"Meta Business Tools" sammeln zu Unrecht massenhaft Daten

Mit dem sogenannten "Meta-Pixel" trackt Meta das Verhalten von Verbrauchern auf den Websites von Werbepartnern. Das verstößt gleich gegen mehrere Grundsätze der DS-GVO, wie das OLG Hamm entschied. Einen Rechtfertigungsgrund suchte man hier vergeblich.

Die Verwendung von Meta Business Tools bzw. dem Meta-Pixel, um das Verhalten von Nutzern auf Drittwebsites zu verfolgen und mit dem jeweiligen Meta-Account zu verknüpfen, verstößt gegen das Transparenzgebot (Art. 5 Abs. 1 lit. a DS-GVO), den Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DS-GVO) und den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO). Die Erhebung ist nach einer Entscheidung des OLG Hamm auch nicht durch Rechtfertigungsgründe gedeckt, insbesondere nicht durch die Einwilligung von Betroffenen oder durch die Notwendigkeit zur Vertragserfüllung (Urteil vom 09.03.2026 – 8 U 21/25).

Die sogenannten "Meta Business Tools" erlauben es Werbetreibenden, ihre auf Meta-Plattformen geschalteten Werbeanzeigen effizienter zu gestalten. Dafür binden sie auf ihren eigenen Websites bestimmte Code-Schnipsel ein – sogenannte "Meta-Pixel" – die daraufhin umfassend Daten über ihre Kunden sammeln und als Schnittstelle für Meta fungieren. Die gesammelten Daten lassen sich dabei auf die jeweiligen Profile bei Instagram oder Facebook zurückführen. Unter anderem wird dabei ausgewertet, welche Nutzer aufgrund bestimmter Werbeanzeigen tatsächlich Käufe getätigt haben, welche Waren in den Warenkörben landen und wie häufig Käufe abgebrochen werden. Im Ergebnis kann damit der Erfolg von Werbeanzeigen gemessen und Zielgruppen präzise profiliert werden.

Diese Praxis hat das OLG Hamm in einem Berufungsverfahren nun für rechtswidrig erklärt und Meta verpflichtet, Auskunft über die personenbezogenen Daten einer Nutzerin zu erteilen, die in diesem Kontext erhoben worden waren. Dazu gehören etwa der Vor- und Nachname, jegliche Kontaktdaten, Geschlecht, Ort, IP-Adressen, Abrufzeitpunkte und diverse interne IDs, die die Verfolgung ermöglichten. Die Auskunft solle sich dabei nicht nur auf Meta-eigene Plattformen, sondern gerade auch auf die Drittanbieter erstrecken, die die Aktivitäten der Nutzerin geloggt hatten. Zudem stehe ihr ein Anspruch auf Löschung der Daten sowie ein immaterieller Schadensersatz von 1.500 Euro zu. 

Mindestens ein Auskunftsanspruch 

Dass Meta die genannten Daten mithilfe der Business Tools erhoben bzw. verarbeitet habe, habe der Konzern im Verfahren selbst nicht wirksam bestritten. Er sei lediglich der Auffassung, dass die Verarbeitung rechtmäßig sei. Bei der Funktionsweise der Meta Business Tools liege es – so das OLG – ohnehin auf der Hand, dass gewisse Daten im Sinne des Art. 4 Nr. 2 DS-GVO erhoben, erfasst und gespeichert würden. 

Die Einbettung der Meta Business-Tools auf Drittwebsites verwiesen "dynamisch" stets auf die bei Meta liegende aktuelle Version, sodass die Kontrolle über den Umfang der Erfassung und die Weiterleitung stets bei Meta liege. Meta selbst entscheide, welche Daten erhoben und übersandt würden. Das Unternehmen könne sich von diesem Zusammenhang auch nicht etwa durch vertragliche Vereinbarungen mit jenen Drittanbietern freizeichnen. 

Dreifacher DS-GVO-Verstoß

Der 8. Zivilsenat stellte fest, dass die Meta Business Tools gleich in dreierlei Hinsicht gegen Grundsätze der DS-GVO verstießen. Erstens gegen das Gebot der nachvollziehbaren bzw. transparenten Datenverarbeitung (Art. 5 Abs. 1 lit. a. DS-GVO), zweitens gegen das Gebot der Bindung an legitime Zwecke (Art. 5 Abs. 1 lit. b DS-GVO) und schließlich gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO).

Meta erhebe eine "potenziell unbegrenzte" Menge an personenbezogenen Daten, und das umfassend, das heißt "allgemein und unterschiedslos". Das habe erhebliche Auswirkungen auf Nutzerinnen und Nutzer, deren Onlineaktivitäten zum großen Teil – wenn nicht sogar fast vollständig – aufgezeichnet würden. Die Erhebung greife insoweit erheblich in die Grundrechte der Betroffenen ein, insbesondere Art. 7 und 8 der GRCh (Achtung des Privatlebens und Schutz personenbezogener Daten). 

Meta hatte sich zunächst damit verteidigt, dass die Daten gar nicht für personalisierte Werbung verwendet würden, wenn Nutzer auf den Drittwebsites ausdrücklich widersprächen. Das überzeugte den Senat allerdings nicht. Es möge sein, dass sich im Falle eines solchen Opt-Outs die Verwendung der Daten ändere, Meta erhalte sie allerdings in jedem Fall. Dass dann ggf. zwar "weniger Informationen" verarbeitet würden, ändere daran nichts. Auch dass es vermeintlich zu keiner Datenverarbeitung komme, wenn Drittanbieter den Meta Pixel richtig einbinden würden, überzeugte den Senat nicht. Als gemeinsam Verantwortlicher obliege es gerade auch Meta, die richtige Installation der Meta Business Tools bei Dritten zu kontrollieren.

Keine Rechtfertigung für massenhafte Datenverarbeitung

Einen einschlägigen Rechtfertigungsgrund für die Datenverarbeitung fand der Senat nicht. Es scheitere schon daran, dass Meta nicht offenlege, welche Daten zu welchem konkreten Zweck erhoben und verarbeitet würden. Der Verweis auf die Datenschutzrichtlinie genüge hier nicht, um der Beweislast nach Art. 5 Abs. 2 DS-GVO nachzukommen. Dafür tauge das Dokument allerdings nichts, da es schon aufgrund seines Umfangs und der "verwirrenden Darstellungsart" nicht nachvollziehbar genug sei. 

Eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO liege auch nicht vor. Allein durch die Einwilligung in den Nutzungsvertrag würden Nutzerinnen und Nutzer nicht auch automatisch zustimmen, dass ihre Daten mithilfe der Meta Business Tools – und damit vor allem bei der Nutzung von Drittwebsites – verarbeitet würden. Selbst wenn Nutzerinnen und Nutzer bei jeden Drittanbietern einwilligen würden, müsste Meta selbst ebenfalls eine Einwilligung einholen. 

Meta könne als Rechtfertigungsgrund auch nicht etwa geltend machen, dass die Datenverarbeitung zur Erfüllung des Nutzungsvertrages erforderlich sei (Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO). Für die Nutzer gehe es bei den Meta-Plattformen darum, nahtlos und weltweit miteinander kommunizieren und Inhalte austauschen zu können. Eine Datenerhebung über Meta Business Tools habe keinen Bezug zu diesem Vertragskern. Jedenfalls habe Meta nicht dargelegt, warum die Datenerhebung für die Bereitstellung dieser Leistungen zwingend notwendig sei. Im Gegenteil habe der Konzern sogar erklärt, dass es darum gehe, die Werbepartner bei der Integration ihrer Produkte und dem Schalten von Werbeanzeigen zu unterstützen. Für den eigentlichen Zweck des Netzwerks sei das unerheblich, so das OLG. 

Der Senat stellte klar, dass aus der rechtswidrigen Datenverarbeitung zwar ein Löschungs- allerdings kein Anonymisierungsanspruch entstehe. Das gebe die Rechtsgrundlage nicht her, die eine Anonymisierung nicht etwa als "Minus" zur Löschung, sondern als Aliud verstehe. Sehr wohl stehe der Nutzerin aber ein Schadensersatzanspruch zu, da bereits ein kurzzeitiger Verlust der Kontrolle über die eigenen Daten nach der Rechtsprechung des EuGH eine hinreichende Verletzung darstelle. Für die seit Mai 2018 erhobenen Daten empfand der Senat mit der Vorinstanz einen Betrag von 1.500 Euro als angemessen.