATT-Diskurs konsequent als Privacy-Custodian auf — eine Position, die die wirtschaftliche Asymmetrie zwischen dem ATT-Effekt auf Dritte und der eigenen Werbe-Position nicht thematisiert.

— Aus einer Stellungnahme des U.S. Department of Justice im laufenden Verfahren, Mai 2025

Privacy Manifests: die zweite ATT-Welle

Apple hat im Lauf des Jahres 2023 eine zweite Privacy-Architektur-Ebene eingeführt, die die ATT-Mechanik strukturell ergänzt: Privacy Manifests. Diese sind XML-basierte Manifest-Dateien, die jede App und jede einzelne SDK-Library in ihrem Bundle hinterlegen muss. Sie deklarieren die Datentypen, die die App oder das SDK sammelt, die Verwendungszwecke und das mögliche Tracking-Verhalten.

Die Privacy-Manifests-Anforderung ist seit der WWDC-2023-Ankündigung in Wellen eingeführt worden:

• iOS 17 (Herbst 2023): Privacy Manifests sind optional verfügbar
• Mai 2024: für alle App-Submissions in App Store Connect verpflichtend, betrifft eine initiale Liste von „Commonly Used SDKs” (Firebase, Adjust, AppsFlyer, OneSignal etc.)
• Mai 2025: die SDK-Liste ist erweitert worden auf rund 80 SDKs
• iOS 18 (Herbst 2024) und iOS 19 (Herbst 2025): die App Privacy Report-Funktionalität auf dem Endgerät zeigt Nutzer:innen die Manifests-Inhalte in lesbarer Form

Was die Privacy Manifests technisch leisten, ist die Schaffung eines maschinenlesbaren Privacy-Inventars über die gesamte SDK-Lieferkette einer App. Was sie regulatorisch leisten, ist eine wichtige Antwort auf eine wiederkehrende Beanstandung der EU- und US-Aufsichtsbehörden: dass App-Anbieter über die Datenpraktiken der von ihnen integrierten SDKs häufig kein vollständig konkretes Bild hatten.

Die operative Wirkung in der Entwicklungs-Praxis ist im Mai 2026 substantiell. Wer eine App in App Store Connect einreicht, läuft ohne korrekte Privacy Manifests aller eingebundenen SDKs in eine zuverlässige Reject-Mauer. Die SDK-Anbieter haben darauf reagiert: Firebase, Adjust und AppsFlyer haben ihre Manifests vollständig dokumentiert und in den jeweiligen SDK-Paketen versioniert mitgeliefert.

App Privacy Reports und der Nutzer:innen-seitige Privacy-Stack

Die zweite Komponente der zweiten ATT-Welle ist der App Privacy Report — ein in den iOS-Einstellungen unter „Datenschutz & Sicherheit” → „App Privacy Report” verfügbares Werkzeug, das Nutzer:innen einen aggregierten Überblick über die Datenzugriffe ihrer installierten Apps gibt: welche Sensoren (Kamera, Mikrofon, Standort) wann zugegriffen wurden, welche Network Domains kontaktiert wurden, welche Datentypen laut Privacy Manifest gesammelt werden.

Der App Privacy Report wird in der Nutzungspraxis von einer Minderheit der Nutzer:innen tatsächlich konsultiert — laut Apple-eigenen Aussagen in WWDC-2024-Sessions im niedrigen einstelligen Prozent-Bereich der iOS-Nutzerbasis. Die Wirkung ist trotzdem nicht zu unterschätzen: Der App Privacy Report stellt eine institutionalisierte Transparenz-Schicht her, die in der Pre-ATT-Welt schlicht nicht existierte.

Privacy Sandbox auf Android — die andere Antwort

Während Apple mit ATT, Privacy Manifests und App Privacy Reports auf eine permissions-basierte Privacy-Architektur gesetzt hat, verfolgt Google mit der Privacy Sandbox on Android einen architektonisch anderen Ansatz: die schrittweise Ersetzung der Werbe-Identifier-Mechanik (in diesem Fall: der Android Advertising ID, AAID) durch aggregations- und kohortenbasierte Attribution-APIs, die ohne Per-User-Identifier auskommen.

Die Privacy Sandbox on Android ist in mehreren Wellen ausgerollt worden:

• Februar 2022: erste Ankündigung als Multi-Year-Initiative
• April 2023: Developer-Preview erste Version
• Februar 2024: Beta-Verfügbarkeit, mit Topics API, FLEDGE-für-Android (Protected Audience) und Attribution Reporting API
• 2025: schrittweise Allgemeine Verfügbarkeit; Google hat im April 2025 angekündigt, die AAID auf Android in einem Drei-Phasen-Modell schrittweise zu deprecaten, mit vollständigem Ende 2027

Die Privacy Sandbox unterscheidet sich von ATT in zwei zentralen Punkten: Sie ist nicht permissions-basiert (Nutzer:innen werden nicht aktiv um Tracking-Erlaubnis gefragt), und sie ersetzt die Identifier-Mechanik durch konzeptionell neue API-Schichten, statt sie einfach abzuschalten.

Ob die Privacy Sandbox auf Android im Mai 2026 als Privacy-Architektur überzeugt, ist Gegenstand laufender Diskussion. Das britische Competition and Markets Authority (CMA) prüft seit Januar 2022 die Privacy-Sandbox-Implementation in einem laufenden Marktverfahren; eine vorläufige Bewertung vom Juli 2024 hat in mehreren Punkten Bedenken gegen die intendierte Plattform-Ausrichtung formuliert.

Bemerkenswert: Google hat im April 2024 die ursprünglich für Q3 2024 geplante Web-Variante der Privacy Sandbox — die Ablösung der Third-Party-Cookies in Chrome — auf unbestimmte Zeit verschoben. Die Android-Variante ist davon nicht betroffen und läuft weiter; was die mittelfristige strategische Konvergenz dieser beiden Sandbox-Stränge betrifft, ist aktuell offen.

Bestand fünf Jahre nach ATT

Wer im Mai 2026 die Wirkung der ATT-Einführung nüchtern bewertet, kommt zu einer differenzierten Bilanz:

• Privacy-Wirkung: Die ursprünglich intendierte Reduktion des Cross-App-Trackings ist messbar eingetreten. Der IDFA-Verfügbarkeitsgrad in Cross-App-Korrelations-Pipelines ist von praktisch 100 Prozent (Pre-ATT) auf 25 bis 30 Prozent (Mai 2026) gesunken.
• Wirtschaftliche Wirkung: Mobile-Advertising-Pipelines sind substanziell teurer geworden; Werbeplattformen haben sich auf first-party-Conversion-Modelle umgestellt. Apples eigene Werbeposition hat erheblich an Marktanteil gewonnen.
• Architektur-Wirkung: Privacy Manifests und App Privacy Reports haben die Privacy-Architektur des iOS-Ökosystems strukturell erweitert. Der App-Submission-Prozess ist anspruchsvoller, die Transparenz-Schicht für Nutzer:innen ist tiefer.
• Regulatorische Wirkung: ATT ist Gegenstand mehrerer laufender Antitrust-Verfahren, deren Ausgang die mittelfristige Architektur des Frameworks substanziell beeinflussen kann.

Was ATT in seiner fünfjährigen Geschichte gezeigt hat, ist die Tragweite einer Plattform-Entscheidung, die zum Zeitpunkt ihrer Einführung als technisches Detail erschien. Was die kommenden zwei bis drei Jahre voraussichtlich zeigen werden, ist die Frage, ob diese Plattform-Entscheidung den regulatorischen Druck — insbesondere aus dem US- und EU-Wettbewerbsrecht — in ihrer heutigen Form überlebt, oder ob sie unter dem Druck dieser Verfahren eine erneute Architektur-Anpassung erfahren wird. Die Apple-Privacy-Whitepaper und die Apple-Developer-Documentation zum App-Tracking-Transparency-Framework werden dann sehr wahrscheinlich erneut umgeschrieben werden.