Als ‚datenschutzfreundliche‘ Tracking-Alternative hat Google nun FLoC entwickelt - eine Abkürzung für „Federated Learning of Cohorts“. Hierbei wird der einzelne Google Chrome-Nutzer anhand seines Browserverlaufs einer Gruppe von Nutzern mit ähnlichem Verlauf zugeordnet. Statt personalisierter Werbung, maßgeschneidert auf die Bedürfnisse des einzelnen Nutzers, sollen nun anhand der FLoC-Technologie gruppenspezifische Werbeangebote geschaltet werden. Diese Werbeangebote sind dann abgestimmt auf die Vorlieben und Interessen der Gruppenmitglieder.

Google analysiert hierfür die Browsing-Muster der Chrome-Nutzer, identifiziert ähnliche Browserverläufe und generiert auf dieser Grundlage die verschiedenen Gruppen – nach aktuellem Stand sind dies über 33.000,00 (Quelle) Jeder Nutzer wird anhand seines Verlaufs einem „FloC“, d.h. einer Gruppe, zugeteilt und erhält eine entsprechende FLoC-ID, welche ihn eindeutig als Teil der zugeteilten Gruppe identifiziert. Google nutzt für die Gruppenzuordnung SimHash – ein Algorithmus, welcher wöchentlich den Browserverlauf der einzelnen Nutzer auswertet und Kategorien herausfiltert, anhand derer die Zuordnung vorgenommen wird (Quelle). Nach Google’s Vorschlag soll diese FloC-IDals Metainformation in Form eines HTTP-Header vom Browser des Nutzers an die jeweilige aufgerufene Webseite übermittelt werden.

Erwähnenswert ist, dass Google’s FLoC-Pläne ausschließlich Third-Party-Cookies betreffen. Das Setzen von First-Party-Cookies, womit Webseitenbetreiber die Nutzer auf ihrer eigenen Webseite tracken können, ist weiterhin möglich. Lediglich die Datensammlung bezüglich des allgemeinen Online-Verhaltens der einzelnen Nutzer, was nur mithilfe von Third-Party-Cookies möglich ist, wird unterbunden werden.

FLoC ist die Kerntechnologie der Google Privacy Sandbox – ein Paket mit verschiedenen Maßnahmen, um die Privatsphäre der Nutzer besser zu schützen und damit das Vertrauen der Nutzer zurückzugewinnen. Hierdurch bezweckt Google, die oben genannten Zweifel zu beseitigen. Die Zuordnung zu einer Gruppe verspricht Anonymisierung…

… doch ist diese Art von Tracking so gut, wie sie klingt?

Google hat ironischerweise bewusst darauf verzichtet, FLoC innerhalb der EU zu testen. Dank der DSGVO sowie der e-Privacy-Richtlinie ist die EU als einer der komplexesten Märkte in Bezug auf Datenschutz anzusehen. Um ein möglichst hohes und vor allem einheitliches Schutzniveau zu erzielen, gelten für die Verarbeitung personenbezogener Daten mit EU-Bezug hohe Anforderungen.

Nicht nur die Verknüpfung des jeweiligen Users mit einer FLoC-ID, sondern auch die Einstufung in eine bestimmte Kohorte könnte ausreichende Informationen preisgeben, um eine Identifizierung der betroffenen natürlichen Person zu ermöglichen. Damit läge ein personenbezogenes Datum im Sinne der DSGVO vor, so dass sowohl die Zuteilung einer FLoC-ID, die spätere isolierte Verarbeitung der FLoC-ID und die Zuordnung zu einer Kohorte auf einer der Rechtsgrundlagen der DSGVO basieren müssten. Es ist davon auszugehen, dass voraussichtlich nur die Einwilligung als Rechtsgrundlage infrage kommt. Die Zuordnung zu einer Kohorte findet jedoch ohne Einwilligung, Mitteilung oder überhaupt einer Kenntnisnahme seitens des Nutzers statt. Somit läge auch ein Verstoß gegen die in Art. 13 DSGVO statuierte Informationspflicht vor.

Auch im Hinblick auf die sog. e-Privacy-Richtlinie, Richtline 2002/58/EG, stößt Google’s Vorhaben auf datenschutzrechtliche Bedenken. Da die Nutzer nach Google’s aktueller Vorgehensweise weder Informationen noch Wahlmöglichkeiten darüber haben, wie genau die Verarbeitung zur Einteilung der jeweilige Kohorte erfolgt , läge ein Verstoß gegen die Richtlinie vor. Denn nach Art. 5 Abs. 3 der e-Privacy-Richtlinie müssen die Betreiber von elektronischen Kommunikationsdiensten - und damit auch Google, den Nutzer umfassend über die Verarbeitung seiner Daten informieren.

Insgesamt sind die Pläne von Google als kritisch zu bewerten. Wenngleich die von Google kommunizierten Ziele bezüglich der Privatsphärenaspekte bei den Nutzern gut ankommen und marketingtechnisch sicherlich ein voller Erfolg sein werden, so wächst das Datenimperium von Google’s Dachgesellschaft Alphabet stetig. Zudem gleicht die Zuordnung zu einer Gruppe, sichtbar durch den HTTP-Header, einem öffentlich sichtbaren Verhaltensscore. Auch wenn mangels Third-Party-Cookies und daraus resultierendem Cross-Site-Tracking die Profilbildung für die Werbeindustrie erschwert wird, verrät die Zuordnung zu einem bestimmten FLoC ebenfalls viel über die einzelnen User.

Sollte Google also, wie geplant, die Gruppeninformationen direkt an die Website, welche der User besucht, übermitteln, so wird der Einzelne noch gläserner. Man könnte einwenden, er sei lediglich ein Teil einer Gruppe und damit in gewissem Maß anonym. Jedoch werden an die Webseiten-Betreiber dank FLoC bereits beim ersten Aufrufen der Seite mithilfe des Headers diverse private, wenn gar sensible Informationen übermittelt . Schließlich verrät der Suchverlauf u.U. viel über den jeweiligen Nutzer – das klassische „googlen“ von Krankheitssymptomen oder Online-Bestellungen bei Apotheken können mitunter sehr private Informationen enthalten, aber auch Rückschlüsse auf Interessen, Beruf, Alter, Geschlecht etc. sind damit leicht möglich und werden dem Webseitenbetreiber dank des Headers quasi auf dem Silbertablett präsentiert. Die Erlangung all dieser Informationen hätte beim Einsatz von Cookies immerhin eine gewisse Nutzungsdauer erfordert. Diskriminierung und Ungleichbehandlung aufgrund von einzelnen Google Search-Begriffen – Stichwort: Browser-Fingerprinting - sind damit Tür und Tor geöffnet.

Google FLoC erscheint auf den ersten Blick als das geringere Übel. Allerdings besteht berechtigter Anlass zur Sorge, dass Nutzer zukünftig letztendlich noch transparenter werden als bisher, sollte sich Google mit der FLoC-Technologie durchsetzen.