Das OLG Stuttgart hat dem Betroffenen 500 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen DSGVO-Verstößen durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke zugesprochen. Zudem hat das Gericht einen Unterlassungsanspruch bejaht.
Aus den Entscheidungsgründen: Die Berufung hinsichtlich des Klagantrags Ziff. 5, mit dem der Kläger immateriellen Schadensersatz in Höhe von mindestens 5.000,00 € begehrt, ist in Höhe von 500,00 € begründet.
Anspruchsgrundlage für das Begehren des Klägers ist Art. 82 DSGVO. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Voraussetzung für den Schadensersatzanspruch ist damit ein Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines immateriellen Schadens sowie ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 21).
1. Ein Verstoß gegen die Datenschutz-Grundverordnung liegt vor.
a) Für den vom Kläger geltend gemachten Anspruch auf immateriellen Schadensersatz sind sowohl etwaige Verstöße gegen die Datenschutz-Grundverordnung bei der Erhebung personenbezogener Daten durch die Business Tools zu berücksichtigen, die in die gemeinsame Verantwortlichkeit der Beklagten und des Betreibers der Website mit den Business Tools fallen, als auch Verstöße nach Übermittlung dieser Daten an die Beklagte, denn hinsichtlich der insoweit vom Kläger behaupteten Verstöße ist von einem einheitlichen Streitgegenstand auszugehen.
Vom Streitgegenstand werden sämtliche mit der inkriminierten Datenverarbeitung im Zusammenhang stehenden gerügten Verstöße gegen die Datenschutz-Grundverordnung umfasst, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 17). Bei natürlicher Betrachtung können die geltend gemachten Verstöße gegen die Datenschutz-Grundverordnung vor und nach der Übermittlung der Daten an die Beklagte nicht isoliert beurteilt werden, da sie sämtlich in einem einheitlichen Geschehen wurzeln, nämlich der Bereitstellung der Business Tools durch die Beklagte und der Implementierung dieser Tools in die Websites der Drittunternehmer.
b) Gemäß den obigen Ausführungen zum Unterlassungsanspruch verstößt die Beklagte mit der Verarbeitung der ihr via Business Tool übermittelten personenbezogenen Daten des Klägers gegen die Datenschutz-Grundverordnung, da keiner der in Art. 6 Abs. 1 DSGVO genannten Bedingungen für eine Verarbeitung der Daten erfüllt ist. Außerdem liegt ein Verstoß gegen die Datenschutz-Grundverordnung auch in Bezug auf die Erhebung und Übermittlung der personenbezogenen Daten auf den Drittseiten vor, da die Beklagte keinen hinreichenden Vortrag zu der insoweit erforderlichen Einwilligung des Klägers gehalten hat. Hinsichtlich der Websites zeit.de und mueller.de ist ohnehin unstreitig, dass es an einer Einwilligung des Klägers fehlt.
c) Für den Verstoß hinsichtlich der Erhebung der Daten auf den Websites der Drittunternehmer zeit.de und mueller.de ist auch die Beklagte verantwortlich, da diese zusammen mit dem Drittunternehmer gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO ist (vgl. EuGH, Urteil vom 29.07.2019, C-40/17 – „Gefällt mir“-Button – Fashion ID). Dass die schädigende Handlung durch den Drittunternehmer vorgenommen worden ist und nicht durch die Beklagte, steht der Haftung nicht entgegen, denn bei gemeinsam Verantwortlichen genügt es, dass der andere beteiligte Verantwortliche eine schädigende Handlung vorgenommen hat (Auernhammer/Schürmann/Baier, aaO., Art. 82, Rn. 16).
Zur Entlastungsmöglichkeit nach Art. 82 Abs. 3 DSGVO wird auf die nachfolgenden Ausführungen unter 4. verwiesen.
2. Dem Kläger ist auch ein Schaden entstanden.
a) Der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO umfasst negative Gefühle wie beispielsweise Sorge oder Ärger, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet und die
- durch einen Verlust der Kontrolle über diese Daten,
- ihre mögliche missbräuchliche Verwendung oder
- eine Rufschädigung
hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen diese Verordnung empfindet (EuGH, Urteil vom 04.09.2025, C-655/23, GRUR-RS 2025, 22639, Rn. 64).
b) Ein Schaden besteht hier in Form eines Kontrollverlusts. Hiergegen kann nicht eingewandt werden, dass die Daten nur an die Beklagte weitergegeben wurden, nicht an sonstige Dritte. Der Bundesgerichtshof hat einen Kontrollverlust auch in einem Fall bejaht, in dem die Personalaktenverwaltung von Bundesbeamten unzulässigerweise durch Bedienstete des Landes Niedersachsen vorgenommen wurde (BGH, NJW 2025, 1656, Rn. 14 f.). Der Umstand, dass die Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, stand der Annahme eines Schadens dabei nicht entgegen (BGH, aaO., Rn. 16). Hinzu kommt, dass der Kläger nicht ansatzweise überblicken kann, welche Dimension die Datenverarbeitung durch die Beklagte hat (vgl. OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 341) und dass der Kläger keine Möglichkeit hat, durch eigenes Handeln die Kontrolle über die Daten zurückzuerlangen, da weder durch die Änderung der Datenschutzeinstellungen noch durch die Löschung seines Kontos eine vollumfängliche Löschung der bei der Beklagten gespeicherten Daten möglich wäre (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris, Rn. 197). Angesichts dessen kann ein Kontrollverlust durch die unberechtigte Übermittlung personenbezogener Daten an die Beklagte nicht verneint werden.
Ein anderer Schaden im Sinne der Rechtsprechung des EuGH ist nicht ersichtlich. Eine Rufschädigung durch die Speicherung der an die Beklagte übermittelten Daten scheidet ebenso aus wie die Sorge über eine mögliche missbräuchliche Verwendung der Daten. Derartige Folgen hat der Kläger weder vorgetragen noch nachgewiesen.
3. Auch der erforderliche Kausalzusammenhang zwischen dem Schaden und dem Verstoß der Beklagten besteht. Würde die Beklagte die ihr via Business Tools übermittelten personenbezogenen Daten des Klägers nicht verarbeiten und insbesondere auch nicht speichern, hätte der Kläger bzgl. dieser Daten keinen Kontrollverlust erlitten.
4. Gem. Art. 82 Abs. 3 DSGVO wird der Verantwortliche von der Haftung gem. Art. 82 Abs. 2 DSGVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Mit Verantwortung ist das Verschulden im Sinne der deutschen Rechtsterminologie gemeint und nicht die datenschutzrechtliche Verantwortlichkeit (Quaas in BeckOK Datenschutzrecht, 55. Ed., Stand 01.02.2026, DSGVO, Art. 82, Rn. 17; Aliprandi, Datenschutzrechtlicher Schadensersatz nach Art. 82 DS-GVO, S. 448).
Hinsichtlich der Datenverarbeitung durch die Beklagte selbst kommt eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO ersichtlich nicht in Betracht. Für ein fehlendes Verschulden der Beklagten ist nichts vorgetragen.
Gleiches gilt im Ergebnis für die Erhebung und Übermittlung der personenbezogenen Daten des Klägers durch die Drittunternehmer.
Nicht zu folgen ist insoweit allerdings der in der Kommentarliteratur teilweise vertretenen Ansicht, dass dem gemeinsam Verantwortlichen die Möglichkeit der Entlastung durch Art. 26 Abs. 3 DSGVO versagt wird (so Auernhammer/Schreibauer, aaO., Art. 26, Rn. 18). Zwar besagt Art. 26 Abs. 3 DSGVO, dass die betroffene Person ungeachtet der Einzelheiten der Vereinbarung der gemeinsam Verantwortlichen ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen kann. Für Schadensersatzansprüche enthält Art. 82 DSGVO in den Absätzen 3 und 4 aber eine speziellere Regelung, die neben einer angelegten gesamtschuldnerischen Haftung dem Verantwortlichen unter den hohen Voraussetzungen des Art. 82 Abs. 3 DSGVO auch einen individuellen Entlastungsbeweis ermöglicht (Spoerr in BeckOK DatenschutzR, aaO., DS-GVO Art. 26 Rn. 63). Ohnehin wird vertreten, dass die Regelung in Art. 26 Abs. 3 DSGVO nur die in Kapitel 3 der DSGVO geregelten Rechte betrifft, d.h. die in Art. 12 bis 23 DSGVO geregelten Rechte (vgl. Bertermann in Ehmann/Selmayr, aaO., Art. 26, Rn. 29), bzw. dass Art. 26 Abs. 3 DSGVO dem Betroffenen zwar die Geltendmachung gegenüber jedem Verantwortlichen ermöglicht, die Verpflichtung zur Erfüllung sich aber nach der getroffenen Vereinbarung richtet (so Piltz in Gola/Heckmannn, DSGVO, 3. Aufl. 2022, Art. 26, Rn. 35 f.).
Die Beklagte hat aber den Nachweis, dass sie in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist, nicht geführt. Die Beklagte hat insoweit lediglich die gem. Art. 26 DSGVO mit den Drittunternehmern geschlossene Vereinbarung vorgelegt. Dahinstehen kann, ob sie allein deshalb schon davon ausgehen durfte, dass der Betreiber der Website die erforderliche Sorgfalt beim Einholen der Einwilligung walten lässt. Selbst wenn dies der Fall wäre, müsste die Beklagte zumindest darlegen und ggf. beweisen, dass sie keine Kenntnis von der fehlerhaften Implementierung der Business Tools auf den Drittseiten z….de und m….de hatte – etwa aufgrund der Beschwerden anderer Kunden. Hierzu fehlt jeglicher Vortrag.
5. Die Höhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO richtet sich nach nationalem Recht, da die Datenschutz-Grundverordnung keine Regeln für die Bemessung des nach Art. 82 DSGVO geschuldeten Schadensersatzes festlegt. Der Schadensersatz ist daher nach § 287 ZPO unter Beachtung der unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität zu schätzen. Entscheidend ist, welcher Betrag erforderlich ist, um einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherzustellen, wie im 146. Erwägungsgrund der DSGVO ausgeführt, wobei weder der Grad des Verschuldens noch das Bestehen eines Unterlassungsanspruchs anspruchsmindernd zu berücksichtigen sind (vgl. EuGH, Urteil vom 04.09.2025, C-655/23, Rn. 69, 72 f., 83).
Zu berücksichtigen ist insoweit, dass die Datenverarbeitung durch die Beklagte besonders umfassend ist, da sie potenziell unbegrenzte Daten über die Online-Aktivitäten ihrer Nutzer betrifft, und das Gefühl auslösen kann, dass das Privatleben der Nutzer kontinuierlich überwacht wird (OLG Dresden, aaO., Rn. 197; OLG Jena, Urteil vom 02.03.2026, 3 U 31/25, BeckRS 2026, 2610, Rn. 156). Insbesondere besteht die Gefahr, dass die Beklagte auch bei verweigerter Einwilligung die über die Business Tools erlangten Daten zur Erstellung eines detaillierten Profils des Nutzers verwendet (OLG Dresden, aaO., Rn. 197). Zudem ist aus Sicht des Klägers nicht auszuschließen, dass auch besonders sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO, etwa Gesundheitsdaten oder Daten zur sexuellen Orientierung, von der streitgegenständlichen Datenverarbeitung betroffen sind, denn für eine Übermittlung sensibler Daten genügt es schon, dass der Kläger auf einer Seite wie zeit.de Artikel mit entsprechenden Themen anklickt, und dem Kläger dürfte es wie jedem sonstigen Internet-Nutzer nicht möglich sein, seine Bewegungen im Internet im Nachhinein im Detail nachzuvollziehen (vgl. OLG Jena, Urteil vom 02.03.2026, 3 U 31/25, BeckRS 2026, 2610, Rn. 90). Das Gefühl umfassender Beobachtung kann insoweit dazu Anlass geben, davon abzusehen, derartige Artikel anzuklicken bzw. Webseiten mit derartigen Themen aufzusuchen (vgl. OLG Dresden, aaO., Rn. 197; OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 356).
Der Senat hält aus diesen Gründen einen Schadensersatzbetrag in Höhe von 500,00 € für angemessen.
6. Ein weitergehender Schadensersatzanspruch steht dem Kläger auch unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts nicht zu.
Der Umstand, dass dem Kläger ein Schadensersatzanspruch nach Art. 82 DSGVO zusteht, schließt einen Schadensersatzanspruch nach Art. 823 Abs. 1 BGB wegen Verletzung des allgemeinen Persönlichkeitsrechts nicht aus (BGH, Urteil vom 29.07.2025, VI ZR 426/24, Rn. 36). Das allgemeine Persönlichkeitsrecht umfasst auch das Recht auf informationelle Selbstbestimmung, das gewährleistet, dass Informationen über eine Person vor intransparenter Verarbeitung und Nutzung durch Private geschützt sind (Grüneberg/Retzlaff, aaO., § 823, Rn. 132).
Nach der ständigen Rechtsprechung des Bundesgerichtshofs begründet die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung jedoch nur, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Ob eine so schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, kann nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Die Zubilligung einer Geldentschädigung unter den genannten Voraussetzungen findet ihre sachliche Berechtigung in dem Gedanken, dass das Persönlichkeitsrecht gegenüber schwerwiegenden Beeinträchtigungen anderenfalls ohne ausreichenden Schutz bliebe mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmern würde (BGH, Urteil vom 12.03.2024, VI ZR 1370/20, Rn. 70).
Ein schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, der nicht in anderer Weise als durch Zahlung einer Geldentschädigung befriedigend aufgefangen werden könnte, liegt im vorliegenden Fall nicht vor (vgl. OLG Naumburg, aaO., Rn. 366 f.; OLG München, GRUR-RS 2025, 36464, Rn. 116 ff.; OLG Dresden, Urteil vom 17.03.2026, 4 U 709/25, Urteilsumdruck S. 33; OLG Hamm, Urteil vom 09.03.2026, I-8 U 13/25, Urteilsumdruck S. 38; a.A. OLG Dresden, Urteil vom 12.03.2026, Az. 17 U 625/25, Urteilsumdruck S. 68). Zu berücksichtigen ist, dass der Kläger für den datenschutzrechtlichen Verstoß der Beklagten bereits immateriellen Schadensersatz nach Art. 82 DSGVO erhält. Die vom Kläger erlittene Beeinträchtigung wird ferner dadurch aufgefangen, dass im vorliegenden Verfahren die Verarbeitung der ihr via Business Tool übermittelten Daten des Klägers untersagt wird (vgl. OLG München, GRUR-RS 2025, 36464, Rn. 121). Außerdem ist zu berücksichtigen, dass der Kläger nach wie vor I... nutzt und allein dadurch der Beklagten schon unzählige Daten liefert.
7. Der Schadensersatzbetrag von 500,00 € ist gem. §§ 291 Abs. 1, 288 Abs. 1 Satz 2 BGB ab Rechtshängigkeit, d.h. ab dem 20.01.2024 mit 5 Prozentpunkten über dem Basiszinssatz zu verzinsen. Ein weitergehender Anspruch auf Verzinsung bereits ab dem 05.12.2023 besteht nicht, da der Kläger den von der Beklagten bestrittenen Zugang seiner Mahnung vom 06.11.2023 nicht nachgewiesen hat.
Das OLG Jena hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools zugesprochen.
Die Pressemitteilung des Gerichts: Meta-Konzern zu Schadensersatz verurteilt
Der 3. Zivilsenat des Oberlandesgerichts Jena hat durch ein heute verkündetes Urteil den Meta-Konzern zur Zahlung von Schadensersatz wegen Datenschutzverstößen verurteilt.
Nach den Feststellungen des Senats ermöglichen dem Konzern die von ihm an Webseiten- und App-Betreibern verteilten Business Tools eine weitreichende Nachverfolgung der Internetnutzung durch die Mitglieder seiner sozialen Netzwerke. Dabei fallen auch sensible personenbezogene Daten wie etwa zu Gesundheitsfragen an, beispielsweise wenn ein Nutzer zu psychischen Störungen recherchiert, über Arztportale nach therapeutischer Hilfe sucht oder in einer Online-Apotheke Medikamente bestellt. Die Erfassung und Speicherung solcher Daten findet dabei grundsätzlich auch dann statt, wenn die Betroffenen nicht im sozialen Netzwerk eingeloggt sind und keine wirksame Einwilligung in die Datenübermittlung erteilt haben.
Der Senat ist zu dem Schluss gekommen, dass diese Datenverarbeitung durch Meta nicht gerechtfertigt ist, sondern ein System anlassloser Datensammlung darstellt, das Grundprinzipien des europäischen Datenschutzrechts wie Transparenz, Zweckbindung und Datenminimierung widerspricht. Er hat dem klagenden Verbraucher 3.000 € Schadensersatz zugesprochen, wobei er die Höhe mit einer langanhaltenden und weitreichenden Aufzeichnung eines beträchtlichen Teils seines Privatlebens begründet.
Neben Schadensersatz ist der Meta-Konzern auch zu einer umfassenden Erteilung einer Auskunft über die von ihm gesammelten personenbezogenen Daten des Klägers sowie zu deren Löschung verurteilt worden.
Das Urteil ist noch nicht rechtskräftig. Der Senat hat die Revision zum Bundesgerichtshof zugelassen.
OLG Naumburg
Urteil vom 05.02.2026 - 9 U 124/24
Urteil vom 05.02.2036 - 9 U 44/25
Das OLG Naumburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool seitens Meta gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.200 EURO bzw. 1.250 EURO Schadensersatz aus Art. 82 DSGVO und auch einen Unterlassungsanspruch bejaht.
Die Pressemitteilung des Gerichts: Schadensersatz wegen unerlaubter Datenverarbeitung durch Meta
Der 9. Zivilsenat des Oberlandesgerichts Naumburg hat durch zwei am heutigen Tage verkündete Urteile den Klägern Schadensersatz wegen unerlaubter Datenverarbeitung durch Unternehmen des Meta-Konzerns zugesprochen.
Meta konnte nach den Feststellungen des Senats bis zum 3. November 2023 mithilfe seiner Business Tools jeden Klick, jede Suche und jeden Kauf auf Tausenden von Webseiten und Apps nachverfolgen. Dazu mussten die Betroffenen nicht bei Facebook oder Instagram eingeloggt sein. Meta habe diese Daten unbemerkt und ohne Zustimmung der Nutzer genutzt. Nach Einführung der Abonnement-Variante sei die Datenübertragung je nach Einstellung der Nutzer differenzierter erfolgt. Sie führe jedoch nach wie vor zu einer umfassenden Datennutzung durch die Beklagte. Diese Datenverarbeitung sei rechtswidrig, verstoße gegen den Grundsatz der Datenminimierung und sei nicht von einer Einwilligung oder sonstigen Rechtfertigungs-gründen gedeckt. Der zugesprochene Schadensersatz belief sich in einem Fall auf 1.200 € und im anderen auf 1.250 €.
Neben dem Schadensersatz verurteilte der 9. Zivilsenat den Meta-Konzern zu einer generellen, umfassenden Unterlassung der Datenverarbeitung über die Business Tools sowie zur Löschung aller gesammelten Nutzer-Daten. Außerdem wurde die Rechtswidrigkeit der Datenverarbeitung festgestellt.
Die Urteile sind rechtskräftig, nachdem der Senat die Revision nicht zugelassen hat und die Beschwer der unterliegenden Partei in beiden Fällen den für die Nichtzulassungsbeschwerde erforderlichen Betrag nicht erreicht.
Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.500 EURO Schadensersatz aus Art. 82 DSGVO und einen Unterlassungsanspruch zugesprochen.
Die Pressemitteilung des Gerichts: Meta Konzern zu Schadensersatz und Unterlassung verurteilt
Der 4. Zivilsenat hat am 03.02.2026 in den ersten vier Parallelverfahren zu den sog. Business-Tools den Meta Konzern zur Zahlung von immateriellem Schadensersatz in Höhe von jeweils 1500,- € sowie zur Unterlassung der Weiterverarbeitung hiermit gewonnener personenbezogener Daten an Nutzer des sozialen Netzwerks "Instagram" verurteilt.
Bei diesen "Business-Tools" handelt sich um Programmschnittstellen, die der Meta-Konzern Unternehmen zur Installation auf deren Webseiten anbietet. Sie dienen dazu, personenbezogene Daten der Webseitennutzer zu sammeln, die die Unternehmen dann mit dem Meta-Konzern teilen. Der 4. Zivilsenat hat sich in den entschiedenen Verfahren die Überzeugung verschafft, dass hierzu die zu einer Datenverarbeitung erforderlichen Einwilligungserklärungen der Nutzer nicht vorgelegen haben und sich die Beklagte hierfür auch nicht auf einen weiteren der nach der Datenschutzgrundverordnung möglichen Rechtfertigungsgründe berufen könne. Durch eine solche Verarbeitung personenbezogener Daten entstehe ein Kontrollverlust, der bei betroffenen Nutzern ein Gefühl der umfassenden Überwachung hervorrufen könne. Dies rechtfertige es, einen immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO auch dann zuzusprechen, wenn der einzelne Nutzer hierdurch keine psychische Beeinträchtigung erlitten habe. Nicht erforderlich sei es hierfür, dass der Nutzer nachweist, Webseiten besucht zu haben, die seine personenbezogenen Daten mit Hilfe dieser Business Tools an den Meta-Konzern weiterleiten.
Die Revision wurde nicht zugelassen. Die Urteile sind damit rechtskräftig.
Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 750 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.
Aus den Entscheidungsgründen: Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.
Der Klägerin steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 750,- € zu (dazu sogleich 4.1.), daneben ein Anspruch auf Feststellung eines Verstoßes gegen den Nutzungsvertrag (dazu 4.2.), Ansprüche auf Unterlassung einer Verarbeitung bestimmter personenbezogener Daten (dazu 4.3.) und auf Erstattung vorgerichtlicher Rechtsanwaltskosten (dazu 4.4.).
Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.
4.1. Der Senat geht davon aus, dass die Klägerin einen einheitlichen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 55) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. ... ... Tools) wurzelt (s. Klageschrift S. 29: "der Verstoß").
Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH "einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind [...] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt [...]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen [...]."
Ein solcher Anspruch besteht vorliegend in Höhe von 750,- €.
4.1.1. Für den Senat steht fest, dass die Beklagte mithilfe der ... ... Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. ...#).
4.1.1.1. Technische Grundlage und Datenschutzeinstellungen
4.1.1.1.1. Über die sog. ... ... Tools ("u.a. ...-Pixel, C# ... (vormals bekannt als ...I), das ... für App Events, Offline-C# ... und die App ...", s. Anlage B5) erhält die Beklagte ...Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.
4.1.1.1.2. Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 31 = Bl. 308 f. LGA) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die ... ... Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 304 ff. LGA) ist es "eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. [...] Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. [...]"
4.1.1.1.3. Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der ... ... Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 35 f. = Bl. 310 f. LGA). Die ... Tools Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.
4.1.1.1.4. Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.
4.1.1.1.4.1. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem ...-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B7, S. 41).
4.1.1.1.4.2. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 62 = Bl. 322 LGA), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 63) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: "die C# ... ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben"; hierzu Duplik, Rz. 60 = Bl. 321 LGA.).
4.1.1.1.4.3. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).
4.1.1.2. Die Klägerin hat im Rahmen ihrer erstinstanzlich erfolgten persönlichen Anhörung erklärt, ihr sei aufgefallen, dass ihr zu zuvor gegoogelten Themen Werbung angezeigt wurde. Sie habe schon zuvor unter einer generalisierten Angststörung gelitten und sei auch schon in psychologischer Behandlung gewesen. Sie google viele Symptome und möchte nicht, dass ein Dritter wisse, wie es um ihre Gesundheit bestellt sei. Ihre generalisierte Angststörung sei dadurch "befeuert" worden (Protokoll der erstinstanzlichen mündlichen Verhandlung vom 06.02.2025, Bl. 482 – 484, dort S. 2 = Bl. 483 LGA).
Die Beklagte hat insoweit mit Nichtwissen bestritten, dass der streitgegenständliche Sachverhalt Thema der Behandlung der Klägerin gewesen wäre (ebd.). Nicht bestritten und damit vom Senat zugrunde zu legen ist die restliche Erklärung der Klägerin, sie google viele Symptome, ihr sei zu gegoogelten Themen Werbung angezeigt worden und ihre bereits zuvor vorhandene generalisierte Angststörung sei durch ihre Aufklärung über den streitgegenständlichen Sachverhalt "befeuert" worden.
4.1.1.2.1. Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps ... ... Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).
4.1.1.2.2. Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein "der ... Pixel [...] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut" sei (Replik, S. 49 = Bl. 191 d.A.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.
4.1.2. Nachdem der Klägerin unstreitig Werbung zu gegoogelten Themen gezeigt wurde (s.o. unter Punkt 4.1.1.2.), liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist, vor.
4.1.2.1. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).
4.1.2.2. Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden "Kontaktinformationen" und/oder "Event-Daten" (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem ... betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, "dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von ... aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird" (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).
4.1.2.3. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IPAdresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: "Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren [...]"; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).
4.1.2.4. Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.
4.1.2.4.1. Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand.
4.1.2.4.2. Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der ... ... Tools in eine Webseite oder App quasi eine "dynamische Verweisung" auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine "gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an ... über gewisse ... ... Tools" besteht, hat die Beklagte eingeräumt (Duplik, Rz. 41, 45 = Bl. 313 f. LGA, vgl. auch die Nutzungsbedingungen für die ... ... Tools in Anlage B5, dort S. 5).
4.1.3. Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.
4.1.3.1. Von Bedeutung ist dabei zunächst, "dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren" (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 23, Fn. 10) selbst auf die sog. Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: "[Es ist] sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. [...] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht."
Das LG Hamburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools auf Drittseiten und -Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen und einen Unterlassungsanspruch gegen Meta bejaht.
Aus den Entscheidungsgründen: Der Antrag zu Ziff. 1) ist auch begründet. Die Beklagte verarbeitet personenbezogene Daten des Klägers. Nach Art. 4 Nr. 2 DSGVO fallen darunter das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.
Die Beklagte empfängt über die M. Business Tools personenbezogene Daten mit denen sie den Nutzer identifizieren kann. Diese Daten gleicht sie mit den bei ihr gespeicherten Benutzerkonten ab. Wenn die Einstellungen es zulassen, werden die Daten für personalisierte Werbung verwendet. Auch wenn dies nicht erfolgt, bleiben die Daten gespeichert und sind weiter mit dem Nutzerkonto verknüpft und gespeichert.
Die auf den Drittseiten eingesetzten M. Business Tools prüfen nicht, wer die Seiten aufruft, sondern schicken sämtliche mittels der M. Business Tools erhobenen Daten an die Server der Beklagten. Dort wird geprüft, ob diese Daten Nutzer der Beklagten betreffen und darüber entschieden, wie sie weiterverarbeitet werden.
Wenn ein Nutzer des Netzwerks Instagram oder Facebook eine Drittseite welche M. Business Tools einsetzt, besucht, übermitteln die Drittfirmen über die derart eingebundenen M. Business Tools personenbezogene Daten an die Beklagte. Dies erfolgt unabhängig davon, ob der Nutzer zu diesem Zeitpunkt die Apps der Beklagten aktiviert hat bzw. dort eingeloggt ist (vgl. LG Lübeck GRUR-RS 2025, 81 Rn. 3, beck-online). Es findet auch statt, wenn die Drittseiten direkt und nicht aus den Programmen der Beklagten aus aufgerufen werden. Dies kann auch stattfinden, wenn die betroffene Person einer Datenübertragung an die Beklagte gegenüber dem Drittanbieter nicht zugestimmt und in die Datenverarbeitung auch gegenüber der Beklagten nicht eingewilligt hat (vgl. LG Lübeck ZD 2025, 228, beck-online). Für den durchschnittlichen Internetnutzer ist nicht erkennbar, ob die jeweilige Webseite mit einem M. Business Tool ausgestattet worden ist (so LG Braunschweig, a.a.O., juris Rn. 101 ff.). Jedenfalls die Erfassung und der Abgleich der Daten findet im jeden Fall statt – auch wenn der Nutzer keine Einwilligung zur Verwendung der Daten für personalisierte Werbung abgegeben hat. Soweit die Beklagte pauschal vorträgt, dass dann keine Datenverarbeitung stattfindet, ist dies nicht nachvollziehbar. Eine anschließende Löschung der übermittelten Daten erfolgt erst nach dem Abgleichprozess, d.h. nachdem sie die mit den Kontaktinformationen übermittelten Event-Daten mit einer Facebook-Nutzer-ID verknüpft hat, so dass eine Zuordnung zum Kläger möglich bleibt.
Die streitgegenständliche Datenverarbeitung ist folglich nicht durch eine etwaig vorhandene Einwilligung zur Bereitstellung personalisierter Werbung gerechtfertigt. Zum einen findet diese Datenverarbeitung unabhängig von einer Einwilligung statt und beschränkt sich zum anderen nicht auf dem in der Einwilligungserklärung genannten Zweck. Sie kann auch nicht durch eine Veränderung der Einstellung durch den Nutzer beeinflusst werden (LG Braunschweig, a.a.O., juris Rn. 112).
Die Beklagte räumt selbst ein, dass sie die von ihr als Off-Site-Daten bezeichnete Daten für Sicherheits- und Integritätszwecke speichere und verwende. Ungeachtet dessen, dass aus den Erläuterungen der Beklagten nicht hervorgeht, welche Maßnahmen damit bezeichnet sind und weshalb und in welchem Umfang dafür eine Verwendung der Daten des Klägers erforderlich ist, gibt es nach den Ausführungen der Beklagten offenbar auch noch weitere Verwendungen. Denn die Formulierung, dass sie die erhobenen Daten „für begrenzte Zwecke wie Sicherheits- und Integritätszwecke verwende“ (Hervorhebung hier) zeigt, dass die genannten Zwecke nur beispielhaft aufgezählt sind (LG Hamburg, a.a.O.).
Auch andere Rechtfertigungsgründe des Art. 6 DSGVO greifen nicht. Die Datenverarbeitung ist insbesondere nicht zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 Unterabsatz 1 b) DSGVO erforderlich. Das Geschäftsmodell der Beklagten zwingt diese nicht, die angebotenen Inhalte zu personalisieren (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 102 nach juris). Erst recht gilt dies für eine Personalisierung anhand der hier allein streitgegenständlichen Off-Site-Daten, denn der Kläger beanstandet ja nicht, dass ihm Inhalte und ggf. auch Werbung auf der Grundlage der von ihm besuchten M.-Seiten vorgeschlagen werden.
Schließlich liegt die Verantwortlichkeit der Datennutzung ab Übermittlung der Daten allein bei der Beklagten. Nach der Übermittlung der Daten liegt die weitere Verwendung der Daten in der Hand der Beklagten. Die Betreiber der Drittwebseiten, die über die M. Business Tools die Nutzungsdaten an die Beklagte weitergeben, sind dann nicht mehr eingebunden.
Soweit die Anträge zu Ziff. 1 b) und c) zusammen mit den in Ziff. 1 a) genannten personenbezogenen Daten erfasst, in Zusammenhang gebracht und gespeichert werden, erfasst der Feststellungsbegehren rechtmäßig auch diese Datenerhebung. Dass dies der Fall sein soll, ergibt sich aus der Zusammenschau und der Formulierung der Anträge, die wiederholt in Zusammenhang mit dem konkreten Nutzungsverhalten des Benutzers/Klägers gebracht werden.
4. Der Antrag zu Ziff. 2 ) ist zulässig und begründet.
Auch ohne ausdrückliche Regelung folgt ein Unterlassungsanspruch aus der DSGVO.
Hierzu werden auf die Ausführung des LG Braunschweig a.a.O. (juris Rn. 81 ff.) Bezug genommen.
„Aus Art. 17 DSGVO kann ein Anspruch auf Unterlassung der Speicherung von Daten folgen (OLG Frankfurt a. M. GRUR 2023,904, Rn. 44 ff.). Aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese künftig nicht (wieder) zu verarbeiten. Auch aus Art. 82 DSGVO kann ein Unterlassungsanspruch erwachsen, soweit ein konkreter Schaden vorliegt (OLG Frankfurt a.a.O. Rn. 47 ff.).
Aus dem generellen Regelungsziel der DSGVO folgt, dass die Rechtsordnung grundsätzlich eine Möglichkeit für von rechtswidrigen Datenverarbeitungsvorgängen betroffenen Personen gegeben sein muss, gegen diese per Unterlassungsklage vorzugehen. Insoweit führt der EuGH (MMR 2024, 1022 – Lindenapotheke) aus, dass generelles Regelungsziel der DSGVO ist, den Betroffenen im europäischen Rechtsraum ein hohes Schutzniveau zu gewährleisten und die praktische Wirksamkeit der DSGVO sicherzustellen (vgl. LG Lübeck ZD 2025, 228 Rn. 50, beck-online).
Deshalb garantiert Art. 79 Absatz 1 DSGVO dem Betroffenen einen "wirksamen gerichtlichen Rechtsbehelf " und unterstützt damit ein maßgebliches Ziel der DSGVO, das – wie nicht zuletzt Satz 1 des 10. Erwägungsgrunds der DSGVO zeigt – in der Etablierung eines hohen Datenschutzniveaus liegt. Das Ziel, einen umfassenden Schutz bei der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten würde unterlaufen und damit zugleich der Grundrechtsschutz beeinträchtigt, wenn dem Betroffenen die Möglichkeit genommen würde, dem Verantwortlichen eine unrechtmäßige Datenverarbeitung für die Zukunft zu verbieten und ihn auf Löschungsansprüche nach Art. 17 DSGVO und Schadensersatzansprüche nach Art. 82 DSGVO zu verweisen (vgl. OLG Dresden ZD 2022, 235 [237, Rn. 29]).
Auch der BGH hat bereits entschieden, dass das in Art. 17 Abs. 1 DSGVO niedergelegte "Recht auf Löschung" schon aufgrund der für den Betroffenen letztlich unwägbaren und zudem stetem Entwicklungsfortschritt unterworfenen technischen Voraussetzungen der beanstandeten Datenverarbeitung nicht auf das schlichte Löschen von Daten zu verengen ist, sondern unabhängig von der technischen Umsetzung auch das Begehren umfasst, eine erneute Erfassung zu unterlassen (BGH GRUR 2022, 258 Rn. 10, 11, beck-online; BGH GRUR 2023, 1724 Rn. 20, beck-online). Daher kann jedenfalls Unterlassung zusammen mit der Löschung verlangt werden. Die Vorlage des BGH an den EuGH (GRUR 2023, 1724) bezieht sich nur auf den, hier nicht gegebenen Fall, dass keine Löschung beantragt ist.
Im Übrigen muss auch Konsequenz des Vorranges der Leistungsklage und der Verneinung des Feststellungsinteresses die Möglichkeit sein, Ansprüche im Wege einer Unterlassungsklage durchzusetzen.
Es kann offenbleiben, ob ein Unterlassungsanspruch sich auch auf nationales Recht (§ 823 BGB, Art 2 GG, § 1004 BGB) stützen lässt (vgl. OLG Nürnberg GRUR-RS 2024, 18386, Rn. 13; OLG Dresden ZD 2022, 235 [237, Rn. 29]; OLG Stuttgart, ZD 2022, 105, Rn. 2; OLG Köln MMR 2020, 186 [187, Rn. 28]; LG Augsburg 082 O 262/24 Anl. 2 zum SS v. 09.04.2025 in 9 O 2615/23).“
Der Antrag ist hinreichend bestimmt. Der Kläger kann, wie hier geschehen, sich allgemein gegen die Verarbeitung seiner Daten wenden.
Wie bereits dargelegt, ist die streitgegenständliche Datenverarbeitung rechtswidrig und verstößt gegen die Regelungen der Datenschutzgrundverordnung. Insbesondere kann sich die Beklagte auf keinen Rechtfertigungsgrund stützen. Da hier die Unterlassung direkt aus der Datenschutzgrundverordnung hergeleitet wird, kommt es auf eine Verletzung des Allgemeinen Persönlichkeitsrechts in Form des Rechts auf Informationelle Selbstbestimmung nicht an. Wenn der Unterlassungsanspruch allein auf nationales Recht (§§ 1004, 823 Abs. 1 BGB) gestützt werden müsste, wäre ein konkrete Rechtsgutsverletzung Voraussetzung für die Unterlassung.
5. Der Antrag zu Ziff. 3) ist teilweise begründet. Dem Kläger steht eine Geldentschädigung in Höhe von 3.000,00 € gemäß Art. 82 Abs. 1 DSGVO zu.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Zu den Voraussetzungen des Anspruchs hat das LG Braunschweig ausgeführt:
„Der Kläger hat auch einen immateriellen Schaden erlitten. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DSGVO reicht nach der Rechtsprechung des EUGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich.
Weiter hat der EUGH ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.
Schließlich hat der EUGH in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass "[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen Verlust der Kontrolle über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 28 ff. m. w. N. zur Rechtsprechung des EuGH).
Die betroffene Person muss den Nachweis erbringen, dass sie einen solchen – das heißt in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH ECLI:EU:C:2024:536 Rn. 33 = DB 2024, 1676 = GRUR-RS 2024, 13978 – PS GbR; Senat NJW 2025, 298 Rn. 31 mwN = DB 2024, 3091). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH NJW 2025, 298 Rn. 31 = DB 2024, 3091; BGH NJW 2025, 1060 Rn. 16, 17, beck-online).
Nach diesen Maßstäben liegt es in diesem Fall auf der Hand, dass der Kläger einen solchen Kontrollverlust erlitten hat. Die Beklagte hat personenbezogene Daten des Klägers über die streitgegenständlichen MBT ohne eine Einwilligung verarbeitet und bei sich gespeichert. Damit geht denknotwendigerweise einher, dass der Kläger nicht weiß, welche Daten dies sind und er daher einen Kontrollverlust über ihn betreffende personenbezogene Daten erlitten hat.
Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kläger unbekannten Datenspeicherung bei der Beklagten und somit zu dem immateriellen Schaden in Form des Kontrollverlusts.“
(LG Braunschweig, a.a.O., juris Rn. 193 ff.)
Bei der Bemessung der Höhe der Entschädigung ist zu berücksichtigen, dass die streitgegenständliche Datenverarbeitung angesichts der Vielzahl der Webseiten, die M. Business Tools verwenden, einen erheblichen Umfang einnimmt und diese Tools seit Jahren verwendet werden. Anders als bei den sog. „Hacking-Fällen“ handelt es sich gerade nicht um ein einmaliges Ereignis. Ferner dienen die M. Business Tools allein dem Zweck der Zuordnung der Internetnutzung auf einen bestimmten Nutzer und werden hierfür von der Beklagten zielgerichtet angeboten. Auch hier unterscheidet sich die Verletzungshandlung von den sog. „Hacking-Fällen“, bei denen den Webseitenbetreibern in der Regel lediglich ein Fahrlässigkeitsvorwurf zu machen ist. Vor dem Hintergrund erscheint der tenorierte Schadensersatzanspruch angemessen aber auch ausreichend, um der Genugtuungsfunktion des immateriellen Schadensersatzanspruchs Rechnung zu tragen.
Da der Schadensersatzanspruch sich bereits aus Art. 82 Abs. 1 DSGVO ergibt, kann hier offenbleiben, ob darüber hinaus der Kläger seinen Anspruch auch auf § 823 Abs. 1 BGB hätte stützen können.
II.
I. Die Nebenforderungen sind teilweise begründet.
1. Verzugszinsen stehen dem Kläger erst ab Rechtshängigkeit gemäß §§ 291, 288 Abs. 1 BGB zu. Da die Beklagte, die den Zugang des als Anlage K3 eingereichten Schreibens bestreitet, zuvor in Schuldnerverzug geraten ist, ist nicht nachgewiesen.
2. Der Freistellungsanspruch ist teilweise begründet. Rechtsgrundlage für die Erstattung der Rechtsanwaltskosten ist Art. 82 DSGVO, da es sich um Kosten handelt, die der Kläger aufgrund der rechtswidrigen Datenverarbeitung eingegangen ist. Ob die Beklagte das Schreiben der klägerischen Anwälte erhalten hat, kann für diesen Anspruch dahinstehen. Denn die vorgerichtliche Tätigkeit ist auch dann zu vergüten, wenn das Schreiben die Beklagte nicht erreicht haben sollte. Es ist auch nicht davon auszugehen, dass der Kläger seinen späteren Prozessbevollmächtigten einen unbedingten Klagauftrag erteilt hat. Das vorgerichtliche Schreiben diente nicht der Schaffung einer Klagvoraussetzung, sondern war darauf ausgerichtet, mit einer beigefügten Verpflichtungserklärung eine gerichtliche Auseinandersetzung zu vermeiden. Es gibt keinen Grund zu der Annahme, dass der Kläger seine Anwälte auch für den Fall, dass die Beklagte diese Erklärung unterzeichnet hätte, mit einer Klage beauftragt hat; insbesondere lässt der Umstand, dass die Klägervertreter in mehreren tausend Fällen ähnliche Schreiben verschickt haben, nicht den Schluss zu, dass ein außergerichtlicher Abschluss der einzelnen Verfahren nicht in Betracht gekommen wäre. Sofern die Klägervertreter hingegen nur bedingt, also für den Fall, dass eine vorgerichtliche Einigung nicht zustande kommt, mit einer Klage beauftragt worden waren, hinderte sie dies nicht, eine Gebühr nach Nr. 2300 VV RVG in Rechnung zu stellen (BGH, Urt. v. 26.2.2013 – XI ZR 345/10, BKR 2013, 283, Rn. 37 nach juris).
Das Bestreiten der Beklagten, dass die mit dem Klagantrag geltend gemachten Kosten entstanden seien, steht dem Anspruch ebenfalls nicht entgegen. Dass die Gebühr angefallen ist, ergibt sich aus dem RVG. Soweit das Bestreiten darauf zielt, dass die Kosten bislang nicht bezahlt wurden, ist dies für den hier geltend gemachten Freistellungsanspruch keine Voraussetzung.
Der Höhe nach ist eine 1,3-Gebühr nebst Kommunikationspauschale und Umsatzsteuer nach einem Gegenstandswert von 7.000 € ersatzfähig. Gegenstand des vorgerichtlichen Schreibens war die Geltendmachung eines Auskunfts- und Löschungsanspruchs sowie die Zahlung einer Entschädigung in Höhe von 5.000,00 €.
Das LG Berlin II hat in mehreren Fällen Facebook / Meta zur Auskunftserteilung, Löschung und Zahlung von Schadensersatz an die jeweiligen Betroffenen wegen datenschutzwidriger Erhebung und Verarbeitung personenbezogener Daten über die Meta Buisness Tools verurteilt.
Die Pressemitteilung des Gerichts: Landgericht Berlin II verpflichtet Meta in sechs Fällen unter anderem zur Auskunft, Löschung von Daten und Schadensersatz
Das Landgericht Berlin II hat in sechs Urteilen vom 4. April 2025 den Klagen mehrerer Personen gegen Meta unter anderem auf Auskunft über und Anonymisierung bzw. Löschung ihrer über die Meta Business Tools erhobenen personenbezogenen Daten stattgegeben und ihnen zudem eine Schadensersatzzahlung in Höhe von jeweils 2.000 € zugesprochen.
Die Kläger*innen machen jeweils geltend, dass die Beklagte alle digitalen Bewegungen auf Webseiten und mobilen Apps sämtlicher Nutzer*innen von Facebook und Instagram auslese und aufzeichne, wenn die Dritt-Webseiten und Apps die Meta Business Tools installiert haben. Die Meta Business Tools erlauben die so gesammelten Daten mit einem einmal angelegten Nutzerkonto zu verbinden und so ein Profil über Personen anzulegen, das etwa ihre politische und religiöse Einstellung, ihre sexuelle Orientierung oder etwa Erkrankungen erfassen kann. So könnten z. B. Informationen über Bestellungen bei Apotheken, Angaben zu problematischem Suchtverhalten oder bei dem Wahl-O-Mat ausgelesen werden. Es sei unklar, mit wem die Beklagte die so erstellten Profile teile.
Der Einsatz der Meta Business Tools auf Webseiten und Apps ist dabei nur eingeschränkt erkennbar. Schätzungen gehen davon aus, dass diese bei mindestens 30 bis 40 Prozent der Webseiten weltweit und auf der überwiegenden Mehrzahl der meistbesuchten 100 Webseiten in Deutschland zum Einsatz kommen. Dies erfolge nicht nur ohne, sondern auch gegen den ausdrücklichen Willen der Nutzer*innen.
Die Beklagte wendet dagegen ein, die Drittunternehmen seien für die Installation und Nutzung der Business Tools und somit für die Offenlegung der Daten verantwortlich. Sie selbst nehme eine Datenverarbeitung jedenfalls zur Bereitstellung personalisierter Werbung nur vor, wenn die Nutzer*innen ausdrücklich hierin einwilligen. Anderenfalls würden übermittelte Daten nur für begrenzte Zwecke, wie Sicherheits- und Integritätszwecke, genutzt.
In der mündlichen Verhandlung wies das Gericht darauf hin, dass den Kläger*innen der Auskunftsanspruch aus Art. 15 Abs. 1 Datenschutzgrundverordnung (DSGVO) zustehe, da die Beklagte die über die Meta Business Tools erhaltenen personenbezogenen Daten der Kläger*innen zur Erstellung von Persönlichkeitsprofilen verarbeitet und gespeichert habe. Der Löschungs- bzw. Anonymisierungsanspruch bestehe nach Art. 17 Abs. 1 DSGVO, da für die Datenverarbeitung keine Rechtsgrundlage bestehe. Hierfür lägen keine Einwilligungen der Kläger*innen vor. Wegen der Verstöße gegen die DSGVO stünden den Kläger*innen zudem Ansprüche auf Schadensersatz nach Art. 82 DSGVO zu. Für die weiteren Einzelheiten müssen die schriftlichen Urteilsgründe abgewartet werden.
Die Urteile sind noch nicht rechtskräftig. Es kann dagegen Berufung beim Kammergericht innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe eingelegt werden.
Das LG Stuttgart hat entschieden, dass die Speicherung von Meta Business Tools Off-Site-Daten durch Facebook datenschutzwidrig ist, wenn dies ohne Einwilligung des Nutzers erfolgt.
Aus den Entscheidungsgründen: Soweit die Klage zulässig ist, ist sie teilweise begründet.
1. Der Klageantrag Ziffer 3 ist unbegründet. Der Kläger hat keinen Anspruch darauf, dass die Beklagte seine personenbezogenen Daten unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert.
a) Soweit der Kläger sich zur Begründung dieses Anspruchs darauf stützt, dass nach Art. 18 Abs. 2 DSGVO Daten nur mit seiner Einwilligung verarbeitet werden dürfen, wobei unter Verarbeitung gemäß Art. 4 Nr. 2 DSGVO auch die Löschung falle, greift das nicht durch.
Tatbestandlich setzt ein Anspruch nach Art. 18 Abs. 2 DSGVO voraus, dass die Verarbeitung gemäß Art. 18 Abs. 1 DSGVO eingeschränkt wurde. Dabei kann vorliegend dahinstehen, ob die Voraussetzungen des Art. 18 Abs. 1 Buchst b DSGVO vorliegen und der Kläger deshalb von der Beklagten eine Einschränkung der Verarbeitung verlangen kann. Denn unabhängig davon ist die Verarbeitung jedenfalls derzeit nicht eingeschränkt im Sinne von Art. 4 Nr. 3 DSGVO. Denn gemäß Art. 4 Nr. 3 DSGVO ist eine Einschränkung der Verarbeitung die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Wie sich aus Erwägungsgrund 67 der DSGVO ergibt, muss für eine Einschränkung der Verarbeitung durch Einrichtung geeigneter Verfahren bzw. technische Maßnahmen ferner sichergestellt sein, dass die markierten Daten nur noch für eingeschränkte Zwecke nach Art. 18 Abs. 2 DSGVO verarbeitet werden (vgl. Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 29). Die bei der Beklagten gespeicherten personenbezogenen Daten des Klägers erfüllen diese Anforderungen nicht und sind somit nicht in der Verarbeitung eingeschränkt.
Selbst wenn dem Kläger ein Anspruch auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 Buchst b DSGVO zustehen sollte, hat er derzeit keinen Anspruch nach Art. 18 Abs. 2 DSGVO, da dies voraussetzen würde, dass die Verarbeitung der Daten zuvor bereits eingeschränkt wurde. Dies ergibt sich sowohl aus dem Wortlaut der Norm („Wurde die Verarbeitung eingeschränkt…“) als auch der systematischen Unterscheidung in Art. 18 Abs. 1 und Abs. 2 DSGVO zwischen den zeitlich und inhaltlich aufeinander aufbauenden Ansprüchen des Betroffenen. Die Rechte aus Art. 18 Abs. 2 DSGVO stehen dem Betroffenen daher erst dann zu, nachdem die Verarbeitung nach Art. 18 Abs. 1 DSGVO eingeschränkt wurde (Herbst in Kühling/Buchner DSGVO/BDSG, 4. Aufl., Art. 18 DSGVO Rn. 34), woran es im Streitfall gerade fehlt.
b) Dem Kläger steht auch nicht aus § 1004 BGB iVm § 823 Abs. 1 BGB ein Anspruch darauf zu, dass die Beklagte seine personenbezogenen Daten ab sofort unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert.
Dabei kann vorliegend dahinstehen, ob ein Unterlassungsanspruch des nationalen Rechts neben der DSGVO anwendbar ist oder ob diese insoweit Sperrwirkung entfaltet. Wird die Anwendbarkeit eines Unterlassungsanspruchs im rechtlichen Ausgangspunkt zu Gunsten des Klägers unterstellt, so besteht ein Unterlassungsanspruch jedenfalls in der Sache nicht. Denn die Beklagte ist gerade nach dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 Buchst e DSGVO verpflichtet, die Speicherung personenbezogener Daten zeitlich auf das notwendige Mindestmaß zu begrenzen. Außerhalb des Anwendungsbereichs des Art. 18 Abs. 2 DSGVO stünde es in Widerspruch zu diesem gesetzlichen Grundsatz, wenn man dem Verantwortlichen die Löschung der Daten verbieten würde.
2. Der Klageantrag Ziffer 4 ist begründet.
a) In tatsächlicher Hinsicht steht auf der Grundlage der Parteianhörung des Klägers zur vollen Überzeugung des Gerichts (§ 286 ZPO) fest, dass die Beklagte auf Drittwebseiten oder Apps angefallene Daten des Klägers speichert.
Wie der Kläger im Rahmen der Parteianhörung glaubhaft angegeben hat, besucht er regelmäßig die Internetseite bild.de. Überdies hat er den Vorhalt seines Prozessbevollmächtigten auf der Grundlage der diesem gegenüber schriftlich gemachten Angaben des Klägers bestätigt, dass er gelegentlich die Websites PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com nutze. Es handelt sich hierbei sämtlich um Internetseiten, welche Facebook Business Tools installiert haben. Damit steht fest, dass es in der Vergangenheit zur Übermittlung von auf diesen Seiten angefallenen Daten des Klägers an die Beklagte gekommen ist.
b) Es kann dahinstehen, ob die bloße Entgegennahme von Daten, welche Drittunternehmen der Beklagten im Rahmen der Facebook Business Tools übermittelt haben, als „Erheben“ von Daten durch die Beklagte im Sinne von Art. 4 Nr. 2 DSGVO anzusehen ist und ob im Hinblick auf die Übermittlung personenbezogener Daten des Klägers die Betreiber der Drittwebseiten oder Apps hierzu die Einwilligung des Klägers eingeholt haben. Denn jedenfalls speichert die Beklagte die Daten, wofür sie sich nicht auf eine vom Anbieter der Drittwebseite oder App eingeholte Einwilligung berufen kann.
aa) Social-Media-Anbieter wie die Beklagte sind bei der Erhebung von Off-Site-Daten gemeinsam mit Drittunternehmen Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für den Datenerhebungsvorgang (EuGH, Urteil vom 29.07.2019 – C-40/17, GRUR 2019, 977 Rn. 81 ff.). Es obliegt jedoch nicht dem Social-Media-Anbieter, sondern (nur) dem Drittunternehmen als Initiator des Datenverarbeitungsprozesses, die Einwilligung der betroffenen Person einzuholen (EuGH, aaO Rn. 102). Dieser Differenzierung liegt die Vorstellung zugrunde, dass die gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge hat, und dass der Grad der Verantwortlichkeit jedes Mitverantwortlichen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (EuGH, aaO Rn. 70). Sollten die vom Kläger besuchten Drittwebseiten sowie Apps die Einwilligung des Klägers zur Weiterleitung von Daten an die Beklagte eingeholt haben, so rechtfertigte dies die Entgegennahme der Daten durch die Beklagte folglich auch dann, wenn dieser Vorgang auch in der Person der Beklagten als „Erheben“ von Daten zu qualifizieren sein sollte.
bb) Ob der Kläger beim Besuch von Drittwebsites oder der Benutzung von Apps, die Meta Business Tools eingebunden haben - namentlich der regelmäßigen Nutzung von bild.de sowie der gelegentlichen Nutzung von PayPal.com, jameda.de, shop-apotheke.de, eventim.de, ikea.de, zalando.de und netflix.com - seine Einwilligung erteilt hat, dass Daten über seine „Events“ an die Beklagte weitergeleitet werden, ist offen.
Soweit die Beklagte vorbringt, dass nach der mit ihrem jeweiligen Vertragspartner der Meta Business Tools getroffenen Vereinbarung es diesem obliege, die für die Weiterleitung von Daten erforderliche Einwilligung beim jeweiligen Nutzer der Website oder App einzuholen, bestehen erhebliche Zweifel, ob die Beklagte mit der Bereitstellung der Meta Business Tools tatsächlich das Ziel verfolgt, nur im Falle positiv erteilter Einwilligung Daten übermittelt zu erhalten. Die technische Ausgestaltung der Meta Business Tools legt eher die Annahme nahe, dass die Datenübermittlung in jedem Fall stattfinden solle. Denn ihren Vertragspartnern der Meta Business Tools stellt die Beklagte Cookies („fbc“ und „fbc“) zur Verfügung, welche auf den Websites der Vertragspartner als eigene Cookies („First Party Cookies“) installiert werden können. Blockiert ein Nutzer in seinem Browser Drittanbietercookies („Third Party Cookies“), so können diese von der Beklagten bereitgestellten Cookies gleichwohl gesetzt werden, weil es sich nicht in diesem Sinne um Drittanbietercokies handelt. Damit erfüllen die Meta Business Tools ihre Funktion der Weiterleitung von Daten auch dann, wenn beim Surfen im Internet sensibilisierte Einstellungen zum Schutz der Privatsphäre vorgenommen werden, was typischerweise keine Einwilligung zur Weiterleitung von Daten vermuten lässt. Auch bewirbt die Beklagte ihre sog. Conversions API gerade damit, dass dieses Tool Events von Nutzern aggregieren kann, die sich gegen die Nutzung ihrer Daten entscheiden haben (sog. Meta Playbook der Beklagten, Anlage K 11, S. 23).
cc) Entscheidend kommt es nicht darauf an, ob der Beklagten Daten des Klägers ohne seine Einwilligung weitergeleitet worden sind. Denn jedenfalls fehlt die erforderliche Einwilligung des Klägers in die Speicherung der Daten durch die Beklagte.
(1) Wird unterstellt, dass die Vertragspartner der Beklagten im Rahmen der Meta Business Tools auf allen vom Kläger besuchten Websites oder verwendeten Apps die Einwilligung des Klägers in die Weiterleitung von Daten an die Beklagte eingeholt haben, so bedarf die Speicherung dieser Daten gleichwohl einer gesonderten Rechtfertigung. Denn die Speicherung von Daten als Aufbewahrung zum Zweck weiterer Verarbeitung oder Nutzung stellt nach Art. 4 Nr. 2 DSGVO einen eigenständigen Fall der Datenverarbeitung dar, wobei im Hinblick auf die Speicherung die Beklagte nicht mehr gemeinsam mit dem Drittunternehmen handelt, sondern die Speicherung allein durch die Beklagte erfolgt. Auch die Beklagte selbst bringt zutreffend vor, dass es nach der Übermittlung von Daten durch Drittunternehmen an die Beklagte der Beklagten obliege, für die anschließende Verarbeitung dieser Daten eine eigene Rechtsgrundlage nach Art. 6 DSGVO herzustellen (Duplik vom 03.12.2024 Rn. 40 = eAkte Bl. 365).
Soweit die Beklagte in der Klageerwiderung und in der Duplik die Auffassung vertreten hat, die vom Kläger beanstandete Datenverarbeitung finde gar nicht statt, weil die Beklagte aufgrund der vom Kläger verweigerten Einwilligung beim Kläger Off-Site-Daten nicht für personalisierte Werbung nutze, geht dies jedoch am Klägervortrag vorbei. Denn der Kläger hat der Beklagten bereits in der Klageschrift (S. 27 = eAkte Bl. 27) vorgeworfen, dass die Beklagte lediglich die Möglichkeit biete, der Nutzung der Daten für personalisierte Werbung zu widersprechen, jedoch der Sammlung und Speicherung der Daten nicht widersprochen werden könne. Dass die Beklagte die ihr übermittelten Off-Site-Daten speichert, auch wenn ein Facebook-Nutzer - wie der Kläger - in deren Nutzung für die Anzeige personalisierter Werbung nicht eingewilligt hat, ist in tatsächlicher Hinsicht jedenfalls zuletzt unstreitig (Schriftsatz der Beklagten vom 17.01.2025 = eAkte Bl. 544).
(2) Es liegt weder eine Einwilligung des Klägers in die Datenspeicherung vor (Art. 6 Abs. 1 Buchst a DSGVO), noch ist die Speicherung durch eine der in Art. 6 Abs. 1 Buchst b bis f DSGVO genannten Tatbestände gerechtfertigt.
Die Notwendigkeit für die Erfüllung eines Vertrags oder vorvertragliche Maßnahmen gemäß Art. 6 Abs. 1 Buchst b DSGVO kommt schon deshalb nicht in Betracht, weil die Beklagte es ihren Nutzern gerade freistellt, ob die Off-Site-Daten für nutzerspezifische Werbung verwendet werden dürfen. Damit ist die Nutzung von Off-Site-Daten kein notwendiger Bestandteil des Vertragsverhältnisses, was die Beklagte auch nicht behauptet hat. Dass eine Ansammlung der Daten, welche bei - wie im Streitfall - verweigerter Einwilligung für personalisierte Werbung gar nicht zur Verfügung stehen, zur Erfüllung des Vertragsverhältnisses über ein Facebook-Konto aus anderen Gründen notwendig wäre, hat die Beklagte nicht dargelegt.
Die Speicherung ist auch nicht zur Wahrung der berechtigten Interessen der Beklagten erforderlich (Art. 6 Abs. 1 Buchst f DSGVO). Soweit die Beklagte vorgebracht hat, sie speichere die Off-Site-Daten, um die Sicherheit ihrer Server zu schützen und um sicherzustellen, dass Kriminelle die streitgegenständlichen Business Tools nicht ausnutzen, um über diese Produkte Spam, Scraping oder andere Cyberangriffe durchzuführen, wird der Rechtfertigungstatbestand berechtigter Interessen nicht schlüssig dargelegt. Es erscheint geradezu widersinnig, dass die Beklagte deshalb über bei ihr gespeicherte Daten verfügen müsste, um die missbräuchliche Verwendung eben dieser Daten zu bekämpfen, welche die Beklagte im Übrigen überhaupt nicht benötigt und mit welchen sie - da es sich um auf Drittwebseiten und Apps angefallene Daten handelt - auch überhaupt nichts zu schaffen hat, sofern sie die Daten nicht für personalisierte Werbung nutzen darf.
Verweigert ein Facebook-Nutzer die Einwilligung, Off-Site-Daten für personalisierte Werbung zu nutzen, so liegt der einzig rechtmäßige Umgang mit aufgrund der Meta Business Tools der Beklagten übermittelten Daten dieses Nutzers darin, die Daten zu löschen. Weshalb die Beklagte die Daten gleichwohl nicht löscht, bleibt im Dunkeln. Entscheidend kommt es auf die von der Beklagten mit der Datenakkumulation verfolgten Zwecke nicht an. Da die Beklagte als Verantwortliche für die Datenspeicherung nach Art. 5 Abs. 2 DSGVO die Beweislast für einen Rechtfertigungstatbestand trägt (vgl. EuGH, Urteil vom 24.02.2022 - C-175/20, EuZW 2022, 527 Rn. 77, 81) und ein Rechtfertigungstatbestand schon nicht schlüssig vorgetragen ist, ist die Speicherung rechtswidrig.
c) Nachdem die Beklagte die von Drittwebseiten oder Apps im Rahmen der Facebook Business Tools ihr übermittelten Daten rechtswidrig speichert, kann der Kläger nach Art. 17 Abs. 1 DSGVO die Löschung verlangen.
3. Der Klageantrag Ziffer 5 ist dem Grunde nach, aber nicht in der geltend gemachten Höhe begründet.
a) Wie ausgeführt, steht zur Überzeugung des Gerichts fest, dass im Rahmen von Facebook Business Tools auf Drittwebseiten oder Apps angefallene Daten des Klägers an die Beklagte übermittelt worden sind und von dieser gespeichert werden, ohne dass hierfür ein Rechtfertigungstatbestand vorläge. Der Kläger hat auch nachgewiesen, dass ihm ein immaterieller Schaden erwachsen ist (Art. 82 Abs. 1 DSGVO).
Der Betroffene eines Datenschutzrechtsverstoßes muss nachweisen, dass ihm über den bloßen Verstoß hinaus ein immaterieller Schaden entstanden ist (EuGH, Urteil vom 25.01.2024 – C-687/21, EuZW 2024, 278 Rn. 60; vom 11.04.2024 – C-741/21, NJW 2024, 1561 Rn. 36). Dabei kann aber selbst ein nur kurzzeitiger Verlust der Kontrolle des Betroffenen über seine personenbezogenen Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher negativer Folgen erforderte (EuGH, Urteil vom 04.10.2024 – C-200/23, NJW 2025, 40 Rn. 156). Der Betroffene muss aber jedenfalls nachweisen, dass er einen Schaden in Form des Kontrollverlusts erlitten habe (EuGH, Urteil vom 20.06.2024 - C-590/22, ZIP 2024, 2035 Rn. 33; BGH, Urteil vom 18.11.2024 – VI ZR 10/24, NJW 2025, 298 Rn. 31 f.).
Gemessen hieran ist dem Kläger ein Schaden erwachsen. Es steht fest, dass der Kläger Webseiten besucht hat, welche Facebook Business Tools nutzen und daher Daten an die Beklagte übermittelt hat. Diese Daten kann der Kläger zwar von seinem Nutzerkonto trennen, so dass sie diesem nicht mehr zugeordnet werden können, er kann sie jedoch nicht durch Konfiguration seines Kontos löschen. Welchen Zweck die Beklagte mit diesen angesammelten Daten verfolgt, bleibt im Dunkeln. Dadurch hat der Kläger keine Kontrolle damit, was mit den auf Drittwebseiten angefallenen Eventdaten bei der Beklagten geschieht.
b) Bei der Höhe des dem Kläger zuzuerkennenden Schadensersatzes berücksichtigt das Gericht, dass einerseits eine Mehrzahl von Datenübertragungen gegenständlich ist, weil der Kläger mehrere Webseiten unter Einbindung von Facebook Business Tools besucht hat, namentlich bild.de regelmäßig. Andererseits hat der Kläger im Rahmen der Parteianhörung nicht den Eindruck erweckt hat, als verursache dieser Umstand ihm größeren seelischen Schmerz, vielmehr gab er lediglich an, es wäre ihm lieber, die Daten würden gelöscht. Unter Abwägung dieser Gesichtspunkte erachtet das Gericht einen Anspruch auf immateriellen Schadensersatz in Höhe von 300 € als angemessen.
Soweit der Kläger vorgebracht hat, es müsse auch der Gesichtspunkt der Prävention gegen künftige Verstöße sowie der Vergeltung zu berücksichtigen sein, handelt es sich hierbei um Umstände, welche im Rahmen von Art. 82 Abs. 1 DSGVO nicht von Bedeutung sind, nachdem diese Regelung ausschließlich eine Ausgleichsfunktion erfolgt (EuGH, Urteil vom 11.04.2024 - C-741/22, NJW 2024, 1561 Rn. 59 f., 64 f.). Der Kläger kann sich auch nicht mit Erfolg darauf berufen, unter dem Gesichtspunkt der Verletzung des aus Art. 1 und 2 GG abgeleiteten allgemeinen Persönlichkeitsrechts sei ein höherer immaterieller Schadensersatz zuzuerkennen. Unabhängig von der Frage, inwieweit neben Art. 82 Abs. 1 DSGVO der Rückgriff auf weitergehende Schadensersatznormen nach nationalem Recht überhaupt eröffnet ist, liegt jedenfalls kein solcher Sachverhalt vor, bei welchem der Rechtsschutz von Würde und Ehre des Menschen als verkümmert anzusehen wäre, wenn nicht eine Sanktion in Form einer Geldentschädigung verhängt würde (vgl. zu diesem Maßstab BGH, Urteil vom 17.12.2013 - VI ZR 211/12, BGHZ 199, 237 Rn. 40 mwN). Immerhin lassen sich die von der Beklagten gesammelten Daten vom Nutzerkonto trennen. Auch wenn sich diese Trennung für den Nutzer wie den Kläger nicht kontrollieren lässt und er sich auf deren Unumkehrbarkeit jedenfalls nicht verlassen kann, so gibt es doch keinen Anhaltspunkt für eine nennenswert fühlbare Beeinträchtigung des Klägers durch die rechtswidrige Datenspeicherung bei der Beklagten.
