SBS Firmengruppe Logos
SBS LEGAL Laura Brown
Laura Brown

Rechtsanwältin und Expertin für E-Commerce, Wettbewerbsrecht und Vertriebsrecht

T (+49) 040 / 7344 086-0
mail@sbs-legal.de

SBS LEGAL Luise Klick
Luise Klick

Rechtsanwältin & Expertin für IT-Recht und Datenschutz

T (+49) 040 / 7344 086-0
mail@sbs-legal.de

SBS LEGAL Laura Novakovski Ouerghemi
Laura Novakovski Ouerghemi

Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)

T (+49) 040 / 7344 086-0
mail@sbs-legal.de

Fachgebiete NEWS

| Internetrecht

Meta-Werbung vor Gericht – wenn Auskunft Transparenz wird

Meta weiß mehr, als vielen lieb ist. Und diesmal geht es im Kontext von Meta-Werbung in einem aktuellen Rechtsfall nicht um abstrakte Tracking-Debatten oder technische Feinheiten, sondern um knallharte Rechte von Nutzerinnen und Nutzern. Wer entscheidet eigentlich, wie tief Plattformen in persönliche Lebensbereiche blicken dürfen?  Wer kontrolliert, was mit Daten aus Apps, Webseiten und scheinbar harmlosen Klicks passiert? Und wer zieht die Grenze, wenn wirtschaftliche Interessen auf Privatsphäre treffen?

Diese Fragen standen vor Gericht im Mittelpunkt und das Urteil verändert das Kräfteverhältnis zwischen Plattformen und Nutzern spürbar. Und es zeigt, wie ernst Gerichte den Anspruch auf Kontrolle über die eigenen Daten inzwischen nehmen.

Der Fall: Meta-Werbung im Fokus

Ausgangspunkt war ein Auskunftsverlangen eines Facebook-Nutzers gegen Meta. Im Kern ging es darum, welche personenbezogenen Daten Meta für Werbung verarbeitet, woher diese Daten stammen, an wen sie fließen und wofür sie eingesetzt werden. Ein wesentlicher Streitpunkt entstand vor allem dort, wo Daten aus dem Umfeld des Nutzers kommen, etwa durch Business-Tools wie Social Plugins, Facebook-Login, APIs, SDKs oder Pixel, also Schnittstellen, über die auch Dritte Informationen an Meta übermitteln.

Parallel stand die Frage im Raum, auf welcher Grundlage Daten für personalisierte Meta-Werbung sowie für Werbeauswertung und Datenanalyse verarbeitet. In der Entscheidung wird deutlich, dass die Werbeverarbeitung rund um Meta-Werbung als eigenständiger Zweck betrachtet wird und damit eigene Anforderungen an Rechtsgrundlage und Einwilligung auslöst.

Das Wichtigste zum Fall

  • Die Auskunft drehte sich um sämtliches verarbeitetes personenbezogenes Daten nebst Verarbeitungszwecken, Empfängern und Datenherkunft.
  • Der Fokus war auf Datenzufluss über Drittquellen und Business Tools, einschließlich Tracking- und Plugin-Strukturen, gerichtet.
  • Streit um personalisierte Meta-Werbung und die Nutzung von Daten zur Werbeoptimierung als gesonderte Verarbeitungssphäre

Art. 9 DSGVO im Fall Meta-Werbung

Im Verfahren wurde Art. 9 DSGVO zum Dreh- und Angelpunkt, da Meta über Tracking, Plugins und ähnliche Techniken auch Daten erfasst, die Rückschlüsse auf besonders geschützte Bereiche zulassen. Entscheidend war dabei der Maßstab des EuGH, den der OGH übernimmt. Seinem Urteil zufolge kommt es darauf an, ob die Verarbeitung Informationen, die unter die besonderen Kategorien fallen, offengelegt werden. Das gilt unabhängig davon, ob Meta solche Daten gezielt erhebt oder ob die Information am Ende zutrifft.

Konkret reichte schon die Speicherung von Informationen über den Besuch bestimmter Drittseiten, etwa von Angeboten mit Bezug zur sexuellen Orientierung oder zu politischen Inhalten, um Art. 9 als Grundlage heranzuziehen. Selbst wenn eine Person einzelne Aspekte ihrer Identität öffentlich gemacht haben kann, erlaubt das keine pauschale Weiterverarbeitung damit zusammenhängender Nutzungsdaten für etwa Meta-Werbung. Genau hier zieht das Urteil die Grenze und stellt klar, dass Meta Art. 9 auch dann beachten muss, wenn die Systeme technisch nicht zwischen sensiblen und sonstigen Daten trennen.

Artikel 9 DSGVO

Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten

  1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
  2. Absatz 1 gilt nicht in folgenden Fällen:
    1. Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
    2. die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
    3. die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
    4. die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
    5. die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
    6. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
    7. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
    8. die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
    9. die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
    10. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
  3. Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

Das Urteil zur Meta-Werbung

Der OGH verpflichtet Meta, dem Kläger binnen vierzehn Tagen schriftlich und kostenlos eine vollständige Auskunft nach Art. 15 DSGVO zu erteilen und dabei neben der Kopie der verarbeiteten personenbezogenen Daten auch die zugehörigen Metainformationen offenzulegen, insbesondere Verarbeitungszwecke, Empfänger sowie die Herkunft von Daten, die aus Drittquellen stammen.

Der Gerichtshof stellt klar, dass Betroffene Auskunft über alle vorhandenen Daten und Metadaten verlangen können und dass ein Verweis auf verstreute Informationsquellen, allgemeine Richtlinien oder Download- und Zugriffstools die DSGVO-Anforderungen an präzise, transparente und verständliche Information nicht erfüllt.

Zudem präzisiert der OGH die Auskunft zu Empfängern, indem er sich an der EuGH-Linie orientiert, wonach grundsätzlich die Identität der Empfänger mitzuteilen ist, sobald diese bestimmbar sind.

Fazit: Transparenzpflichten ziehen Meta bei Werbung und Co. enge Grenzen

Das Urteil markiert einen deutlichen Wendepunkt für datengetriebene Geschäftsmodelle in Europa. Der OGH hat unmissverständlich klargestellt, dass umfassende Transparenz wie bei Meta-Werbung kein optionaler Service, sondern eine einklagbare Pflicht ist. Plattformen müssen offenlegen, welche personenbezogenen Daten sie verarbeiten, woher diese stammen, wofür sie genutzt werden und an wen sie weitergegeben werden. Pauschale Datenschutzerklärungen, Download-Tools oder technische Ausreden reichen dafür nicht aus.

Zugleich wird das Fundament personalisierter Meta-Werbung weiter eingeengt. Tracking und Profilbildung setzen eine echte, freiwillige Einwilligung voraus. Ohne diese fehlt es an einer tragfähigen Rechtsgrundlage. Besonders brisant ist die klare Linie zu sensiblen Daten. Auch wenn solche Informationen nicht gezielt erhoben werden, greifen die strengen Schutzvorgaben des Art. 9 DSGVO. Eine fehlende technische Trennung oder fehlender Vorsatz entlastet nicht.

Für Betroffene zeigt die Entscheidung, dass Datenschutzrechte praktisch durchsetzbar sind und Schadensersatz realistisch bleibt. Für Unternehmen bedeutet sie steigenden Anpassungsdruck. Transparenz, saubere Rechtsgrundlagen und eine belastbare Trennung sensibler Daten sind kein Compliance-Detail, sondern ein zentrales Haftungsthema. Wer sein Werbe- und Datenmodell hier nicht konsequent neu ausrichtet, riskiert weitreichende rechtliche und wirtschaftliche Folgen.

SBS LEGAL - Kanzlei für Internetrecht

Haben Sie Fragen dazu, welche Daten Ihr Unternehmen im Rahmen von Tracking und Werbetechnologie tatsächlich verarbeitet? Sind Sie sicher, dass Einwilligungen wirksam eingeholt, protokolliert und technisch durchgesetzt werden? Wissen Sie, ob Auskunftsanfragen vollständig beantwortet werden können, inklusive Datenquellen, Empfänger und Zwecke? Und sind Ihre Prozesse so aufgesetzt, dass sensible Daten getrennt behandelt werden und keine ungewollten Rückschlüsse entstehen?

Wir helfen Ihnen bei Meta-Werbung und Co.!

Wir von SBS LEGAL unterstützen Sie bei der Abwehr behördlicher Bußgeldverfahren, begleiten Einzelmaßnahmen in der Öffentlichkeitsarbeit und im Marketing wie Werbemails, Umfragen, Gewinnspiele oder Fotoaufnahmen und beraten zu datenschutzrechtlichen Fragen rund um Online-Business, Online-Shop und E-Commerce. Wir prüfen Vertragsbeziehungen auf DSGVO-Konformität, klären die Erforderlichkeit eines Datenschutzbeauftragten oder Datenschutzvertreters, führen Audits zur Datenschutz-Compliance durch, auch gemeinsam mit der SBS Data GmbH, und sichern internationalen Datentransfer sowie Datennutzung rechtlich ab. Darüber hinaus gestalten und prüfen wir AV-Verträge, Joint-Controller-Agreements und erforderliche Rechtstexte wie Einwilligungen und unterstützen bei internen Verpflichtungen von Arbeitnehmern im Datenschutz sowie bei Compliance-Richtlinien.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutzhinweise gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht

mail@sbs-legal.de (+49) 040 / 7344 086-0