In diesem Beitrag
Text LinkFLoC: Wofür steht FLoC?FLoC: So funktioniert'sFLoC: Testung & DSGVO Kompatibilität in der EU?
Text LinkSECJURs Datenschutzexperten – Fazit zu FLoC
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
FLoC: Was ist Google FLoC und wie nutzt man es?

FLoC: Was ist Google FLoC und wie nutzt man es?

Daniel Lösch

Senior Privacy Expert & Product Owner

October 2, 2023

5 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

FLoC (Federated Learning of Cohorts) ist ein von Google entwickeltes System, das Nutzer auf Basis ihres Browserverlaufs in Gruppen einteilt und so gruppenspezifische Werbeangebote zeigt.

Nutzer erhalten FLoC-IDs basierend auf ihrem Browserverlauf, die als HTTP-Header gesendet werden.

Es gibt datenschutzrechtliche Bedenken bezüglich FLoC in Bezug auf EU-Richtlinien (DSGVO und e-Privacy-Richtlinie).

Kritiker befürchten, dass FLoC zur Diskriminierung und Ungleichbehandlung führen und Nutzer trotz Gruppeneinteilung weiterhin transparent machen könnte.

FLoC: Wofür steht FLoC?

Als „datenschutzfreundliche“ Tracking-Alternative hat Google nun FLoC entwickelt – eine Abkürzung für „Federated Learning of Cohorts“. Hierbei wird der einzelne Google-Chrome-Nutzer anhand seines Browserverlaufs einer Gruppe von Nutzern mit ähnlichem Verlauf zugeordnet.

Statt personalisierter Werbung, maßgeschneidert auf die Bedürfnisse des einzelnen Nutzers, sollen nun anhand der FLoC-Technologie gruppenspezifische Werbeangebote geschaltet werden. Diese Werbeangebote sind dann abgestimmt auf die Vorlieben und Interessen der Gruppenmitglieder.

FLoC: So funktioniert's

Google analysiert hierfür die Browsing-Muster der Chrome-Nutzer, identifiziert ähnliche Browserverläufe und generiert auf dieser Grundlage die verschiedenen Gruppen – nach aktuellem Stand sind dies über 33.000,00 (Quelle).

Jeder Nutzer wird anhand seines Verlaufs einem „FLoC“, das heißt einer Gruppe, zugeteilt und erhält eine entsprechende FLoC-ID, welche ihn eindeutig als Teil der zugeteilten Gruppe identifiziert.

Die Gruppenzuordnung in FLoC – der technische Hintergrund

Google nutzt für die Gruppenzuordnung SimHash – ein Algorithmus, welcher wöchentlich den Browserverlauf der einzelnen Nutzer auswertet und Kategorien herausfiltert, anhand derer die Zuordnung vorgenommen wird (Quelle). Nach Googles Vorschlag soll diese FLoC-ID als Metainformation in Form eines HTTP-Headers vom Browser des Nutzers an die jeweilige aufgerufene Webseite übermittelt werden.

Erwähnenswert ist, dass Googles FLoC-Pläne ausschließlich Third-Party-Cookies betreffen. Das Setzen von First-Party-Cookies, womit Webseitenbetreiber die Nutzer auf ihrer eigenen Webseite tracken können, ist weiterhin möglich. Lediglich die Datensammlung bezüglich des allgemeinen Online-Verhaltens der einzelnen Nutzer, was nur mithilfe von Third-Party-Cookies möglich ist, wird unterbunden werden.

Kerntechnologie der Google Privacy Sandbox

FLoC ist die Kerntechnologie der Google Privacy Sandbox – ein Paket mit verschiedenen Maßnahmen, um die Privatsphäre der Nutzer besser zu schützen und damit das Vertrauen der Nutzer zurückzugewinnen. Hierdurch bezweckt Google, die oben genannten Zweifel zu beseitigen. Die Zuordnung zu einer Gruppe verspricht Anonymisierung…

… doch ist diese Art von Tracking so gut, wie sie klingt?

FLoC: Testung & DSGVO Kompatibilität in der EU?

Google hat ironischerweise bewusst darauf verzichtet, FLoC innerhalb der EU zu testen. Dank der DSGVO sowie der e-Privacy-Richtlinie ist die EU als einer der komplexesten Märkte in Bezug auf Datenschutz anzusehen. Um ein möglichst hohes und vor allem einheitliches Schutzniveau zu erzielen, gelten für die Verarbeitung personenbezogener Daten mit EU-Bezug hohe Anforderungen.

Nicht nur die Verknüpfung des jeweiligen Users mit einer FLoC-ID, sondern auch die Einstufung in eine bestimmte Kohorte könnte ausreichende Informationen preisgeben, um eine Identifizierung der betroffenen natürlichen Person zu ermöglichen.

Damit läge ein personenbezogenes Datum im Sinne der DSGVO vor, sodass sowohl die Zuteilung einer FLoC-ID, die spätere isolierte Verarbeitung der FLoC-ID und die Zuordnung zu einer Kohorte auf einer der Rechtsgrundlagen der DSGVO basieren müssten. Es ist davon auszugehen, dass voraussichtlich nur die Einwilligung als Rechtsgrundlage infrage kommt. Die Zuordnung zu einer Kohorte findet jedoch ohne Einwilligung, Mitteilung oder überhaupt einer Kenntnisnahme seitens des Nutzers statt. Somit läge auch ein Verstoß gegen die in Art. 13 DSGVO statuierte Informationspflicht vor.

FLoC und die e-Privacy-Richtlinie – diese datenschutzrechtlichen Bedenken tun sich auf

Auch im Hinblick auf die sogenannte e-Privacy-Richtlinie, Richtline 2002/58/EG, stößt Googles Vorhaben auf datenschutzrechtliche Bedenken. Da die Nutzer nach Googles aktueller Vorgehensweise weder Informationen noch Wahlmöglichkeiten darüber haben, wie genau die Verarbeitung zur Einteilung der jeweiligen Kohorte erfolgt, läge ein Verstoß gegen die Richtlinie vor. Denn nach Art. 5 Abs. 3 der e-Privacy-Richtlinie müssen die Betreiber von elektronischen Kommunikationsdiensten – und damit auch Google, den Nutzer umfassend über die Verarbeitung seiner Daten informieren.

SECJURs Datenschutzexperten – Fazit zu FLoC

Insgesamt sind die Pläne von Google als kritisch zu bewerten. Wenngleich die von Google kommunizierten Ziele bezüglich der Privatsphärenaspekte bei den Nutzern gut ankommen und marketingtechnisch sicherlich ein voller Erfolg sein werden, so wächst das Datenimperium von Googles Dachgesellschaft Alphabet stetig.

Zudem gleicht die Zuordnung zu einer Gruppe, sichtbar durch den HTTP-Header, einem öffentlich sichtbaren Verhaltensscore. Auch wenn mangels Third-Party-Cookies und daraus resultierendem Cross-Site-Tracking die Profilbildung für die Werbeindustrie erschwert wird, verrät die Zuordnung zu einem bestimmten FLoC ebenfalls viel über die einzelnen User.

Der User bleibt gläsern

Sollte Google also wie geplant die Gruppeninformationen direkt an die Website, welche der User besucht, übermitteln, so wird der Einzelne noch gläserner. Man könnte einwenden, er sei lediglich ein Teil einer Gruppe und damit in gewissem Maß anonym. Jedoch werden an die Webseiten-Betreiber dank FLoC bereits beim ersten Aufrufen der Seite mithilfe des Headers diverse private, wenn gar sensible Informationen übermittelt.

Schließlich verrät der Suchverlauf unter Umständen viel über den jeweiligen Nutzer – das klassische „googlen“ von Krankheitssymptomen oder Online-Bestellungen bei Apotheken können mitunter sehr private Informationen enthalten, aber auch Rückschlüsse auf Interessen, Beruf, Alter, Geschlecht etc. sind damit leicht möglich und werden dem Webseitenbetreiber dank des Headers quasi auf dem Silbertablett präsentiert. Die Erlangung all dieser Informationen hätte beim Einsatz von Cookies immerhin eine gewisse Nutzungsdauer erfordert.

Biased algorithms können zum Problem werden

Diskriminierung und Ungleichbehandlung aufgrund von einzelnen Google Search-Begriffen – Stichwort: Browser-Fingerprinting – sind damit Tür und Tor geöffnet.

Google FLoC erscheint auf den ersten Blick als das geringere Übel. Allerdings besteht berechtigter Anlass zur Sorge, dass Nutzer zukünftig letztendlich noch transparenter werden als bisher, sollte sich Google mit der FLoC-Technologie durchsetzen.

Mehr erfahren
Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Was ist Google FLoC?

Google FLoC steht für "Federated Learning of Cohorts" und ist eine datenschutzfreundliche Tracking-Alternative. Dabei werden Chrome-Nutzer anhand ihres Browserverlaufs Gruppen zugeordnet, und anstatt personalisierter Werbung erhalten die Nutzer gruppenspezifische Werbeangebote.

Wie funktioniert die Zuordnung zu den Gruppen bei Google FLoC?

Google analysiert die Browsing-Muster der Chrome-Nutzer, identifiziert ähnliche Browserverläufe und generiert auf dieser Grundlage verschiedene Gruppen. Jeder Nutzer wird anhand seines Verlaufs einer Gruppe zugeordnet und erhält eine FLoC-ID, die ihn als Teil der Gruppe identifiziert.

Was sind die Auswirkungen von Google FLoC auf den Datenschutz?

Google FLoC betrifft ausschließlich Third-Party-Cookies und soll die Privatsphäre der Nutzer besser schützen. Das Setzen von First-Party-Cookies ist weiterhin möglich. Durch die Zuordnung zu einer Gruppe können jedoch Informationen preisgegeben werden, die eine Identifizierung der betroffenen Person ermöglichen könnten.

Weiterlesen

November 15, 2023
7 min
ISO 27001 Zertifizierung: Das Wichtigste zu Vorbereitung, Ablauf und Kosten

Erfahren Sie mehr über die ISO 27001, eine internationale Norm, die Unternehmen dazu verpflichtet, erstklassige Standards im Informationssicherheitsmanagement zu etablieren. Diese Zertifizierung ist nicht nur ein Maßstab für die Kontrolle von Informationen, sondern auch ein entscheidender Vertrauensbeweis für Kunden und Partner. Entdecken Sie, wie die ISO 27001 Transparenz fördert, Vertrauen stärkt und Unternehmen dabei unterstützt, sich effektiv vor Cyberbedrohungen zu schützen.

Lesen
June 5, 2023
4 min
Datenschutz bei Firmenevents: DSGVO beginnt bei der Einladung

Firmenevents sind eine großartige Möglichkeit, um das Team zu stärken und Beziehungen zu Kunden aufzubauen. Doch bei der Planung und Durchführung von Veranstaltungen müssen Unternehmen auch den Datenschutz im Blick behalten. In diesem Überblick haben wir die wichtigsten Aspekte zum Umgang mit personenbezogenen Daten bei Firmenevents zusammengetragen. Erfahren Sie, wie Sie Stolpersteine vermeiden und datenschutzrechtliche Anforderungen erfüllen können.

Lesen
September 25, 2023
10 min
Bitkom-Studie: Mittelstand im Visier der Cyberkriminalität

Laut einer aktuellen Bitkom-Studie erlitt die deutsche Wirtschaft einen Schaden von 206 Milliarden Euro durch Cyberkriminalität, wobei vor allem Angriffe aus dem Umfeld der Organisierten Kriminalität zugenommen haben. Sowohl Großunternehmen als auch kleine und mittelständische Unternehmen waren betroffen. Wie können Sie Ihr Unternehmen schützen?

Lesen
Related Resources
Sichere Passwörter – 11 Regeln für Ihre Passwortsicherheit
June 7, 2023
4 min
Datenschutzgrundverordnung: ihre Vorgeschichte, ihr Impact
June 2, 2023
5 min
DSGVO: Fotos auf Veranstaltungen und Co. - das ist zu beachten
June 5, 2023
Marketing Tips for Niche Industries
CEO Fraud – Informationssicherheitsexperten geben 3 Tipps zur Abwehr
June 6, 2023
8 min
Bitkom-Studie: Mittelstand im Visier der Cyberkriminalität
September 25, 2023
10 min
Hinweisgeberschutzgesetz – das HinSchG im Überblick
June 7, 2023
12 min
TO TOP