Googles Federated Learning of Cohorts: Warum FLoC uns alle angeht

Das Ende der Third Party-Cookies naht. Google wird sie in den kommenden Jahren schrittweise abschaffen – und das hat nicht nur erhebliche Auswirkungen auf ganze Branchen, wie z. B. Publisher oder die Werbewirtschaft, sondern letztlich auf alle, die das Internet nutzen. Denn der Chrome-Browser hat einen Marktanteil von fast 70 Prozent.

Bereits Mitte 2021 plante Google, Browser-Cookies von Drittanbietern durch Federated Learning of Cohorts (FLoC) zu ersetzen. Ende Januar 2022 wurde das Projekt FLoC jedoch abgeblasen. Googles geplanter Ersatz hierfür heißt Topics. Ob Topics langfristig überlebensfähig sein wird, oder ob dieses Projekt das gleiche Schicksal wie FLoC ereilt, bleibt abzuwarten.

Um mehr zu erfahren, lesen Sie bitte unseren Artikel über Topics.

Der folgende Artikel über FLoC von Mitte 2021 dient nur zu Informations- und Archivierungszwecken (Stand: Januar 2022).

Google arbeitet mit Hochdruck an einer Cookie-Alternative für seinen Chrome-Browser, der darauf basiert, Personengruppen aufgrund ihrer ähnlicher Interessen zusammenzufassen, anstatt aufgrund von persönlichen Details, die direkt auf Einzelpersonen zurückgeführt werden können. Google nennt das „Federated Learning of Cohorts“ (FLoC). Die Technologie wurde gemeinsam mit anderen Tools Teil der Privacy Sandbox, die bereits ausgerollt wurde und standardmäßig im Chrome-Browser aktiviert war. (Mehr dazu weiter unten.) Laut Google ist sie zu 95% genauso effektiv wie Cookies von Drittanbietern.

Nun hat Google den Zeitplan für den Rollout und die weiteren Meilensteine für die Privacy Sandbox und die damit verbundenen Technologien aktualisiert, um „genügend Zeit für die öffentliche Diskussion über die richtigen Lösungen, die weitere Zusammenarbeit mit den Regulierungsbehörden und die Migration der Dienste durch Publisher und die Werbeindustrie zu ermöglichen.“ Derzeit plant Google, das Projekt abzuschließen und die Unterstützung für Cookies von Drittanbietern bis Ende 2023 auslaufen zu lassen.

So funktioniert’s: Die Kohorten werden von Algorithmen generiert und die Browser-Nutzer werden wöchentlich einer neuen Kohorte zugeordnet. Werbetreibende haben hierbei nur Zugriff auf die ID einer Kohorte und nicht auf einzelne Details, die gezielt Rückschlüsse auf eine reale Person zulassen. Sind die Kohorten für eine effektive Anonymisierung zu klein, werden die Nutzer so lange gruppiert, bis einige Tausend von ihnen zusammenkommen, um die Vorgaben zu erfüllen. Werbetreibende können dann die Kohorten analysieren und gezielt ansprechen – anstatt einzelner Nutzer basierend auf ihrem Profil aus Interessen und Aktivitäten.

Das Thema interessiert Sie? Mehr dazu finden Sie in unserem Artikel: “Google Chrome Privacy Sandbox: Darauf müssen sich Webseitenbetreiber jetzt einstellen”.

Cookies sind eine ziemlich einfache Technologie, denn letztlich sind sie nichts weiter als Text- und Codestücke, die von Browsern Desktops oder Smartphones gespeichert werden. Sie liefern Browsern und Werbetreibenden nicht nur eine Menge Informationen über Nutzer, wie z. B. ihre Vorlieben und Interessen, sondern tragen auch zu einem – im Idealfall – angenehmen Online-Erlebnis der Nutzer bei. Unter anderem kann durch Cookies festgestellt werden, ob der Nutzer die Webseite zum ersten Mal besucht oder bereits dort war. Des Weiteren kann festgestellt werden, aus welchem Land/Region der Nutzer auf die Seite zugreift und es werden eventuell Präferenzen hinterlegt, wie genau die Seite funktionieren soll.

Im Laufe der Zeit ist die immer gezieltere Nachverfolgung, die Cookies bieten, jedoch zunehmend invasiv geworden. Cookies von Drittanbietern verfolgen Nutzer heutzutage über mehrere Plattformen und Websites hinweg. Sprich, Sie schauen ihnen im Wesentlichen über die Schulter und zeichnen jede ihrer Bewegungen auf. Diese Daten werden dann verkauft – und zwar immer und immer wieder.

Noch invasiver ist das Fingerprinting, eine Technik, die von Werbetreibenden verwendet wird und mit der Personen auf verschiedene Weise identifiziert werden können, selbst wenn Sie Ihre Einstellungen so angepasst haben, dass das Tracking verhindert wird.

Regierungen und Einzelpersonen werden zunehmend intolerant gegenüber der unkontrollierten und vor allem auch nicht einvernehmlichen Nutzung dieser Technologien. Das haben auch die Tech-Unternehmen allmählich erkannt und gehen dieses Thema nun gezielt an.
Apple reagierte mit einem Update für sein iOS-Betriebssystem, wodurch das Tracking in Apps ohne explizite Zustimmung des Nutzers blockiert wird.

FLoC ist Teil von Googles Bemühungen auf diesem Gebiet. Es wurde jedoch nicht auf breiter Front angenommen. Die Electronic Frontier Foundation (EFF) kritisierte beispielsweise die Technologie und wies darauf hin, dass sie zwar die Risiken und die Invasivität von Cookies von Drittanbietern beseitigt, gleichzeitig aber neue Risiken schafft und möglicherweise andere Probleme wie diskriminierendes Targeting verschlimmert.

Grundsätzlich argumentieren die EFF und andere Gruppen, dass jedes Targeting invasiv und diskriminierend ist. Und in der Tat sprechen sich eine Reihe von Browser-Anbietern – darunter Microsoft (Edge), Mozilla (Firefox), Brave und Vivaldi – öffentlich gegen FLoC und alle anderen „Funktionen“ aus, die persönliche Daten von Nutzern ohne deren Zustimmung sammeln oder weitergeben. Diese Funktionen sind in diesen Browsern nicht aktiviert oder werden aktiv blockiert.

FLoC gibt immer noch eine Menge verhaltensbezogener Informationen aus dem Browserverlauf an Dritte weiter (Websites und Werbetreibende), darunter auch Informationen, auf die sie allein durch die Verwendung von Drittanbieter-Cookies keinen Zugriff gehabt hätten. Websites, die bereits „wissen“, wer der Nutzer ist, z. B. solche, bei denen der Nutzer bereits ein Konto hat, erhalten einen noch detaillierteren Datensatz über einen, der keineswegs anonymisiert ist. Diese Informationen stehen dann allen Dritten auf diesen Seiten (z.B. Ad Tech Unternehmen) zur Verfügung – und zwar auch ohne Ihre Zustimmung.

FLoC verstärkt das Fingerprinting, anstatt es zu beseitigen, wodurch Nutzer über verschiedene Websites hinweg noch besser verfolgt werden können. Googles Argument: diese Funktionalität hilft, die „Kohorten“ aufzubauen.

Nehmen wir an, Sie gehören diese Woche zu einer Gruppe von Porsche-Fans oder in der nächsten Woche zu einer Gruppe von Orchideen-Züchtern. Egal, oder? Denn das sind ja keine wirklich sensiblen Informationen. Aber was, wenn es in der Kohorte um die sexuelle Orientierung oder die politische Zugehörigkeit ginge? In manchen Teilen der Welt können diese Informationen die persönliche Sicherheit einer Person gefährden.

Google sagt, dass einige Kategorien sensibler Daten nicht zur Erstellung von Kohorten verwendet werden und dass zudem nach Möglichkeiten gesucht wird, generell die Verwendung anderer sensibler Kategorien von Informationen zu verhindern. Im Moment bleibt Nutzern also keine Alternative als sich auf das Versprechen eines Unternehmens zu verlassen, das im letzten Quartal über 55 Milliarden Dollar verdient hat, und zwar zum großen Teil dank persönlichen Nutzerdaten.

Wenn es Datenlecks gibt, die direkt auf bestimmte Websites zurückverfolgt werden können (sei das korrekt oder nicht), spielt es keine Rolle, welche Maßnahmen der Website-Anbieter oder das Unternehmen ergriffen hat, um die Privatsphäre der Nutzer zu schützen. Sie werden als Schuldige gebrandmarkt und verlieren das hart erkämpfte Vertrauen der Nutzer, ganz zu schweigen von den Kosten für weitere Sicherheitsmaßnahmen, Bußgelder, etc..

Apropos hart erarbeitetes Vertrauen: FLoC kann auch dazu führen, dass Kundenstämme Unternehmen zugänglich werden, die sich diese nicht selbst aufgebaut haben. Abwerbungsversuche bei diesen aus wirtschaftlicher Sicht besonders attraktiven „Kohorten“ werden dann wohl zum Regelfall.

Die Competition and Markets Authority und das Information Commissioner’s Office (Datenschutzaufsichtsbehörde) in Großbritannien prüfen derzeit die Auswirkungen der Privacy Sandbox auf die Werbeindustrie. Die Aufsichtsbehörden in Deutschland, Frankreich und Belgien ebenso. Darüber hinaus hat die Europäische Kommission eine wettbewerbsrechtliche Untersuchung zu FLoC und der Abschaffung von Drittanbieter-Cookies eingeleitet. Weitere Untersuchungen zu diesen Initiativen sind zu erwarten.

Wer als einzelner Nutzer FLoC und die Privacy Sandbox für bedenklich hält, sollte sich besser bei Chrome abmelden. Wie das geht? Klicken Sie im Menü des Chrome-Browsers auf Menü, wodurch sich die Einstellungen öffnen. Klicken Sie auf Datenschutz und Sicherheit und dann auf Privacy Sandbox. Die Registerkarte „Privacy Sandbox“ wird geöffnet, und Sie können den Schieberegler bei den Privacy Sandbox-Versuchen nach links in die Aus-Position schieben, um sie zu deaktivieren.

Es ist unwahrscheinlich, dass Browser-Unternehmen oder die Ad-Tech-Industrie eine (erneute) Umstellung auf nicht personenbezogene Werbung vornehmen wird. Diese Änderungen, Einschränkungen und die weitere Aufklärung der Öffentlichkeit werden weiterhin die Entwicklung und Weiterentwicklung von neuen Technologien vorantreiben. Mit Googles aktualisiertem Roll-out-Plan bleibt nun zumindest mehr Zeit für Diskussionen rund um den Einsatz dieser neuen Technologien. Was dann letztendlich genau ausgerollt wird, hängt – zumindest zum Teil – von unserer anhaltenden Aufmerksamkeit und unserer Zustimmung ab.