Einem betroffenen Facebook-User muss Meta für den unerlaubten Einsatz seiner Daten durch die Meta Business-Tools einen DSGVO-Schadensersatz iHv. 300,- EUR zahlen (LG Stuttgart, Urt. v. 05.02.2025 - Az.: 27 O 190/23).
Ein Facebook-Nutzer klagte gegen Meta, da das Unternehmen personenbezogene Daten sammelte, die beim Besuch anderer Webseiten und Apps (z. B. Bild.de, PayPal, Zalando) anfielen. Diese sogenannten Off-Site-Daten wurden über die Meta Business Tools an Facebook übermittelt. Der Nutzer hatte der Speicherung und Verwendung dieser Daten nicht zugestimmt.
Das Gericht bejahte einen Rechtsverstoß und verpflichtete Meta u.a. dazu, einen Schadensersatz iHv. 300,- EUR zu zahlen.
Die Speicherung der Off-Site-Daten ohne gesonderte Einwilligung der betroffenen Person sei rechtswidrig.
Auch wenn Drittanbieter eine Datenweitergabe erlaubt bekommen hätten, reiche das nicht für die Speicherung durch Facebook selbst aus.
Die Speicherung sei ein eigenständiger Verarbeitungsvorgang und bedürfe einer eigenen Zustimmung.
Facebook könne auch keine andere rechtliche Grundlage für die Speicherung nennen. Insbesondere sei die Verarbeitung nicht notwendig für den Nutzungsvertrag oder zur Wahrung berechtigter Interessen.
Zudem könnten Nutzer die Daten nicht selbst löschen oder deren Nutzung komplett unterbinden. Damit habe der Betroffene keine Kontrolle über seine Daten, was einen immateriellen Schaden darstelle:
"Gemessen hieran ist dem Kläger ein Schaden erwachsen. Es steht fest, dass der Kläger Webseiten besucht hat, welche Facebook Business Tools nutzen und daher Daten an die Beklagte übermittelt hat.
Diese Daten kann der Kläger zwar von seinem Nutzerkonto trennen, so dass sie diesem nicht mehr zugeordnet werden können, er kann sie jedoch nicht durch Konfiguration seines Kontos löschen. Welchen Zweck die Beklagte mit diesen angesammelten Daten verfolgt, bleibt im Dunkeln. Dadurch hat der Kläger keine Kontrolle damit, was mit den auf Drittwebseiten angefallenen Eventdaten bei der Beklagten geschieht. (…)
Bei der Höhe des dem Kläger zuzuerkennenden Schadensersatzes berücksichtigt das Gericht, dass einerseits eine Mehrzahl von Datenübertragungen gegenständlich ist, weil der Kläger mehrere Webseiten unter Einbindung von Facebook Business Tools besucht hat, namentlich bild.de regelmäßig. Andererseits hat der Kläger im Rahmen der Parteianhörung nicht den Eindruck erweckt hat, als verursache dieser Umstand ihm größeren seelischen Schmerz, vielmehr gab er lediglich an, es wäre ihm lieber, die Daten würden gelöscht. Unter Abwägung dieser Gesichtspunkte erachtet das Gericht einen Anspruch auf immateriellen Schadensersatz in Höhe von 300 € als angemessen."
Einen höheren Betrag als 300,- EUR verneinte das Gericht jedoch:
"Soweit der Kläger vorgebracht hat, es müsse auch der Gesichtspunkt der Prävention gegen künftige Verstöße sowie der Vergeltung zu berücksichtigen sein, handelt es sich hierbei um Umstände, welche im Rahmen von Art. 82 Abs. 1 DSGVO nicht von Bedeutung sind, nachdem diese Regelung ausschließlich eine Ausgleichsfunktion erfolgt (EuGH, Urteil vom 11.04.2024 - C-741/22, NJW 2024, 1561 Rn. 59 f., 64 f.).
Der Kläger kann sich auch nicht mit Erfolg darauf berufen, unter dem Gesichtspunkt der Verletzung des aus Art. 1 und 2 GG abgeleiteten allgemeinen Persönlichkeitsrechts sei ein höherer immaterieller Schadensersatz zuzuerkennen.
Unabhängig von der Frage, inwieweit neben Art. 82 Abs. 1 DSGVO der Rückgriff auf weitergehende Schadensersatznormen nach nationalem Recht überhaupt eröffnet ist, liegt jedenfalls kein solcher Sachverhalt vor, bei welchem der Rechtsschutz von Würde und Ehre des Menschen als verkümmert anzusehen wäre, wenn nicht eine Sanktion in Form einer Geldentschädigung verhängt würde (vgl. zu diesem Maßstab BGH, Urteil vom 17.12.2013 - VI ZR 211/12, BGHZ 199, 237 Rn. 40 mwN).
Immerhin lassen sich die von der Beklagten gesammelten Daten vom Nutzerkonto trennen. Auch wenn sich diese Trennung für den Nutzer wie den Kläger nicht kontrollieren lässt und er sich auf deren Unumkehrbarkeit jedenfalls nicht verlassen kann, so gibt es doch keinen Anhaltspunkt für eine nennenswert fühlbare Beeinträchtigung des Klägers durch die rechtswidrige Datenspeicherung bei der Beklagten."