Googles Antwort auf das Ende des Cookie-Tracking: Federated Learning of Cohorts (FLoC)

Nutzer-Tracking zur gezielten Ausspielung von Online-Werbung hat die Gemüter aller Netzteilnehmer mit den Jahren immer mehr erhitzt. Nutzer sind genervt von Cookie-Bannern, Content-Creator klagen über schwindende Umsätze und die Werbeindustrie erfindet ständig neue Tracking-Methoden, um den Blockversuchen der Nutzer entgegenzuwirken. 

In den letzten Jahren haben insbesondere die Browser-Hersteller wie Mozilla mit Firefox, Opera oder auch Apple mit dem Safari die lauter werdenden Forderungen der Nutzer nach mehr Privatsphäre wahrgenommen und entsprechende Maßnahmen getroffen. Beispielsweise führte Apple im Jahr 2017 die Intelligent Tracking Prevention (ITP) in ihrer ersten Version ein. Ziel war es Cross-Site-Tracking, also die Nachverfolgung von Nutzern über verschiedene Domains hinweg, zu unterbinden. Damit war das Ende des Third-Party-Cookies eingeleitet. 

Third-Party-Cookies war das Mittel der Wahl der Werbeindustrie. Beim Aufruf einer Website (example.com) durch einen Nutzer wurden externe Ressourcen, beispielsweise einer Web-Analytics-Lösung (web-tracking.com), geladen und in diesem Zuge ein Third-Party-Cookie über die Domain des Web-Analyse-Tools (Cookie über web-tracking.com) gesetzt. Hat der Nutzer nun eine andere Website aufgerufen, in dem ebenfalls diese Web-Analyse-Software verbaut war, konnte diese den ursprünglichen Cookie auslesen und der Nutzer wurde identifiziert. 

Die Browser-Hersteller sind nun dazu übergegangen Third-Party-Cookies per se zu blockieren. Zudem wurden mit den Jahren auch ausgefeiltere Trackingmethoden wie Canvas Fingerprinting zunehmend unterbunden. 

Die großen Werbenetzwerke stehen also vor der Herausforderung, den Wunsch der Nutzer nach mehr Privatsphäre beim Surfen im Netz sowie den Anforderungen werbender Unternehmen an zielgerichtete Werbung gerecht zu werden.  

Was ist FLoC? 

Google hat zu diesem Zweck im August 2019 die Privacy Sandbox Initiative gestartet. Ein Bündel an Maßnahmen soll Browserhersteller vereinen und über standardisierte APIs die Grätsche zwischen Datenschutz und personalisierter Werbung geschafft werden. Konkret werden Third-Party-Funktionalitäten entfernt und neue Methoden für das ehemalige Cross-Site-Tracking hinzugefügt. 

Eine dieser neuen Methoden ist Federated Learning of Cohorts (FLoC). Es dient dazu ein interessen-basiertes Targeting weiterhin für Werbetreibende zu ermöglichen. 

Wie funktioniert FLoC? 

Grundsätzlich wird ein Nutzer anhand seines Browserverlaufs in eine Kohorte, also in eine Nutzergruppe, einsortiert. 

  • Ein Nutzer surft auf example.com 
  • Der Browser des Nutzers speichert diesen Aufruf 
  • Der Browser fragt bei dem zentralen FLoC Dienst bei Google eine Datei mit dem aktuellen Kohorten-Modell ab 
  • Der Browser berechnet anhand des Browserverlaufs lokal auf dem Endgerät des Nutzers eine Kohorten-ID, die sich aus dem Kohorten-Modell ergibt 
  • Bewegt sich der Nutzer nun weiter im Netz wird lediglich diese Kohorten-ID an die Werbetreibenden übergeben. 

Man kann sich vorstellen, dass es eine ganze Reihe von Kohorten-Gruppen geben muss, bei der schieren Menge an Nutzern und individuellen Surfverhalten. Google gibt an, dass unter einer Kohorten-ID mehrere tausend Nutzer zusammengefasst werden. Das Surfverhalten dieser Nutzer ähnelt sich also sehr.  

Mit jeder weiteren Seite, die man besucht, verlängert sich auch der Browserverlauf und die Kohorten-ID wird fortwährend angepasst. 

FLoC und Datenschutz 

Zum jetzigen Zeitpunkt ist FLoC in Hinblick auf das Thema Privatsphäre ein Zugewinn. Das Modell sieht keinen Austausch von jeglichen persönlichen Merkmalen, sondern lediglich einer ID, die einen Nutzer mit mehreren anderen tausend Nutzern vergleichbar macht. Man geht also in der Menge unter. 

Dennoch gab es direkt von Beginn an Kritik an Googles Vorstoß. Die Electronic Frontier Foundation, eine Not-Profit-Organisation, die sich mit den Grundrechten im Informationszeitalter auseinandersetzt, nannte es schlicht eine „schreckliche Idee“ […Terrible Idea]

Ihnen geht der Ansatz von Google nicht weit genug. Aus den Interessen-Kohorten ließen sich trotzdem noch sensible Informationen herauslesen, zudem kann FLoC auch dazu dienen den Nutzer über Fingerprinting doch wieder zu identifizieren – Probleme, die noch nicht abschließend gelöst sind. 

3 Dinge, die du noch wissen solltest 

  1. FLoC befindet sich derzeit noch in der Testphase und wird vorerst nicht in Ländern, in denen die DSGVO und die E-Privacy-Verordnung gilt, eingesetzt. 
  1. Ob dir ein Browser bereits eine FLoC-ID zugewiesen hat, kannst du hier testen: https://amifloced.org/ 
  1. Du hast jederzeit die Möglichkeit über den http-Header deiner Website den Browsern deiner Besucher mitzuteilen, dass deine Domain nicht an FLoC teilnehmen möchte. Wie das geht, erfährst du hier.