Der Domino-Effekt der gemeinsamen Verantwortlichkeit mit Meta

Die Luft für den Einsatz von Tracking-Technologien aus dem Hause Meta wird dünn. Bereits mehrere Oberlandesgerichte haben Meta zur Zahlung von Schadensersatz verurteilt. Der Grund: Die massenhafte Erhebung personenbezogener Daten über Drittseiten mittels der sogenannten Meta Business Tools (insbesondere der Meta Conversational API – CAPI) ohne wirksame Einwilligung. Die Marschrichtung für spezialisierte Kläger-Kanzleien ist damit vorgegeben – es wird voraussichtlich eine massive Klagewelle gegen Meta geben.

Doch während die aktuellen Schlagzeilen sich primär auf den Tech-Giganten Meta stürzen, übersehen viele Unternehmen den drohenden Domino-Effekt: Wenn Meta haftet, könnte der Website-Betreiber, der eine Meta CAPI einbindet, mithaften.

Die aktuellen Entscheidungen der Oberlandesgerichte gegen Meta

Das Oberlandesgericht (OLG) Dresden hat Meta am 3. Februar 2026 in vier parallelen Urteilen (u.a. Az. 4 U 196/25 und 4 U 292/25) zu immateriellem Schadensersatz nach Art. 82 DSGVO verurteilt und Meta zudem verboten, die damit gewonnenen personenbezogenen Daten der Kläger weiterzuverarbeiten. Das OLG Dresden steht mit dieser Rechtsprechung nicht allein. Auch das OLG Naumburg entschied in zwei Urteilen vom 05.02.2026 (Az. 9 U 124/24 und 9 U 44/25) – wie schon einige Gerichte davor – gleichlautend.

Das OLG Dresden sprach den Klägern jeweils 1.500 Euro Schadensersatz zu, das OLG Naumburg 1.200 Euro bzw. 1.250 Euro. Das mag auf den ersten Blick überschaubar klingen, kann sich aber bei einer Vielzahl von Betroffenen zu enormen finanziellen Belastungen der Verantwortlichen summieren.

Auch wenn die Höhe der zugesprochenen Schadensersatzbeträge schwankt, ist die Linie der Gerichte klar: Die Datenerhebung durch die Meta Business Tools auf Drittseiten ohne informierte und spezifische Einwilligung ist rechtswidrig. Eine pauschale Zustimmung in den Nutzungsbedingungen von Facebook oder Instagram reicht hierfür nicht aus, auch nicht die Abonnement-Variante von Meta. Mit der Verurteilung zum Schadensersatz folgen die Oberlandesgerichte der verbraucherfreundlichen Linie des EuGH und des BGH, nach der bereits ein bloßer „Kontrollverlust“ über die eigenen Daten einen ersatzfähigen immateriellen Schaden darstellen kann.

Die Haftungsfalle für Website-Betreiber: Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Warum ist das für Betreiber eines Onlineshops oder einer Unternehmenswebsite relevant?

Wer Meta-Tools wie die CAPI (Conversational API) einsetzt, tut dies nicht als unbeteiligter Dritter. Nach der „Fashion ID“-Rechtsprechung des EuGH (Urteil vom 29.07.2019 – C-40/17) sind der Website-Betreiber und Meta in der Phase der Erhebung und Übermittlung der Daten gemeinsam Verantwortliche (Joint Controllers) gemäß Art. 26 DSGVO.

Juristisch bedeutet das: Findet ein Datenschutzverstoß in dieser Phase statt, kann sich der Betroffene aussuchen, wen er auf Schadensersatz verklagt – Meta in Irland oder den Betreiber des Onlineshops bzw. Unternehmenswebsite in Deutschland (sogenannte „gesamtschuldnerische Haftung“).

CAPI: Der vermeintliche „Safe Harbor“ wird zum Risiko

Viele Unternehmen sind in den letzten Jahren vom klassischen Meta-Pixel auf die CAPI umgestiegen, um Browser- bzw. Werbe-Blocker zu umgehen und die Zielgenauigkeit ihrer Werbung zu erhöhen. Das Problem: Während das Meta Pixel für den Nutzer (und Ad-Blocker) noch sichtbar ist, findet die Datenübertragung bei der CAPI im Hintergrund statt. Genau hier liegt die Brisanz. Eine Verarbeitung personenbezogener Daten, die für Nutzer „unsichtbar“ bleibt, steigert bei Gerichten die Annahme eines Kontrollverlustes.

Was Unternehmen jetzt tun sollten

Angesichts der aktuellen Urteile der Oberlandesgerichte besteht Handlungsbedarf. Denn wer die Meta CAPI weiterhin ohne präzise Absicherung nutzt, agiert sehenden Auges und kann schnell in den Bereich der Organisationshaftung kommen. Um das Risiko von Schadensersatzforderungen nach Art. 82 DSGVO zu minimieren, sollten Website-Betreiber jetzt folgende Schritte einleiten:

• Revisionssicheres Consent-Management: Prüfen Sie, ob Ihr Consent-Banner die CAPI explizit und technisch korrekt abbildet. Eine pauschale Einwilligung für „Marketing“ oder „Meta-Pixel“ deckt die Server-to-Server-Übertragung der CAPI rechtlich nicht ab. Der Nutzer muss wissen, dass seine Daten nicht nur lokal im Browser, sondern auch über Ihren Server an Meta fließen.
   
• Stopp des ungefilterten „Advanced Matching“: Häufig werden via CAPI automatisch E-Mail-Adressen, Namen oder Telefonnummern der Website-Besucher gehasht an Meta übertragen, um die Matching-Rate zu erhöhen. Prüfen Sie kritisch, ob diese Tiefe der Datenweitergabe rechtlich gedeckt ist.
   
• Technische Sicherstellung der „Stummschaltung“: Stellen Sie technisch sicher, dass bei einem fehlenden Opt-In oder einem späteren Opt-Out im Cookie-Banner auch die CAPI-Schnittstelle auf dem Server stummgeschaltet bleibt bzw. sofort stummgeschaltet wird. Oft korrespondieren Client-Side-Opt-Out und Server-Side-Tracking nicht korrekt.
   
• Update der Datenschutzhinweise: Passen Sie Ihre Datenschutzerklärung bzw. Ihre Informationen nach Art. 13 DSGVO an. Die Funktionsweise der CAPI muss für den Laien verständlich erklärt werden – insbesondere der Umstand, dass hier eine Datenübermittlung direkt von Ihrem Server an Meta stattfindet.

Fazit

Die aktuellen Urteile des OLG Dresden und des OLG Naumburg sind ein Paukenschlag. Wer glaubt, dass Schadensersatz nach Art. 82 DSGVO nur „die Großen“ trifft, irrt. Die gemeinsame Verantwortlichkeit macht jeden Website-Betreiber, der CAPI einsetzt, zum potenziellen Ziel. Minimieren Sie das Risiko durch die richtigen Maßnahmen.

KNPP unterstützt Sie dabei, Ihre IT-Compliance zu optimieren.