Meta-Tracking auf fremden Websites: 5.000 Euro Schadensersatz

Viele Unternehmen setzen Tracking-Technologien ein, ohne die rechtliche Tragweite im Alltag wirklich zu erfassen. Für Nutzer bleibt oft unsichtbar, was im Hintergrund geschieht, sobald sie eine Nachrichtenseite, ein Reiseportal, eine Gesundheitsseite oder eine App öffnen. Genau an diesem Punkt setzt eine Entscheidung des Landgerichts Lübeck an, die erhebliche Aufmerksamkeit verdient.

Mit Urteil vom 27.11.2025, Az. 15 O 15/24, hat das LG Lübeck Meta zur Unterlassung bestimmter Datenverarbeitungen über sogenannte Meta Business Tools auf Drittseiten und in Dritt-Apps verurteilt und dem klagenden Nutzer 5.000 Euro immateriellen Schadensersatz zugesprochen. Das Gericht bewertet den Eingriff nicht als bloße technische Randfrage, sondern als schwere Verletzung des Rechts auf informationelle Selbstbestimmung.

Für die Praxis ist das brisant. Die Entscheidung betrifft nicht nur Meta selbst. Sie zeigt zugleich, wie riskant der Einsatz von Tracking- und Marketing-Tools auf fremden Webseiten sein kann, wenn die datenschutzrechtliche Grundlage nicht sauber steht. Wer Pixel, SDKs, APIs oder vergleichbare Werbe- und Analysetechnologien einsetzt, sollte dieses Urteil sehr ernst nehmen.

Warum dieses Urteil so viel Sprengkraft hat

Das Besondere an der Lübecker Entscheidung liegt nicht allein in der Höhe des zugesprochenen Betrags. Wirklich bedeutsam ist die rechtliche Wertung dahinter. Das Gericht stellt deutlich heraus, dass es hier um weit mehr geht als um einzelne technische Kennungen oder anonyme Messwerte. Im Fokus stand vielmehr die Frage, ob Meta personenbezogene Daten eines Instagram-Nutzers über Webseiten und Apps Dritter erfassen, an eigene Server weiterleiten, dort speichern und weiterverwenden durfte.

Gerade diese Konstellation ist aus Nutzersicht besonders sensibel. Der Betroffene bewegt sich nicht auf der Plattform von Meta selbst, sondern auf fremden Angeboten. Trotzdem können im Hintergrund Informationen an Meta fließen. Das Gericht sieht darin einen besonders intensiven Eingriff, weil auf diese Weise das höchstpersönliche Internetnutzungsverhalten betroffen sein kann.

Hinzu kommt: Das Urteil macht deutlich, dass sich ein globaler Plattformbetreiber nicht ohne Weiteres hinter Einbindungen durch Dritte oder hinter unklaren Vertragskonstruktionen verstecken kann. Wer die technischen Mittel vorgibt und die Datenverarbeitung prägt, kann datenschutzrechtlich selbst verantwortlich sein.

Worum ging es in dem Verfahren?

Der Ausgangspunkt: Tracking außerhalb der Meta-Plattformen

Geklagt hatte ein Nutzer von Instagram. Streitgegenstand war die Verarbeitung personenbezogener Daten über sogenannte Meta Business Tools auf Webseiten und Apps außerhalb der Netzwerke von Meta. Dazu zählen nach den gerichtlichen Feststellungen insbesondere Werkzeuge wie:

• Meta Pixel

• App Events über das Facebook-SDK

• Conversions API

• App Events API

Solche Tools werden von zahlreichen Drittunternehmen eingebunden, um Nutzerverhalten zu messen, Zielgruppen zu bilden, Werbekampagnen auszuwerten oder Conversions zuzuordnen. Aus Marketingsicht sind diese Werkzeuge seit Jahren attraktiv. Aus datenschutzrechtlicher Sicht sind sie jedoch nur dann vertretbar, wenn eine tragfähige Rechtsgrundlage besteht und die Datenverarbeitung transparent, zweckgebunden und auf das erforderliche Maß beschränkt erfolgt.

Welche Daten waren betroffen?

Das LG Lübeck hat den Gegenstand des Unterlassungsausspruchs sehr detailliert beschrieben. Der Unterlassungstenor ist sehr detailliert. Erfasst sind zum einen auf Dritt-Webseiten und Dritt-Apps entstehende personenbezogene Daten wie E-Mail-Adresse, Telefonnummer, Vorname, Nachname, Geburtsdatum, Geschlecht, Ort, externe IDs anderer Werbetreibender, IP-Adresse, User-Agent, interne Klick- und Browser-IDs, Abonnement-ID, Lead-ID, anon_id und die Android-Advertising-ID.
Hinzu kommen bei Webseiten insbesondere die URL der besuchten Seite samt Unterseiten, der Zeitpunkt des Besuchs, der Referrer, angeklickte Buttons und weitere von Meta als „Events“ bezeichnete Interaktionsdaten.
Bei mobilen Dritt-Apps nennt der Tenor gesondert den Namen der App, den Zeitpunkt des Besuchs, angeklickte Buttons und weitere „Events“-Daten. Bereits der tenorierte Datenkatalog zeigt die Reichweite des vom Gericht beanstandeten Systems. Die Entscheidung macht deutlich, dass aus der Kombination solcher Datenpunkte ein sehr genaues Bild von Interessen, Surfverhalten und unter Umständen auch sensiblen Lebensbereichen entstehen kann.

Warum die Entscheidung auch inhaltlich brisant ist

Das Landgericht verweist darauf, dass die betroffenen Drittseiten und Dritt-Apps gerade auch Bereiche mit erhöhter Sensibilität betreffen können. Genannt werden etwa Nachrichtenangebote, Reiseportale, Gesundheitsseiten, Dating-Angebote oder Webseiten mit Bezug zur Intimsphäre. Damit wird deutlich: Je nach besuchter Seite kann die Datenerhebung Rückschlüsse erlauben, die weit über gewöhnliche Nutzungsstatistiken hinausgehen.

Wer etwa medizinische Informationen recherchiert, bestimmte Beziehungs- oder Sexualitätsangebote nutzt oder sich mit besonders persönlichen Themen beschäftigt, offenbart unter Umständen Lebenssachverhalte, die datenschutzrechtlich besonders schutzwürdig sind. Genau deshalb misst das Gericht dem Eingriff ein erhebliches Gewicht bei.

Die Entscheidung des LG Lübeck im Überblick

Im Ergebnis hat das Gericht der Klage nur teilweise, aber in zentralen Punkten stattgegeben.

Meta wurde dazu verurteilt, bestimmte personenbezogene Daten des Klägers auf Drittseiten und in Dritt-Apps mit Hilfe der Meta Business Tools nicht weiter zu erfassen, weiterzuleiten, zu speichern und zu verwenden.

Außerdem sprach das Gericht dem Kläger 5.000 Euro immateriellen Schadensersatz zu.

Nicht durchgedrungen ist der Kläger dagegen mit allen weitergehenden Anträgen. Das Urteil zeigt deshalb zweierlei zugleich:

• Das Gericht hält die beanstandete Datenverarbeitung für rechtswidrig und schadensersatzrelevant

• Es prüft die einzelnen Ansprüche sehr genau und spricht nicht automatisch alles zu, was beantragt wird

Gerade das macht die Entscheidung juristisch interessant. Es handelt sich nicht um ein pauschales Signalurteil ohne Differenzierung, sondern um eine recht ausführlich begründete Einzelfallentscheidung mit klaren dogmatischen Linien.

Vertiefte Einordnung der Entscheidungsgründe

Meta ist nicht bloß Zuschauer, sondern datenschutzrechtlich verantwortlich

Ein zentraler Punkt der Entscheidung betrifft die datenschutzrechtliche Verantwortlichkeit. Meta hatte sich nicht mit Erfolg darauf zurückziehen können, dass die Einbindung der Tools auf Drittseiten durch andere Unternehmen erfolgt. Das LG Lübeck behandelt Meta als datenschutzrechtlich verantwortliche Stelle. Maßgeblich ist nach der Entscheidung, dass Meta die Business Tools konzipiert hat und die Verarbeitung der personenbezogenen Daten jedenfalls auch in ihrem Verantwortungsbereich stattfindet.

Damit folgt das Gericht einer datenschutzrechtlich weitreichenden Sichtweise. Wer ein Tool konzipiert, technisch bereitstellt und dessen Nutzung zu Werbe- und Analysezwecken strukturell prägt, kann verantwortlich sein, auch wenn die konkrete Einbindung auf einer fremden Website stattfindet.

Für die Praxis ist das wichtig, weil es die oft gehörte Verteidigung entkräftet, man sei nur Plattformbetreiber oder nur technischer Dienstleister. Die Verantwortung kann dort beginnen, wo die tatsächliche Prägung der Datenverarbeitung stattfindet.

Keine tragfähige Rechtsgrundlage nach Art. 6 DSGVO

Das Gericht hat keinen Rechtfertigungsgrund für die streitgegenständliche Datenverarbeitung gesehen. Besonders deutlich fällt die Argumentation bei der Einwilligung aus.

Das LG Lübeck stellt heraus, dass eine wirksame Einwilligung des Klägers nicht festgestellt werden konnte. Die Darlegungslast dafür, dass eine wirksame Einwilligung vorliegt, trifft dabei den Verantwortlichen. Genau daran scheiterte Meta im Verfahren.

Besonders bemerkenswert ist, dass das Gericht auch die von Meta angeführten Einstellungen nicht ausreichen ließ. Nach der gerichtlichen Würdigung betreffen solche Optionen allenfalls die Nutzung der Daten für personalisierte Werbung, nicht jedoch die vorgelagerte Grundfrage, ob die Daten überhaupt in den Systemen von Meta gespeichert und verarbeitet werden dürfen.

Mit anderen Worten: Wer nur Auswahlmöglichkeiten zur Werbepersonalisierung anbietet, hat damit noch keine wirksame Einwilligung in die vorgelagerte Datenerhebung und Speicherung bewiesen.

Das ist ein Punkt, den viele Unternehmen unterschätzen. Datenschutzrechtlich genügt es nicht, einzelne Komfort- oder Werbeeinstellungen anzubieten, wenn die eigentliche Datenverarbeitung bereits im Hintergrund angelaufen ist.

Auch sonstige Rechtfertigungen halfen nicht weiter

Meta berief sich nach den Feststellungen des Gerichts auch auf Sicherheits- und Integritätszwecke. Das genügte dem LG Lübeck jedoch nicht. Der Vortrag wurde als unklar und nicht ausreichend substantiiert bewertet.

Das zeigt ein bekanntes Problem vieler Tracking-Verfahren: Unternehmen verweisen häufig abstrakt auf Sicherheit, Missbrauchsvermeidung oder Systemintegrität. Solche Begriffe können rechtlich relevant sein. Sie ersetzen aber keine konkrete Darlegung dazu,

• welche Daten erhoben werden

• zu welchem genauen Zweck dies geschieht

• warum die Verarbeitung erforderlich sein soll

• und weshalb mildere Mittel nicht ausreichen würden

Gerichte akzeptieren pauschale Schlagworte an dieser Stelle zunehmend nicht mehr. Wer sich auf berechtigte Interessen oder vergleichbare Rechtfertigungen berufen will, muss die konkrete Verarbeitung nachvollziehbar erklären.

Unterlassung aus nationalem Recht statt unmittelbar aus Art. 17 oder Art. 18 DSGVO

Juristisch besonders interessant ist die Herleitung des Unterlassungsanspruchs. Das Gericht verneint einen unmittelbaren Unterlassungsanspruch aus Art. 17 und Art. 18 DSGVO. Stattdessen leitet es den Unterlassungsanspruch aus nationalem Recht her, nämlich aus § 1004 Abs. 1 Satz 2 BGB analog in Verbindung mit § 823 Abs. 1 BGB und Art. 2 Abs. 1 GG.

Für die Praxis ist das bedeutsam, weil es zeigt, dass Betroffene nicht auf die in der DSGVO ausdrücklich geregelten Ansprüche beschränkt sein müssen. Jedenfalls im Ausgangspunkt kann daneben nationaler zivilrechtlicher Rechtsschutz in Betracht kommen, wenn es um die Abwehr künftiger Eingriffe geht.

Das Urteil ist damit auch dogmatisch interessant: Die DSGVO ist nicht in jeder Hinsicht als abschließendes System verstanden worden. Jedenfalls beim Unterlassungsanspruch sieht das LG Lübeck Raum für ergänzenden Rückgriff auf deutsches Zivilrecht.

Der zugesprochene Schaden: Kontrollverlust als immaterieller Schaden

Der wohl wichtigste Teil der Entscheidung betrifft den Schadensersatz nach Art. 82 DSGVO.

Das Gericht stellt klar, dass ein immaterieller Schaden nicht zwingend an einem klassischen seelischen Ausnahmezustand oder einem schwer beweisbaren psychischen Leid festgemacht werden muss. Entscheidend ist hier der Kontrollverlust über personenbezogene Daten und die damit verbundene Verletzung des Rechts auf informationelle Selbstbestimmung.

Gerade darin liegt die Signalwirkung des Urteils. Die Kammer hat den immateriellen Schaden nicht auf bloße allgemeine Sorgen gestützt, sondern darauf, dass der Kläger jedenfalls teilweise individuell betroffen war und ihm jedenfalls hinsichtlich der technischen Standarddaten ein Kontrollverlust über personenbezogene Daten entstanden ist. Diesen Kontrollverlust hat das Gericht als ersatzfähigen immateriellen Schaden bewertet.

Das passt zu einer Linie, die in der jüngeren Rechtsprechung immer stärker sichtbar wird. Die DSGVO schützt nicht nur vor messbaren Vermögensschäden. Sie schützt auch die Freiheit des Einzelnen, selbst über die Offenbarung und Verwendung persönlicher Daten zu bestimmen.

Warum gerade 5.000 Euro?

Das Gericht hat die Höhe des Schadensersatzes nicht beliebig festgesetzt, sondern an mehreren Kriterien ausgerichtet. Aus Sicht der Kammer war entscheidend, dass es sich um eine schwere Verletzung des Rechts auf informationelle Selbstbestimmung handelt.

Besonders ins Gewicht fiel dabei,

• dass das gesamte, höchstpersönliche Internetnutzungsverhalten betroffen sein kann

• dass es sich nicht nur um eine punktuelle oder kurzfristige Maßnahme handelt

• dass das Gericht vielmehr von einem mehrjährigen Dauerverstoß ausging

• und dass die betroffenen Daten einen erheblichen wirtschaftlichen Wert haben können

Diese Argumentation ist für künftige Verfahren relevant. Denn sie macht deutlich, dass die Höhe des immateriellen Schadensersatzes stark von der Intensität des Eingriffs abhängt. Je umfassender, intransparenter und langfristiger die Datenerfassung ist, desto eher kommen spürbare Beträge in Betracht.

Das Urteil ist deshalb ein weiteres Indiz dafür, dass Gerichte bei verdecktem oder schwer kontrollierbarem Tracking nicht mehr reflexhaft nur symbolische Beträge zusprechen.

Kein doppelter Weg über § 823 BGB für denselben DSGVO-Verstoß

Das LG Lübeck hat dem Kläger den Schadensersatz aus Art. 82 DSGVO zugesprochen, einen zusätzlichen Anspruch aus § 823 Abs. 1 BGB in Verbindung mit dem allgemeinen Persönlichkeitsrecht aber nicht gewährt.

Die Begründung ist dogmatisch nachvollziehbar: Soweit der Schaden gerade auf einem DSGVO-Verstoß beruht, soll Art. 82 DSGVO nach der Sicht der Kammer den maßgeblichen Anspruch bilden. Das verhindert eine unnötige Verdopplung der Anspruchsgrundlagen und sorgt für eine gewisse Systemklarheit.

Für Betroffene bedeutet das nicht, dass nationales Recht bedeutungslos wäre. Im Bereich des Unterlassungsanspruchs kann es weiterhin eine wichtige Rolle spielen. Für den immateriellen Schadensersatz wegen eines Datenschutzverstoßes wird jedoch regelmäßig Art. 82 DSGVO im Vordergrund stehen.

Was das Urteil für Betroffene bedeutet

Für Nutzer von Facebook, Instagram und anderen Meta-Diensten ist die Entscheidung in mehrfacher Hinsicht bemerkenswert.

Zunächst zeigt sie, dass datenschutzrechtlich relevante Eingriffe nicht nur innerhalb sozialer Netzwerke stattfinden. Ein großer Teil der eigentlichen Datenspur entsteht auf Seiten Dritter, also dort, wo Nutzer häufig gar nicht damit rechnen, dass Meta im Hintergrund mitliest.

Außerdem stärkt das Urteil die Position von Betroffenen, die sich gegen solche Verarbeitungen wehren wollen. Das Gericht erkennt ausdrücklich an, dass bereits der Verlust der Kontrolle über das eigene Datenprofil rechtlich erheblich sein kann.

Für Betroffene können sich daraus je nach Einzelfall insbesondere folgende Ansatzpunkte ergeben:

• Unterlassungsansprüche, wenn eine fortlaufende rechtswidrige Datenverarbeitung im Raum steht

• Auskunftsansprüche, um die konkrete Datenverarbeitung aufzuklären

• Schadensersatzansprüche nach Art. 82 DSGVO, wenn ein immaterieller Schaden vorliegt

• Prüfungsbedarf bei Einwilligungs- und Cookie-Bannern, wenn unklar bleibt, worin tatsächlich eingewilligt wurde

Gerade in Verfahren gegen große Plattformen oder Werbenetzwerke kommt es allerdings auf eine saubere Sachverhaltsaufarbeitung an. Nicht jede gefühlte Datenschutzverletzung führt automatisch zu einem Anspruch. Entscheidend sind die konkreten Datenflüsse, die Einbindung der Tools, die Nutzerstellung und die prozessuale Darlegung.

Was das Urteil für Website-Betreiber und App-Anbieter bedeutet

Für Unternehmen, die Meta Business Tools oder vergleichbare Tracking-Technologien einsetzen, ist die Entscheidung ein ernstes Warnsignal.

Wer solche Tools einbindet, bewegt sich nicht in einer bloßen Marketing-Nische, sondern in einem rechtlich hochsensiblen Bereich. Sobald personenbezogene Daten oder pseudonyme Kennungen verarbeitet und mit externen Plattformen geteilt werden, greifen die Anforderungen der DSGVO mit voller Schärfe.

Website-Betreiber und App-Anbieter sollten insbesondere prüfen,

• welche Tracking-Tools tatsächlich eingebunden sind

• welche Daten dabei konkret übertragen werden

• ob die Einwilligung wirksam, informiert und vor der Verarbeitung eingeholt wird

• ob die Datenschutzerklärung die tatsächlichen Datenflüsse zutreffend abbildet

• ob Auftragsverarbeitungs- oder Joint-Controller-Konstellationen sauber erfasst sind

• ob Datenminimierung und Zweckbindung praktisch umgesetzt werden

• ob sich der Einsatz des jeweiligen Tools überhaupt noch rechtlich verantworten lässt

Gerade bei älteren Implementierungen zeigt sich in der Beratungspraxis oft ein Problem: Tools wurden vor Jahren eingebaut, laufen technisch einfach weiter und werden intern kaum noch hinterfragt. Rechtlich ist das gefährlich. Wer den Datenfluss nicht kennt, kann weder wirksam informieren noch wirksam steuern.

Typische Fehlannahmen beim Einsatz von Meta Business Tools

Viele rechtliche Probleme entstehen nicht aus bösem Willen, sondern aus falschen Annahmen im Tagesgeschäft. Besonders verbreitet sind folgende Denkfehler:

„Die Daten sind doch anonym“

Diese Annahme ist oft zu pauschal. Schon IP-Adressen, Gerätekennungen, Browserdaten, Event-Daten oder kombinierbare IDs können personenbeziehbar sein oder jedenfalls in der Gesamtschau einen Personenbezug ermöglichen.

„Die Einwilligung steckt schon im Cookie-Banner“

Auch das ist gefährlich verkürzt. Entscheidend ist nicht, ob irgendein Banner angezeigt wird, sondern ob daraus tatsächlich eine informierte, freiwillige, eindeutige und wirksame Einwilligung für die konkrete Verarbeitung folgt.

„Meta ist allein verantwortlich“

So einfach ist es regelmäßig nicht. Wer Tools auf der eigenen Website einsetzt und damit Datenerhebungen veranlasst, wird sich häufig nicht vollständig aus der Verantwortung ziehen können.

„Es geht nur um Werbung“

Gerade darin liegt der Irrtum. Aus einzelnen Tracking-Vorgängen kann ein sehr weitreichendes Profil über Verhalten, Interessen, Routinen und sensible Themen entstehen. Datenschutzrechtlich ist das weit mehr als bloße Werbeoptimierung.

Einordnung in die aktuelle Rechtsprechungsentwicklung

Das Urteil des LG Lübeck steht nicht isoliert. In den vergangenen Monaten und Jahren ist eine deutlich strengere gerichtliche Auseinandersetzung mit Tracking, Business Tools, Drittseiten-Datenflüssen und immateriellen DSGVO-Schäden zu beobachten.

Dabei wird immer klarer:

• Der Kontrollverlust über personenbezogene Daten wird von Gerichten zunehmend ernst genommen

• Großflächiges und intransparentes Tracking kann erhebliche Schadensersatzrisiken auslösen

• Pauschale Verweise auf Sicherheit, Marketing oder Systemtechnik reichen zur Rechtfertigung regelmäßig nicht aus

• Die genaue technische und rechtliche Ausgestaltung des Einzelfalls bleibt aber entscheidend

Das Lübecker Urteil fügt sich damit in eine Entwicklung ein, in der Datenschutzrecht nicht mehr als formale Hinweispflicht verstanden wird, sondern als echtes Abwehr- und Haftungsrecht.

Warum die Entscheidung für Meta besonders unangenehm ist

Für Meta ist das Urteil nicht nur wegen der Zahlung von 5.000 Euro problematisch. Die eigentliche Brisanz liegt in der gerichtlichen Beschreibung des Systems.

Wenn ein Gericht annimmt, dass über Business Tools auf Drittseiten und in Dritt-Apps personenbezogene Daten ohne tragfähige Einwilligung erhoben, an Meta-Server weitergegeben, dort gespeichert und weiterverwendet werden, betrifft das kein Randphänomen. Es betrifft den Kern eines datengetriebenen Werbe- und Analysemodells.

Zudem legt das Urteil nahe, dass die Datenverarbeitung nicht auf einen singulären Vorfall reduziert werden kann. Das Gericht spricht ausdrücklich von einem großen, mehrjährigen Dauerverstoß. Diese Formulierung hat Gewicht, weil sie die Intensität des Eingriffs und damit auch das Haftungsrisiko unterstreicht.

Ist das Urteil schon endgültig?

Nein. Nach der öffentlich zugänglichen Information des Landgerichts Lübeck sind die Business-Tools-Urteile dieser Kammer, zu denen auch das hier besprochene Verfahren gehört, nicht rechtskräftig. Eine veröffentlichte Rechtsprechung des in der Berufung zuständigen Schleswig-Holsteinischen Oberlandesgerichts lag dazu zum maßgeblichen Zeitpunkt noch nicht vor.

Das ist wichtig für die Einordnung. Die Entscheidung ist stark und inhaltlich bemerkenswert, aber sie ist noch nicht das letzte Wort. Gleichwohl sollte man sie nicht unterschätzen. Bereits nicht rechtskräftige Urteile können in der Beratungspraxis erhebliche Wirkung entfalten, wenn sie sauber begründet sind und eine klare Linie erkennen lassen.

Was Unternehmen jetzt konkret tun sollten

Wer auf seiner Website oder in seiner App Meta Business Tools oder ähnliche Tracking-Lösungen im Einsatz hat, sollte nicht darauf warten, bis eine Abmahnung, Beschwerde oder Klage eingeht.

Sinnvoll ist vielmehr eine zeitnahe rechtliche und technische Bestandsaufnahme. Dabei sollten insbesondere folgende Punkte geprüft werden:

• Inventarisierung aller eingesetzten Tracking- und Marketing-Tools

• Prüfung der tatsächlichen Datenflüsse, nicht nur der Dokumentation auf dem Papier

• Abgleich zwischen Einwilligungsbanner, Consent-Management und tatsächlicher Ausspielung der Skripte

• Überprüfung von Datenschutzerklärung, Verträgen und internen Zuständigkeiten

• Bewertung, ob bestimmte Tools bis zur Klärung deaktiviert oder anders konfiguriert werden sollten

• Dokumentation der technischen und organisatorischen Maßnahmen

Gerade bei komplexen Web-Setups mit Agenturen, Tag-Managern, Plugins und mehreren Werbenetzwerken besteht häufig eine gefährliche Intransparenz. Wer die Einbindung nicht aktiv beherrscht, trägt im Streitfall ein erhebliches Risiko.

Was Betroffene beachten sollten

Auch auf Nutzerseite ist die Entscheidung relevant. Wer den Verdacht hat, dass über Drittseiten oder Apps personenbezogene Daten unzulässig an Meta oder andere Plattformen übermittelt wurden, sollte den Sachverhalt nicht vorschnell als unvermeidbaren Teil des Internets abhaken.

Wichtig ist vielmehr eine strukturierte Prüfung,

• ob und in welchem Umfang Tracking-Technologien eingesetzt wurden

• welche Informationen die Datenschutzhinweise und Einwilligungsbanner tatsächlich enthielten

• ob eine Auskunft verlangt werden sollte

• und welche Ansprüche im konkreten Einzelfall in Betracht kommen

Gerade bei Massenphänomenen wie Tracking über Drittseiten ist die Herausforderung oft nicht das abstrakte Recht, sondern die konkrete Aufarbeitung des tatsächlichen Datenflusses. Hier entscheidet sich regelmäßig, ob ein Anspruch nur vermutet oder auch tragfähig dargelegt werden kann.

Unser Fazit zur Entscheidung des LG Lübeck

Das Urteil des LG Lübeck vom 27.11.2025, Az. 15 O 15/24, ist eine der bemerkenswertesten neueren Entscheidungen zum Einsatz von Meta Business Tools auf fremden Webseiten und in Dritt-Apps.

Die Kammer macht deutlich,

• dass Meta für die beanstandete Datenverarbeitung datenschutzrechtlich verantwortlich sein kann

• dass es an einer tragfähigen Rechtsgrundlage, insbesondere an einer wirksamen Einwilligung, fehlen kann

• dass reiner Kontrollverlust über personenbezogene Daten einen immateriellen Schaden begründen kann

• und dass bei schwerwiegendem, langfristigem Tracking 5.000 Euro Schadensersatz keineswegs fernliegen

Für Unternehmen ist das Urteil ein deutlicher Hinweis darauf, dass Tracking nicht nur Marketingtechnik, sondern vor allem Haftungs- und Datenschutzrecht ist. Für Betroffene zeigt die Entscheidung, dass verdeckte Datenverarbeitungen über Drittseiten rechtlich nicht folgenlos bleiben müssen.

Wenn Sie Meta Business Tools oder ähnliche Tracking-Technologien einsetzen oder wenn Sie als Betroffener prüfen lassen möchten, ob Ansprüche wegen unzulässiger Datenverarbeitung bestehen, sollte der Sachverhalt frühzeitig und technisch wie rechtlich präzise aufgearbeitet werden. Gerade in diesem Bereich entscheiden Details über Erfolg oder Misserfolg.