Du hast Recht, den Passwordsafe nutzt man freiwillig. Das war vielleicht kein gut gewähltes Beispiel meinerseits.
Es ist doch trotzdem zu differenzieren, ob du als Anbieter IP-Adressen/User-Agent-basierte Daten bei fremden Firmen ablegst (durch Einbinden von Grafiken/JavaScript/...) oder ob du sensiblere Daten weitergibst.
Auch du wirst mir zustimmen, dass es bestimmt ein Unterschied wäre, wenn Netcup Schriftarten aus der Google Font API einbinden würde versus wenn Netcup deine Passwörter an Google weitertragen würde. Ich verstehe bei deiner Argumentation schlichtweg nicht, wieso du nicht zwischen "generischen Daten" und "sicherheitskritsichen Daten" unterscheiden kannst.