Vor wenigen Wochen überraschte Google die Werbewelt mit seiner Ankündigung, die Arbeit an seiner “Federated Learning of Cohorts”-Technologie, kurz FLoC, einzustellen und stattdessen von nun an auf “Topics API” setzen zu wollen. Mit Topics, wie auch zuvor mit FLoC, versucht sich Google an der Entwicklung einer Alternative für den Third-Party-Cookie. Diesen möchte auch Google in absehbarer Zukunft aus seinem Chrome-Browser verbannen, um hier mit seinen Konkurrenten Apple (Safari) und Mozilla (Firefox) gleichzuziehen. Zuweilen wird über Topics gesprochen, als sei es lediglich ein Abklatsch des alten FLoC mit minimalen Veränderungen – gewissermaßen alter Wein in neuen Schläuchen. Aber werden diese Vergleiche dem neuen System gerecht?

In diesem Artikel wollen wir die Funktionsweise und die Gründe für das Scheitern von FLoC darlegen und anschließend das neue Topics API genauer in den Blick nehmen. Wie funktioniert es? Wie unterscheidet es sich von FLoC? Und wie sieht die Zukunft von Topics aus?

Was war Federated Learning of Cohorts (FLoC)?

Das „Federated Learning of Cohorts“ war der erste Versuch einer Alternative zum Third-Party-Cookie, den Google bis 2023 aus seinem Browser Chrome verbannen will. FLoC wurde erstmals im Jahr 2019 als eine datenschutzfreundliche Technologie zur Umsetzung von interessenbasierter Werbung  von Google angekündigt. Im März 2021 wurden erste Tests mit Chrome-Nutzer*innen gestartet. Nun, Ende Januar 2022, stellte Google die Entwicklung von FLoC offiziell ein. Um die Kritik an FLoC und die Gründe für dessen Einstellung nachvollziehen und die Unterschiede zum neuen “Topics” verstehen zu können, lohnt sich ein Blick auf die Funktionsweise des von Google ausrangierten Systems.

Die Funktionsweise von FLoC

In Googles web.dev-Blog wird sehr ausführlich dargelegt, wie FLoC funktioniert. Die Grundidee hinter FLoC ist die Zuordnung des Browserverlaufs eines Internetnutzers oder Nutzerin zu einer Kohorte von Verläufen, die sich ähnlich sind. Diese Zuordnung erfolgt innerhalb des Browsers auf dem Endgerät der jeweiligen Nutzer*innen. Hierzu wertet der Browser den Seitenverlauf aus, prüft in welche Kohorten dieser am besten passt und vergibt eine entsprechende Kennung, die sog. FLoC-ID. Diese Berechnung sollte wöchentlich neu erfolgen. Hierdurch könnten Nutzer:innen auch von einer Kohorte in eine andere wandern, sollte sich beispielsweise ihr Surfverhalten im Laufe der Zeit ändern. Einer Untersuchung der Electronic Frontier Foundation, einer NGO für Grundrechte im Informationszeitalter, zufolge, wären mit FLoC über 33.000 verschiedene Kohorten möglich.

Auf ihren Seiten können dann sowohl Werbetreibende als auch Werbeanbieter die Verhaltensweisen verschiedener Kohorten anhand der FLoC-IDs beobachten und analysieren. Entsprechende Adtech-Plattformen bringen nun Werbetreibenden und Werbeanbieter zusammen: Werbetreibende können gezielt auf für sie attraktive Kohorten targeten und Anzeigen über die Seiten der Werbeanbieter an entsprechende Nutzer*innen ausspielen lassen.

Gründe für das Ende von FLoC

1. Im Rahmen der Testphase ab März 2021 wurde FLoC bei 0,5 % der Chrome-Nutzer*innen in den USA, Australien, Brasilien, Kanada, Indien, Indonesien, Japan, Mexiko, Neuseeland und den Philippinen ausgerollt. Innerhalb der EU oder Großbritannien kam FLoC jedoch nie zum Einsatz. Ein Grund waren laut AdExchanger Bedenken seitens Google hinsichtlich der Konformität mit der DSGVO und e-Privacy Verordnung. Insbesondere war bei FLoC fraglich, welche Parteien hier als Verantwortliche und Verarbeiter im Sinne der DSGVO agieren. Google? Die Nutzer*innen, auf deren Endgeräten die Berechnung der FLoC-ID erfolgt? In diesem Zusammenhang drängt sich noch eine weitere Frage auf: Bei der FLoC-ID mag es sich zwar um kein personenbezogenes Datum handeln, da hiervon noch nicht auf eine Einzelperson zurückgeschlossen werden kann. Zur Berechnung der FLoC-ID wird jedoch die Browser-Historie des Nutzers bzw. der Nutzerin herangezogen – also personenbezogene Daten. Damit wäre nach Art. 6 DSGVO eine Rechtsgrundlage für die Verarbeitung nötig, sprich Consent der User oder ein berechtigtes Interesse. Wie genau hätte Google dies gelöst
2. Doch nicht nur diese ungeklärten rechtlichen Fragen wurden FLoC vermutlich zum Verhängnis. Die als datenschutzfreundlich angepriesene Alternative zum Cookie sah sich im letzten Jahr auch immer wieder mit Kritik seitens Datenschutzaktivist*innen und -organisationen konfrontiert. Eines der Hauptargumente, unter anderem der oben genannten Electronic Frontier Foundation (EFF), war, dass FLoC das Targeting von vulnerablen Gruppen, sowie den Missbrauch für diskriminierende und politisch-manipulative Zwecke ermögliche. Aus der FloC-ID alleine lässt sich zwar noch nicht herauslesen, welche Eigenschaften oder Verhaltensweisen die Mitglieder einer Kohorte verbinden – bei der ID handelt es sich lediglich um eine Nummer. Mittels entsprechender Analyseverfahren könnten Unternehmen jedoch dennoch untersuchen, welche Kohorten mit sensiblen Informationen (bspw. zur Ethnie, bestehenden Krankheiten oder der Sexualität) in Verbindung stehen. Auch Googles Verbesserungsvorschlag, bestimmte sensible Seiten in der FLoC-Berechnung außen vor zu lassen, würde laut der EFF an dem Grundproblem nichts ändern.Darüber hinaus warf die EFF Google vor, dass es mit FLoC das Tracking mittels Browser-Fingerprinting erleichtern würde. Beim Fingerprinting werden Informationen vom Browser und Endgerät der Nutzer*innen (bspw. die IP-Adresse, Bildschirmauflösung, Zeitzone, verwendete Schriftarten, Spracheinstellungen etc.) ausgelesen und zusammengeführt, um die einzelne*n aus Millionen anderer Nutzer*innen eindeutig identifizierbar zu machen. Die FLoC-ID würde Trackern einen Vorsprung im Fingerprinting geben, sodass die einen Nutzer lediglich von einigen tausend anderen Nutzer*innen unterscheiden müssten.
3. Wohl auch deshalb signalisierten zahlreiche Browseranbieter, darunter Microsoft (MS Edge), Mozilla (Firefox) und Apple (Safari) ihre Ablehnung an eine FLoC-Integration. Angesichts einer erstarkenden Privatsphärebewegung und öffentlichen Debatte innerhalb der letzten Jahre ist die Achtung der Privatsphäre der Nutzer*innen zu einem wichtigen Differenzierungsmerkmal im Kampf um Marktanteile auf dem Browsermarkt geworden. In Anbetracht der Tatsache, dass alleine Googles hauseigener Chrome-Browser einen weltweiten Marktanteil von über 60% hat, mag eine Ablehnung von FLoC durch die Konkurrenz zunächst noch nicht dramatisch erscheinen. Hinzu kam aber, dass WordPress im April letzten Jahres erklärte, FLoC wie ein Sicherheitsproblem behandeln zu wollen und es per Patch standardmäßig auf seinen Websites zu blockieren. Und WordPress betreibt wohlgemerkt über 40% aller Websites im Internet. Dem FLoC-System würden daher also nicht nur Personen entgehen, welche auf FLoC-freie Browser setzen, die Kohorten-Zuordnung selbst, auf welche FLoC setzt, würde dadurch noch ungenauer werden, dass Website-Betreiber sich der Browserverlaufs-Analyse entziehen.
4. Daneben blickte auch die Werbebranche FLoC skeptisch bis kritisch entgegen, wenngleich diese Haltung vermutlich weniger aus Privatsphärebedenken als eher aus der Furcht vor dem Aus der Third-Party-Cookies resultiert – und damit einer noch stärkeren Abhängigkeit von Google und anderen Big Playern. Mit Blick auf Googles Ankündigung, Third-Party-Cookies im Chrome Browser blockieren zu wollen, wird innerhalb der Branche auch gerne vom „Cookiegeddon“ oder der „Cookie-Apokalypse“ gesprochen. Derzeit plant Google diesen Schritt im Jahr 2023 zu gehen – versichert gleichzeitig aber, dies erst zu tun, wenn verlässliche Alternativen für das Cookie-basierte Tracking vorhanden sind. Für viele Unternehmen in der Werbebranche, deren Geschäftsmodelle auf ebenjenem Tracking beruhen, dürfte dies indes kein Grund zur Entspannung sein. Der Zentralrat der deutschen Werbewirtschaft (ZAW) wirft Google vor, seine Gatekeeper-Rolle auf dem Browsermarkt zu missbrauchen, um zu seinen Gunsten den freien Wettbewerb auf den Online-Werbemärkten zu verzerren.

Das Ende des Liedes ist bekannt. Google gab Ende Januar 2022 bekannt, die Entwicklung von FLoC einzustellen und stattdessen ganz auf Topics zu setzen.

 

Topics API: FLoC ist tot, lang lebe FLoC?

Mit dem Aus von FLoC kündigte Google an, sich nun auf „Topics API“ als neue Tracking-Alternative für die Post-Cookie-Ära zu konzentrieren. Topics sind Themen, an denen Nutzer*innen basierend auf ihrer Browser-Historie interessiert sind oder sein könnten. Eine auf github verfügbare Datei zeigt die erste Version einer Topics-Taxonomie mit 349 Einträgen – darunter beispielsweise Topics wie „Rap & Hip-Hop“, „Fishing“, „Weather“ oder „Low Cost & Last Minute Travel“. Aber Moment: „Basierend auf der Browser-Historie“? Das kommt uns von FLoC verdächtig bekannt vor. Ist Topics nur neues Naming für ein bekanntes Vorgehen?

Die Funktionsweise von Topics

Im zugehörigen Blogpost und auf Github liefert Google umfangreiche Erklärungen zu ihrem neuen Ansatz für eine cookielose Werbewelt. Mehr Transparenz und Kontrolle lautet das Versprechen. Ob Google das halten kann? Zum besseren Verständnis von Topics sehen wir uns im Folgenden zunächst die Funktionsweise im Detail an:

• Wenn ein Nutzer oder eine Nutzerin eine Website aufruft, können Caller (z.B. Drittanbieter von AdTech oder Werbeanbieter auf der besuchten Seite) bis zu drei Topics von ihm oder ihr abrufen – jeweils ein Topic für die letzten drei Wochen.
• Internetseiten werden basierend auf ihrem Hostname bestimmten Topics zugeordnet. So könnte beispielsweise www.tennis.com dem Topic „Sports/Tennis“ zugeordnet werden. Eine Seite kann auch keinem oder mehreren Topics zugeordnet werden.
• Die Seitenhistorie der Nutzer*innen wird innerhalb des Browsers wochenweise ausgewertet und darauf basierend die Top fünf Topics gewählt und zusätzlich ein sechstes zufälliges Topic aus der Liste bestimmt. Aus diesen fünf Topics pro Woche wird nun zufällig ein Top-Topic bestimmt, wobei eine 5%-Chance besteht, dass das Zufallstopic ausgegeben wird.
• Der Caller erhält nun die bis zu drei Top-Topics (jeweils eines pro Woche) in zufälliger Reihenfolge ausgespielt.
• Bei Nutzer*innen mit Opt-Out, im Inkognito-Modus oder mit gelöschter Browser-History werden keine Topics ausgespielt.
• Nutzer*innen sollen in der Lage sein, sich ihre Topics anzusehen und „falsche Topics“ oder jene, für welche sie keine Anzeigen sehen wollen, zu löschen.
• Für denselben Caller bleiben die Topics der einzelnen Nutzer*innen über die Dauer von drei Wochen gleich, egal wie oft er die Topics abfragt – hiermit soll verhindert werden, über mehrere Abfragen zusätzliche Topics eines Nutzers oder einer Nutzerin in Erfahrung zu bringen und sich damit ein detaillierteres Bild von ihm oder ihr machen zu können.
• Außerdem kann nicht jeder Caller Topics abfragen. Nur Callern, die die Nutzer*innen innerhalb der letzten drei Wochen auf einer ihrer Seiten mit einem Topic beobachtet haben, kann das Topic bei Abfrage (auf einer anderen Seite) auch wieder ausgespielt werden. Einfach gesagt: Ich als Vermittler von Werbeplätzen bekomme nur Topics mitgeteilt, wenn ich auch auf den Seiten, welche der User besucht hat, integriert bin – Topics von Seiten, die mich nicht nutzen, kann ich nicht abgreifen. Für AdTech-Unternehmen setzt dies einen Anreiz für eine Integration auf möglichst vielen Websites, um entsprechend die Topics von möglichst vielen Nutzer*innen abfragen zu können. Diese Regelung bedeutet aber auch, dass der Seitenbetreiber selbst keine Topics seiner Nutzer*innen abfragen kann, sofern er nicht Teil eines Netzwerks mit anderen Betreibern ist oder die Anzeigenpartner ihm diese Informationen zurückspielen.
• Werbetreibende können ihr Targeting nun auf für sie relevante Topics ausrichten. Als Hersteller von Tennisschlägern könnte ich beispielsweise meine Werbung bei Nutzer*innen mit dem Topic „Tennis“ ausspielen lassen.

 

Der Rest wäre voraussichtlich “business as usual”: Über Supply-Side-Plattforms und Demand-Side-Plattforms werden Anbieter und Nachfrager zusammengebracht und Werbeanzeigen im Auktionsverfahren an den Höchstbietenden verkauft.

 

Die Lösung für die Probleme von FLoC?

Es wird schnell klar: Obwohl FLoC und Topics beide auf den Browserverläufen der Nutzer*innen aufbauen, funktionieren beide Systeme doch recht unterschiedlich. Während bei FLoC Personen gewissermaßen in eine nummerierte Schublade (Kohorte) sortiert werden, können sich bei Topics Werbeanbieter ein begrenztes Set an Informationen zu den User-Interessen einholen. Doch löst das alle Probleme und offenen Fragen, die sich mit FLoC gestellt haben?

Für Datenschutzaktivist*innen und -organisationen dürfte es tatsächlich einen Fortschritt darstellen, dass Nutzer*innen in Topics Einfluss auf das von ihnen vermittelte Bild nehmen können, beispielsweise durch das gezielte Löschen von einzelnen Topics oder durch ein komplettes Opt-Out aus dem Verfahren. Außerdem wird es durch Topics schwieriger werden, auf vulnerable Gruppen zu targeten oder Targeting für missbräuchliche (politische) Zwecke zu nutzen.

Trotz alledem wird Topics ein derartiges Targeting vermutlich nicht komplett verhindern können. Die konkreten Möglichkeiten hierfür werden von der weiteren Entwicklung der Taxonomie abhängen. Jedoch dürften mit dem heutigen Entwicklungsstand beispielsweise Kinder durch ein kombiniertes Targeting auf Topics wie „Children’s Literature“ und „Animated Films“ überproportional gut erreichbar sein. Auch ein Targeting zu politischen Zwecken wäre weiterhin denkbar. Mit einer Kombination der Topics „Hunting and Shooting“, „Country Music“ und „News/Politics“ dürften in Amerika vermutlich überproportional viele Republikaner*innen im Vergleich zu Demokrat*innen erreicht werden können.

Zugegebenermaßen sind dies jetzt nur von uns angestellte Vermutungen aus einem Bauchgefühl heraus. Mit entsprechenden Tools und Analysen wird es aber auch mit Topics möglich sein, herauszufinden, welche (vulnerablen) Zielgruppen überproportional mit welchen Topic-Kombinationen korrespondieren.

Mit Blick auf die DSGVO-Konformität der neuen Methode bleibt wie schon bei FLoC die Frage, wer als Verantwortlicher und/oder Verarbeiter im Sinne der Verordnung gilt. Die Topics selbst mögen zwar keine personenbezogenen Daten darstellen, da von ihnen allein nicht auf Einzelpersonen geschlossen werden kann – zur Berechnung der Topics muss jedoch auch hier auf die Browserhistorie und damit auf personenbezogene Daten zurückgegriffen werden. Auch hier werden sich also wieder Fragen nach der Rechtsgrundlage der Verarbeitung, also nach Einwilligung oder berechtigtem Interesse stellen.

Selbst wenn wir davon ausgehen, dass Topics mit der DSGVO konform wäre und ein berechtigtes Interesse geltend gemacht werden kann, dürfte dies nicht das Ende der Consent-Banner, wie wir sie heute kennen, bedeuten. Denn zur Abfrage der Topics werden Informationen aus den Browsern der Nutzer*innen, also ihren Endgeräten abgerufen, wofür laut § 25 Abs. 1 TTDSG die Einwilligung der Nutzer*innen benötigt wird. Anbieter von Consent-Management-Plattformen sowie Beratungsagenturen im Consent-Management dürften also aufatmen.

Die Zukunft von Topics: Viele offene Fragen

Google möchte in den kommenden Wochen erste Tests für Entwickler*innen starten. Es bleibt spannend, ob, wann und wie die Zukunft von Topics in der EU aussehen wird. Wie oben dargelegt, stellen sich auch bei Topics einige Fragen zur Konformität mit dem europäischen Datenschutzrecht, insbesondere mit der DSGVO.

Daneben ist fraglich, wie die Taxonomie sich in Zukunft entwickeln wird. Welche neuen Topics kommen hinzu, welche müssen gehen? Wer hat die Entscheidungshoheit darüber? Und inwiefern werden in der Weiterentwicklung die genannten Probleme rund um missbräuchliches Targeting berücksichtigt?

Außerdem ist heute noch unklar, wie gut und verlässlich die Topic-Zuordnung funktionieren wird, wenn sie allein auf dem Hostnamen aufbauen soll. Was wird gegebenenfalls noch am System verändert, um schlechte oder falsche Topic-Zuordnungen zu vermeiden? Schließlich wäre beispielsweise www.spiegel.de am besten in einem der News-Topics aufgehoben und nicht aufgrund seines Hostnamens im Topic „Home & Interior Decor“. Werden Website-Betreiber gegebenenfalls selbst Topics für ihre Seiten vergeben können?

Schließlich bleibt abzuwarten, wie sich die verschiedenen Stakeholder, also Browser-Anbieter, Website-Betreiber, Werbetreibende, Werbeanbieter, Datenschutzorganisationen und nicht zuletzt auch die Internetnutzer*innen gegenüber Topics positionieren werden. Sollte der Widerstand ähnlich groß ausfallen wie bei FLoC, bliebe abzuwarten, ob wir 2023 tatsächlich die Third-Party-Cookies aus Chrome verabschieden oder Google doch noch eine weitere neue Herangehensweise für die Post-Cookie-Ära finden muss. Es bleibt spannend!

 

Photo by Shubham Dhage on Unsplash