google floc cookies tracking

Googles Cookie-Ersatz: FLoC – aus Datenschutzsicht eine Verbesserung?

/von

Bereits im Jahr 2020 hatte Google angekündigt von den “üblichen” Tracking-Cookies Abstand nehmen zu wollen. Mittlerweile folgen dieser Ankündigung erste Taten. Was erst einmal ganz positiv klingt, ist aus unserer Sicht aber nur eine geränderte Form der “Datenschutz-Hölle”.

Einteilung in Kategorien

FLoC ist die Abkürzung für “Federated Learning of Cohorts”, also das verteilte Lernen (oder Bilden) von Kohorten. Die Nutzer*innen werden also nicht mehr persönlich erkannt, sondern sollen in Gruppen eingeteilt werden. Diese Einteilung soll verteilt erfolgen, konkret: Im Browser der Nutzer*innen. Das klingt auf den ersten Blick nach einer Verbesserung. Aus Sicht des Datenschutzes, werden die Daten nun nicht mehr an den zentralen “Verwalter” Google gegeben. Nach einem genaueren zweiten Blick sieht die Sache dann schon wieder etwas anders aus. Durch die Verlagerung der Funktionalität wird zwar nicht mehr so detailliert getrackt. Dafür werden aber sämtliche aufgerufenen Seiten  in die Bewertung einbezogen. Das heißt, die Nutzer*innen werden eigentlich noch stärker überwacht, als bislang ohnehin schon, wenn die Seitebetreiber*innen dies nicht aktiv verhindern.

Eine Umsetzung im Browser bedeutet, dass die Browserhersteller aktiv werden und dies programmtechnisch umsetzen müssen. Jetzt könnte man meinen, dass dies dazu führe, dass damit das Tracking der Nutzer*innen auf Googles Browser Chrome eingeschränkt würde. Dies ist leider ein Trugschluss, setzen doch mittlerweile diverse Browser, darunter Microsofts Browser Edge auf der Browser-Engine von Chrome auf. FLoC wird damit also in zahlreichen Browsern unterschiedlicher Hersteller landen, wenn auch nicht in allen.

FLoC muss aktiv verhindert werden

Nach Aussagen Googles soll es wohl möglich sein, dass Seitenbetreiber*innen das Tracking durch Senden einer entsprechenden HTTP-Response unterbinden können. Ob Google diese Rückmeldung der Seitenbetreiber*innen allerdings dauerhaft und unter allen Umständen berücksichtigen wird, wird sich zeigen müssen. Die Widerspruchsmöglichkeit der Nutzer*innen wird ihnen mit FLoC entzogen und den Seitenbetreiber*innen aufgebürdet. 

Neben der Einbeziehung sämtlicher Webseiten, die nichts dagegen tun, werden die gesammelten Informationen aber auch sämtlichen Webseiten, die danach fragen, zur Verfügung gestellt. Bislang können Webseiten mithilfe von Google Analytics Profile bilden und in einem begrenzten Maße Nutzer*innen bei erneuten Besuchen wiedererkennen. Mit FLoC kann eine Webseite über eine*n Nutzer*in bereits beim ersten Aufruf der Seite Dinge erfahren, die sie sonst gar nicht oder gegebenenfalls nur nach einer gewissen Nutzungszeit erfahren hätte. Die Nutzer*innen werden also mit FLoC noch deutlich gläserner, auch wenn die Informationen den Seiten ohne einen Personenbezug zur Verfügung gestellt werden.

Einwilligung? Nur noch teilweise

Bei dieser Gelegenheit: Das Sammeln von Informationen im Browser erfolgt ausschließlich durch den Browser, also auf dem Endgerät der Nutzer*innen und stellt vermutlich keinen Speichervorgang dar, der aus Sicht der ePrivacy-Richtlinie einwilligungspflichtig wäre (siehe hierzu auch unseren Artikel zum Thema Cookies und Einwilligungspflicht). Anders sieht es bei der Übermittlung der gesammelten Daten an die Webseiten aus. Hier werden Daten vom Endgerät der*des Nutzer*in übermittelt. In diesen Übermittlungsvorgang müssen die Nutzer*innen wie beim Einsatz von Cookies einwilligen. Auch mit FLoC werden wir also die nervigen Consent-Manager vermutlich nicht los. Und selbst, wenn die Nutzer*innen es schaffen, auf allen Webseiten in die Abfrage der Daten nicht einzuwilligen, entsteht dennoch im Browser im Laufe der Zeit ein enormes Profil zu den (angenommenen) Interessen der Person. Wird von der*dem Nutzer*in einmal aus Versehen oder Bequemlichkeit eingewilligt, liegt im Zweifel ein enormer Datenschatz direkt bei der*dem Webseitenbetreiber*in vor.

Es muss deutlich gesagt werden: Die Webseitenbetreiber*innen erhalten mit FLoC deutlich mehr Informationen als mit den bisherigen Tracking-Verfahren.

Wie verhindert man FLoC?

Die schlechte Nachricht ist: Die Nutzer*innen können FLoC vermutlich nur verhindern, indem sie darauf achten, dass der eingesetzte Browser FLoC nicht unterstützt. Die Webseitenbetreiber*innen können FLoC verhindern, indem sie wie schon oben erwähnt eine entsprechende HTTP-Response beim Ausliefern der Seiten senden. Hierzu ruft beispielsweise WordPress als einer der größeren Anbieter von Content Management Systemen aktiv auf. Genauer gesagt rät WordPress, FLoC wie ein Sicherheitsproblem zu behandeln. Auch die Electronic Frontier Foundation (EFF) versucht, die Nutzer*innen zu sensibilisieren und stellt ein Tool zur Verfügung, mit dem man feststellen kann, ob man “geFLoCt” wurde.

Die Testphase läuft bereits

Seit Version 89 des Chrome-Browsers wird FLoC bereits mit einer Teilmenge der Nutzer*innen getestet. Gemäß den Aussagen von Google läuft der Test aber vollständig außerhalb Europas. Ob das so ist, kann vermutlich jede*r nur selbst feststellen, indem beispielsweise das Tool der EFF genutzt wird.

(Kein) Fazit und eine Frage

Ein wirkliches Fazit können wir nicht liefern. Es bleibt abzuwarten, wie sich das Thema FLoC entwickelt. Gegenwind gibt es bereits genug. Die große Frage ist, wie wirksam dieser Gegenwind sein wird.

Darüber hinaus stellt sich uns noch eine Frage: Im Unternehmenseinsatz ist der Arbeitgeber für die Verarbeitung verantwortlich. Wird ein Browser mit FLoC eingesetzt, halten wir das mindestens für grenzwertig. Uns fällt keine Rechtsgrundlage ein, auf der die Arbeitgeber eine solche Verarbeitung stützen könnten. Und: Stellt diese Totalüberwachung des Nutzerverhaltens im Browser gegebenenfalls auch eine unzulässige Leistungsüberwachung durch den Arbeitgeber dar? Wir sind gespannt auf die Reaktionen der Betriebsrät*innen, wenn Browser mit FLoC eingesetzt werden (sollen).

Sie betreiben doch sicher einen Internetauftritt –  lassen Sie sich beraten, welche datenschutzrechtlichen Pflichten Sie erfüllen müssen.

 


Diesen Beitrag teilen

Das könnte Dich auch interessieren
meldung datenschutzbeauftragter aufsichtsbehördeNewsletter und der Datenschutz – einige Fallstricke
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bKündigungsschutz für Datenschutzbeauftragte unter der DSGVO
usa scc standardvertragsklauseln trans-atlantic data protection framework tadpf eu-us data protection framework dpfEU-Kommission veröffentlicht neue Standardvertragsklauseln
tracking newsletter notwendige dienste cookiesDas Dilemma mit den “technisch notwendigen” Diensten und Cookies
privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanBinding Corporate Rules (BCR) nach der DSGVO
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersSerie zu den neuen Standardvertragsklauseln – Datenübermittlung zwischen Verantwortlichen (C2C)