In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
FLoC: Was ist Google FLoC und wie nutzt man es?

FLoC: Was ist Google FLoC und wie nutzt man es?

Daniel Lösch

Senior Privacy Expert & Product Owner

14 Mar 2026

5 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

FLoC (Federated Learning of Cohorts) ist ein von Google entwickeltes System, das Nutzer auf Basis ihres Browserverlaufs in Gruppen einteilt und so gruppenspezifische Werbeangebote zeigt.

Nutzer erhalten FLoC-IDs basierend auf ihrem Browserverlauf, die als HTTP-Header gesendet werden.

Es gibt datenschutzrechtliche Bedenken bezüglich FLoC in Bezug auf EU-Richtlinien (DSGVO und e-Privacy-Richtlinie).

Kritiker befürchten, dass FLoC zur Diskriminierung und Ungleichbehandlung führen und Nutzer trotz Gruppeneinteilung weiterhin transparent machen könnte.

FLoC: Wofür steht FLoC?

Als „datenschutzfreundliche“ Tracking-Alternative hat Google nun FLoC entwickelt – eine Abkürzung für „Federated Learning of Cohorts“. Hierbei wird der einzelne Google-Chrome-Nutzer anhand seines Browserverlaufs einer Gruppe von Nutzern mit ähnlichem Verlauf zugeordnet.

Statt personalisierter Werbung, maßgeschneidert auf die Bedürfnisse des einzelnen Nutzers, sollen nun anhand der FLoC-Technologie gruppenspezifische Werbeangebote geschaltet werden. Diese Werbeangebote sind dann abgestimmt auf die Vorlieben und Interessen der Gruppenmitglieder.

FLoC: So funktioniert's

Google analysiert hierfür die Browsing-Muster der Chrome-Nutzer, identifiziert ähnliche Browserverläufe und generiert auf dieser Grundlage die verschiedenen Gruppen – nach aktuellem Stand sind dies über 33.000,00 (Quelle).

Jeder Nutzer wird anhand seines Verlaufs einem „FLoC“, das heißt einer Gruppe, zugeteilt und erhält eine entsprechende FLoC-ID, welche ihn eindeutig als Teil der zugeteilten Gruppe identifiziert.

Die Gruppenzuordnung in FLoC – der technische Hintergrund

Google nutzt für die Gruppenzuordnung SimHash – ein Algorithmus, welcher wöchentlich den Browserverlauf der einzelnen Nutzer auswertet und Kategorien herausfiltert, anhand derer die Zuordnung vorgenommen wird (Quelle). Nach Googles Vorschlag soll diese FLoC-ID als Metainformation in Form eines HTTP-Headers vom Browser des Nutzers an die jeweilige aufgerufene Webseite übermittelt werden.

Erwähnenswert ist, dass Googles FLoC-Pläne ausschließlich Third-Party-Cookies betreffen. Das Setzen von First-Party-Cookies, womit Webseitenbetreiber die Nutzer auf ihrer eigenen Webseite tracken können, ist weiterhin möglich. Lediglich die Datensammlung bezüglich des allgemeinen Online-Verhaltens der einzelnen Nutzer, was nur mithilfe von Third-Party-Cookies möglich ist, wird unterbunden werden.

Kerntechnologie der Google Privacy Sandbox

FLoC ist die Kerntechnologie der Google Privacy Sandbox – ein Paket mit verschiedenen Maßnahmen, um die Privatsphäre der Nutzer besser zu schützen und damit das Vertrauen der Nutzer zurückzugewinnen. Hierdurch bezweckt Google, die oben genannten Zweifel zu beseitigen. Die Zuordnung zu einer Gruppe verspricht Anonymisierung…

… doch ist diese Art von Tracking so gut, wie sie klingt?

FLoC: Testung & DSGVO Kompatibilität in der EU?

Google hat ironischerweise bewusst darauf verzichtet, FLoC innerhalb der EU zu testen. Dank der DSGVO sowie der e-Privacy-Richtlinie ist die EU als einer der komplexesten Märkte in Bezug auf Datenschutz anzusehen. Um ein möglichst hohes und vor allem einheitliches Schutzniveau zu erzielen, gelten für die Verarbeitung personenbezogener Daten mit EU-Bezug hohe Anforderungen.

Nicht nur die Verknüpfung des jeweiligen Users mit einer FLoC-ID, sondern auch die Einstufung in eine bestimmte Kohorte könnte ausreichende Informationen preisgeben, um eine Identifizierung der betroffenen natürlichen Person zu ermöglichen.

Damit läge ein personenbezogenes Datum im Sinne der DSGVO vor, sodass sowohl die Zuteilung einer FLoC-ID, die spätere isolierte Verarbeitung der FLoC-ID und die Zuordnung zu einer Kohorte auf einer der Rechtsgrundlagen der DSGVO basieren müssten. Es ist davon auszugehen, dass voraussichtlich nur die Einwilligung als Rechtsgrundlage infrage kommt. Die Zuordnung zu einer Kohorte findet jedoch ohne Einwilligung, Mitteilung oder überhaupt einer Kenntnisnahme seitens des Nutzers statt. Somit läge auch ein Verstoß gegen die in Art. 13 DSGVO statuierte Informationspflicht vor.

FLoC und die e-Privacy-Richtlinie – diese datenschutzrechtlichen Bedenken tun sich auf

Auch im Hinblick auf die sogenannte e-Privacy-Richtlinie, Richtline 2002/58/EG, stößt Googles Vorhaben auf datenschutzrechtliche Bedenken. Da die Nutzer nach Googles aktueller Vorgehensweise weder Informationen noch Wahlmöglichkeiten darüber haben, wie genau die Verarbeitung zur Einteilung der jeweiligen Kohorte erfolgt, läge ein Verstoß gegen die Richtlinie vor. Denn nach Art. 5 Abs. 3 der e-Privacy-Richtlinie müssen die Betreiber von elektronischen Kommunikationsdiensten – und damit auch Google, den Nutzer umfassend über die Verarbeitung seiner Daten informieren.

SECJURs Datenschutzexperten – Fazit zu FLoC

Insgesamt sind die Pläne von Google als kritisch zu bewerten. Wenngleich die von Google kommunizierten Ziele bezüglich der Privatsphärenaspekte bei den Nutzern gut ankommen und marketingtechnisch sicherlich ein voller Erfolg sein werden, so wächst das Datenimperium von Googles Dachgesellschaft Alphabet stetig.

Zudem gleicht die Zuordnung zu einer Gruppe, sichtbar durch den HTTP-Header, einem öffentlich sichtbaren Verhaltensscore. Auch wenn mangels Third-Party-Cookies und daraus resultierendem Cross-Site-Tracking die Profilbildung für die Werbeindustrie erschwert wird, verrät die Zuordnung zu einem bestimmten FLoC ebenfalls viel über die einzelnen User.

Der User bleibt gläsern

Sollte Google also wie geplant die Gruppeninformationen direkt an die Website, welche der User besucht, übermitteln, so wird der Einzelne noch gläserner. Man könnte einwenden, er sei lediglich ein Teil einer Gruppe und damit in gewissem Maß anonym. Jedoch werden an die Webseiten-Betreiber dank FLoC bereits beim ersten Aufrufen der Seite mithilfe des Headers diverse private, wenn gar sensible Informationen übermittelt.

Schließlich verrät der Suchverlauf unter Umständen viel über den jeweiligen Nutzer – das klassische „googlen“ von Krankheitssymptomen oder Online-Bestellungen bei Apotheken können mitunter sehr private Informationen enthalten, aber auch Rückschlüsse auf Interessen, Beruf, Alter, Geschlecht etc. sind damit leicht möglich und werden dem Webseitenbetreiber dank des Headers quasi auf dem Silbertablett präsentiert. Die Erlangung all dieser Informationen hätte beim Einsatz von Cookies immerhin eine gewisse Nutzungsdauer erfordert.

Biased algorithms können zum Problem werden

Diskriminierung und Ungleichbehandlung aufgrund von einzelnen Google Search-Begriffen – Stichwort: Browser-Fingerprinting – sind damit Tür und Tor geöffnet.

Google FLoC erscheint auf den ersten Blick als das geringere Übel. Allerdings besteht berechtigter Anlass zur Sorge, dass Nutzer zukünftig letztendlich noch transparenter werden als bisher, sollte sich Google mit der FLoC-Technologie durchsetzen.

Mehr erfahren
Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Häufig gestellte Fragen

Die häufigsten Fragen zum Thema

Was ist das Recht auf Datenübertragbarkeit?

Das Recht, personenbezogene Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.

Wann greift die Datenübertragbarkeit?

Wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und automatisiert erfolgt.

Was ist der Unterschied zum Auskunftsrecht?

Das Auskunftsrecht gibt Zugang zu allen Daten, die Datenübertragbarkeit betrifft nur selbst bereitgestellte Daten.

In welchem Format müssen die Daten bereitgestellt werden?

In einem strukturierten, gängigen und maschinenlesbaren Format wie CSV, JSON oder XML.

Weiterlesen

January 5, 2026
5 Minuten
EU AI Act: Daten-Bias bei Hochrisiko-KI nachweisen

Viele Unternehmen entwickeln leistungsstarke KI, doch beim Nachweis von Fairness und Datenqualität scheitern sie oft. Erfahren Sie, wie Sie Daten-Bias in Hochrisiko-KI-Systemen nach dem EU AI Act

Lesen
October 25, 2023
6 min
ISO 27001 Annex A.9 – Access Management leicht gemacht

Die Umsetzung von Access Management nach ISO 27001 Annex A.9 kann eine echte Herausforderung sein. Regulierung und Überwachung von Zugriffen sind unerlässlich, um Daten und Informationen zu schützen. In diesem Artikel erfahren Sie, wie die Partnerschaft zwischen SECJUR und Cakewalk Unternehmen dabei unterstützt, die Anforderungen dieses ISO-Annex effizient zu erfüllen. Entdecken Sie die Bedeutung von Annex A.9, seine Ziele und die verschiedenen Zugangskontrollmethoden. Erfahren Sie, wie Cakewalks intelligente Lösungen und SECJURs Expertise die nahtlose Integration der Zugriffsverwaltung in ein Informationssicherheitsmanagementsystem ermöglichen.

Lesen
November 18, 2025
5 Minuten
ISO 27001 & Agilität: Versionskontrolle sicher meistern

Agile Teams fürchten oft, dass ISO 27001 ihre Geschwindigkeit bremst, doch das Gegenteil ist wahr. Dieser Leitfaden zeigt, wie moderne Versionskontrolle in Confluence oder Git Ihre Dokumentation auditfest macht, ohne die Agilität zu verlieren. Erfahren Sie, wie Sie Änderungen transparent steuern, Freigaben sauber dokumentieren und Ihr ISMS nahtlos in den Entwicklungsfluss integrieren – für mehr Sicherheit, Effizienz und echte Compliance im Alltag.

Lesen
Related Resources
EU AI Act: Risiken durch Haftung und Strafen
January 7, 2026
5 Minuten
EU AI Act & Open-Source: Was Entwickler jetzt wissen müssen
November 20, 2025
5 Minuten
Der Geltungsbereich der DSGVO einfach erklärt
June 2, 2023
Marketing Tips for Niche Industries
EU AI Act: QMS richtig aufbauen und zertifizieren
November 24, 2025
5 Minuten
ISO 27001 & Agilität: Versionskontrolle sicher meistern
November 18, 2025
5 Minuten
EU AI Act: Haftung und Sanktionen für Nicht-EU-Anbieter
January 7, 2026
Nicht-EU-Anbieter von KI sind durch den EU AI Act voll haftbar, sobald ihre Systeme in der EU genutzt werden. Dieser Leitfaden zeigt, wie das Marktortprinzip, hohe Bußgelder und neue Beweislastregeln internationale Unternehmen zwingen, ihre KI-Governance, Dokumentation und Risikoklassifizierung EU-konform aufzustellen. Erfahren Sie, wie Sie Haftungsfallen vermeiden, einen EU-Bevollmächtigten korrekt einsetzen und Compliance in einen echten Marktvorteil verwandeln.
TO TOP