FLoC: Wofür steht FLoC?
Als „datenschutzfreundliche“ Tracking-Alternative hat Google nun FLoC entwickelt – eine Abkürzung für „Federated Learning of Cohorts“. Hierbei wird der einzelne Google-Chrome-Nutzer anhand seines Browserverlaufs einer Gruppe von Nutzern mit ähnlichem Verlauf zugeordnet.
Statt personalisierter Werbung, maßgeschneidert auf die Bedürfnisse des einzelnen Nutzers, sollen nun anhand der FLoC-Technologie gruppenspezifische Werbeangebote geschaltet werden. Diese Werbeangebote sind dann abgestimmt auf die Vorlieben und Interessen der Gruppenmitglieder.
FLoC: So funktioniert's
Google analysiert hierfür die Browsing-Muster der Chrome-Nutzer, identifiziert ähnliche Browserverläufe und generiert auf dieser Grundlage die verschiedenen Gruppen – nach aktuellem Stand sind dies über 33.000,00 (Quelle).
Jeder Nutzer wird anhand seines Verlaufs einem „FLoC“, das heißt einer Gruppe, zugeteilt und erhält eine entsprechende FLoC-ID, welche ihn eindeutig als Teil der zugeteilten Gruppe identifiziert.
Die Gruppenzuordnung in FLoC – der technische Hintergrund
Google nutzt für die Gruppenzuordnung SimHash – ein Algorithmus, welcher wöchentlich den Browserverlauf der einzelnen Nutzer auswertet und Kategorien herausfiltert, anhand derer die Zuordnung vorgenommen wird (Quelle). Nach Googles Vorschlag soll diese FLoC-ID als Metainformation in Form eines HTTP-Headers vom Browser des Nutzers an die jeweilige aufgerufene Webseite übermittelt werden.
Erwähnenswert ist, dass Googles FLoC-Pläne ausschließlich Third-Party-Cookies betreffen. Das Setzen von First-Party-Cookies, womit Webseitenbetreiber die Nutzer auf ihrer eigenen Webseite tracken können, ist weiterhin möglich. Lediglich die Datensammlung bezüglich des allgemeinen Online-Verhaltens der einzelnen Nutzer, was nur mithilfe von Third-Party-Cookies möglich ist, wird unterbunden werden.
Kerntechnologie der Google Privacy Sandbox
FLoC ist die Kerntechnologie der Google Privacy Sandbox – ein Paket mit verschiedenen Maßnahmen, um die Privatsphäre der Nutzer besser zu schützen und damit das Vertrauen der Nutzer zurückzugewinnen. Hierdurch bezweckt Google, die oben genannten Zweifel zu beseitigen. Die Zuordnung zu einer Gruppe verspricht Anonymisierung…
… doch ist diese Art von Tracking so gut, wie sie klingt?
FLoC: Testung & DSGVO Kompatibilität in der EU?
Google hat ironischerweise bewusst darauf verzichtet, FLoC innerhalb der EU zu testen. Dank der DSGVO sowie der e-Privacy-Richtlinie ist die EU als einer der komplexesten Märkte in Bezug auf Datenschutz anzusehen. Um ein möglichst hohes und vor allem einheitliches Schutzniveau zu erzielen, gelten für die Verarbeitung personenbezogener Daten mit EU-Bezug hohe Anforderungen.
Nicht nur die Verknüpfung des jeweiligen Users mit einer FLoC-ID, sondern auch die Einstufung in eine bestimmte Kohorte könnte ausreichende Informationen preisgeben, um eine Identifizierung der betroffenen natürlichen Person zu ermöglichen.
Damit läge ein personenbezogenes Datum im Sinne der DSGVO vor, sodass sowohl die Zuteilung einer FLoC-ID, die spätere isolierte Verarbeitung der FLoC-ID und die Zuordnung zu einer Kohorte auf einer der Rechtsgrundlagen der DSGVO basieren müssten. Es ist davon auszugehen, dass voraussichtlich nur die Einwilligung als Rechtsgrundlage infrage kommt. Die Zuordnung zu einer Kohorte findet jedoch ohne Einwilligung, Mitteilung oder überhaupt einer Kenntnisnahme seitens des Nutzers statt. Somit läge auch ein Verstoß gegen die in Art. 13 DSGVO statuierte Informationspflicht vor.
FLoC und die e-Privacy-Richtlinie – diese datenschutzrechtlichen Bedenken tun sich auf
Auch im Hinblick auf die sogenannte e-Privacy-Richtlinie, Richtline 2002/58/EG, stößt Googles Vorhaben auf datenschutzrechtliche Bedenken. Da die Nutzer nach Googles aktueller Vorgehensweise weder Informationen noch Wahlmöglichkeiten darüber haben, wie genau die Verarbeitung zur Einteilung der jeweiligen Kohorte erfolgt, läge ein Verstoß gegen die Richtlinie vor. Denn nach Art. 5 Abs. 3 der e-Privacy-Richtlinie müssen die Betreiber von elektronischen Kommunikationsdiensten – und damit auch Google, den Nutzer umfassend über die Verarbeitung seiner Daten informieren.