Urteil zum Datenschutz bei Nutzung der „Meta Business Tools“

In einem Urteil des Landgerichts Stuttgart (Az.: 12 O 170/23) vom 24. Oktober 2024 geht es um die Frage, ob die Nutzung der sogenannten „Meta Business Tools“ durch Unternehmen in Deutschland mit der -Grundverordnung () vereinbar ist. Die einer Privatperson richtete sich gegen den Meta-Konzern und griff die Nutzung von Tools wie dem „Meta Pixel“, der „Conversions API“ und dem „Facebook SDK“ an. Dabei wurde insbesondere die Datenweiterleitung und Verarbeitung außerhalb der Europäischen Union moniert.

Dieses Urteil zeigt die Herausforderungen, die mit der Nutzung solcher Tools verbunden sind – und gibt Einblicke in die rechtliche Bewertung ihrer datenschutzrechtlichen Zulässigkeit. Besonders relevant sind hierbei die Aspekte der Einwilligung, der Verantwortlichkeit und der Datenübermittlung in Drittländer.

Zentrale rechtlichen Fragestellungen

Einwilligung und Verantwortlichkeit

Ein zentrales Thema des Urteils war die Frage, ob die Verarbeitung personenbezogener Daten durch die „Meta Business Tools“ auf einer ausreichenden Einwilligung der Nutzer basiert. Die Klägerin argumentierte, dass Meta keine wirksame Einwilligung der Betroffenen eingeholt habe und dass die Drittanbieter, die diese Tools nutzen, diese Pflicht nicht ausreichend erfüllen könnten. Sie sah Meta als alleinige Verantwortliche für die Verarbeitung der Daten an, auch wenn die Daten zunächst von den Webseiten- oder App-Betreibern erhoben werden.

Das Gericht stellte fest, dass nach Art. 4 Nr. 7 DSGVO Meta als Verantwortliche im Sinne der Datenschutz-Grundverordnung anzusehen ist, da die erhobenen Daten letztlich von Meta verarbeitet und in deren Geschäftsmodell integriert werden. Die Drittanbieter, die die Tools nutzen, tragen ebenfalls Verantwortung, doch dies entbindet Meta nicht von ihren Pflichten. Die Einwilligung der Nutzer muss spezifisch, informiert und freiwillig sein. Das Gericht stellte jedoch Zweifel daran fest, ob diese Anforderungen im vorliegenden Fall erfüllt wurden.

Datenübermittlung in Drittländer

Ein weiterer Schwerpunkt des Verfahrens war die Übertragung personenbezogener Daten in die USA, die durch die „Meta Business Tools“ erfolgt. Nach den Grundsätzen der DSGVO ist eine solche Datenübermittlung nur zulässig, wenn angemessene Schutzmaßnahmen existieren, wie beispielsweise Standardvertragsklauseln oder ein Angemessenheitsbeschluss. Die Klägerin argumentierte, dass die Daten in unsichere Drittländer übermittelt würden und eine Kontrolle über die weitere Verarbeitung durch Meta unmöglich sei.

Das Gericht betonte, dass die Übermittlung personenbezogener Daten in Drittländer ohne angemessene Garantien gegen Art. 44 ff. DSGVO verstoßen kann. In diesem Fall fehlten ausreichende Nachweise dafür, dass die Verarbeitung der Daten in den USA unter Beachtung des europäischen Datenschutzniveaus erfolgt. Meta konnte jedoch nachweisen, dass für bestimmte Verarbeitungsvorgänge Maßnahmen wie die Pseudonymisierung der Daten ergriffen wurden. Dennoch blieb die zentrale Frage der Rechtmäßigkeit der Datenübermittlung ungelöst.


Datenschutzkonformität der „Meta Business Tools“

Die Entscheidung des LG Stuttgart wirft ein Schlaglicht auf die rechtlichen Unsicherheiten bei der Nutzung der „Meta Business Tools“. Unternehmen, die diese Tools auf ihren Webseiten oder in ihren Apps einsetzen, müssen sicherstellen, dass sie die Vorgaben der DSGVO einhalten. Dazu gehören insbesondere:

  1. Einholung einer wirksamen Einwilligung: Nutzer müssen vor der Erhebung ihrer Daten klar und umfassend informiert werden. Dazu zählt die Offenlegung, welche Daten erhoben, zu welchem Zweck sie verarbeitet und an wen sie weitergegeben werden.
  2. Verantwortlichkeitsklärung: Webseitenbetreiber und Meta teilen sich die Verantwortung für die Datenverarbeitung. Unternehmen, die die „Meta Business Tools“ nutzen, können sich nicht allein auf Meta berufen, sondern müssen selbst geeignete Datenschutzmaßnahmen ergreifen.
  3. Prüfung der Datenübermittlung: Unternehmen müssen sicherstellen, dass bei der Übermittlung von Daten in Drittländer die Anforderungen der DSGVO eingehalten werden. Dazu gehören Standardvertragsklauseln oder ein gleichwertiger Schutz der personenbezogenen Daten.

Ist ein datenschutzkonformer Einsatz in Deutschland möglich?

Da es sich um eine einzelne Entscheidung handelt, sollte man mit Bewertungen – vor allem pauschalen Bewertungen – zurückhaltend sein: Das Urteil lässt jedenfalls darauf schließen, dass die Nutzung der „Meta Business Tools“ in der derzeitigen Form erhebliche datenschutzrechtliche Risiken birgt.

Ohne grundlegende Änderungen an den Verfahren zur Datenverarbeitung und -weiterleitung dürfte ein datenschutzkonformer Einsatz nur schwer möglich sein. Unternehmen, die auf diese Tools setzen, müssen daher besondere Sorgfalt walten lassen und sollten sie auf keinen Fall blind einsetzen.

Urteil zum Datenschutz bei Nutzung der „Meta Business Tools“ - Rechtsanwalt Ferner

Das Urteil des LG Stuttgart zeigt, dass die Nutzung der „Meta Business Tools“ für Unternehmen eine rechtliche Gratwanderung darstellt. Ohne umfassende Änderungen an den bestehenden Datenschutzmaßnahmen wird ein DSGVO-konformer Einsatz dieser Tools schwierig bleiben. Unternehmen sind daher gut beraten, ihre Datenschutzerklärungen und technischen Maßnahmen zu überprüfen und alternative Lösungen zu evaluieren.

Handlungsempfehlungen für Unternehmen

Auch wenn es hier am Ende keinen Schadensersatz gab (siehe unten), so stehen dennoch Unterlassungsansprüche etwa durch Konkurrenten oder auch entsprechende Anordnungen der Aufsichtsbehörden im Raum. Vor dem Hintergrund sollte dringend vor dem Einsatz solcher Tools eine umfassende Bewertung erfolgen – grundsätzliche Kriterien sind hier, wie bei jedem datenschutzrechtlich relevanten Prozess:

  • Transparenz erhöhen: Unternehmen sollten Nutzern deutlich erklären, wie und warum ihre Daten erhoben werden. Dies muss in einer verständlichen Sprache und vor der Datenerhebung erfolgen.
  • Einwilligungsprozesse überprüfen: Ein wirksamer Consent-Mechanismus ist unerlässlich. Dies schließt ein Opt-in-Verfahren ein, das die spezifischen Verarbeitungszwecke beschreibt.
  • Datenflüsse dokumentieren: Unternehmen sollten genau wissen, wohin die erhobenen Daten fließen, und dies in ihrer Datenschutzdokumentation festhalten.
  • Alternativen prüfen: Angesichts der rechtlichen Unsicherheiten sollten Unternehmen alternative Tools in Betracht ziehen, die möglicherweise weniger invasiv sind und eine einfachere Einhaltung der DSGVO erlauben.

Kein Schmerzensgeld

Die Klage auf Schadensersatz in Form von Schmerzensgeld wurde vom LG Stuttgart abgewiesen, da die Klägerin nicht schlüssig darlegen konnte, dass ein konkreter immaterieller Schaden im Sinne der Datenschutz-Grundverordnung (DSGVO) entstanden ist. Zwar erkennt die DSGVO grundsätzlich die Möglichkeit eines solchen Ersatzanspruchs an, wenn ein Verstoß gegen die Verordnung zu einer spürbaren Beeinträchtigung führt. Doch es genügt nicht, lediglich den Verstoß selbst oder ein diffuses Gefühl der Überwachung oder Unsicherheit geltend zu machen. Vielmehr muss ein tatsächlicher und individueller Schaden nachgewiesen werden, der über allgemeine Unannehmlichkeiten oder subjektive Befürchtungen hinausgeht.

Das Gericht stellte fest, dass die Klägerin vor allem abstrakte Argumente vorbrachte, wie etwa das Gefühl, in ihrem Privatleben vollständig überwacht zu werden, oder die Sorge, dass ihre Daten in den USA nicht ausreichend geschützt seien. Solche Aussagen reichten jedoch nicht aus, um eine spürbare psychologische oder persönliche Beeinträchtigung zu belegen, die für einen immateriellen Schadensersatz erforderlich wäre. Es fehlte an konkreten Tatsachen, die eine tiefgreifende und persönliche Belastung aufzeigen würden, wie etwa eine nachweisbare Beeinträchtigung der Lebensqualität oder psychische Folgen.

Urteil zum Datenschutz bei Nutzung der „Meta Business Tools“ - Rechtsanwalt Ferner

Auch hier wird deutlich, dass Datenschutzverstöße nicht automatisch einen Schadensersatzanspruch auslösen, sondern konkrete, spürbare und individuell nachweisbare Schäden erforderlich sind. Damit markiert man die Grenzen des immateriellen Schadensersatzes nach der DSGVO und stellt klar, dass eine bloße Unzufriedenheit mit der Datenverarbeitung oder abstrakte Ängste nicht ausreichen.

Weiterhin wies das Gericht darauf hin, dass der bloße Kontrollverlust über Daten, der durch eine unerlaubte Verarbeitung entsteht, keinen Ersatzanspruch begründet, wenn daraus keine klar erkennbaren negativen Auswirkungen für die betroffene Person resultieren. Diese Sichtweise stützt sich auf die unionsrechtliche Auslegung der DSGVO, wonach ein Schaden tatsächlich und sicher bestehen muss, um einen Anspruch auf Entschädigung zu rechtfertigen. Die Klägerin konnte diesen Nachweis jedoch nicht führen, weshalb das Gericht keine Grundlage für die Zuerkennung von Schmerzensgeld sah.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft. Ich bin Softwareentwickler, in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.