Das Aus für den Like-Button als Plug-in auf Websites? Das Aus für alle Social-Plug-ins? Und das Aus für Facebooks Atlas und ID-Tracking im Allgemeinen? Das Landgericht Düsseldorf (Az. 12O 151/159 hat jetzt entschieden, dass Website-Betreiber die User informieren müssen, was mit ihren Daten geschieht - und damit einer Klage der Verbraucherzentrale NRW, die gegen Peek & Cloppenburg vor Gericht gezogen war, weitgehend Recht gegeben. Die Verbraucherschützer hatten geklagt, weil über den Like-Button als Plug-in schon beim Aufrufen der Seite Daten an Facebook weitergegeben werden.

Doch nicht nur das: Social-Plug-ins werden zum Tracking benutzt. Facebook, aber auch andere Login-Dienste, nutzen sie als Schnittstellen, damit auch Third Parties Zugang zu den IDs der User haben und darüber tracken können. Voraussetzung ist, dass der User im gleichen Browser eingeloggt ist.

Die Schnittstellen liefern eine eindeutige Kennung des Users zurück. Diese kann dann von der Third Party genutzt werden, um selbst einen Pool an Unique Identifiern aufzubauen und in Form eines Cookies auf dem Gerät zu hinterlegen. Bei Kontakt mit dem Portal kann die ID neu abgefragt und die Information wieder hergestellt werden, auch wenn der User seine Cookies inzwischen gelöscht hat. Denn die ID ist personenbezogen und unabhängig von Browser oder Gerät.

Dass ihr Surfverhalten auf diese Art und Weise getrackt wird, weiss natürlich nur ein sehr kleiner Teil der User. Und das beanstandet das LG Düsseldorf. Unternehmen müssten die Besucher ihrer Websites über die Daten-Weitergabe informieren, so die Richter. Die Plug-ins verletzen den Datenschutz, weil Daten, unter anderem die IP-Adresse, ohne Zustimmung des Users an Facebook weitergeleitet werden.

Das Ganze wäre datenschutzrechtlich kein Problem, wenn die Daten anonymisiert (die IP-Adresse also verhasht) und nicht mit der ID gematcht werden würden. Dadurch werden Daten über das Surfverhalten personenbezogen. Diese könnten über Cookies ohne Datenschutzprobleme anonymisiert oder pseudonymisiert verarbeitet werden.

"Es ist normal für Seitenbetreiber, mehrere Drittanbieter-Dienste einzubinden, der Like-Button ist nur einer davon", sagte ein Facebook-Sprecher nach dem Urteil. Der Button sei "ein akzeptierter, legaler und wichtiger Teil des Internets, und dieses Urteil ändert daran nichts."

"Unternehmen, die auf der ganz sicheren Seite sein wollen, sollten den Facebook-Like-Button gar nicht erst auf der Unternehmenswebseite einbauen, sondern von dort lediglich auf ihre Facebook Fan Page verlinken. Auf diese Weise findet überhaupt keine Übertragung von Daten der Nutzer statt“, rät der IT-Anwalt Ralf Solmecke. Eine andere Möglichkeit wäre die sogenannte Zwei-Klick-Lösung. Dabei wird zunächst nur ein Bild des Plug-ins eingebunden. Klickt der User auf das Bild, bekommt er eine Datenschutzerklärung in der steht, was mit seinen Daten geschieht. Erst nachdem er dieser Verwendung zugestimmt hat, wird der Button geladen.

Das Urteil geht zwar, wie der Facebook-Sprecher auch betonte, nur um den Fall von Peek & Cloppenburg und auf der Website des Modehändlers sei mittlerweile die Zwei-Klick-Lösung eingebaut. Dennoch kann das Urteil einen Präzedenzfall schaffen, der für alle Social-Plug-ins gilt. Was nicht nur für Advertiser und das Tracking Probleme aufwirft, sondern im Endeffekt das gesamte dynamische Internet gefährdet.

Der Streit über das Einbinden von Drittanbietern auf Websites und dem Tracking, das diese dann betreiben, ist nicht neu. In den 90er Jahren musste sich Cookie-Erfinder Lou Montulli mit dem Problem der Third-Party-Cookies, die genau das tun, beschäftigen. Montulli sollte schliesslich entscheiden, ob das Cookie weiterbestehen soll, auch wenn Werbungtreibende mit Third Party Cookies Daten sammeln. Montulli entschied sich für das Cookie.