Beitrag teilen
HOME
/
blog
/
FLoC: Was ist Google FLoC und wie nutzt man es?

FLoC: Was ist Google FLoC und wie nutzt man es?

Daniel Lösch

Senior Privacy Expert & Product Owner

October 2, 2023

5 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

FLoC (Federated Learning of Cohorts) ist ein von Google entwickeltes System, das Nutzer auf Basis ihres Browserverlaufs in Gruppen einteilt und so gruppenspezifische Werbeangebote zeigt.

Nutzer erhalten FLoC-IDs basierend auf ihrem Browserverlauf, die als HTTP-Header gesendet werden.

Es gibt datenschutzrechtliche Bedenken bezüglich FLoC in Bezug auf EU-Richtlinien (DSGVO und e-Privacy-Richtlinie).

Kritiker befürchten, dass FLoC zur Diskriminierung und Ungleichbehandlung führen und Nutzer trotz Gruppeneinteilung weiterhin transparent machen könnte.

FLoC: Wofür steht FLoC?

Als „datenschutzfreundliche“ Tracking-Alternative hat Google nun FLoC entwickelt – eine Abkürzung für „Federated Learning of Cohorts“. Hierbei wird der einzelne Google-Chrome-Nutzer anhand seines Browserverlaufs einer Gruppe von Nutzern mit ähnlichem Verlauf zugeordnet.

Statt personalisierter Werbung, maßgeschneidert auf die Bedürfnisse des einzelnen Nutzers, sollen nun anhand der FLoC-Technologie gruppenspezifische Werbeangebote geschaltet werden. Diese Werbeangebote sind dann abgestimmt auf die Vorlieben und Interessen der Gruppenmitglieder.

FLoC: So funktioniert's

Google analysiert hierfür die Browsing-Muster der Chrome-Nutzer, identifiziert ähnliche Browserverläufe und generiert auf dieser Grundlage die verschiedenen Gruppen – nach aktuellem Stand sind dies über 33.000,00 (Quelle).

Jeder Nutzer wird anhand seines Verlaufs einem „FLoC“, das heißt einer Gruppe, zugeteilt und erhält eine entsprechende FLoC-ID, welche ihn eindeutig als Teil der zugeteilten Gruppe identifiziert.

Die Gruppenzuordnung in FLoC – der technische Hintergrund

Google nutzt für die Gruppenzuordnung SimHash – ein Algorithmus, welcher wöchentlich den Browserverlauf der einzelnen Nutzer auswertet und Kategorien herausfiltert, anhand derer die Zuordnung vorgenommen wird (Quelle). Nach Googles Vorschlag soll diese FLoC-ID als Metainformation in Form eines HTTP-Headers vom Browser des Nutzers an die jeweilige aufgerufene Webseite übermittelt werden.

Erwähnenswert ist, dass Googles FLoC-Pläne ausschließlich Third-Party-Cookies betreffen. Das Setzen von First-Party-Cookies, womit Webseitenbetreiber die Nutzer auf ihrer eigenen Webseite tracken können, ist weiterhin möglich. Lediglich die Datensammlung bezüglich des allgemeinen Online-Verhaltens der einzelnen Nutzer, was nur mithilfe von Third-Party-Cookies möglich ist, wird unterbunden werden.

Kerntechnologie der Google Privacy Sandbox

FLoC ist die Kerntechnologie der Google Privacy Sandbox – ein Paket mit verschiedenen Maßnahmen, um die Privatsphäre der Nutzer besser zu schützen und damit das Vertrauen der Nutzer zurückzugewinnen. Hierdurch bezweckt Google, die oben genannten Zweifel zu beseitigen. Die Zuordnung zu einer Gruppe verspricht Anonymisierung…

… doch ist diese Art von Tracking so gut, wie sie klingt?

FLoC: Testung & DSGVO Kompatibilität in der EU?

Google hat ironischerweise bewusst darauf verzichtet, FLoC innerhalb der EU zu testen. Dank der DSGVO sowie der e-Privacy-Richtlinie ist die EU als einer der komplexesten Märkte in Bezug auf Datenschutz anzusehen. Um ein möglichst hohes und vor allem einheitliches Schutzniveau zu erzielen, gelten für die Verarbeitung personenbezogener Daten mit EU-Bezug hohe Anforderungen.

Nicht nur die Verknüpfung des jeweiligen Users mit einer FLoC-ID, sondern auch die Einstufung in eine bestimmte Kohorte könnte ausreichende Informationen preisgeben, um eine Identifizierung der betroffenen natürlichen Person zu ermöglichen.

Damit läge ein personenbezogenes Datum im Sinne der DSGVO vor, sodass sowohl die Zuteilung einer FLoC-ID, die spätere isolierte Verarbeitung der FLoC-ID und die Zuordnung zu einer Kohorte auf einer der Rechtsgrundlagen der DSGVO basieren müssten. Es ist davon auszugehen, dass voraussichtlich nur die Einwilligung als Rechtsgrundlage infrage kommt. Die Zuordnung zu einer Kohorte findet jedoch ohne Einwilligung, Mitteilung oder überhaupt einer Kenntnisnahme seitens des Nutzers statt. Somit läge auch ein Verstoß gegen die in Art. 13 DSGVO statuierte Informationspflicht vor.

FLoC und die e-Privacy-Richtlinie – diese datenschutzrechtlichen Bedenken tun sich auf

Auch im Hinblick auf die sogenannte e-Privacy-Richtlinie, Richtline 2002/58/EG, stößt Googles Vorhaben auf datenschutzrechtliche Bedenken. Da die Nutzer nach Googles aktueller Vorgehensweise weder Informationen noch Wahlmöglichkeiten darüber haben, wie genau die Verarbeitung zur Einteilung der jeweiligen Kohorte erfolgt, läge ein Verstoß gegen die Richtlinie vor. Denn nach Art. 5 Abs. 3 der e-Privacy-Richtlinie müssen die Betreiber von elektronischen Kommunikationsdiensten – und damit auch Google, den Nutzer umfassend über die Verarbeitung seiner Daten informieren.

SECJURs Datenschutzexperten – Fazit zu FLoC

Insgesamt sind die Pläne von Google als kritisch zu bewerten. Wenngleich die von Google kommunizierten Ziele bezüglich der Privatsphärenaspekte bei den Nutzern gut ankommen und marketingtechnisch sicherlich ein voller Erfolg sein werden, so wächst das Datenimperium von Googles Dachgesellschaft Alphabet stetig.

Zudem gleicht die Zuordnung zu einer Gruppe, sichtbar durch den HTTP-Header, einem öffentlich sichtbaren Verhaltensscore. Auch wenn mangels Third-Party-Cookies und daraus resultierendem Cross-Site-Tracking die Profilbildung für die Werbeindustrie erschwert wird, verrät die Zuordnung zu einem bestimmten FLoC ebenfalls viel über die einzelnen User.

Der User bleibt gläsern

Sollte Google also wie geplant die Gruppeninformationen direkt an die Website, welche der User besucht, übermitteln, so wird der Einzelne noch gläserner. Man könnte einwenden, er sei lediglich ein Teil einer Gruppe und damit in gewissem Maß anonym. Jedoch werden an die Webseiten-Betreiber dank FLoC bereits beim ersten Aufrufen der Seite mithilfe des Headers diverse private, wenn gar sensible Informationen übermittelt.

Schließlich verrät der Suchverlauf unter Umständen viel über den jeweiligen Nutzer – das klassische „googlen“ von Krankheitssymptomen oder Online-Bestellungen bei Apotheken können mitunter sehr private Informationen enthalten, aber auch Rückschlüsse auf Interessen, Beruf, Alter, Geschlecht etc. sind damit leicht möglich und werden dem Webseitenbetreiber dank des Headers quasi auf dem Silbertablett präsentiert. Die Erlangung all dieser Informationen hätte beim Einsatz von Cookies immerhin eine gewisse Nutzungsdauer erfordert.

Biased algorithms können zum Problem werden

Diskriminierung und Ungleichbehandlung aufgrund von einzelnen Google Search-Begriffen – Stichwort: Browser-Fingerprinting – sind damit Tür und Tor geöffnet.

Google FLoC erscheint auf den ersten Blick als das geringere Übel. Allerdings besteht berechtigter Anlass zur Sorge, dass Nutzer zukünftig letztendlich noch transparenter werden als bisher, sollte sich Google mit der FLoC-Technologie durchsetzen.

Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Was ist Google FLoC?

Google FLoC steht für "Federated Learning of Cohorts" und ist eine datenschutzfreundliche Tracking-Alternative. Dabei werden Chrome-Nutzer anhand ihres Browserverlaufs Gruppen zugeordnet, und anstatt personalisierter Werbung erhalten die Nutzer gruppenspezifische Werbeangebote.

Wie funktioniert die Zuordnung zu den Gruppen bei Google FLoC?

Google analysiert die Browsing-Muster der Chrome-Nutzer, identifiziert ähnliche Browserverläufe und generiert auf dieser Grundlage verschiedene Gruppen. Jeder Nutzer wird anhand seines Verlaufs einer Gruppe zugeordnet und erhält eine FLoC-ID, die ihn als Teil der Gruppe identifiziert.

Was sind die Auswirkungen von Google FLoC auf den Datenschutz?

Google FLoC betrifft ausschließlich Third-Party-Cookies und soll die Privatsphäre der Nutzer besser schützen. Das Setzen von First-Party-Cookies ist weiterhin möglich. Durch die Zuordnung zu einer Gruppe können jedoch Informationen preisgegeben werden, die eine Identifizierung der betroffenen Person ermöglichen könnten.

Weiterlesen

June 2, 2023
8 min
Google Analytics: Bald illegal? Das sagen die SECJUR-Experten!

Dass der Statistik-Dienst von Google, Google Analytics, nicht ohne Weiteres auf Webseiten datenschutzkonform einsetzbar ist, dürfte bekannt sein. In den letzten Tagen gab es dennoch vermehrt Berichte über den Dienst und dessen mangelnde Datenschutzkonformität. Insbesondere die Aufsichtsbehörden innerhalb der Europäischen Union beschäftigen sich intensiv mit dem Dienst.

Lesen
June 7, 2023
5 min
ISMS-Standard – SECJUR-Ratgeber zur Wahl Ihres ISMS-Standards

Müssen Sie sich in Ihrem Unternehmen mit einem Informationssicherheitsmanagementsystem (ISMS) beschäftigen? Dann wissen Sie: Den richtigen ISMS-Standard zu wählen ist nicht einfach. ‍ Wir gehen in diesem Artikel daher auf einige der bekanntesten Informationssicherheits-Standards und ihre Anwendungsbereiche sowie ihre Unterschiede zur ISO/IEC 27001 ein.

Lesen
June 5, 2023
4 min
Datenschutz bei Firmenevents: DSGVO beginnt bei der Einladung

Firmenevents sind eine großartige Möglichkeit, um das Team zu stärken und Beziehungen zu Kunden aufzubauen. Doch bei der Planung und Durchführung von Veranstaltungen müssen Unternehmen auch den Datenschutz im Blick behalten. In diesem Überblick haben wir die wichtigsten Aspekte zum Umgang mit personenbezogenen Daten bei Firmenevents zusammengetragen. Erfahren Sie, wie Sie Stolpersteine vermeiden und datenschutzrechtliche Anforderungen erfüllen können.

Lesen
TO TOP