Meta Business Tools datenschutzwidrig: 3.000 € DSGVO-Schadensersatz

Viele Nutzer gehen davon aus, dass ihre Daten vor allem dann bei Facebook oder Instagram verarbeitet werden, wenn sie diese Netzwerke aktiv nutzen. Genau diese Vorstellung greift jedoch oft zu kurz. Denn die eigentliche datenschutzrechtliche Brisanz beginnt häufig dort, wo der Nutzer die Plattformen längst verlassen hat. Auf zahllosen Webseiten und in vielen Apps sind technische Werkzeuge eingebunden, die Nutzungsdaten im Hintergrund an Meta übermitteln können. Für Betroffene bleibt dies oft unsichtbar. Für den Datenschutz kann es erhebliche Folgen haben.

Mit Urteil vom 02.03.2026 (Az. 3 U 31/25) hat das Thüringer Oberlandesgericht Jena die Meta Platforms Ireland Ltd. wegen Datenschutzverstößen im Zusammenhang mit den sogenannten „Meta Business Tools“ verurteilt, an den Kläger 3.000 Euro immateriellen Schadensersatz zu zahlen. Außerdem wurde die Beklagte verurteilt, Auskunft über die seit dem 25.05.2018 verarbeiteten und mit dem Instagram-Account des Klägers verknüpften personenbezogenen Daten zu erteilen und die auf einer Übermittlung durch „Meta Business Tools“ beruhenden, seit dem 25.05.2018 gespeicherten personenbezogenen Daten zu löschen. Im Übrigen wurde die Klage abgewiesen. Das Urteil ist noch nicht rechtskräftig; die Revision der Beklagten zum Bundesgerichtshof wurde zugelassen.

Die Entscheidung ist in mehrfacher Hinsicht relevant. Sie betrifft nicht nur einen Einzelfall oder einen isolierten technischen Fehler. Vielmehr rückt sie ein datengetriebenes System in den Fokus, das nach Auffassung des Gerichts auf eine weitreichende Nachverfolgung des Nutzerverhaltens angelegt ist und dabei mit zentralen Grundprinzipien des europäischen Datenschutzrechts kollidieren kann.

Was sind „Meta Business Tools“?

Unter „Meta Business Tools“ werden technische Werkzeuge zusammengefasst, die Betreiber von Webseiten und Apps einsetzen können, um Nutzungsverhalten zu messen, Werbekampagnen zu optimieren und Conversion-Daten an Meta zu übermitteln. Dazu gehören insbesondere Tracking- und Analysetools, die das Verhalten von Besuchern außerhalb der Plattformen erfassen und mit Meta-Systemen verknüpfen können.

In der Praxis geht es häufig um folgende Instrumente:

• Meta Pixel

• Conversions API

• App-Events und vergleichbare Tracking-Schnittstellen

• Serverseitige Datenübermittlungen an Meta

Für Unternehmen können diese Tools wirtschaftlich attraktiv sein. Sie versprechen bessere Werbeaussteuerung, präzisere Erfolgsmessung und eine effektivere Zielgruppenansprache. Aus datenschutzrechtlicher Sicht beginnt hier jedoch das Problem. Denn je umfassender Nutzungsverhalten auf fremden Webseiten und in Apps erfasst, gespeichert und ausgewertet wird, desto näher rückt die Verarbeitung an die Grenzen des Zulässigen.

Worum ging es in der Entscheidung des OLG Jena?

Nach den Feststellungen des OLG Jena ermöglichen die von Meta verbreiteten Business Tools eine weitreichende Nachverfolgung der Internetnutzung von Mitgliedern seiner sozialen Netzwerke. Erfasst werden können dabei nicht nur allgemeine Surfbewegungen, sondern auch Informationen, die tief in die private Lebensführung hineinreichen.

Das Gericht hebt besonders hervor, dass dabei unter Umständen auch sensible personenbezogene Daten anfallen. Beispielhaft nennt der Senat Konstellationen, in denen Nutzer zu psychischen Störungen recherchieren, auf Arztportalen nach therapeutischer Hilfe suchen oder in einer Online-Apotheke Medikamente bestellen. Schon diese Beispiele zeigen, dass es nicht um belanglose Werbedaten geht, sondern um Informationen mit erheblicher Nähe zu Gesundheit, Lebenskrisen und persönlicher Intimsphäre.

Besonders gewichtig ist zudem die Feststellung des Gerichts, dass die Erfassung und Speicherung solcher Daten bei Mitgliedern der sozialen Netzwerke von Meta grundsätzlich auch dann stattfinden kann, wenn sie nicht in das soziale Netzwerk eingeloggt sind und keine wirksame Einwilligung in die Datenübermittlung erteilt haben.

Warum hält das OLG Jena die Datenverarbeitung für rechtswidrig?

Der Senat kommt zu dem Ergebnis, dass die beanstandete Datenverarbeitung durch Meta nicht gerechtfertigt sei. Das Gericht bewertet das System als anlasslose Datensammlung, die wesentlichen Grundprinzipien des europäischen Datenschutzrechts widerspreche. Im Mittelpunkt stehen dabei insbesondere:

• Transparenz

• Zweckbindung

• Datenminimierung

Diese Einordnung ist juristisch sehr bedeutsam. Das Gericht beanstandet nicht lediglich eine unklare Formulierung in einer Datenschutzerklärung oder einen bloßen Randfehler bei der Gestaltung eines Cookie-Banners. Vielmehr richtet sich die Kritik gegen das dahinterstehende Verarbeitungsmodell.

Fehlende wirksame Rechtfertigung

Jede Verarbeitung personenbezogener Daten benötigt eine tragfähige Rechtsgrundlage. Gerade bei Tracking- und Marketingmaßnahmen wird häufig versucht, die Verarbeitung auf Einwilligungen zu stützen. Das OLG Jena macht jedoch deutlich, dass jedenfalls im entschiedenen Fall keine wirksame Grundlage erkennbar war, die den Umfang der Datenverarbeitung tragen konnte.

Das ist aus Sicht der Praxis besonders relevant. Denn eine Einwilligung ist nur dann belastbar, wenn sie informiert, freiwillig, konkret und wirksam erteilt wurde. Gerade bei komplexen Tracking-Strukturen bestehen daran oft erhebliche Zweifel. Wenn Betroffene den Umfang der Datenweitergabe nicht überblicken können, wird die Einwilligung schnell angreifbar.

Verstoß gegen den Transparenzgrundsatz

Ein Kerngedanke der DSGVO ist, dass Betroffene nachvollziehen können müssen, was mit ihren Daten geschieht. Bei Meta Business Tools liegt gerade darin ein zentrales Problem. Für viele Nutzer ist nicht ohne Weiteres erkennbar, dass bereits der Besuch einer externen Webseite oder App zu einer Übermittlung von Daten an Meta führen kann.

Wer etwa ein Gesundheitsportal aufruft oder sich über psychische Beschwerden informiert, denkt in aller Regel nicht daran, dass diese Nutzung technisch miterfasst und in ein datenbasiertes Ökosystem eingespeist werden könnte. Je weniger transparent solche Prozesse ablaufen, desto schwerer wiegt der Eingriff.

Verstoß gegen den Grundsatz der Zweckbindung

Die DSGVO verlangt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Problematisch wird es dort, wo Daten aus ganz unterschiedlichen Lebensbereichen zusammengeführt und für Zwecke genutzt werden, die für den Betroffenen kaum noch überschaubar sind.

Genau dieses Risiko liegt bei plattformübergreifenden Tracking-Systemen nahe. Wer eine bestimmte Webseite besucht, möchte in erster Linie deren Inhalte nutzen oder eine konkrete Leistung in Anspruch nehmen. Dass dieser Vorgang zugleich Bestandteil einer umfassenden Profilbildung oder Werbeauswertung wird, liegt aus Sicht des Nutzers regelmäßig nicht nahe.

Verstoß gegen den Grundsatz der Datenminimierung

Besonders deutlich wird die Kritik des Gerichts mit dem Hinweis auf ein System anlassloser Datensammlung. Dieser Begriff trifft den Kern der datenschutzrechtlichen Problematik. Die DSGVO verlangt keine möglichst umfassende Datenerhebung. Sie verlangt vielmehr eine Beschränkung auf das, was für den konkreten Zweck erforderlich ist.

Wenn Datenströme aus Webseitenbesuchen, App-Nutzungen und weiteren digitalen Berührungspunkten zusammengeführt werden, entsteht schnell eine Struktur, die nicht auf Zurückhaltung, sondern auf Breite und Tiefe angelegt ist. Genau das steht in Spannung zum Grundsatz der Datenminimierung.

Besonders brisant: Gesundheitsbezug und sensible Daten

Die Entscheidung des OLG Jena gewinnt zusätzlich an Schärfe, weil der Senat ausdrücklich auf sensible personenbezogene Daten abstellt. Gerade Informationen mit Gesundheitsbezug zählen datenschutzrechtlich zu den besonders geschützten Datenkategorien.

Wer im Internet nach therapeutischer Hilfe sucht, sich mit psychischen Belastungen auseinandersetzt oder Medikamente bestellt, offenbart damit möglicherweise Umstände, die äußerst privat sind. Schon die technische Erfassung solcher Vorgänge kann für Betroffene einen gravierenden Eingriff in ihre Privatsphäre darstellen.

Für die rechtliche Bewertung ist entscheidend, dass nicht erst eine veröffentlichte Krankengeschichte oder ein offener Missbrauch von Daten vorliegen muss. Bereits die Erhebung, Speicherung und mögliche Verknüpfung solcher sensiblen Informationen kann datenschutzrechtlich hoch problematisch sein.

Warum hat das OLG Jena gerade 3.000 Euro Schadensersatz zugesprochen?

Besonders aufschlussreich ist die Begründung für die Höhe des zugesprochenen Schadensersatzes. Das Gericht führt die Summe von 3.000 Euro darauf zurück, dass ein beträchtlicher Teil des Privatlebens des Klägers langanhaltend und weitreichend aufgezeichnet worden sei.

Damit macht der Senat deutlich, dass es nicht um eine bloße Förmelei oder eine theoretische Datenschutzverletzung geht. Maßgeblich ist vielmehr die Intensität des Eingriffs. Je länger, umfassender und persönlicher die aufgezeichneten Lebensvorgänge sind, desto eher kann ein relevanter immaterieller Schaden vorliegen.

Immaterieller Schaden nach Art. 82 DSGVO

Der Schadensersatzanspruch nach Art. 82 DSGVO ist in der Praxis seit Jahren umkämpft. Dabei geht es vor allem um die Frage, wann ein Datenschutzverstoß zu einem ausgleichspflichtigen immateriellen Schaden führt.

Aus der aktuellen Rechtsprechung ergibt sich im Kern:

• Ein bloßer DSGVO-Verstoß reicht für sich genommen nicht automatisch aus

• Es bedarf grundsätzlich eines konkreten Schadens und eines Zusammenhangs zwischen Verstoß und Beeinträchtigung

• Der Schaden muss jedoch nicht erst eine besondere Erheblichkeitsschwelle überschreiten

• Auch ein Kontrollverlust über personenbezogene Daten kann einen ersatzfähigen immateriellen Schaden begründen

Die Entscheidung des OLG Jena fügt sich in diese Linie ein. Der Senat sieht den Schaden nicht in einem abstrakten Ärgernis, sondern in der weitreichenden und fortdauernden Erfassung persönlicher Lebensvorgänge. Damit wird der Verlust der Kontrolle über die eigene digitale Privatsphäre zum zentralen Anknüpfungspunkt.

Warum sind Auskunft und Löschung für Betroffene besonders wichtig?

Neben dem Schadensersatz wurde Meta Platforms Ireland Ltd. verurteilt, Auskunft über die seit dem 25.05.2018 verarbeiteten und mit dem Instagram-Account des Klägers verknüpften personenbezogenen Daten zu erteilen und sämtliche seit dem 25.05.2018 aufgrund einer Übermittlung durch „Meta Business Tools“ gespeicherten personenbezogenen Daten des Klägers zu löschen.

Auskunft schafft Transparenz

Ohne Auskunft bleibt für Betroffene oft im Dunkeln, welche Daten überhaupt erhoben und gespeichert wurden. Gerade bei komplexen Tracking-Systemen ist das Ausmaß der Verarbeitung von außen kaum erkennbar.

Der Auskunftsanspruch kann dazu dienen,

• die verarbeiteten Daten überhaupt sichtbar zu machen

• den Umfang des Eingriffs besser zu verstehen

• weitere Ansprüche sachgerecht vorzubereiten

• die Rechtmäßigkeit der Verarbeitung konkreter zu überprüfen

Löschung beendet den fortdauernden Eingriff

Der Schadensersatz blickt vor allem in die Vergangenheit. Die Löschung wirkt dagegen in die Zukunft. Solange unrechtmäßig erhobene Daten gespeichert bleiben, dauert die Beeinträchtigung häufig an. Gerade bei datengetriebenen Geschäftsmodellen kann dies von erheblicher praktischer Bedeutung sein.

Die Löschung ist daher kein bloßer Annex. Sie ist oft der entscheidende Schritt, um die fortgesetzte Nutzung oder Vorhaltung problematischer Daten zu beenden.

Was bedeutet das Urteil für Webseiten- und App-Betreiber?

Auch wenn sich das Urteil unmittelbar gegen Meta richtet, sollten Betreiber von Webseiten und Apps diese Entscheidung sehr ernst nehmen. Denn die technischen Datenflüsse entstehen häufig erst dadurch, dass Business Tools auf Drittseiten eingebunden werden.

Tracking ist kein bloßer Marketing-Nebenaspekt

In vielen Unternehmen wird der Einsatz solcher Tools eher aus Marketing-Sicht betrachtet. Im Vordergrund stehen dann Fragen wie Conversion-Messung, Retargeting oder Kampagnenoptimierung. Datenschutzrechtlich ist das zu kurz gedacht. Wer entsprechende Technologien integriert, kann zugleich eine datenschutzrechtlich hoch riskante Datenübermittlung in Gang setzen.

Gerade dann, wenn Nutzerverhalten detailliert erfasst und an große Plattformanbieter weitergeleitet wird, sind erhebliche Pflichten zu beachten. Dazu gehören nicht nur technische Einstellungen, sondern auch Fragen der Einwilligung, der Informationspflichten, der internen Dokumentation und der konkreten Reichweite der Datenverarbeitung.

Besonders sensible Risikobereiche

Die Risiken steigen deutlich, wenn Webseiten oder Apps Inhalte mit besonderer Nähe zur Privatsphäre betreffen. Kritisch sind vor allem Angebote aus folgenden Bereichen:

• Gesundheitsportale

• Arzt- und Therapieplattformen

• Online-Apotheken

• Portale mit psychologischer Beratung

• Apps mit enger Verknüpfung zu persönlichen Lebensumständen

• Angebote, bei denen Such- oder Bestellvorgänge intime Rückschlüsse zulassen

Gerade in solchen Bereichen kann bereits die technische Übermittlung einzelner Events datenschutzrechtlich gravierende Folgen haben.

Was Unternehmen jetzt prüfen sollten

Unternehmen, die Meta Business Tools oder vergleichbare Tracking-Lösungen nutzen, sollten die eigene technische und rechtliche Einbindung sorgfältig überprüfen. Dabei drängen sich insbesondere folgende Punkte auf:

• Welche Tools sind tatsächlich eingebunden?

• Welche Daten werden konkret erfasst und übertragen?

• Wann beginnt die Übermittlung technisch?

• Liegt vor der Aktivierung eine wirksame Einwilligung vor?

• Sind die Datenschutzhinweise inhaltlich vollständig und verständlich?

• Werden möglicherweise sensible Daten erfasst oder mittelbar offengelegt?

• Ist die Einbindung in dieser Form wirklich erforderlich?

• Bestehen datensparsamere Alternativen?

Gerade die Praxis zeigt, dass die tatsächlichen Datenflüsse oft weiter gehen als intern angenommen. Nicht selten laufen Tracking-Prozesse bereits an, bevor eine wirksame Zustimmung vorliegt. Ebenso häufig werden Konfigurationen verwendet, deren Reichweite auf Unternehmensseite nie vollständig geprüft wurde.

Welche Bedeutung hat das Urteil für Betroffene?

Für Betroffene ist die Entscheidung des OLG Jena ein wichtiges Signal. Sie zeigt, dass tiefgreifende Eingriffe in die digitale Privatsphäre im Einzelfall zu Schadensersatz-, Auskunfts- und Löschungsansprüchen führen können, wenn personenbezogene Daten über „Meta Business Tools“ rechtswidrig verarbeitet und mit einem Nutzeraccount verknüpft werden. Wenn über längere Zeit ein relevanter Teil des persönlichen Internetverhaltens erfasst und gespeichert wird, kann dies zu echten Ansprüchen führen.

Je nach Fall können insbesondere folgende Rechte in Betracht kommen:

• Schadensersatz nach Art. 82 DSGVO

• Auskunft über die verarbeiteten personenbezogenen Daten

• Löschung unrechtmäßig gespeicherter Informationen

• weitere datenschutzrechtliche Abwehransprüche

Welche Ansprüche im Einzelfall bestehen, hängt stets von den konkreten Umständen ab. Maßgeblich sind insbesondere Art, Umfang, Dauer und Sensibilität der verarbeiteten Daten sowie die Frage, ob und in welchem Umfang eine rechtliche Grundlage bestand.

Wie ist die Entscheidung rechtlich einzuordnen?

Das Urteil des OLG Jena ist kein belangloser Ausreißer. Vielmehr deutet sich an, dass Obergerichte die Datenverarbeitung durch Meta Business Tools zunehmend kritisch bewerten. Auffällig ist vor allem, dass Gerichte die immaterielle Beeinträchtigung nicht mehr nur abstrakt diskutieren, sondern den Kontrollverlust über persönliche Daten und die Gefahr umfassender Überwachung deutlich ernster nehmen.

Gerade die Entscheidung aus Jena sticht heraus, weil sie mehrere Punkte in besonderer Deutlichkeit zusammenführt:

• weitreichende Nachverfolgung des Nutzerverhaltens

• mögliche Erfassung sensibler Daten

• Verarbeitung auch ohne Login

• fehlende wirksame Einwilligung

• anlasslose Datensammlung

• spürbarer Schadensersatz in Höhe von 3.000 Euro

• zusätzliche Verurteilung zu Auskunft und Löschung

Diese Kombination macht die Entscheidung für die Praxis besonders relevant.

Was lässt sich aus dem Urteil nicht vorschnell ableiten?

So bedeutsam das Urteil auch ist, es sollte nicht überdehnt werden. Mehrere Punkte verdienen Zurückhaltung:

• Das Urteil ist noch nicht rechtskräftig

• Die Revision zum Bundesgerichtshof wurde zugelassen

• Nicht jeder Einsatz von Tracking-Technologie führt automatisch zu einem Anspruch auf 3.000 Euro Schadensersatz

• Die Höhe eines etwaigen Anspruchs hängt stets von den Umständen des Einzelfalls ab

• Entscheidend bleiben insbesondere Datenart, Intensität, Dauer und Reichweite des Eingriffs

Gerade bei der juristischen Einordnung ist deshalb Präzision wichtiger als Zuspitzung. Das Urteil ist stark, aber es rechtfertigt keine undifferenzierten Pauschalaussagen.

Warum das Urteil des OLG Jena für die Datenschutzpraxis so brisant ist

Die eigentliche Sprengkraft der Entscheidung liegt darin, dass das Gericht nicht nur einen einzelnen Verstoß beanstandet, sondern ein strukturelles Modell kritisiert. Wenn ein System darauf angelegt ist, möglichst viele digitale Verhaltensspuren zu erfassen und auszuwerten, gerät es schnell in Konflikt mit den Grundgedanken der DSGVO.

Genau darin liegt die Signalwirkung des Urteils. Die Entscheidung macht deutlich, dass Gerichte bei datenintensiven Tracking-Modellen genauer hinsehen. Sie nimmt zugleich den Gedanken ernst, dass digitale Überwachung nicht erst dann problematisch wird, wenn Daten veröffentlicht oder verkauft werden. Bereits die verdeckte und umfassende Erfassung persönlicher Lebensvorgänge kann eine schwere Beeinträchtigung darstellen.

Fazit

Das Urteil des OLG Jena vom 02.03.2026 ist für das Datenschutzrecht und für die digitale Praxis von erheblicher Bedeutung. Der Senat bewertet die Datenerhebung durch die „Meta Business Tools“ in der beanstandeten Konstellation als nicht gerechtfertigt und sieht darin ein System anlassloser Datensammlung, das fundamentalen Prinzipien der DSGVO widersprechen kann.

Besonders schwer wiegt, dass nach den Feststellungen des Gerichts auch sensible personenbezogene Daten betroffen sein können, dass die Verarbeitung auch ohne Login möglich ist und dass dadurch ein beträchtlicher Teil des Privatlebens über längere Zeit aufgezeichnet werden kann. Vor diesem Hintergrund erscheint der zugesprochene Schadensersatz von 3.000 Euro nicht als bloße Symbolsumme, sondern als Ausdruck einer ernsthaften datenschutzrechtlichen Bewertung.

Für Unternehmen ist das Urteil ein deutlicher Anlass, den Einsatz von Tracking- und Marketingtools kritisch zu überprüfen. Für Betroffene zeigt die Entscheidung, dass Schadensersatz, Auskunft und Löschung bei tiefgreifenden Datenschutzverstößen reale und durchsetzbare Ansprüche sein können.