Meta darf personenbezogene Daten auf Drittseiten nicht ohne Zustimmung erfassen und zu Werbezwecken nutzen. Ein Verstoß rechtfertigt einen DSGVO-Schadensersatz iHv. 750,- EUR (OLG München, Urt. v. 18.12.2025 - Az.: 14 U 1068/25 e).
Die Klägerin war Nutzerin des Sozialen Netzwerks Facebook. Sie wandte sich gegen die Erhebung und Verarbeitung ihrer personenbezogenen Daten über die sogenannten Meta Business Tools (z. B. Meta Pixel, Conversion API).
Mithilfe dieser Tools kann Meta Informationen über das Nutzerverhalten auf externen Webseiten und Apps erfassen und zu eigenen Servern übermitteln. Dies geschieht, ohne dass Nutzer dies unmittelbar bemerken oder bewusst einwilligen müssen.
Das OLG München entschied zugunsten der Klägerin und bejahte einen Schadensersatz iHv. 750,- EUR.
Meta verarbeitete mit Hilfe seiner Business Tools potenziell unbegrenzt personenbezogene Daten, ohne dass eine wirksame Einwilligung der Nutzer vorliege. Diese Praxis verstoße gegen die Grundsätze der DSGVO, insbesondere gegen die Prinzipien der Datenminimierung und Zweckbindung.
Die Klägerin könne nicht kontrollieren, welche Daten Meta über sie gesammelt habe. Ihre digitale Privatsphäre werde durch die ständige Möglichkeit der Überwachung erheblich beeinträchtigt.
Auch könne Meta sich nicht darauf berufen, dass Drittanbieter für die Einholung der Einwilligungen zuständig seien. Da Meta die Tools entwickle, bereitstelle und kontrolliere, sei es auch für die daraus resultierende Datenverarbeitung mitverantwortlich.
Der Verweis auf eine umfangreiche Datenschutzrichtlinie reiche nicht aus, um die Rechtmäßigkeit der Verarbeitung zu begründen. Vielmehr müsse Meta konkret offenlegen, welche Daten zu welchem Zweck verarbeitet und auf welcher Rechtsgrundlage dies geschehe:
"Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.
(…) Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand. (…) Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (…).
Das liegt daran, dass durch die Einbettung der (…) Tools in eine Webseite oder App quasi eine „dynamische Verweisung“ auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten.
Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine „gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an (…) über gewisse (…) Tools“ besteht, hat die Beklagte eingeräumt (…)."
Zur Höhe des Schadensersatzes:
"Für den Senat steht fest, dass die Beklagte mithilfe der (…) Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt.
Der Senat folgt der Auffassung des Bundesgerichtshofes (NJW 2025, 298 Rn. 96), wonach „eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als 'vollständig und wirksam' anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 I DS-GVO dagegen nicht erfüllen (…). Folglich darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen (…) und ob er vorsätzlich gehandelt hat.“
Der Senat schätzt, dass vorliegend ein Betrag von 750,- € erforderlich, aber auch ausreichend ist, um den eingetretenen Kontrollverlust auszugleichen, § 287 ZPO:
− Die Klägerin ist aufgrund ihrer gesundheitlichen Probleme überdurchschnittlich empfindlich, und ihre Probleme wurden durch den streitgegenständlichen Vorfall „befeuert“.
− Da die Klägerin „viele Symptome“ googelt, ist nach der Lebenserfahrung davon auszugehen, dass ihr Surfverhalten sensible Daten erzeugt.
− Der Empfängerkreis der Daten ist vorliegend begrenzt: Er umfasst die Beklagte und solche Dritte, mit denen sie bestimmte Informationen teilt. Frei im Internet verfügbar sind die Daten danach nicht.
− Ausweislich der Datenschutzrichtlinie der Beklagten (Anlage K1, S. 67 ff.) behält die Beklagte Daten so lange, wie sie benötigt werden, um die Produkte der Beklagten bereitzustellen, rechtliche Verpflichtungen zu erfüllen oder bestimmte Interessen zu schützen. Dies wird am Beispiel einer Suche auf … erläutert: Der Suchverlauf wird dabei gespeichert, bis der Nutzer ihn löscht, nur die Informationen zum verwendeten Gerät oder einem Standort werden nach sechs Monaten gelöscht. Es ist damit – auch in zeitlicher Hinsicht – von einem erheblichen Kontrollverlust auszugehen.
− Der Senat hat weiter berücksichtigt, welchen Zwecken die Verarbeitung der Daten dient (…), wobei er sich insoweit auf die Datenschutzrichtlinie der Beklagten stützt.
− Eine Überzeugung dahingehend, dass die Klägerin die Möglichkeit hätte, die Kontrolle über ihre Daten selbständig zurückzuerlangen, hat sich der Senat schon deshalb nicht bilden können, weil die Beklagte die bei ihr vorhandenen Daten nicht benannt hat. Der pauschale Hinweis auf die Möglichkeit, bestimmte Einstellungen vorzunehmen oder Aktivitäten zu trennen (vgl. Anlage B7) führt deshalb nicht weiter.
− Bei der Schätzung des Schadens hat der Senat den Grad des Verschuldens ebenso wenig berücksichtigt wie die Tatsache, dass der Klägerin ein Unterlassungsanspruch zugesprochen wurde (…)"