Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Tracking läuft oft im Hintergrund. Lautlos, technisch komplex und für Nutzer kaum greifbar. Gerade deshalb verlassen sich viele Unternehmen darauf, dass etablierte Tools schon „irgendwie“ datenschutzkonform sein werden. Doch diese Annahme gerät zunehmend ins Wanken.
Mit einer aktuellen Entscheidung hat das OLG München ein deutliches Signal gesetzt: Die Nutzung weitverbreiteter Tracking-Technologien auf Drittseiten steht rechtlich auf dem Prüfstand. Es geht um Kontrollverlust, um Datenflüsse jenseits der eigenen Plattformen. Und um die Frage, wer dafür haftet. Dass dabei ein konkreter DSGVO-Schadensersatz zugesprochen wurde, macht die Entscheidung besonders brisant.
Die Entscheidung des OLG München geht auf eine Klage einer Facebook-Nutzerin gegen Meta Platforms Ireland zurück. Die Klägerin hatte sich dagegen gewehrt, dass Meta über sogenannte Meta-Business-Tools personenbezogene Daten über sie sammelte, obwohl diese Datenverarbeitung nicht innerhalb der eigentlichen Meta-Dienste stattfand, sondern beim Besuch externer Webseiten und Apps.
Konkret ging es um Tracking-Technologien wie den Meta-Pixel oder die Conversion-API. Diese Werkzeuge sind auf zahlreichen Drittseiten eingebunden und ermöglichen es Meta, Informationen über das Verhalten von Nutzern außerhalb von Facebook oder Instagram zu erfassen. Die erhobenen Daten werden automatisiert an Meta übermittelt und dort zu Analyse- und Werbezwecken weiterverarbeitet. Für die Nutzer bleibt dieser Vorgang regelmäßig unsichtbar, eine bewusste Entscheidung oder aktive Zustimmung erfolgt nicht.
Die Klägerin machte geltend, dass sie die Kontrolle über ihre personenbezogenen Daten verloren habe. Nach den Feststellungen des Gerichts war für sie weder transparent nachvollziehbar, welche Daten konkret erhoben wurden, noch bestand eine wirksame Einwilligung in diese umfassende Datenverarbeitung. Das OLG München stellte dabei insbesondere darauf ab, dass Meta durch den Einsatz der Business-Tools potenziell eine sehr große Bandbreite personenbezogener Informationen erfassen konnte, ohne dass die Nutzer dies beeinflussen oder begrenzen konnten.
Das OLG München gab der Klage statt und stellte klar, dass Meta beim Einsatz bestimmter Meta-Business-Tools im Umfeld von Drittseiten und Dritt-Apps datenschutzrechtliche Grenzen überschritten hat. Nach dem Tenor durfte sich Meta im Nutzungsvertrag nicht darauf stützen, personenbezogene Daten der Klägerin, darunter Identifikationsdaten wie E-Mail und Telefonnummer, technische Daten wie IP-Adresse und User-Agent sowie Interaktionsdaten wie URLs, Zeitpunkte und Klickereignisse, über Drittangebote zu erfassen, an eigene Server weiterzuleiten, dort zu speichern und anschließend zu Werbezwecken zu verwenden, solange Meta dafür keine tragfähige Rechtsgrundlage vorweisen kann. Neben dem Unterlassungsanspruch sprach das Gericht der Klägerin immateriellen Schadensersatz in Höhe von 750 € zu und betonte dabei den Kontrollverlust, der aus der für die Klägerin nicht überschaubaren Erfassung und Profilbildungsmöglichkeit resultiert.
Das OLG München ordnet Meta als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO ein, da Meta die Meta-Business-Tools entwickelt, fortlaufend steuert und über deren technische Ausgestaltung maßgeblich bestimmt, welche Daten in welcher Form erhoben und an Meta übermittelt werden. Durch die Einbindung der Tools in Webseiten und Apps entsteht eine dynamische Anbindung an die jeweils aktuelle Tool-Version, sodass Programmierung und Funktionalität dauerhaft in Metas Einflussbereich bleiben. Für die Datenerhebung und Übermittlung im Drittangebot ergibt sich damit eine gemeinsame Verantwortlichkeit mit dem jeweiligen Webseiten- oder App-Anbieter, soweit zusätzliche Daten im Zusammenspiel beider Seiten verarbeitet werden. Der Senat knüpft dabei an die europäische Linie an, die solche Tracking-Konstellationen als besonders eingriffsintensiv einordnet, weil Onlineaktivitäten über viele Kontexte hinweg erfasst werden können und damit ein Überwachungsgefühl entstehen kann.
Auf dieser Grundlage bejaht das Gericht einen immateriellen Schaden durch Kontrollverlust. Ausschlaggebend sind die potenziell weitreichende Nachverfolgung von Aktivitäten auf Drittseiten und in Dritt-Apps sowie die lange Speicherdauer, die den Kontrollverlust zeitlich verstärkt. Hinzu kommt, dass die Klägerin mangels konkreter Benennung der tatsächlich bei Meta vorhandenen Daten keine realistische Möglichkeit hatte, den Umfang zu überblicken und die Kontrolle praktisch wiederherzustellen.
„Der Verweis auf eine umfangreiche Datenschutzrichtlinie reiche nicht aus …“
Das Gericht stellt klar, dass allgemeine oder pauschale Datenschutzhinweise keine Rechtmäßigkeit herstellen. Entscheidend ist Transparenz im konkreten Einzelfall. Nutzer müssen nachvollziehen können, welche Daten, zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet werden. Ohne diese Konkretisierung fehlt es an einer tragfähigen DSGVO-Basis.
„Die Beklagte ist … verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.“
Der Senat ordnet Meta Platforms Ireland eindeutig als Verantwortliche ein. Maßgeblich ist nicht, auf wessen Webseite das Tracking ausgelöst wird, sondern wer die technische Infrastruktur entwickelt und steuert. Wer die Datenverarbeitung ermöglicht und lenkt, trägt Verantwortung.
„Dynamische Verweisung … Kontrolle verbleibt bei der Beklagten.“
Mit der Einbindung der Tools entsteht eine laufende technische Anknüpfung an die jeweils aktuelle Tool-Version. Dadurch behält Meta die Kontrolle über Programmierung und Funktionalität. Das ist der Schlüssel für die Annahme einer (Mit-)Entscheidungsmacht über Art und Umfang der Datenerhebung.
„Gemeinsame Verantwortlichkeit … eingeräumt.“
Das Gericht greift auf, dass Meta selbst eine gemeinsame Verantwortlichkeit mit Drittanbietern anerkannt hat. Für die Erhebung und Übermittlung zusätzlicher Daten besteht damit eine geteilte Verantwortung, die sich nicht durch Verlagerung auf Webseitenbetreiber entziehen lässt.
„Potenziell unbegrenzte Menge an Daten…“
Für den Schadensersatz ist zentral, dass die Tools eine weitreichende Nachverfolgung über Drittseiten und Apps erlauben. Der Umfang der möglichen Datenverarbeitung begründet den Kontrollverlust als eigenständigen immateriellen Schaden.
„Art. 82 DSGVO hat keine Abschreckungs- oder Straffunktion.“
In Anlehnung an die Rechtsprechung des Bundesgerichtshofs betont der Senat, dass der Anspruch ausschließlich dem vollständigen und wirksamen Ausgleich des konkret erlittenen Schadens dient. Schwere des Verstoßes, Vorsatz oder Mehrfachverstöße bleiben bei der Bemessung außen vor.
„750 € erforderlich, aber auch ausreichend…“
Die Höhe des zugesprochenen Betrags beruht auf einer Gesamtschau. Berücksichtigt wurden unter anderem die persönliche Situation der Klägerin, die Möglichkeit der Erzeugung sensibler Daten durch das Surfverhalten, die lange Speicherdauer sowie die fehlende reale Möglichkeit, die Kontrolle über die Daten zurückzuerlangen. Dass die Daten nicht frei im Internet kursierten, wirkte dabei begrenzend, nicht ausschließend.
„Der pauschale Hinweis auf Einstellungen führt nicht weiter.“
Besonders deutlich weist das Gericht den Einwand zurück, Nutzer könnten ihre Daten über Kontoeinstellungen selbst kontrollieren. Ohne konkrete Benennung der gespeicherten Daten bleibt diese Möglichkeit rein theoretisch und reicht nicht aus, um den Kontrollverlust zu relativieren.
Für die Bemessung des immateriellen Schadensersatzes hat der Senat nach § 287 ZPO geschätzt und 750 € als angemessen eingeordnet, um den erlittenen Kontrollverlust auszugleichen. In die Bewertung flossen vor allem die persönliche Situation der Klägerin, der Umfang der Datenverarbeitung sowie die verfolgten Verarbeitungszwecke ein. Der Anspruch nach Art. 82 DSGVO dient dabei dem konkreten Schadensausgleich und folgt keinem Sanktionsmodell. Entsprechend blieb der Grad des Verschuldens ebenso außen vor wie der Umstand, dass zusätzlich Unterlassung zugesprochen wurde. Maßgeblich ist der Ausgleich im Einzelfall, im Sinne einer vollständigen und wirksamen Kompensation.
Neben dem Schadenersatz hat das Gericht weitere Rechtsfolgen zugesprochen. Dazu gehören die Feststellung einer Vertragsverletzung im Rahmen des Nutzungsverhältnisses, Unterlassungsansprüche hinsichtlich konkret bezeichneter Datenverarbeitungen sowie die Erstattung vorgerichtlicher Rechtsanwaltskosten. Damit wird deutlich, dass Betroffene ihre Rechte nicht nur über Geldentschädigung, sondern auch über Unterlassung und Kostenersatz effektiv durchsetzen können.Formularbeginn
Das Urteil des OLG München fügt sich in eine wachsende Rechtsprechung ein, die Tracking über Meta-Business-Tools auf Drittseiten und in Apps als datenschutzrechtlich hochriskant bewertet und bei einem festgestellten Kontrollverlust auch immateriellen Schadensersatz nach Art. 82 DSGVO zuspricht. In vergleichbaren Konstellationen reichen die zugesprochenen Beträge bislang von 300 Euro bis 5.000 €, abhängig von Intensität, Umfang und Folgen des Kontrollverlusts.
Das Signal ist damit doppelt. Betroffene haben realistische Erfolgsaussichten und Unternehmen sowie Werbepartner müssen damit rechnen, dass Gerichte Verantwortlichkeit und Datenflüsse entlang der Tool-Kette genau prüfen.
Nutzen Sie Tracking-Tools wie Meta-Pixel oder Conversion-API auf Ihrer Webseite oder in Ihrer App? Sind Ihre Einwilligungsprozesse tatsächlich so aufgesetzt, dass sie auch einer gerichtlichen Überprüfung standhalten? Oder besteht das Risiko, dass Datenverarbeitung im Hintergrund stattfindet, für die am Ende Ihr Unternehmen haftet?
Wirunterstützt Sie umfassend im Datenschutzrecht – von der Erstellung maßgeschneiderter Datenschutzerklärungen für Webseiten, Apps und Social-Media-Auftritte über die Abwehr von Abmahnungen, einstweiligen Verfügungen und behördlichen Bußgeldverfahren bis hin zur datenschutzrechtlichen Begleitung von Marketing- und PR-Maßnahmen wie Werbemails, Umfragen, Gewinnspielen oder Fotoaufnahmen. Wir prüfen Vertragsbeziehungen auf DSGVO-Konformität, beraten zur Bestellung eines Datenschutzbeauftragten, führen Datenschutz-Audits durch – auch in Kooperation mit der SBS Data GmbH – und sichern internationale Datentransfers rechtlich ab. Ergänzend gestalten wir Auftragsverarbeitungsverträge, Joint-Controller-Agreements und erforderliche Rechtstexte, entwickeln Compliance-Richtlinien und unterstützen bei der Umsetzung
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?