22.01.2026 | Datenschutzrecht

Meta-Tracking: 5.000 € Schadensersatz wegen Kontrollverlust

Seit Inkrafttreten der DSGVO haben sich die Spielregeln deutlich verschoben. Immaterielle Schäden lassen sich heute spürbar leichter geltend machen und die zugesprochenen Summen können für Unternehmen empfindlich hoch werden. Gerichte stellen dabei immer häufiger darauf ab, dass bereits der Kontrollverlust über personenbezogene Daten einen ersatzfähigen Schaden begründen kann.

Das zeigt nicht nur ein Urteil des Arbeitsgerichts Düsseldorf, das wegen einer verspäteten und unvollständigen Auskunft 5.000 € zusprach, sondern auch eine aktuelle Entscheidung gegen Meta. Was genau dahintersteckt und welche Konsequenzen sich daraus für Unternehmen ergeben, haben wir in diesem Artikel zum Meta-Tracking zusammengefasst.

Tracking durch Meta-Business-Tools auf Drittseiten und in Apps

Im Mittelpunkt des Verfahrens stand die Frage, wie Meta personenbezogene Daten außerhalb der eigenen Plattformen verarbeitet. Der Kläger wandte sich gegen den Einsatz sogenannter Meta-Business-Tools, die nicht nur innerhalb von Diensten wie Instagram genutzt werden, sondern auch auf zahlreichen Drittwebseiten und in mobilen Apps eingebunden sind. Nach seiner Darstellung kam es dadurch bereits beim bloßen Besuch externer Angebote zu einer Datenübermittlung an Meta, ohne dass hierfür eine transparente und wirksame Grundlage bestand. Der Fall beleuchtet damit die technische und tatsächliche Reichweite moderner Tracking-Instrumente und die damit verbundenen Kontrollmöglichkeiten über personenbezogene Daten:

• Einsatz verschiedener Meta-Business-Tools wie Meta-Pixel, App-Events sowie API-basierter Schnittstellen auf externen Webseiten und Apps
• Übermittlung von technischen Standarddaten und weiteren personenbezogenen Informationen beim Besuch von Drittangeboten
• Datenflüsse, unabhängig von einer aktiven Nutzung oder Anmeldung bei Instagram oder Facebook
• Speicherung und Nutzung der übermittelten Informationen zur Profilbildung innerhalb des Meta-Konzerns
• Thematisierung konzerninterner Weitergaben und internationaler Datenübermittlungen
• Verweis von Meta auf interne Einstellmöglichkeiten und Selbstauskunftstools als Steuerungsinstrumente
• Streit über die individuelle Betroffenheit des Klägers durch diese Datenverarbeitung

Urteil des LG Lübeck zu Tracking über Meta-Business-Tools

Das Landgericht Lübeck hat Meta zur Unterlassung der Verarbeitung konkret benannter personenbezogener Daten verurteilt und dem Kläger einen immateriellen Schadensersatz in Höhe von 5.000 € zugesprochen. Gegenstand der Entscheidung war die Datenverarbeitung über Meta-Business-Tools auf Drittwebseiten und in Dritt-Apps.

Die Kammer ordnete Meta als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO ein, da der Konzern die technischen Werkzeuge konzipiert und damit die Datenverarbeitung über externe Angebote ermöglicht habe. Eine wirksame Einwilligung des Klägers konnte Meta nicht nachweisen.

Auch andere Rechtfertigungsgründe nach Art. 6 DSGVO griffen nicht. Die vom Konzern angeführten Einstellmöglichkeiten und Selbstauskunftstools wurden als unzureichend bewertet. Das Gericht sah in der Speicherung und Nutzung der Daten einen Eingriff in das Recht auf informationelle Selbstbestimmung und bejahte sowohl Wiederholungs- als auch Erstbegehungsgefahr. Der immaterielle Schaden wurde unabhängig von individuellen Belastungen allein im Verlust der Kontrolle über personenbezogene Daten gesehen. Der Unterlassungsanspruch stützte sich auf nationales Recht, während der Schadensersatz vorrangig nach Art. 82 DSGVO geprüft wurde.

Urteil des LG Leipzig zu 5.000 € Schadensersatz bei Meta-Tracking wegen Kontrollverlust

Das Landgericht Leipzig hatte Meta mit Urteil vom 4. Juli 2025 bereits in der Vergangenheit zu einer Zahlung von 5.000 € aufgrund eines immateriellen Schadensersatzes an einen Facebook-Nutzer verurteilt. Hintergrund war auch hier der Einsatz der Business-Tools, insbesondere des Facebook-Pixels, über das die Nutzeraktivitäten auf Drittseiten erfasst und an Meta übermittelt wurden, teils auch ohne aktiven Login und verbunden mit Datenübermittlungen an Drittstaaten.

Das Gericht stützte den Anspruch damals auf Art. 82 DSGVO und stellte heraus, dass bereits der Kontrollverlust über personenbezogene Daten als immaterieller Schaden ausreichen kann, ohne dass ein konkreter individueller Nachteil nachgewiesen werden muss. Bei der Höhe berücksichtigte die Kammer die wirtschaftliche Bedeutung der Daten für das werbebasierte Geschäftsmodell von Meta und ordnete den Vorgang als weitreichende, intransparente Profilbildung mit erheblichem Eingriffsgewicht ein.

Was bedeuten die Meta-Traking Urteile für Unternehmen?

In beiden Verfahren gegen Meta stand kein klassischer Datenmissbrauch im Vordergrund, sondern der Kontrollverlust über personenbezogene Daten infolge intransparenter Datenverarbeitung. Die Fälle machen deutlich, dass sich die Haftung nicht erst aus der Weitergabe sensibler Inhalte oder konkreten Nachteilen ergibt. Bereits die fehlende Möglichkeit zur Kontrolle einer komplexen Tracking-Infrastruktur kann einen eigenständigen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Die Verantwortung knüpft damit an die Gestaltung der Systeme an, nicht erst an deren konkrete Nutzung im Einzelfall.

Kurz gesagt zeigt der Meta-Fall, dass fehlende Transparenz und unzureichende Auskunftsmöglichkeiten bei großflächigem Tracking unmittelbar zu Unterlassungs- und Schadensersatzansprüchen führen können, selbst ohne Nachweis individueller Folgeschäden.

Für Unternehmen bedeutet der Meta-Komplex vor allem eines: Tracking und Profilbildung über Drittseiten und Apps gelten rechtlich als hochsensibel, da schon fehlende Transparenz und fehlende Steuerbarkeit als Kontrollverlust gewertet werden können.

Sobald Tools wie Pixel, SDKs oder serverseitige Schnittstellen Daten an Dritte weiterleiten, entsteht ein unmittelbares Haftungsrisiko, wenn Einwilligungen, Informationspflichten und Nachweise nicht vorhanden sind. Relevant ist dabei nicht nur die eigene Webseite, sondern jede Einbindung in fremde Umgebungen, etwa über Partner, Agenturen, Shopsysteme und App-Anbieter.

Das sollten Sie jetzt tun:

• Bestandsaufnahme der Tracking-Landschaft: Pixel, SDK, Tag-Manager, Server-Side-Tracking, Conversions-API, Consent-Tools, Partner-Integrationen inventarisieren.
• Datenflüsse kartieren: Welche Ereignisse lösen welche Datenpunkte aus, welche Empfänger werden erreicht, welche Systeme im Konzern und welche Drittstaaten werden davon berührt?
• Rollen klären: Verantwortlichkeit, gemeinsame Verantwortlichkeit, Auftragsverarbeitung, Zuständigkeiten mit Anbietern, Agenturen und Plattformen dokumentieren.
• Rechtsgrundlage festlegen: Einwilligungspflicht prüfen, berechtigtes Interesse nur bei tragfähiger Abwägung, keine Vermischung von Messung und Personalisierung ohne klare Grundlage.
• Consent technisch erzwingen, Tags und SDKs bis zur Einwilligung blockieren, Consent-Mode konfigurieren, Default auf keine Übertragung, Edge-Cases testen, auch ohne Login und im Inkognito-Modus.
• Transparenz herstellen: Datenschutzhinweise konkretisieren, Zwecke, Kategorien, Empfänger, Drittlandbezug, Speicherdauer, Widerruf, Widerspruch, Betroffenenrechte klar und auffindbar darstellen.
• Datenminimierung umsetzen: nur notwendige Events, keine unnötigen Identifikatoren, Hashing nicht als Freifahrtschein behandeln, Parameter-Whitelists verwenden.
• Verträge und Transfers absichern: AV-Verträge, Standardvertragsklauseln, Transfer Impact Assessment, technische Schutzmaßnahmen, Protokollierung der Maßnahmen.
• Nachweisfähigkeit organisieren: Consent-Logs, Versionierung von Bannern und Texten, Tag-Firing-Logs, Audit-Trails für Änderungen, klare Verantwortliche und Prozesse.
• Betroffenenprozesse stärken: Auskunft, Löschung, Widerspruch, Opt-out konsequent abbilden, interne Tools nicht als alleinige Lösung einplanen, vollständige Datenlage aus eigenen Systemen liefern können.
• Kontinuierliches Monitoring: regelmäßige Scans der Webseite und Apps, Partnerseiten prüfen, Release-Checks, Pentests für Tracking-Endpoints, Incident-Plan für Fehlkonfigurationen.
• Schulung und Governance: Marketing, Produkt, IT und Legal verbindlich koordinieren, Freigabeprozesse für neue Tags und Kampagnen einführen, Vendor-Management etablieren.

SBS LEGAL - Ihre Kanzlei für Datenschutzrecht

Bestehen Unsicherheiten beim Einsatz von Tracking-Tools, bei der Ausgestaltung von Einwilligungen oder bei der Frage, ob bestehende Prozesse den aktuellen Anforderungen der DSGVO noch standhalten? Oder stellt sich die Frage, wie sich Haftungsrisiken wie im Meta-Fall konkret vermeiden lassen und wo kurzfristiger Handlungsbedarf besteht?

Dann sind Sie bei SBS LEGAL genau richtig! 

Als Kanzlei für Datenschutzrecht begleiten wir Unternehmen umfassend bei der rechtssicheren Gestaltung ihrer Datenverarbeitung. Dazu gehören die Erstellung passgenauer Datenschutzerklärungen für Webseiten, Apps und Social-Media-Auftritte, die Verteidigung gegen datenschutzrechtliche Abmahnungen, einstweilige Verfügungen und behördliche Bußgeldverfahren sowie die rechtliche Begleitung von Marketing- und PR-Maßnahmen wie Werbemails, Umfragen, Gewinnspielen oder Fotoaufnahmen. Wir beraten zu allen datenschutzrechtlichen Fragen im Online-Business und E-Commerce, prüfen Vertragsbeziehungen und Auftragsverarbeitungsverträge, gestalten Joint-Controller-Agreements und sichern internationale Datentransfers rechtlich ab. Darüber hinaus unterstützen wir bei der Frage der Pflicht zur Bestellung eines Datenschutzbeauftragten, führen Datenschutz-Audits durch, entwickeln Compliance-Richtlinien und erstellen erforderliche Rechtstexte wie Einwilligungserklärungen. Auch die datenschutzkonforme Verpflichtung von Beschäftigten gehört zu unserem Leistungsspektrum.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?

Der Erstkontakt zu SBS Legal ist kostenlos.

Zurück zur Blog-Übersicht