Google verspricht mit der FLoC-API nicht weniger als die Ermöglichung interessenbasierter Werbung auf eine datenschutzfreundliche Art und Weise. Warum sich das als fauler Zauber entpuppen kann, beleuchtet dieser Artikel.
Der Inhalt im Überblick
Nieder mit dem Webtracking
Die Browser haben dem Webtracking still und heimlich den Krieg erklärt. Ruft man etwa die Website des – insbesondere in Deutschland beliebten – Browsers Firefox auf, stellt man fest, dass erste Feature, welches den Nutzer vom Firefox überzeugen soll, ist folgendes: „Blocke über 2000 Tracker – auch die von Facebook“.
Beim immer beliebter werdenden Brave-Browser zeigt sich ein ähnliches Bild. Schon in einem der ersten, prominent platzierten Sätze auf der Website heißt es „Der neue Brave Browser blockiert Werbung und Tracker, die Sie ausbremsen und in Ihre Privatsphäre eindringen.“
Die technische Bekämpfung der Überwachung durch Browser wird durch eine schärfere Regulierung flankiert – etwa das grundsätzliche Einwilligungserfordernis für Webtracking, das spätestens mit dem Planet49-Urteil des EuGH nicht mehr in Frage gestellt wird – wir berichteten. Third Party Cookies gelten auch vor diesem Hintergrund als Auslaufmodell. Die Freude darüber, dass der aufdringlichen Werbeindustrie „der Boden unter den Füßen weggezogen wird“, dürfte jedoch nur von kurzer Dauer sein. So leicht lässt sich die Werbeindustrie nicht abschütteln. Und da Google – was gerne vergessen wird – in erster Linie ein Werbeunternehmen ist und sein Geld überwiegend mit dem Auspielen von Werbung verdient, sollte es nicht überraschen, dass der Konzern sich darüber Gedanken gemacht hat, wie Google dem Nutzer trotzdem auf den Fersen bleiben kann.
Was ist Google FLoC?
FLoC steht für “Federated Learning of Cohorts”. Wir können vorab verraten: Dies ist nicht die Abkürzung für „Föderiertes Lernen einer Untereinheit einer römischen Legion“. Unter Cohorts versteht Google eine Gruppe von Nutzern mit ähnlichen Interessen.
Google selbst beschreibt FloC in einem Blog-Beitrag als eine „Privacy-Sandbox-Technologie für interessenbasierte Werbung“. Versprochen wird in dem Whitepaper zu FLoC nicht weniger als die Ermöglichung interessenbasierter Werbung auf eine datenschutzfreundliche Art und Weise. FLoC sei als Aufbau einer datenschutzfreundlichen Zukunft für Internetwerbung zu verstehen. FLoC sei
„eine neue Methode, mit der Unternehmen Menschen mit relevanten Inhalten und Anzeigen erreichen können. Dabei werden große Gruppen mit ähnlichen Interessen zu Clustern zusammengefasst. Dieser Ansatz lässt Einzelpersonen effektiv „in der Menge“ verschwinden und nutzt die geräteinterne Verarbeitung, um deren Browserverlauf zu schützen.“
Kernstück von Google FLoC ist ein Verfahren, bei dem der Browser selbst das Profiling übernimmt und damit eine Aufgabe, die früher von Trackinganbietern und Werbenetzwerken verrichtet wurde. Der Browser fasst die letzten Surfaktivitäten des Nutzers in ein sogenanntes „Sim-Hash“ zusammen, welche zu Interessengruppen zusammengeführt werden können. Websites und insbesondere Werbetreibende können dann die jeweils passende Werbung an die entsprechenden Interessengruppen aussenden. Google spricht davon, dass tausende Nutzer in einer Interessengruppe (Kohorte) zusammengefügt werden. Eine Unterscheidung zwischen einzelnen Nutzern wäre hier nicht mehr möglich. Das Prinzip der Zusammenfassung in Interessengruppen soll interessengerechte Werbung ermöglichen, ohne es den Werbenden zu ermöglichen, Nutzer über verschiedene Websites hinweg zu verfolgen.
Das Verfahren soll dabei fast so effektiv sein wie Cookie-basierte Ansätze. Google spricht in dem zitierten Blogbeitrag von mindestens 95 Prozent der Conversions pro ausgegebenem Dollar im Vergleich zu Cookie-basierter Werbung.
Ein Taubenschlag an Zukunftsideen
Google reichte seine Vorschläge beim W3C ein, dem Standardisierungsgremium für das World Wide Web, wo diese hauptsächlich in der Web Advertising Business Group diskutiert wurden. Dieses Gremium setzt sich größtenteils aus Werbetechnologie-Anbietern zusammen.
Eine Übersicht aller Ideen und Vorschläge, die von dem Gremium erörtert werden, findet sich in ihrem Github-Repository. Das Repository ist ein Taubenschlag verschiedenster Vorschläge zu zukünftigen Werbetechnologien für das Internet. Passend haben viele der aufgenommenen Vorschläge Vogelnamen in Großbuchstaben, wie etwa PARROT, SPARROW, TURTLEDOVE, PIGIN, SWAN oder PELICAN.
Alter Wein in neuen Schläuchen?
Ein Browser, der für die Werbeindustrie das Tracking übernimmt…ist das der FLoC ins Datenschutzherz? Die bekannte Stiftung Electronic Frontier Foundation (EFF) sieht in dem beschriebenen Verfahren großes Potential für Browser-Fingerprinting – ein Begriff aus der altbekannten Webtracking-Welt.
Die EFF moniert etwa, dass die Zusammenfassung in Interessengruppen der Werbeindustrie einen großen Vorsprung ermögliche: Wenn ein Tracker mit einer FLoC-Kohorte beginne, müsse er den eigentlichen Browser nur noch von ein paar tausend Browsern unterscheiden anstelle von ein paar hundert Millionen, wie beim üblichen Browser-Fingerprinting.
Damit können die FLoC-Pläne ein heimliches Webtracking per Browser-Fingerprinting sogar potentiell erleichtern, ohne dass der Nutzer hiervon etwas merkt. Das Unterbinden von Browser-Fingerprinting ist schwerer als von Cookie-basiertem Tracking. Bei letzterem kann die Speicherung von Cookies auf dem Endgerät einfach verweigert werden. Browser-Fingerprinting lässt sich nutzerseitig kaum verhindern.
Privacy-Budget als Abwehrmittel
Google gelobt, diese Probleme zu adressieren. Unter anderem wird hierfür das Konzept des sog. Privacy-Budgets erwogen. Dahinter steht die Idee, dass der Browser die Abfragen einer Website verwaltet. Jede Anfrage verbraucht hierbei, je nachdem wie wertvoll die Information für eine Zuordnung des Nutzers sein kann, ein bestimmtes Budget. Ist das Informations-Budget aufgebraucht, gibt der Browser falsche Werte aus. So soll sichergestellt sein, dass Abfragen zu Browser-Informationen, die ein Browser-Fingerprinting ermöglichen, in Zaum gehalten werden.
Ob solche Techniken tatsächlich gegen die potentiellen Gefahren des Browser Fingerprintings helfen können, wird sich erst noch zeigen müssen.
Die Wandlung vom Saulus zum Paulus?
Die vom EFF eingewandten Kritikpunkte sind nicht von der Hand zu weisen. Auch sollte man nicht denken, dass sich der Konzern in Sachen Datenschutz nun plötzlich vom Saulus zum Paulus gewandelt hat. Mit Werbeanzeigen macht der Konzern rund zwei Drittel seines Umsatzes. Das Eigeninteresse von Google an zielgerichteter Werbung ist weiterhin ungebrochen.
Neben dem Compliance Aspekt, ist davon auszugehen, dass Google den Datenschutz als scharfes Schwert entdeckt hat, um seine beherrschende Stellung auf dem Werbemarkt zu verteidigen. Können die versprochenen 95% der Conversions vom FLoC tatsächlich geliefert werden, ändert sich für Werbetreibende, die Kunden bei Google sind, nicht viel. Konkurrierende Werbenetzwerke, die weiterhin auf Third Party Cookies angewiesen sind, allen voran Facebook werden hingegen unter Druck gesetzt. Denn im Zuge der Umstellung auf FLoC blockt auch Google dann standardmäßig Third-Party-Cookies im hauseigenen Browser Chrome. Das könnte zwar für Verbraucher beim Datenschutz einen positiven Effekt haben, nicht aber für den Wettbewerb und der daran hängenden Angebotsvielfalt.
Update 25.06.2021:
Nachdem Aufsichtsbehörden, Datenschützer und Hersteller von Webbrowsern FLoC verurteilt haben und gerade letztere auch angekündigt haben, FLoC nicht zu unterstützen, lenkt Google ein: Die Einführung von FloC wird auf 2023 verschoben. Google äußerte in einer Miteilung, dass es nach dem ersten Test von FLoC „substanzielles Feedback“ aus der Web-Community erhalten habe und nun die Dinge „ein wenig langsamer“ angehen würde. Die Verzögerung biete genügend Zeit für die öffentliche Diskussion über die Technologie und eine Auseinandersetzung mit den Regulierungsbehörden Publisher und Werbeindustrie. Ob Google FLoC in der beschriebenen Form tatsächlich kommt, scheint damit nicht ausgemacht zu sein.
