Tracking ohne Tracker?
Laurenz Strassemeyer Schriftleitung Datenschutz-Berater
Sehr geehrte Leserinnen und Leser,
Google gab kürzlich bekannt, Nutzertracking durch Drittanbieter-Cookies im Browser Chrome abzuschaffen. Auch alternative Identifikatoren sollen für Chrome nicht entwickelt werden. Der Browser wird immerhin für 50–65 % aller Websitebesuche in Europa genutzt. Die Ankündigung wirkt sich deshalb unmittelbar auf einen signifikanten Anteil aller Internetnutzer aus. Wird Werbung im Internet also schon bald ohne Tracker ausgespielt, etwa nach einem Zufallsprinzip? Ich kann Sie „beruhigen“, das scheint unwahrscheinlich, ja fast ausgeschlossen. Zum einen gibt es eine ganze Reihe weiterer Technologien, die Tracking ermöglichen, z.B. Log-Dateien, Social Plugins, Web- oder Sound-Beacons. Auch Browser- oder Device-Fingerprinting funktioniert ohne Cookies extrem gut, seit kurzem z.B. über Favicons. Zum anderen kündigte Google doch noch eine Alternativtechnologie an: Federated Learning of Cohorts (FLoC). Damit sollen werbende Unternehmen weiterhin die Chrome-Nutzer adressieren können, die sich wahrscheinlich für ihre Produkte interessieren – aber von nun an mit besonderer Rücksicht auf deren Privatsphäre.
Die schillernde Bezeichnung „FLoC“ setzt sich zusammen aus „föderalem Lernen“ und „Klassifizieren in Kohorten“. Beide Begriffe dürften im Zusammenhang mit maschinellem Lernen unlängst bekannt sein. Beim föderalen Lernen wird ein maschinelles Modell dezentral trainiert, im ersten Schritt z.B. auf den Smartphones der Internetnutzer. In einem zweiten Schritt werden die lokal trainierten Modelle zurück übermittelt und zentral zu einem globalen Modell zusammengesetzt. Der Vorteil lieg auf der Hand: Die Trainingsdaten verbleiben beim Nutzer und den eigentlichen Wert, die Erkenntnisse, erhält das Unternehmen. Und nun zurück zu FLoC und der Klassifizierung nach Kohorten: Damit interessenbasierte Werbung funktioniert, wird, vereinfacht ausgedrückt, jedem Chrome-Nutzer einer Klassen zugewiesen, die mindestens k Benutzer mit vermeintlich ähnlichen Interessen umfasst. Die Zuordnung zur Klasse erfolgt noch auf dem Endgerät des Nutzers. Nur diese Klassenkennung, die sog. Kohorten-ID, wird nach außen gesendet. Anschließend wird die Werbung ausgespielt, die für die jeweilige Klasse als interessant gilt.
Ermöglicht FLoC also eine Win-Win-Situation? Darüber ließe sich trefflich streiten. Zahlreiche Mitglieder des Expertenausschusses für die Datenstrategie der Bundesregierung – u.a. vor allem Herr Kelber vom BfDI – bezeichnen Federated Learning zunehmend als den Ansatz, mit dem der Spagat zwischen Datenschutz und effektiver Datennutzung gelingen könnte. Prof. Dr. Caspar äußerte sich hingegen kritisch zum konkreten Vorhaben: Er sieht darin die Festigung von Googles Marktmacht. Eine rechtlich dezidierte Bewertung unterblieb bisher in beiden Lagern. Genau dies verwundert! Derzeit bedürfte es regelmäßig einer Einwilligung zur Übermittlung eines lokal trainierten Models – warum? Ganz einfach: Solange etwas auf dem Endgerät des Nutzers berechnet wird, ist es eine im Endgerät gespeicherte Information (Art. 5 Abs. 3 ePrivacy-RL).
Dieser Beitrag ist zu knapp, um in der erforderlichen Ausführlichkeit zu debattieren, ob föderales Lernen datenschutzrechtlich tatsächlich bedenkenlos ist; ob eine einzige Einwilligung gegenüber dem Browserbetreiber ausreichen könnte; oder ob der Ansatz gar eine Abkehr vom Einwilligungsgebot rechtfertigt. Es wäre allerdings höchste Zeit, dass sich die Behörden und der Gesetzgeber darüber rechtliche Gedanken machen: Nachdem der Rat eine Einigung erzielen konnte, dürften die Trilogverhandlungen zur unlängst totgesagten ePrivacy-Verordnung nämlich bald Fahrt aufnehmen. Sollten jedoch erneut die State of the Art Technologien vergessen oder die Verantwortung allein auf den Nutzer verlagert werden, wäre niemandem geholfen. In diesem Sinne wünsche ich Ihnen im Namen der Redaktion viel Spaß beim Lesen dieser spannenden Ausgabe.
Ihr
Laurenz Strassemeyer