Meta Business Tools: 750 € DSGVO-Schadensersatz

Viele Nutzer merken es nicht einmal: Ein kurzer Besuch in einem Online-Shop, ein Blick auf eine Nachrichtenseite, ein Klick in einer App und im Hintergrund können Daten an Meta fließen. Genau darum ging es in einer Entscheidung des OLG München vom 18.12.2025 (Az.: 14 U 1068/25 e). Das Gericht hielt die Datenerhebung und -nutzung mithilfe sogenannter „Meta Business Tools“ aus Dritt-Webseiten und Dritt-Apps jedenfalls dann für datenschutzrechtlich unzulässig, wenn Meta hierfür keine informierte Einwilligung oder einen sonstigen tragfähigen Rechtfertigungsgrund nach Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO darlegen kann, und sprach 750,- EUR immateriellen DSGVO-Schadensersatz zu.

Für Betroffene ist das juristisch und praktisch hochinteressant. Denn das Urteil setzt an einem Punkt an, der in der Realität oft unterschätzt wird: Kontrollverlust über die eigenen Daten, gerade bei Tracking, das außerhalb der eigentlichen Meta-Plattform stattfindet.

Worum geht es bei „Meta Business Tools“ überhaupt?

Meta stellt Unternehmen technische Werkzeuge bereit, um Nutzerverhalten zu messen, Werbung zu personalisieren und Kampagnen auszuwerten. Typische Beispiele sind das Meta Pixel oder die Conversion API. Eingebunden werden diese Tools nicht bei Meta selbst, sondern auf fremden Webseiten und in Apps.

Was die Tools technisch typischerweise machen

Beim Aufruf einer Drittseite oder Nutzung einer Dritt-App können Ereignisse („Events“) im Hintergrund ausgelöst und an Meta übermittelt werden. Je nach Implementierung kann es dabei um reine Nutzungsdaten gehen oder um Daten, die eine Zuordnung zu einer Person erleichtern.

Typische Datenkategorien, die in solchen Konstellationen eine Rolle spielen können, sind unter anderem:

• Online-Kennungen wie IP-Adresse, Geräte- oder Browserinformationen
• Interaktionsdaten wie Klicks, aufgerufene Unterseiten, Zeitpunkt des Besuchs, Referrer
• App-bezogene Daten wie App-Name, Interaktionen, Zeitpunkte
• Kontakt- und Profildaten, die direkt oder in gehashter Form übermittelt werden können, etwa E-Mail-Adresse oder Telefonnummer

Entscheidend ist nicht nur, dass Daten fließen, sondern auch wie umfassend, wie intransparent und auf welcher Rechtsgrundlage das geschieht.

Der Fall vor dem OLG München: Was war passiert?

Die Klägerin war Nutzerin eines Meta-Netzwerks und wandte sich gegen die Erhebung und Verarbeitung ihrer personenbezogenen Daten über Meta Business Tools auf Drittseiten und in Dritt-Apps. Sie machte im Kern geltend, dass Meta dadurch ihr Verhalten außerhalb der Plattform nachverfolgen könne, ohne dass sie dies zuverlässig überblicke oder wirksam steuern könne.

Das OLG München gab der Klägerin in wesentlichen Punkten Recht. Im Ergebnis erhielt sie:

• eine Feststellung, dass der Nutzungsvertrag die Erfassung, Weiterleitung an Meta, Speicherung und anschließende Verwendung der im Tenor konkret bezeichneten Datenkategorien aus Dritt-Webseiten und Dritt-Apps nicht gestattet, soweit Meta hierfür keine informierte Einwilligung oder einen sonstigen Rechtfertigungsgrund nach Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO vorweisen kann
• einen Unterlassungsausspruch für künftige Datenerhebung/-nutzung ohne tragfähige Rechtsgrundlage
• 750,- EUR Schadensersatz wegen immateriellen Schadens (Kontrollverlust)

Wichtig ist zudem: Das Gericht ließ die Revision zum Bundesgerichtshof für beide Seiten (Klägerin und Meta) zu. Das kann darauf hindeuten, dass das Urteil als grundsätzlich bedeutsam eingestuft wurde und sich die Rechtsprechung hierzu weiterentwickeln kann.

Zentrale Aussage des Urteils: Meta kann „verantwortlich“ sein – auch auf Drittseiten

In Tracking-Konstellationen wird häufig argumentiert, für Einwilligungen und Datenschutzbanner seien allein die Webseitenbetreiber zuständig. Das OLG München hat diese Sichtweise in der konkreten Konstellation nicht übernommen.

Verantwortlichkeit und „gemeinsame Verantwortlichkeit“

Das Gericht ordnete Meta als Verantwortlichen für die Datenverarbeitung ein und ging zudem davon aus, dass Meta bei Erhebung und Übermittlung gemeinsam mit dem jeweiligen Drittanbieter verantwortlich sein kann. Der Gedanke dahinter: Wer Tool und Funktionslogik maßgeblich steuert, bleibt nicht „außen vor“.

Besonders prägnant ist die technische Argumentation: Durch die Einbettung der Tools entsteht nach Auffassung des Senats eine Art „dynamische Verweisung“ auf die jeweils aktuelle Tool-Version. Damit verbleibe die Kontrolle über Programmierung und Funktionalität in relevanten Teilen bei Meta.

Warum das praktisch wichtig ist

Für Betroffene bedeutet das: Ansprüche können sich nicht nur gegen den Webseitenbetreiber richten, sondern je nach Fallgestaltung auch gegen Meta. Für Unternehmen bedeutet es umgekehrt: Wer solche Tools einsetzt, bewegt sich in einem Bereich, in dem Mitverantwortung und Abstimmungspflichten ernst zu nehmen sind.

DSGVO-Kernproblem: Fehlende tragfähige Rechtsgrundlage

Das OLG München sah die konkrete Verarbeitung nicht als hinreichend gerechtfertigt an. Im Zentrum stand Art. 6 DSGVO: Jede Verarbeitung braucht eine Rechtsgrundlage, und diese muss nicht nur behauptet, sondern nachvollziehbar und konkret sein.

Warum ein pauschaler Verweis auf Datenschutzrichtlinien nicht genügt

Das Gericht hielt es für problematisch, wenn ein Unternehmen sich auf sehr umfangreiche, abstrakte Datenschutzhinweise stützt, ohne ausreichend klar zu machen:

• welche konkreten Daten verarbeitet werden
• zu welchen konkreten Zwecken dies geschieht
• auf welche konkrete Rechtsgrundlage sich die Verarbeitung jeweils stützen soll
• wie sichergestellt wird, dass eine ggf. erforderliche Einwilligung tatsächlich wirksam vorliegt

Das Gericht stellt hier vor allem auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und die Informationspflichten (Art. 13 DSGVO) ab: Meta muss nachvollziehbar darlegen, welche Daten zu welchen Zwecken auf welcher Rechtsgrundlage verarbeitet werden; prozessual genügt ein pauschales Bestreiten nicht (sekundäre Darlegungslast). Aus Sicht des Gerichts durfte die Klägerin nicht darauf verwiesen werden, erst detailliert „nachzuweisen“, welche einzelnen Drittseiten wann betroffen waren, wenn die Funktionsweise des Systems und die generelle Datenverarbeitung als solche feststanden.

Einwilligung: freiwillig, informiert, für den konkreten Zweck und unmissverständlich

Das Urteil macht deutlich, dass eine Einwilligung nicht „irgendwie“ vorliegen darf. Sie muss – je nach Datenkategorie und Zweck – informiert und spezifisch sein. Gerade bei Tracking außerhalb der Plattform ist der Anspruch an Transparenz hoch, weil Nutzer sonst kaum verstehen, was im Hintergrund passiert.

DSGVO-Grundsätze im Fokus: Datenminimierung, Zweckbindung und Privacy by Default

Das OLG München knüpft stark an die Grundprinzipien der DSGVO an. Für Tracking-Fälle ist das besonders relevant, weil hier häufig sehr große Datenmengen und vielfältige Zwecke im Spiel sind.

Datenminimierung: „So viel wie nötig“, nicht „so viel wie möglich“

Nach Auffassung des Gerichts lag ein Verstoß gegen den Grundsatz der Datenminimierung nahe, weil Daten aus Drittseiten und Apps ungefiltert und damit potenziell sehr umfassend verarbeitet werden. Damit rückt ein typisches Risiko in den Mittelpunkt: Systeme, die breit Daten „einsammeln“, ohne sauber zu begrenzen, können schnell unverhältnismäßig wirken.

Zweckbindung: Zweck muss klar sein – und begrenzt

Wenn Zwecke sehr weit formuliert werden oder sich aus einer Vielzahl abstrakter Kategorien zusammensetzen, kann das zu Konflikten führen. Das Urteil betont, dass Verantwortliche darlegen müssen, welcher Zweck auf welche Daten Anwendung findet und warum das rechtlich trägt.

Art. 25 DSGVO: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Das Gericht verknüpft den Kontrollverlust auch mit Art. 25 DSGVO. Gerade bei Tools, die im Hintergrund arbeiten, stellt sich die Frage, ob die Voreinstellungen tatsächlich „datenschutzfreundlich“ sind oder ob Nutzer faktisch in ein System geraten, das sie kaum überblicken.

Sensible Daten: Warum Surfverhalten ein Risiko für Art. 9 DSGVO sein kann

Ein besonders praxisnaher Punkt: Im konkreten Fall hat das Gericht berücksichtigt, dass das Surfverhalten der Klägerin sensible Informationen nahelegen kann – unter anderem, weil sie nach den Feststellungen des Senats häufig gesundheitliche Symptome suchte. Dadurch können Rückschlüsse auf Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) naheliegen. Das ist rechtlich brisant, weil Art. 9 DSGVO für besondere Kategorien personenbezogener Daten deutlich strengere Anforderungen stellt.

Wichtig ist dabei weniger, ob jede einzelne Information „sicher“ sensibel ist. Schon das Risiko, dass aus Nutzungsprofilen sensible Bereiche berührt werden, kann die datenschutzrechtliche Bewertung verschärfen.

750,- EUR DSGVO-Schadensersatz: Warum das Gericht einen immateriellen Schaden bejahte

Viele Verfahren scheitern nicht an der Rechtswidrigkeit, sondern am „Schaden“. Das OLG München hat hier eine klare Linie gezogen: Der immaterielle Schaden kann im Kontrollverlust über personenbezogene Daten liegen.

Kontrollverlust als Schaden – ohne „Strafschadensersatz“

Das Gericht orientiert sich an der Leitlinie, dass Art. 82 DSGVO keine Straffunktion erfüllen soll. Es geht um Ausgleich, nicht um Bestrafung. Gleichzeitig kann ein Kontrollverlust durchaus ausgleichsbedürftig sein, wenn er spürbar ist.

Welche Faktoren das Gericht bei der Höhe berücksichtigt hat

Das OLG München schätzte den Schaden nach § 287 ZPO und begründete, warum 750,- EUR erforderlich, aber auch ausreichend sein sollen. In die Bewertung flossen unter anderem Aspekte ein wie:

• potenziell sehr große Datenmenge, weil Aktivitäten auf Drittseiten und Dritt-Apps verfolgt werden können
• mögliche Nähe zu sensiblen Daten durch Such- und Surfverhalten
• ein Empfängerkreis, der zwar nicht „die ganze Öffentlichkeit“ umfasst, aber dennoch Meta und bestimmte Dritte einschließen kann
• Dauer und Unklarheit der Speicherung, weil Betroffene nicht wissen, was konkret vorliegt und wie lange es vorgehalten wird
• fehlende realistische Möglichkeit, die Kontrolle eigenständig vollständig zurückzugewinnen, wenn die gespeicherten Daten nicht konkret benannt werden

Diese Argumentationslinie ist für Betroffene häufig hilfreich, weil sie an ein reales Gefühl anknüpft: Man weiß nicht, was gesammelt wurde, wo es liegt und wofür es genutzt wird.

Was bedeutet das Urteil für Betroffene?

Das Urteil kann Betroffenen Ansatzpunkte geben, wenn sie vermuten, dass ihr Verhalten auf Drittseiten oder in Apps über Meta-Tools erfasst wurde. Es ersetzt keine Einzelfallprüfung, zeigt aber, welche Argumentationslinien Gerichte überzeugend finden können.

Typische Anzeichen, die in der Praxis eine Rolle spielen können

• Sie erhalten Werbung, die sehr eng an kürzlich besuchte Drittseiten oder App-Inhalte anknüpft
• Sie haben den Eindruck, dass Ihr Verhalten auch außerhalb von Facebook/Instagram „wiedererkannt“ wird
• Sie stoßen in Cookie-Bannern auf Hinweise zu Meta Pixel, Conversion API oder ähnlichen Tools
• Sie nutzen Angebote, bei denen die Inhalte besonders sensibel sein können, etwa Gesundheit, Psyche, Partnerschaft oder finanzielle Engpässe

Welche Rechte Sie in solchen Fällen regelmäßig prüfen lassen können

• Auskunft, welche Daten verarbeitet werden und zu welchen Zwecken
• Löschung bzw. Einschränkung der Verarbeitung, je nach Lage
• Widerspruch gegen bestimmte Verarbeitungen, insbesondere bei Interessenabwägung
• Schadensersatz bei nachweisbarem immateriellen Schaden wie Kontrollverlust
• Unterlassung, wenn eine fortdauernde oder wiederholungsnahe Verarbeitung im Raum steht

Was bedeutet das Urteil für Webseitenbetreiber und Unternehmen?

Für Unternehmen, die Meta Business Tools einsetzen, ist das Urteil ein Warnsignal: Tracking ist nicht nur ein „Cookie-Banner-Thema“, sondern kann Haftungs- und Prozessrisiken auslösen.

Typische Compliance-Baustellen bei Meta Business Tools

• Einwilligungsmanagement, das wirklich vor der Datenübermittlung greift
• Konkrete Zweckdefinition, die zu den tatsächlich erhobenen Daten passt
• Dokumentation, welche Daten wann und wofür verarbeitet werden
• Abgrenzung von Verantwortlichkeiten und ggf. Vereinbarungen zur gemeinsamen Verantwortlichkeit
• Prüfung besonderer Datenkategorien, wenn das Umfeld typischerweise sensible Rückschlüsse zulässt

Gerade wenn Daten „ungefiltert“ übertragen werden oder die Datenflüsse nicht sauber beschrieben werden können, kann die rechtliche Position schnell unangenehm werden.

Typische Fallstricke: Warum viele Betroffene ohne Strategie scheitern

In der Praxis gehen Betroffene häufig mit dem Gefühl an die Sache heran, „Meta trackt mich“. Das kann nachvollziehbar sein, reicht prozessual aber oft nicht, wenn es nicht sauber aufbereitet wird. Gleichzeitig zeigt das Urteil, dass Gerichte nicht zwingend verlangen, dass Betroffene jeden technischen Schritt selbst beweisen, wenn die Systemlogik feststeht und die Gegenseite zentrale Punkte nicht substantiiert aufklärt.

Was häufig schiefgeht

• Betroffene formulieren Ansprüche zu pauschal, ohne den Streitgegenstand klar zu umreißen
• Es wird auf „Datenschutzverstöße“ verwiesen, ohne den konkreten Verstoßtyp zu benennen
• Auskunftsbegehren werden gestellt, ohne sie taktisch in eine Anspruchsstrategie einzubetten
• Es werden Belege gesammelt, die technisch wenig aussagekräftig sind, während naheliegende Ansatzpunkte ungenutzt bleiben

Eine stringente rechtliche und tatsächliche Aufbereitung entscheidet hier oft über Erfolg oder Misserfolg.

Wie wir Sie in Fällen rund um Meta Business Tools unterstützen können

Wenn Sie den Verdacht haben, dass Ihre Daten über Meta Business Tools auf Drittseiten oder in Apps verarbeitet wurden, kann eine strukturierte Prüfung sinnvoll sein. Häufig geht es weniger um „ein Bauchgefühl“, sondern um:

• Einordnung der konkreten Nutzungssituation und der betroffenen Datenkategorien
• Bewertung der Rechtsgrundlage, insbesondere Einwilligung und Interessenabwägung
• Anspruchsstrategie, die Auskunft, Unterlassung und Schadensersatz prozessual sinnvoll verbindet
• Kommunikation mit der Gegenseite, die erfahrungsgemäß nur bei klarer Struktur reagiert
• Risikosteuerung, damit aus einem berechtigten Anliegen kein kostenintensiver Blindflug wird

Wenn Sie möchten, prüfen wir Ihren Fall anhand der verfügbaren Anknüpfungstatsachen und ordnen ein, ob sich ein Vorgehen gegen Meta und/oder beteiligte Drittanbieter in Ihrer Situation anbieten kann.

Fazit: Tracking kann immateriellen Schaden auslösen – 750,- EUR sind ein ernstzunehmendes Signal

Das OLG München hat mit Urteil vom 18.12.2025 (Az.: 14 U 1068/25 e) deutlich gemacht, dass Tracking über Meta Business Tools auf Drittseiten und in Dritt-Apps in der konkreten Ausgestaltung datenschutzwidrig sein kann und dass ein Kontrollverlust als immaterieller Schaden zu DSGVO-Schadensersatz führen kann. Die zugesprochenen 750,- EUR zeigen, dass Gerichte den Eingriff in die digitale Privatsphäre nicht als bloße Lappalie behandeln müssen, wenn Umfang, Intransparenz und fehlende Rechtfertigung zusammenkommen.