Federated Learning of Cohorts (kurz FLoC) ist eine Art von Web-Tracking durch Föderales Lernen. Dabei wird das Nutzungsverhalten der Nutzer durch den Browser selbst ausgewertet und diese in Kategorien gruppiert, die dann interessenbasierte Werbung erhalten.[1] FLoC ist Teil von Googles Privacy Sandbox Initiative. Dabei soll die Privatsphäre geschützt werden, indem FLoC Third-Party-Cookies und Fingerprinting zum Tracking ersetzt, aber trotzdem zielgerichtete Werbung für den Nutzer ermöglicht.[2]
Derzeit testet Google die Technik für einen „kleinen Prozentsatz“ der Installationen des eigenen Chrome-Webbrowsers in 10 Ländern (Australien, Brasilien, Indien, Indonesien, Japan, Kanada, Mexiko, Neuseeland, Philippinen und USA).[3] Die EU ist aufgrund Unklarheit über die DSGVO-Konformität noch davon ausgenommen.[4]
Das FLoC analysiert die Online-Aktivitäten der Nutzer innerhalb des Browsers und generiert eine „Kohorten-ID“ mithilfe des SimHash-Algorithmus.[5] Dabei wird der Browser-Verlauf mittels Hash-Werten verschlüsselt, und im Anschluss werden Nutzer mit ähnlichen Werten gruppiert.[6] Websites können dann über eine API auf die Kohorten-ID zugreifen und bestimmen, welche Anzeigen geschaltet werden sollen.[2] Google kennzeichnet die Kohorten nicht nach Interesse, sondern gruppiert sie nur und weist ihnen eine ID zu,[7] sodass Werbetreibende die Nutzertypen jeder Kohorte selbst bestimmen müssen.[8] Die IDs werden jede Woche neu generiert und wechseln folglich.[2]
Der Prozess, der verwendet wird, um Kohorten zu generieren, ohne dass die Browserdaten der Nutzer außerhalb des Geräts gesendet werden, ähnelt der Methode, die hinter der prädiktiven Tastatur von Google steckt.[8]
Google erklärte im Januar 2021, dass FLoC mindestens 95 % so effektiv sei wie das Tracking mit Third-Party-Cookies, jedoch berichtete AdExchanger, dass einige Personen in der Werbetechnologiebranche Skepsis gegenüber der Behauptung und der dahinter stehenden Methodik äußerten.[9] Da jede Website, die sich für FLoC entscheidet, den gleichen Zugriff darauf hat, zu welcher Kohorte der Benutzer gehört, sagen die Entwickler der Technologie, dass dies den Zugang zu einigen Informationen über den allgemeinen Browserverlauf eines Benutzers demokratisiert, im Gegensatz zum Status quo, bei dem Websites Tracking-Techniken verwenden müssen.[5]
Die Electronic Frontier Foundation (EFF) hat FLoC kritisiert, so dass ein EFF-Forscher das Testen der Technologie in Chrome in einem Beitrag auf dem Blog der Organisation als “a concrete breach of user trust in service of a technology that should not exist” (deutsch: „einen konkreten Bruch des Vertrauens der Nutzer im Dienste einer Technologie, die es nicht geben sollte“) bezeichnete.[10] Die EFF hat auch eine Website eingerichtet, auf der Chrome-Nutzer überprüfen können, ob FLoC in ihrem Browser getestet wird.[11] Die EFF kritisierte, dass jede Website von Anfang an eine ähnliche Vorstellung davon hat, wer der Nutzer ist, ohne ihn vorher im ganzen Web verfolgen zu müssen.[12]
Der CEO von DuckDuckGo veröffentlichte eine Erklärung, in der er davon abriet, Google Chrome zu verwenden, und erklärte, dass Chrome-Nutzer in FLoC einbezogen werden können, ohne sich dafür zu entscheiden, und dass kein anderer Browser-Anbieter Interesse an der Verwendung der Tracking-Methode geäußert hat.[13] In der Erklärung hieß es, dass “there is no such thing as a behavioural tracking mechanism imposed without consent that respects people’s privacy” (deutsch: „es so etwas wie einen verhaltensbasierten Tracking-Mechanismus, der ohne Zustimmung auferlegt wird und die Privatsphäre der Menschen respektiert, nicht gibt“) und dass Google FLoC „ausdrücklich Opt-in“ und „frei von Dark Patterns“ machen sollte.[14] DuckDuckGo kündigte außerdem an, dass seine Website keine FLoC-IDs sammeln oder für zielgerichtete Werbung verwenden wird[15] und aktualisierte seine Chrome-Erweiterung, um Websites von der Interaktion mit FLoC auszuschließen.[13]
Brave, ein Webbrowser, der auf der Chromium-Plattform aufbaut, kritisierte FLoC in einem Blog-Post und kündigte an, dass es im Brave-Browser deaktiviert und von der Brave-Website nicht mehr aufgerufen werden würde.[16] Der Blog-Post, der vom CEO des Unternehmens, Brendan Eich, mitverfasst wurde, beschrieb Googles Bemühungen, Cookies von Drittanbietern zu ersetzen, als „Liegestuhlschieberei auf Titanic-Niveau“ und „ein Rückschritt gegenüber grundlegenderen, auf Privatsphäre und Nutzer ausgerichteten Änderungen, die das Web braucht.“[17][18]
Die Tech- und Mediennachrichtenseite The Verge merkte an, dass nicht alle möglichen Auswirkungen von FLoC für Ad-Tech bekannt sind und dass die Struktur kleineren Ad-Tech-Unternehmen nutzen oder schaden könnte, und merkte insbesondere an, dass größere Ad-Tech-Unternehmen besser ausgestattet sein könnten, um „zu analysieren, was FLoCs bedeuten und welche Anzeigen darauf ausgerichtet werden sollten.“[7]