In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
FLoC: Was ist Google FLoC und wie nutzt man es?

FLoC: Was ist Google FLoC und wie nutzt man es?

Daniel Lösch

Senior Privacy Expert & Product Owner

December 23, 2025

5 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

FLoC (Federated Learning of Cohorts) ist ein von Google entwickeltes System, das Nutzer auf Basis ihres Browserverlaufs in Gruppen einteilt und so gruppenspezifische Werbeangebote zeigt.

Nutzer erhalten FLoC-IDs basierend auf ihrem Browserverlauf, die als HTTP-Header gesendet werden.

Es gibt datenschutzrechtliche Bedenken bezüglich FLoC in Bezug auf EU-Richtlinien (DSGVO und e-Privacy-Richtlinie).

Kritiker befürchten, dass FLoC zur Diskriminierung und Ungleichbehandlung führen und Nutzer trotz Gruppeneinteilung weiterhin transparent machen könnte.

FLoC: Wofür steht FLoC?

Als „datenschutzfreundliche“ Tracking-Alternative hat Google nun FLoC entwickelt – eine Abkürzung für „Federated Learning of Cohorts“. Hierbei wird der einzelne Google-Chrome-Nutzer anhand seines Browserverlaufs einer Gruppe von Nutzern mit ähnlichem Verlauf zugeordnet.

Statt personalisierter Werbung, maßgeschneidert auf die Bedürfnisse des einzelnen Nutzers, sollen nun anhand der FLoC-Technologie gruppenspezifische Werbeangebote geschaltet werden. Diese Werbeangebote sind dann abgestimmt auf die Vorlieben und Interessen der Gruppenmitglieder.

FLoC: So funktioniert's

Google analysiert hierfür die Browsing-Muster der Chrome-Nutzer, identifiziert ähnliche Browserverläufe und generiert auf dieser Grundlage die verschiedenen Gruppen – nach aktuellem Stand sind dies über 33.000,00 (Quelle).

Jeder Nutzer wird anhand seines Verlaufs einem „FLoC“, das heißt einer Gruppe, zugeteilt und erhält eine entsprechende FLoC-ID, welche ihn eindeutig als Teil der zugeteilten Gruppe identifiziert.

Die Gruppenzuordnung in FLoC – der technische Hintergrund

Google nutzt für die Gruppenzuordnung SimHash – ein Algorithmus, welcher wöchentlich den Browserverlauf der einzelnen Nutzer auswertet und Kategorien herausfiltert, anhand derer die Zuordnung vorgenommen wird (Quelle). Nach Googles Vorschlag soll diese FLoC-ID als Metainformation in Form eines HTTP-Headers vom Browser des Nutzers an die jeweilige aufgerufene Webseite übermittelt werden.

Erwähnenswert ist, dass Googles FLoC-Pläne ausschließlich Third-Party-Cookies betreffen. Das Setzen von First-Party-Cookies, womit Webseitenbetreiber die Nutzer auf ihrer eigenen Webseite tracken können, ist weiterhin möglich. Lediglich die Datensammlung bezüglich des allgemeinen Online-Verhaltens der einzelnen Nutzer, was nur mithilfe von Third-Party-Cookies möglich ist, wird unterbunden werden.

Kerntechnologie der Google Privacy Sandbox

FLoC ist die Kerntechnologie der Google Privacy Sandbox – ein Paket mit verschiedenen Maßnahmen, um die Privatsphäre der Nutzer besser zu schützen und damit das Vertrauen der Nutzer zurückzugewinnen. Hierdurch bezweckt Google, die oben genannten Zweifel zu beseitigen. Die Zuordnung zu einer Gruppe verspricht Anonymisierung…

… doch ist diese Art von Tracking so gut, wie sie klingt?

FLoC: Testung & DSGVO Kompatibilität in der EU?

Google hat ironischerweise bewusst darauf verzichtet, FLoC innerhalb der EU zu testen. Dank der DSGVO sowie der e-Privacy-Richtlinie ist die EU als einer der komplexesten Märkte in Bezug auf Datenschutz anzusehen. Um ein möglichst hohes und vor allem einheitliches Schutzniveau zu erzielen, gelten für die Verarbeitung personenbezogener Daten mit EU-Bezug hohe Anforderungen.

Nicht nur die Verknüpfung des jeweiligen Users mit einer FLoC-ID, sondern auch die Einstufung in eine bestimmte Kohorte könnte ausreichende Informationen preisgeben, um eine Identifizierung der betroffenen natürlichen Person zu ermöglichen.

Damit läge ein personenbezogenes Datum im Sinne der DSGVO vor, sodass sowohl die Zuteilung einer FLoC-ID, die spätere isolierte Verarbeitung der FLoC-ID und die Zuordnung zu einer Kohorte auf einer der Rechtsgrundlagen der DSGVO basieren müssten. Es ist davon auszugehen, dass voraussichtlich nur die Einwilligung als Rechtsgrundlage infrage kommt. Die Zuordnung zu einer Kohorte findet jedoch ohne Einwilligung, Mitteilung oder überhaupt einer Kenntnisnahme seitens des Nutzers statt. Somit läge auch ein Verstoß gegen die in Art. 13 DSGVO statuierte Informationspflicht vor.

FLoC und die e-Privacy-Richtlinie – diese datenschutzrechtlichen Bedenken tun sich auf

Auch im Hinblick auf die sogenannte e-Privacy-Richtlinie, Richtline 2002/58/EG, stößt Googles Vorhaben auf datenschutzrechtliche Bedenken. Da die Nutzer nach Googles aktueller Vorgehensweise weder Informationen noch Wahlmöglichkeiten darüber haben, wie genau die Verarbeitung zur Einteilung der jeweiligen Kohorte erfolgt, läge ein Verstoß gegen die Richtlinie vor. Denn nach Art. 5 Abs. 3 der e-Privacy-Richtlinie müssen die Betreiber von elektronischen Kommunikationsdiensten – und damit auch Google, den Nutzer umfassend über die Verarbeitung seiner Daten informieren.

SECJURs Datenschutzexperten – Fazit zu FLoC

Insgesamt sind die Pläne von Google als kritisch zu bewerten. Wenngleich die von Google kommunizierten Ziele bezüglich der Privatsphärenaspekte bei den Nutzern gut ankommen und marketingtechnisch sicherlich ein voller Erfolg sein werden, so wächst das Datenimperium von Googles Dachgesellschaft Alphabet stetig.

Zudem gleicht die Zuordnung zu einer Gruppe, sichtbar durch den HTTP-Header, einem öffentlich sichtbaren Verhaltensscore. Auch wenn mangels Third-Party-Cookies und daraus resultierendem Cross-Site-Tracking die Profilbildung für die Werbeindustrie erschwert wird, verrät die Zuordnung zu einem bestimmten FLoC ebenfalls viel über die einzelnen User.

Der User bleibt gläsern

Sollte Google also wie geplant die Gruppeninformationen direkt an die Website, welche der User besucht, übermitteln, so wird der Einzelne noch gläserner. Man könnte einwenden, er sei lediglich ein Teil einer Gruppe und damit in gewissem Maß anonym. Jedoch werden an die Webseiten-Betreiber dank FLoC bereits beim ersten Aufrufen der Seite mithilfe des Headers diverse private, wenn gar sensible Informationen übermittelt.

Schließlich verrät der Suchverlauf unter Umständen viel über den jeweiligen Nutzer – das klassische „googlen“ von Krankheitssymptomen oder Online-Bestellungen bei Apotheken können mitunter sehr private Informationen enthalten, aber auch Rückschlüsse auf Interessen, Beruf, Alter, Geschlecht etc. sind damit leicht möglich und werden dem Webseitenbetreiber dank des Headers quasi auf dem Silbertablett präsentiert. Die Erlangung all dieser Informationen hätte beim Einsatz von Cookies immerhin eine gewisse Nutzungsdauer erfordert.

Biased algorithms können zum Problem werden

Diskriminierung und Ungleichbehandlung aufgrund von einzelnen Google Search-Begriffen – Stichwort: Browser-Fingerprinting – sind damit Tür und Tor geöffnet.

Google FLoC erscheint auf den ersten Blick als das geringere Übel. Allerdings besteht berechtigter Anlass zur Sorge, dass Nutzer zukünftig letztendlich noch transparenter werden als bisher, sollte sich Google mit der FLoC-Technologie durchsetzen.

Mehr erfahren
Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Was ist Google FLoC?

Google FLoC steht für "Federated Learning of Cohorts" und ist eine datenschutzfreundliche Tracking-Alternative. Dabei werden Chrome-Nutzer anhand ihres Browserverlaufs Gruppen zugeordnet, und anstatt personalisierter Werbung erhalten die Nutzer gruppenspezifische Werbeangebote.

Wie funktioniert die Zuordnung zu den Gruppen bei Google FLoC?

Google analysiert die Browsing-Muster der Chrome-Nutzer, identifiziert ähnliche Browserverläufe und generiert auf dieser Grundlage verschiedene Gruppen. Jeder Nutzer wird anhand seines Verlaufs einer Gruppe zugeordnet und erhält eine FLoC-ID, die ihn als Teil der Gruppe identifiziert.

Was sind die Auswirkungen von Google FLoC auf den Datenschutz?

Google FLoC betrifft ausschließlich Third-Party-Cookies und soll die Privatsphäre der Nutzer besser schützen. Das Setzen von First-Party-Cookies ist weiterhin möglich. Durch die Zuordnung zu einer Gruppe können jedoch Informationen preisgegeben werden, die eine Identifizierung der betroffenen Person ermöglichen könnten.

Weiterlesen

November 26, 2025
5 Minuten
NIS2-Reporting: Wie CISOs die Geschäftsleitung richtig informieren

Viele CISO-Reports scheitern daran, technische Kennzahlen nicht in geschäftsrelevante Entscheidungen zu übersetzen. Dieser Leitfaden zeigt, wie NIS2-konformes Reporting an die Geschäftsleitung gelingt, Haftungsrisiken reduziert werden und aus Pflichtberichten ein strategischer Dialog entsteht. Erfahren Sie praxisnah, wie CISOs und Vorstände gemeinsam Cybersicherheit wirksam steuern.

Lesen
October 11, 2023
7 min
NIS2 Deutschland: Wie beeinflusst die NIS2 Richtlinie deutsche Unternehmen?

Erfahren Sie, warum die Cybersicherheit in Deutschland an Bedeutung gewinnt, welche Rolle das IT-Sicherheitsgesetz und NIS2 dabei spielen und wie Unternehmen von der NIS2 Umsetzung betroffen sind. Mit steigenden Cyberkriminalitätsfällen und der NIS2 Richtlinie vor der Tür, stehen deutsche Unternehmen vor neuen Herausforderungen. Die Bedrohung im Cyber-Raum erreicht einen Höchststand, und Ransomware bleibt eine ernsthafte Gefahr. Die NIS2 Umsetzung in Deutschland verspricht, die Cybersicherheit zu stärken, erfordert aber gründliche Prüfungen und Anpassungen seitens der Unternehmen. Informieren Sie sich über die aktuellen Entwicklungen und die Auswirkungen auf die deutsche Wirtschaft.

Lesen
November 17, 2025
5 Minuten
ISO 27001: Digitale Signaturen auditkonform einsetzen

Viele Unternehmen unterschätzen die Bedeutung auditfester Freigaben in ISO 27001 und riskieren dadurch vermeidbare Abweichungen. Erfahren Sie, wie digitale Signaturen Ihre Richtlinien manipulationssicher machen, Audit-Trails automatisch erzeugen und Ihren gesamten Dokumentenprozess auf ein revisionssicheres Niveau heben. Dieser Leitfaden zeigt praxisnah, wie Sie mit eIDAS-konformen Signaturen und klaren Workflows jede Prüfung souverän bestehen.

Lesen
Related Resources
NIS2-Governance: Der Leitfaden für Geschäftsführer & Vorstände
November 27, 2025
6 Minuten
NIS2: Praxisleitfaden zur Lieferkettensicherheit
December 19, 2025
10 Minuten
NIS2: Meldepflichten für Cybervorfälle in Deutschland
November 14, 2025
5 Minuten
Marketing Tips for Niche Industries
Interne und externe Audits nach ISO 9001: Ihr Leitfaden für ein starkes QMS
August 21, 2025
KPIs für ISO 9001: Kennzahlen für echten Unternehmenserfolg
October 29, 2025
5 Minuten
Bitkom-Studie: Mittelstand im Visier der Cyberkriminalität
September 25, 2023
10 min
TO TOP