Nutzung von Off-Site-Daten eines Facebook-Users durch Meta ohne Einwilligung kann Schadensersatz begründen
LG Stuttgart v. 5.2.2025, 27 O 190/23
Der Sachverhalt:
Der Kläger unterhält seit 2009 ein Facebook-Konto. Betreiberin des sozialen Netzwerks ist die Beklagte. Diese generiert ihre Einnahmen insbesondere dadurch, dass sie Werbetreibenden die Möglichkeit bietet, gegen Entgelt Anzeigen zu schalten. Zur Effektivierung dieses Geschäftsmodells bietet sie Drittunternehmen sog. Meta Business Tools an. Wenn ein solches Unternehmen Meta Business Tools in seine Website oder App einbindet, werden Daten, die aus Kunden-Interaktionen gewonnen werden ("Events"), gesammelt und an die Beklagte weitergeleitet.
Die Weiterleitung dieser sog. Off-Site-Daten an die Beklagte erfolgt unabhängig davon, ob eine Person ein Facebook-Konto unterhält. Ist die betreffende Person mit einem Facebook-Konto registriert, werden seine Off-Site-Daten automatisch mit dem Facebook-Konto des Nutzers verknüpft, wobei der Nutzer aufgrund des von seinem Browser oder Endgerät hinterlassenen digitalen Fingerabdrucks (mit einer gewissen Unsicherheit) erkannt werden kann. Die Verknüpfung der Off-Site-Daten mit den personenbezogenen Daten, die aus der Facebook-Nutzung entstehen (On-Site-Daten), werden von der Beklagten benutzt, um die bei Facebook angezeigte Werbung spezifischer auf den jeweiligen Nutzer abzustimmen (personalisierte Werbung).
Durch Konfiguration seines Facebook-Kontos kann der jeweilige Nutzer seine Einwilligung in diese Verknüpfung verweigern mit der Folge, dass die Off-Site-Daten nicht für die Anzeige personalisierter Werbung genutzt werden. Auch kann die bereits erfolgte Verknüpfung zwischen Off-Site-Daten und dem Facebook-Konto in den Einstellungen zur Datenverarbeitung durch die Option "Verknüpfung mit künftigen Aktivitäten aufheben" wieder getrennt werden. Eine Konfiguration des Facebook-Kontos, das zur Löschung der Off-Site-Daten führt, bietet die Beklagte nicht an. Der Kläger hat seine Einwilligung zur Verknüpfung von Off-Site-Daten mit seinem Facebook-Konto nicht erteilt. Er war der Ansicht, die Verarbeitung seiner Off-Site-Daten durch die Beklagte sei rechtswidrig, nachdem die Beklagte die hierfür erforderliche Einwilligung des Klägers nicht eingeholt habe. Es obliege der Beklagten und nicht den Betreibern der Drittwebseiten oder Apps, hierfür eine Einwilligung einzuholen.
Das LG hat der umfangreichen Klage, die u.a. auch eine Entschädigung i.H.v. mind. 5.000 € enthielt nur im geringen Maße stattgegeben.
Die Gründe:
Die Klageanträge zu 1) und 2) waren unzulässig. Im Übrigen (3 bis 5) war die Klage zwar zulässig aber nur teilweise begründet.
Der Kläger hat keinen Anspruch darauf, dass die Beklagte seine personenbezogenen Daten unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert. Soweit der Kläger sich zur Begründung dieses Anspruchs darauf gestützt hatte, dass nach Art. 18 Abs. 2 DSGVO Daten nur mit seiner Einwilligung verarbeitet werden dürften, wobei unter Verarbeitung gem. Art. 4 Nr. 2 DSGVO auch die Löschung falle, griff diese Ansicht nicht durch. Selbst wenn dem Kläger ein Anspruch auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 Buchst b DSGVO zustehen sollte, hat er derzeit keinen Anspruch nach Art. 18 Abs. 2 DSGVO, da dies voraussetzen würde, dass die Verarbeitung der Daten zuvor bereits eingeschränkt wurde. Der Anspruch ergab sich auch nicht aus § 1004 BGB i.V.m. § 823 Abs. 1 BGB.
Der Kläger hat jedoch einen Anspruch darauf, dass die Beklagte sämtliche seit dem 25.5.2018 bereits gespeicherten und auf Dritt-Webseiten und -Apps entstehenden personenbezogene Daten des Klägers, ob direkt oder in gehashter Form zu übertragen. Die Speicherung von Daten, die der Betreiberin des Netzwerks Facebook im Rahmen der Meta Business Tools über die Nutzung von Websites oder Apps von Drittunternehmen mitgeteilt worden sind (Off-Site-Daten), bedarf auch dann einer vom Facebook-Nutzer erteilten Einwilligung, wenn dieser bei Nutzung der Drittwebsite oder App in die Weiterleitung der Daten eingewilligt hat. Eine gegenüber dem Drittunternehmen erteilte Einwilligung umfasst nicht die anschließende Weiterverarbeitung der Daten durch Meta, wozu auch die bloße Speicherung gehört.
Hat der Facebook-Nutzer in die Nutzung der Off-Site-Daten durch Meta nicht eingewilligt, so sind die Daten zu löschen. Die Trennung der Daten vom Nutzerkonto genügt nicht. Ein Anspruch, die Off-Site-Daten nicht zu löschen, kommt nach Art. 18 Abs. 2 DSGVO nur dann in Betracht, wenn zuvor die Verarbeitung der Daten eingeschränkt worden ist. Der Betroffene kann nicht verlangen, die Löschung zu unterlassen, ohne zuvor die Einschränkung der Verarbeitung durchgesetzt zu haben (Art. 18 Abs. 1 DSGVO).
Der Kläger hat schließlich auch dem Grunde nach einen Anspruch auf Entschädigung, aber nicht in der geltend gemachten Höhe. Werden Off-Site-Daten trotz fehlender Einwilligung gespeichert, so liegt in dem Kontrollverlust des Nutzers über die Behandlung dieser Daten ein immaterieller Schaden i.S.v. Art. 82 DSGVO. Es stand fest, dass der Kläger Webseiten besucht hatte, die Facebook Business Tools genutzt haben und daher Daten an die Beklagte übermittelt hat. Diese kann der Kläger zwar von seinem Nutzerkonto trennen, so dass sie diesem nicht mehr zugeordnet werden können, er kann sie jedoch nicht durch Konfiguration seines Kontos löschen. Welchen Zweck die Beklagte mit diesen angesammelten Daten verfolgt, ist im Dunkeln geblieben. Dadurch hat der Kläger keine Kontrolle darüber, was mit den auf Drittwebseiten angefallenen Eventdaten bei der Beklagten geschieht.
Allerdings hatte der Kläger im Rahmen der Parteianhörung nicht den Eindruck erweckt, als hätte dieser Umstand ihm größeren seelischen Schmerz verursacht, vielmehr gab er lediglich an, es wäre ihm lieber, die Daten würden gelöscht. Unter Abwägung dieser Gesichtspunkte hat das Gericht einen Anspruch auf immateriellen Schadensersatz i.H.v. 300 € als angemessen erachtet.
Mehr zum Thema:
Beratermodul Datenschutzrecht:
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!
Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Landesrechtsprechung Baden-Württemberg
Der Kläger unterhält seit 2009 ein Facebook-Konto. Betreiberin des sozialen Netzwerks ist die Beklagte. Diese generiert ihre Einnahmen insbesondere dadurch, dass sie Werbetreibenden die Möglichkeit bietet, gegen Entgelt Anzeigen zu schalten. Zur Effektivierung dieses Geschäftsmodells bietet sie Drittunternehmen sog. Meta Business Tools an. Wenn ein solches Unternehmen Meta Business Tools in seine Website oder App einbindet, werden Daten, die aus Kunden-Interaktionen gewonnen werden ("Events"), gesammelt und an die Beklagte weitergeleitet.
Die Weiterleitung dieser sog. Off-Site-Daten an die Beklagte erfolgt unabhängig davon, ob eine Person ein Facebook-Konto unterhält. Ist die betreffende Person mit einem Facebook-Konto registriert, werden seine Off-Site-Daten automatisch mit dem Facebook-Konto des Nutzers verknüpft, wobei der Nutzer aufgrund des von seinem Browser oder Endgerät hinterlassenen digitalen Fingerabdrucks (mit einer gewissen Unsicherheit) erkannt werden kann. Die Verknüpfung der Off-Site-Daten mit den personenbezogenen Daten, die aus der Facebook-Nutzung entstehen (On-Site-Daten), werden von der Beklagten benutzt, um die bei Facebook angezeigte Werbung spezifischer auf den jeweiligen Nutzer abzustimmen (personalisierte Werbung).
Durch Konfiguration seines Facebook-Kontos kann der jeweilige Nutzer seine Einwilligung in diese Verknüpfung verweigern mit der Folge, dass die Off-Site-Daten nicht für die Anzeige personalisierter Werbung genutzt werden. Auch kann die bereits erfolgte Verknüpfung zwischen Off-Site-Daten und dem Facebook-Konto in den Einstellungen zur Datenverarbeitung durch die Option "Verknüpfung mit künftigen Aktivitäten aufheben" wieder getrennt werden. Eine Konfiguration des Facebook-Kontos, das zur Löschung der Off-Site-Daten führt, bietet die Beklagte nicht an. Der Kläger hat seine Einwilligung zur Verknüpfung von Off-Site-Daten mit seinem Facebook-Konto nicht erteilt. Er war der Ansicht, die Verarbeitung seiner Off-Site-Daten durch die Beklagte sei rechtswidrig, nachdem die Beklagte die hierfür erforderliche Einwilligung des Klägers nicht eingeholt habe. Es obliege der Beklagten und nicht den Betreibern der Drittwebseiten oder Apps, hierfür eine Einwilligung einzuholen.
Das LG hat der umfangreichen Klage, die u.a. auch eine Entschädigung i.H.v. mind. 5.000 € enthielt nur im geringen Maße stattgegeben.
Die Gründe:
Die Klageanträge zu 1) und 2) waren unzulässig. Im Übrigen (3 bis 5) war die Klage zwar zulässig aber nur teilweise begründet.
Der Kläger hat keinen Anspruch darauf, dass die Beklagte seine personenbezogenen Daten unverändert am gespeicherten Ort belässt und sie erst löscht, wenn der Kläger sie hierzu auffordert. Soweit der Kläger sich zur Begründung dieses Anspruchs darauf gestützt hatte, dass nach Art. 18 Abs. 2 DSGVO Daten nur mit seiner Einwilligung verarbeitet werden dürften, wobei unter Verarbeitung gem. Art. 4 Nr. 2 DSGVO auch die Löschung falle, griff diese Ansicht nicht durch. Selbst wenn dem Kläger ein Anspruch auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 Buchst b DSGVO zustehen sollte, hat er derzeit keinen Anspruch nach Art. 18 Abs. 2 DSGVO, da dies voraussetzen würde, dass die Verarbeitung der Daten zuvor bereits eingeschränkt wurde. Der Anspruch ergab sich auch nicht aus § 1004 BGB i.V.m. § 823 Abs. 1 BGB.
Der Kläger hat jedoch einen Anspruch darauf, dass die Beklagte sämtliche seit dem 25.5.2018 bereits gespeicherten und auf Dritt-Webseiten und -Apps entstehenden personenbezogene Daten des Klägers, ob direkt oder in gehashter Form zu übertragen. Die Speicherung von Daten, die der Betreiberin des Netzwerks Facebook im Rahmen der Meta Business Tools über die Nutzung von Websites oder Apps von Drittunternehmen mitgeteilt worden sind (Off-Site-Daten), bedarf auch dann einer vom Facebook-Nutzer erteilten Einwilligung, wenn dieser bei Nutzung der Drittwebsite oder App in die Weiterleitung der Daten eingewilligt hat. Eine gegenüber dem Drittunternehmen erteilte Einwilligung umfasst nicht die anschließende Weiterverarbeitung der Daten durch Meta, wozu auch die bloße Speicherung gehört.
Hat der Facebook-Nutzer in die Nutzung der Off-Site-Daten durch Meta nicht eingewilligt, so sind die Daten zu löschen. Die Trennung der Daten vom Nutzerkonto genügt nicht. Ein Anspruch, die Off-Site-Daten nicht zu löschen, kommt nach Art. 18 Abs. 2 DSGVO nur dann in Betracht, wenn zuvor die Verarbeitung der Daten eingeschränkt worden ist. Der Betroffene kann nicht verlangen, die Löschung zu unterlassen, ohne zuvor die Einschränkung der Verarbeitung durchgesetzt zu haben (Art. 18 Abs. 1 DSGVO).
Der Kläger hat schließlich auch dem Grunde nach einen Anspruch auf Entschädigung, aber nicht in der geltend gemachten Höhe. Werden Off-Site-Daten trotz fehlender Einwilligung gespeichert, so liegt in dem Kontrollverlust des Nutzers über die Behandlung dieser Daten ein immaterieller Schaden i.S.v. Art. 82 DSGVO. Es stand fest, dass der Kläger Webseiten besucht hatte, die Facebook Business Tools genutzt haben und daher Daten an die Beklagte übermittelt hat. Diese kann der Kläger zwar von seinem Nutzerkonto trennen, so dass sie diesem nicht mehr zugeordnet werden können, er kann sie jedoch nicht durch Konfiguration seines Kontos löschen. Welchen Zweck die Beklagte mit diesen angesammelten Daten verfolgt, ist im Dunkeln geblieben. Dadurch hat der Kläger keine Kontrolle darüber, was mit den auf Drittwebseiten angefallenen Eventdaten bei der Beklagten geschieht.
Allerdings hatte der Kläger im Rahmen der Parteianhörung nicht den Eindruck erweckt, als hätte dieser Umstand ihm größeren seelischen Schmerz verursacht, vielmehr gab er lediglich an, es wäre ihm lieber, die Daten würden gelöscht. Unter Abwägung dieser Gesichtspunkte hat das Gericht einen Anspruch auf immateriellen Schadensersatz i.H.v. 300 € als angemessen erachtet.
Beratermodul Datenschutzrecht:
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!
Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!