Das Third-Party-Cookie ist auf dem Rückzug: Im August 2019 kündigte Google an, dass es über einen Zeitraum von drei Monaten, beginnend Mitte 2023 bis Ende 2023, Third-Party-Cookies aus seinem Chrome-Browser entfernen werde. Dieser Plan hat dazu geführt, dass digitale Werbetreibende, Publisher und Google selbst verzweifelt nach einer Alternative suchen.
Third-party cookies have long been tracking users' activity on the web, largely for collecting data and tracking users for online advertising purposes.
Doch die zunehmende Besorgnis einer internetaffinen Öffentlichkeit hat zu ihrem Ende geführt, denn Firefox und Safari blockieren bereits Drittanbieter-Cookies in ihren Browserangeboten.
Cookies von Drittanbietern spielen in der Ad-Tech-Branche eine wesentliche Rolle. Was wird sie ersetzen?
Google untersucht derzeit mehrere neue Technologien, die zielgerichtete Werbung ermöglichen und gleichzeitig die Anonymität der Nutzer wahren. Eine dieser Technologien hat die ursprüngliche Testphase erreicht und abgeschlossen. Sie trägt den Namen Federated Learning of Cohorts (FLoC) und steht bereits unter intensiver Beobachtung.
In diesem Artikel wird das Ende der Drittanbieter-Cookies beleuchtet und wie FLoC als adäquater Ersatz für die AdTech- Branche dienen kann.
Das Ende der Cookies von Drittanbietern
Cookies von Drittanbietern haben in der Werbetechnologiebranche für heftige Debatten gesorgt, und es bestehen zunehmende Bedenken hinsichtlich des Datenschutzes im Zusammenhang mit zielgerichteter Werbung.
Cookie tracking has become more and more invasive over time. Embedded, far-reaching trackers, known as third-party cookies, are used for behavioral advertising and the ever-pervasive use of ad retargeting where users are ‘stalked’ around the net by websites they have previously interacted with.
Das Branchenfeedback lässt keinen Zweifel daran, dass es an der Zeit ist, Cookies von Drittanbietern zu blockieren und eine geeignete Alternative zu finden. Diese Alternative muss Datenschutzbedenken berücksichtigen und es Online-Werbetreibenden weiterhin ermöglichen, die Werbebranche zu bedienen.
Das föderierte Lernen von Kohorten ist eine solche Alternative. Allerdings wird es von der Industrie nicht unbeachtet gelassen. Bennett Cyphers von der Electronic Frontier Foundation hat FLoC eine „schreckliche“ Idee genannt und erklärt:
‘The technology will avoid the privacy risks of third-party cookies, but it will create new ones in the process," writes Cyphers. "It may also exacerbate many of the worst non-privacy problems with behavioral ads, including discrimination and predatory targeting.’
Despite Cypher's scathing review, FLoC may not be as bad as it seems. Let’s look more closely at FLoC and how it plans to replace cookie-based advertising.
Google FLoC – Föderiertes Lernen von Kohorten
When Google announced its Privacy Sandbox in 2019, the initiative detailed its aim to create more privacy for web users. However, ultimately most publishers are looking to generate revenue from their sites by selling ad inventory.
The Privacy Sandbox website states that it is currently 'developing innovative, privacy-centric alternatives for key online business needs, including serving relevant ads'. One of the privacy sandbox proposals is the Federated Cohort of Learnings(FLoC).
FLoC zielt darauf ab, Werbetreibenden weiterhin die Möglichkeit zu geben, Anzeigen gezielt zu schalten, ohne die Details einzelner Nutzer preiszugeben, und fungiert im Wesentlichen als Ersatz für Cookies von Drittanbietern.
FLoC ist ein vorgeschlagener Browserstandard, der „interessenbasierte Werbung im Web“ ermöglicht und gleichzeitig die Privatsphäre der Benutzer schützt. Anstatt die persönliche Identität eines Benutzers preiszugeben, werden Benutzer einer „Kohorte“ von Personen mit ähnlichen Surfgewohnheiten und Interessen zugeordnet, die klein genug ist, um gezielte Werbung zu ermöglichen, aber groß genug, um die Identität des Einzelnen geheim zu halten.
Obwohl die technische Seite dieser neuen Tracking-Technologie recht komplex sein kann, folgt hier eine grundlegende Zusammenfassung.
Chrome browsers will use algorithms(federated learning) to create a large number of cohorts. Google Chrome then looks at an individual's general browsing history and assigns the user to a particular cohort based on their user behavior. This cohort assignment algorithm keeps a person's web history private, so ad tech vendors can never individually identify users.
When chrome users visit a website, Chrome will inform the site the user is part of cohort #123. It is then up to the website to know that cohort #123 is interested in, for example, running shoes and organic food.
Users with FLoC id #123 will be placed in a group with thousands of other marathon-running foodies with the aim to protect user data.
Chrome will not be using federated learning to provide websites with content labels for these FLoCs. Instead, it will be up to the ad tech industry to figure it out themselves.
Wichtig zu beachten ist zudem, dass die Zuordnung zu einer bestimmten Kohorte nicht feststeht, sondern sich laufend ändert, um das Surfverhalten widerzuspiegeln.
As Ginny Marvin, Google Ad Products Liaison, explains:
„Kohorten sind dynamisch und werden während des ersten Versuchs alle sieben Tage aktualisiert.
Wenn sich das Surfverhalten einer Person ändert, wird sie von ihrem Browser einer anderen FLoC-Kohorte zugeordnet, die diese Interessen widerspiegelt.
For example, at one point, they might be in a FLoC cohort with thousands of other people who have also recently visited websites about gardening and travel overseas, and then at another point in time they could be in a group of people who have recently visited sites about art supplies and cooking.”
Kohortenberechtigung – Wer kann verfolgt werden?
Cohorts that include a history of visiting sites with sensitive topics at a high rate will not be eligible to be advertised to. This is in line with Google’s current policy on personalized advertising, which states:
‘When employing user behavior or interest data to provide more relevant ad content, it’s important to handle that information appropriately. We recognize that certain interests are sensitive and that targeting based on them could negatively impact user experience.’
Therefore, publishers will not be able to access or advertise to cohorts who fall into the following sensitive categories:
Access to Opportunities: Ads may not limit access to opportunities based on societal biases.
Identity and Belief: Ads should not target users based on categories prone to systemic discrimination or unfair stigmas.
Sexual Interest: Ads may not target users based on their sexual preferences or experiences.
Personal Hardships: Ads should not target users based on their personal hardships or struggles.
Datenschutzbedenken neuer Benutzer
The Federated Learning of Cohorts has been designed to deliver personalized advertising while moving into a privacy-preserved future for the free and open web. However, the core design of FLoC means that new and different information will be shared with advertisers, which inevitably means new and different privacy risks.
Browser Fingerprinting
The first privacy concern is fingerprinting. Browser fingerprinting involves gathering information from a user’s browser to create a unique, stable identifier for that browser. Essentially the more ways a browser looks or acts differently, the more identifiable it becomes. This digital fingerprint includes a whole host of sensitive data, including the user’s browser, their hardware setup, and the location of websites they are visiting. It also includes seemingly insignificant data that is collected by tracking scripts, such as screen resolution and fonts. This information is then stitched together to create a user’s unique fingerprint.
While Google has stated that users will be placed in cohorts made up of thousands of people- hence protecting their privacy- in reality, fingerprinters will actually be more likely to identify users than ever before.
This is because, in theoretic terms, FLoC cohorts will contain several bits of entropy—up to 8 bits, in Google’s proof of concept trial. As this information is unlikely to be correlated with other information that the browser exposes, it will seemingly be far easier for trackers to put together a unique fingerprint for FLoC users.
While Google has acknowledged this risk, it has pledged to solve it as part of the broader “Privacy Budget” plan it has to deal with fingerprinting long-term. However, it is well known that mitigating fingerprinting generally involves restricting unnecessary sources of entropy. Considering that’s what FLoC is, there are concerns from privacy advocates and industry specialists alike that Google should deal with existing fingerprinting risks before introducing any new ones into the web ecosystem.
Kontextübergreifende Exposition
The second privacy concern concerning FLoC is a little more complex. FLoC enabled browsers will share new personal user data with trackers who are already able to identify that user. For FLoC to be of use to advertisers, it must reveal a certain amount of information about user cohort behavior.
The FLoC project’s GitHub page makes no secret of this stating upfront:
Diese API demokratisiert den Zugriff auf einige Informationen über den allgemeinen Browserverlauf (und damit die allgemeinen Interessen) einer Person für jede Site, die sich dafür entscheidet. … Sites, die die PII einer Person kennen (z. B. wenn sich Personen mit ihrer E-Mail-Adresse anmelden), könnten ihre Kohorte aufzeichnen und offenlegen. Dies bedeutet, dass Informationen über die Interessen einer Person möglicherweise irgendwann öffentlich werden.
So while a cohort itself won’t work as an individual identifier, any company that can identify users in another way- through a ‘Login in With Facebook’ option, for example- will be able to tie the information it learns from FLoC to a user’s profile.
Two types of information can be exposed in this way:
- Trackers may be able to reverse engineer the cohort algorithm to determine that a user probably or definitely visited specific sites.
- General information about demographics
What it Means for Ad Tech Companies
Die ersten FLoC-Ursprungstests schlossen ihre Testphase Mitte Juli 2021 still und leise ab. Der leitende Softwareentwickler von Google, Josh Karlin, gab im Gruppenforum der Blink Developers von Chromium Folgendes bekannt:
„Wir haben uns entschieden, diesen ersten Origin-Test nicht zu verlängern. Stattdessen arbeiten wir hart daran, FLoC zu verbessern, um das Feedback der Community zu berücksichtigen, bevor wir mit weiteren Ökosystemtests fortfahren.“
Darüber hinaus beabsichtigt Google nicht, das private Feedback, das das Unternehmen während der ursprünglichen Testphase von FLoC erhalten hat, preiszugeben. Somit tappen die Adtech-Unternehmen weitgehend im Dunkeln, wo und wann sie FLoC implementieren können.
This is no doubt, in part, due to pushback from privacy advocates such as the Electronic Frontier Foundation and the makers of the Brave browser, who have expressed concerns about FLoC as an effective way to replace third-party cookies. In fact, many such companies want targeted ads removed from the ecosystem altogether.
Amazon, Drupal, DuckDuckGo, Firefox, GitHub, Joomla und Vivaldi haben sich ebenfalls dafür entschieden, FLoC – in seiner aktuellen Form – standardmäßig zu blockieren.
WordPress VIP also recently chimed in with their hesitations:
„FLoC hat seine Vorteile. Aber es ist nicht so datenschutzorientiert, wie wir es uns wünschen würden, und kann zu diskriminierenden Praktiken führen, wie oben beschrieben. Dann besteht die Sorge, dass Google einen weiteren Aspekt der Technologie dominieren könnte. Google plant außerdem, jedem Tracking-Unternehmen von Drittanbietern für die Nutzung der von ihm gesammelten Daten Gebühren zu berechnen.“
Zum jetzigen Zeitpunkt scheint es, dass Twitter die einzige große Plattform ist, die derzeit bei FLoC mitmacht und kürzlich in seinem Quellcode darauf verwiesen hat.
This may well explain why Google has pushed out the death of third-party cookies from the originally proposed 2022 to 2023.
Obwohl an FLoC sicherlich noch einige Verbesserungen vorgenommen werden müssen, steht dem Programm möglicherweise noch seine Glanzzeit bevor. Google gibt an, dass erste Tests vielversprechende Ergebnisse für Werbeplattformen gezeigt haben, die ihr Targeting-System ersetzen möchten.
Publisher und Werbetreibende, die sich auf die „Cookie-Apokalypse“, wie sie in der Branche genannt wird, vorbereiten möchten, sollten sich daran erinnern, dass Third-Party-Cookies zwar verschwinden, First-Party-Cookies jedoch nicht. Daher waren First-Party-Daten noch nie so wertvoll.
Advertisers should be looking to collect as much first-party information from users’ browsers as possible.
Google selbst hat Publishern empfohlen, sicherzustellen, dass alle Websites mit dem universellen Google Ads-Tag versehen sind.
Sind Sie ein Publisher, der der „Cookie-Apokalypse“ einen Schritt voraus sein möchte? Bei Publift sind wir auf dem neuesten Stand der Werbetechnologien. Kontaktieren Sie uns noch heute, um loszulegen.