Meta Platforms gerät im Kampf um sein Geschäftsmodell in Deutschland zunehmend in die Defensive. Am Donnerstag hat mit dem OLG Naumburg das dritte Oberlandesgericht festgestellt, dass Metas Datensammlung auf fremden Webseiten und Apps rechtswidrig ist. Das OLG erkennt dafür in zwei Verfahren Schadenersatz in vierstelliger Höhe zu. Damit steht es bei OLGs 10:0 gegen den Datenkonzern.

Im Dezember hat der 14. Senat des OLG München in vier Verfahren gegen Meta geurteilt, Anfang der Woche kamen vier Entscheidungen des 4. Senats des OLG Dresden gegen Meta Platforms hinzu. Und jetzt der 9. Senat Naumburgs (Az 9 U 124/24 und 9 U 44/25). Dieses OLG ist für das gesamte Bundesland Sachsen-Anhalt zuständig; dessen Landgerichte (LG) haben bislang allesamt für Meta Platforms und gegen die von der Berliner Anwaltskanzler Baumeister und Kollegen vertreten Internetnutzer entschieden. Die LG werden ihre Rechtsprechung jetzt sicherlich um 180 Grad drehen.

Meta Business Tools

Insgesamt sind in Deutschland um die 10.000 Klagen gegen Meta anhängig. Bislang sind nur die sechs diese Woche in Dresden und Naumburg entschiedenen Fälle rechtskräftig.

Anlass für die Klagewelle sind die sogenannten Meta Business Tools. Sie bestehen aus unsichtbaren Pixel sowie Schnittstellen (API), die Webmaster und App-Betreiber gebührenfrei einbinden können. Dann erhalten sie Informationen darüber, wie User die Angebote nutzen; Meta erhält im Gegenzug umfangreiche personenbezogene Daten über die User, darunter auch Kontaktdaten sowie unter Umständen sensible Informationen, etwa zu sexuellen Vorlieben, Gesundheit oder Weltanschauung. Ohne Zustimmung der Betroffenen bildet Meta aus diesen Daten Profile zu Zwecken, die sich nicht mit jenem Zweck decken, den die Nutzer beim Aufruf der Webseite oder App verfolgt haben.

„Meta konnte … bis zum 3. November 2023 mithilfe seiner Business Tools jeden Klick, jede Suche und jeden Kauf auf tausenden Webseiten uns Apps nachverfolgen“, schreibt das OLG Naumburg in einer Pressemitteilung. „Dazu musste die Betroffenen nicht bei Facebook oder Instagram eingeloggt sein. Meta habe diese Daten unbemerkt und ohne Zustimmung der Nutzer genutzt.“ Seit November 2023 sei die Datenübertragung „je nach Einstellung der Nutzer differenzierter“, doch gebe es „nach wie vor umfassende Datennutzung durch“ Meta.

Schadenersatz

Diese Datenverarbeitung ist laut OLG Naumburg rechtswidrig, verstößt gegen den Grundsatz der Datenminimierung und ist weder durch Einwilligungen noch andere Rechtfertigungsgründe gedeckt. Daher muss Meta die Sammlung der Daten über die Kläger mittels seiner Business Tools auf Drittseiten einstellen. Damit schließt sich das OLG den Kollegen in München und Dresden an.

Während der Schadenersatz in München nur dreistellig ausgefallen ist, sind es in Dresden und Naumburg niedrige vierstellige Beträge pro klagendem Meta-User: 1.500 Euro in Dresden, und 1.200 respektive 1.250 Euro in den beiden Naumburger Fällen. Die am Donnerstag verkündeten Urteile liegen schriftlich noch nicht vor, weshalb der Grund für den kleinen Unterschied noch unbekannt ist.

Kein Zug zum BGH

So wie das OLG Dresden schließt auch das OLG Naumburg die Revision um Bundesgerichtshof (BGH) aus. Schließlich gibt es keine zwei Meinungen an deutschen Obergerichten, auch wenn sich die Münchner und Dresdner Entscheidungen gegen Metas Datensammlung nicht genau decken. Mangels Revision sind die beiden Fälle aus Sachsen-Anhalt rechtskräftig.

Nur die vier Münchner Fälle hat Meta bislang mittels Revision dem BGH vorlegen können. Weil die Münchner Richter als erste geurteilt haben, konnten sie die Revision nicht unter Verweis auf einheitliche Rechtsprechung ausschließen.

Facebook-Abo macht keinen großen Unterschied

Im November 2023 hat Meta in Europa kostenpflichtige Abos zum Preis von 13 Euro eingeführt. Sie helfen zwar gegen Werbung direkt auf Facebook und Instagram, nicht aber gegen die Datensammlung oder zielgerichtete Werbung auf anderen Apps und Webseiten. Und wer kein Meta-Konto hat, kann sowieso nichts einstellen.

Meta hat im Dresdner Verfahren angegeben, die mithilfe der Business Tools gesammelten Daten stets mit dem eigenen Nutzerverzeichnis abzugleichen. Gibt es dort keinen Treffer, werden die Daten für weniger Zwecke verarbeitet, als wenn es sich um Meta-Nutzer handelt. Doch schon dieser Abgleich ist Datenverarbeitung im Sinne des Art 4 Abs 2 der Datenschutzgrundverordnung (DSGVO) und benötigt daher eine Rechtsgrundlage, hat das OLG Dresden betont. Bislang sind der Redaktion keine Urteile nach Klagen von Nicht-Meta-Nutzern gegen diese Praxis bekannt.

In Österreich hat der Oberste Gerichtshof (OGH) im Vorjahr erkannt, dass sowohl Metas Datensammlung als auch die darauf beruhende Personalisierung von Reklame unzulässig ist. Dieses Verfahren hat elf Jahre gebraucht. Die Unterlassungspflicht gilt aber auch in Österreich nur gegenüber dem Kläger, dem Facebook-Nutzer und Gründer der Datenschutzorganisation Noyb Max Schrems. Inzwischen hat der österreichische Verbraucherschutzverein (VSV) am Handelsgericht Wien eine Unterlassungsklage gegen Meta Platforms angestrengt; im Erfolgsfall würde das Urteil Meta hinsichtlich aller österreichischen Internetuser einhegen.

Auch in Deutschland ist eine Verbandsklage in Vorbereitung, zu der sich Interessenten allerdings anmelden werden müssen. Für Meta geht es um viel Geld, schließlich führt es personenbezogene Daten von abertausenden Webseiten und Apps zusammen. Diese Nutzerprofile sind wesentlich für den Verkauf personalisierter Werbeplätze. Damit nimmt das US-Unternehmen in Europa größenordnungsmäßig eine Milliarde US-Dollar wöchentlich ein.

(ds)

Zum ersten Mal in Deutschland ist Meta Platforms rechtskräftig zu Schadenersatz verurteilt worden, weil es mittels seiner Meta Business Tools personenbezogene Daten auf fremden Webseite und Apps erntet und dann ohne wirksame Zustimmung verarbeitet. Das Oberlandesgericht Dresden (OLG) hat dabei in vier parallelen Entscheidungen sogar die Revision zum Bundesgerichtshof (BGH) ausgeschlossen, weil die Sache auf Ebene der Obergerichte eindeutig gesehen werde. Dabei verweist es auf das OLG München, das ebenfalls gegen Meta geurteilt hat. Dennoch sind die Sichtweisen der beiden OLG nicht deckungsgleich.

Im Zentrum steht der Kontrollverlust, den Betroffene über ihre Daten erleiden. Sie wissen nicht, auf welchen Webseiten und Apps welche Daten über sie erhoben und an Meta weitergereicht werden, und was Meta dann damit macht. Das OLG Dresden (Az 4 U 292/25) spricht von einer „unabsehbaren Vielzahl personenbezogener Daten, darunter je nach Einzelfall auch Gesundheitsdaten oder Daten zur sexuellen Orientierung”. Die geernteten Informationen nutzt der Konzern für eigene Zwecke, nicht zuletzt den Zuschnitt von Reklame. Entgegen Metas Darstellung ist das keine Leistung im Interesse Betroffener.

Zwar werden personenbezogene Daten vor Übertragung an Meta gehasht, aber mit dem selben Verfahren, das Meta intern einsetzt. Daher kann das Unternehmen die Hashes laut OLG Dresden „in den meisten Fällen” zuordnen.

Kontrollverlust

Der Verlust der Kontrolle über eigene Daten begründet Schadenersatz nach Art 82 Datenschutzgrundverordnung – denn weder hat Meta wirksame Zustimmung der Betroffen eingeholt, noch kann es sich auf andere Rechtfertigungsgründe stützen. Darin sind sich die OLG-Senate 4 in Dresden und 14 in München (Az 14 U 1068/25e) einig.

Und es kommt noch schlimmer für Meta: Auch ohne nachgewiesene Datensammlung droht laut OLG Dresden Schadenersatzpflicht. Nämlich dann, wenn der Kläger zeigen kann, dass er sich begründet davor fürchtet, dass auf unabhängigen Webseiten seine Daten gesammelt und von Meta missbräuchlich verwendet werden, und dass diese begründete Furcht negative Folgen gehabt hat. Rein hypothetisches Risiko, oder Furcht ohne negative Folgen, reichen demnach nicht.

Schadenersatz variiert

Da es sich um immaterielle Schäden handelt, ist der konkrete Schadenersatz schwer zu beziffern. Er soll keine Straf- oder Abschreckungsfunktion haben. Das Landgericht Leipzig hat im Juli einem „typisch” Betroffenen 5.000 Euro zuerkannt, ohne konkrete Umstände zu erheben. Das OLG Dresden belässt es bei 1.500 Euro und merkt an, dass es bei dargelegter „psychischer Beeinträchtigung” mehr zugesprochen hätte.

Das OLG München hingegen gesteht in dem heise online vorliegenden Urteil nur halb so viel zu und verweist dabei sogar darauf, dass es sich um einen besonderen Fall handelt. Die Klägerin sei „aufgrund ihrer gesundheitlichen Probleme überdurchschnittlich empfindlich, und ihre Probleme wurden durch den streitgegenständlichen Vorfall ‚befeuert‛.” Außerdem seien sensible Daten, nämlich zur Gesundheit der Klägerin, betroffen. Einem gesunden Betroffenen hätte der Münchner Senat 14 also wohl weniger Schadenersatz gegeben.

Wo sich deutsche Gerichte einpendeln werden, bleibt abzuwarten. Bislang zeigt sich, dass über den Durchschnittsfall hinausgehende Beeinträchtigungen höheren Schadenersatz nach sich ziehen, sofern das im Verfahren dargelegt wird. Minderjährige können wohl mit höheren Geldbeträgen rechnen, als Erwachsene. Dem Vernehmen nach sind einzelne Landgerichte bei Minderjährigen schon bis 10.000 Euro gegangen.

Unterlassung

Beide OLG erlegen Meta auf, die Datensammlung zu unterlassen. Das gilt zwar nur hinsichtlich der jeweiligen Kläger, könnte Meta aber härter treffen, als Schadenersatzzahlungen in ein ein paar zehntausend Fällen. Meta lukriert mit zugeschnittener Werbeausspielung in Europa größenordnungsmäßig eine Milliarde US-Dollar pro Woche. Damit lassen sich einige drei- oder vierstellige Schadenersatzzahlungen bestreiten.

Doch beide OLG drohen mit bis zu 250.000 Euro Ordnungsgeld pro Verstoß gegen den Unterlassungsbefehl. Gleichzeitig halten die Dresdner fest, dass nicht erst die Verwendung der Daten durch Meta, sondern schon ihre Übermittlung an Meta und ihr Abgleich mit internen Informationen als Datenverarbeitung nach Art 4 Z 2 DSGVO gilt – etwa die Nachschau, ob die beobachtete Person ein Meta-Konto hat. Meta muss also die Funktionsweie Business Tools selbst überarbeiten, um zu verhindern, dass Daten der erfolgreichen Kläger überhaupt an Meta fließen. Wie das ohne Umstellung auf Opt-In effizient gehen soll, ist nicht ersichtlich. Damit steht und fällt Metas Geschäftsmodell im Europäischen Wirtschaftsraum (EWR).

Juristisch stützen beiden OLG den Unterlassungsanspruch nicht direkt auf die DSGVO, sondern auf das deutsche Persönlichkeitsrecht. Das ist eine gute Nachricht für Meta, weil die deutschen Urteile damit weniger leicht auf andere Staaten im EWR umgelegt werden können. Konkret zitiert das OLG Dresden „§ 823 Abs 1 BGB iVm Art 2 Abs 1 Art 1 Abs 2 GG; § 823 Abs 2 BGB iVm Art 6 DSGVO, jeweils iVm § 1004 Abs 1 S 2 BGB analog”, während die Münchner es mit „entsprechender Anwendung der §§ 1004 Abs 1 S 2, 823 Abs 1 BGB” simpler angehen.

Zusätzlich sehen die Münchner Richter, dass auch der zwischen Meta und der Klägerin geschlossene Vertrag für deren Meta-Konto die Unterlassungspflicht begründet: „Durch die rechtswidrige Datenverarbeitung hat (Meta) gegen eine (Haupt- oder Neben-) Pflicht des Nutzungsvertrages verstoßen, und (Meta) tut es – soweit ersichtlich – weiterhin.” Allerdings schränken die bayrischen Richter ein, dass dem Facebook-Betreiber nicht jegliche Verarbeitung personenbezogener Daten der Klägerin auf alle Zeit untersagt wird. Einerseits könnte die Frau ja irgendwann zustimmen, andererseits gibt es gewisse Datenverarbeitungen, die laut DSGVO auch ohne Zustimmung zulässig sind. Nur weil Meta solche Verarbeitungen im aktuellen Verfahren nicht dargelegt habe, sei nicht auszuschließen, dass dies dem Konzern nicht eines Tages gelingen könnte.

Im Vorfeld eines neuen, umfassenden Digitalgesetzes für das deutsche Gesundheitswesen – ursprünglich waren zwei angekündigt – treffen unterschiedliche Erwartungen aufeinander. Während die Kassenärztliche Bundesvereinigung (KBV) eine stabile und praxistaugliche technische Basis verlangt, drängt der Medizintechnik-Verband BVMed auf neue Datenfunktionen in der elektronischen Patientenakte (ePA).

Praxiszukunftsgesetz gefordert

Die Forderungen der Verbände zeigen, wie weit die Perspektiven auseinandergehen. Für die KBV muss die Technik endlich den medizinischen Bedürfnissen folgen. KBV-Vorstandsmitglied Dr. Sibylle Steiner hat dazu erklärt, dass die Digitalstrategie stärker medizinisch ausgerichtet sein müsse: „Das heißt, die Technik sollte geräuschlos und reibungslos im Hintergrund laufen. Das muss 2026 das Ziel sein“.

Sie verwies auf den „echten Rückschlag“, den die Umstellung des Verschlüsselungsverfahrens 2025 bedeutet habe, da sich die Ärzteschaft erneut um „technische Basisdienste kümmern musste“, was viel Energie gekostet habe. Aufgrund einer Sicherheitslücke bei einem Chiphersteller müssen nun sogar Ärzte, die bereits eine neue ECC-fähige Karte besitzen, diese erneut austauschen. Obwohl die Praxen Vorreiter bei der Digitalisierung und die ePA bereits „gelebte Realität“ sei, dürfe „keinesfalls aus dem Blick geraten“, dass grundlegende Funktionen wie das Hoch- und Herunterladen von Daten noch immer „zeitaufwendig und mühsam“ seien. „Deshalb ist es mehr als notwendig, dass die Volltextsuche auch möglichst bald kommt“, so Steiner weiter. Zudem müsse die Kommunikation über den E-Mail-Dienst KIM verbessert und der Wechsel von Praxisverwaltungssystemen (PVS) durch „sichere, kostenfreie Datenmigration“ erleichtert werden.

Großer Markt an Anbietern

Der unter anderem für die ePA zahlreicher Krankenkassen zuständige IT-Dienstleister Bitmarck hingegen verteidigt die Stabilität der eigenen Plattform, diese habe sich bereits verbessert. „In einigen Bereichen ist die Zahl der Anbieter einfach zu groß, vor allem bei den PVS-Systemen. Zu viel Individualität macht die TI aber störungsanfällig. Hier müssen wir daher dringend zu Standards kommen, die in der Entwicklung und im Betrieb auch verbindlich eingehalten werden“, fordert Geschäftsführer Andreas Strausfeld verbindliche Standards.

Parallel kündigt Strausfeld in einem Interview mit eHealth-com Pläne zur KI-Initiative „NexKomm“ (Next Generation of Communication) an: „Diese führt unterschiedliche Kommunikationsströme – Telefon, App, auch TI-Messenger – auf einer gemeinsamen Plattform zusammen. Davon profitieren sowohl Krankenkassen als auch Versicherte“. Als Reaktion auf den demografischen Wandel bei der Belegschaft der Krankenkassen soll die Plattform Kommunikationskanäle bündeln und durch den Einsatz von KI-Techniken Mehrwerte aus den Daten generieren, um Prozesse zu automatisieren und zu beschleunigen. Dieses Konzept hieß einst Unified Communications.

„Device-Fach“ für Patientenakte

Ganz anders die Prioritäten des BVMed. Er will die ePA zur Datensammelstelle für Medizintechnik ausbauen und fordert ein strukturiertes „Device-Fach“ für Informationen aus Herzschrittmachern oder Insulinpumpen, um Versorgung und Forschung zu verbessern. Für digitale Gesundheitsanwendungen gibt es die Anbindung bereits. „Wird ein Medizinprodukt dauerhaft genutzt oder implantiert, sollte dieses Fach automatisch angelegt werden und zentrale Informationen wie Hersteller, Geräteart, Implantationszeitpunkt, Seriennummer oder Implantatpass enthalten. Somit können gesundheitsrelevante Informationen bei Bedarf schnell und sicher im Versorgungsgeschehen abgerufen werden“, sagt BVMed-Digitalexpertin Natalie Gladkov des BVMed. Damit wären alle Informationen zentral verfügbar. „In der ePA werden diese Informationen bislang nicht strukturiert abgebildet. Dadurch gehen relevante Informationen für verschiedene Versorgungsebenen verloren und stehen auch nicht für Forschung und Entwicklung zur Verfügung“, bemängelt Gladkov.

Wie durchwachsen die Probleme mit der Software in Arztpraxen sind, zeigt unter anderem eine Befragung des Zentralinstituts für die kassenärztliche Versorgung (Zi) unter mehr als 3.100 Praxisinhabern. Demnach ist die Mehrheit mit ihrer Software unzufrieden, jede dritte Praxis erwägt einen Wechsel. Als Hauptgründe werden mangelnde Nutzerfreundlichkeit, zu hohe und intransparente Lizenzgebühren sowie unzureichender Kundensupport genannt. Das Einlesen der elektronischen Gesundheitskarte wird von 82,1 Prozent der Befragten als fehleranfällig bewertet, die Konnektor-Verbindung zur TI von 81,4 Prozent. Selbst das E-Rezept produziert bei fast zwölf Prozent der Praxen noch täglich Fehlermeldungen. Die Sorge vor Problemen bei der Datenmigration bremst einen Wechsel, obwohl über 72 Prozent der Praxen, die den Schritt gewagt haben, von einer reibungslosen Migration berichten. Daher fordert die KBV den sicheren und kostenfreien Wechsel des PVS.

Qualititätsunterschiede in Praxissoftware

Diese Ergebnisse decken sich mit einer ebenfalls kürzlich veröffentlichten Befragung der Gematik (PDF) zur Nutzerfreundlichkeit der Praxisverwaltungssysteme. Auch sie stellt große Unterschiede bei den Softwareanbietern bezüglich der Fehlermeldungen und des Supports fest. Die Umsetzung der ePA-Module in den verschiedenen Systemen klafft demnach weit auseinander.

Trotz dieser bekannten Mängel treiben die Verantwortlichen die Weiterentwicklung voran. Bereits im Herbst 2025 hat die Gematik neue Funktionserweiterungen für die ePA angekündigt, darunter Pushbenachrichtungen, eine Volltextsuche, den elektronischen Medikationsplan und Laborbefunde. Die Gematik meinte im September 2025, die ePA sei technisch „state of the art“ und bereits „KI-ready“. Gleichzeitig verschärft sich die Debatte um Datenzugriffe: Bereits Ende 2025 haben die Krankenkassen in einem Positionspapier gefordert, als „digitale Lotsen“ agieren und tagesaktuelle Versorgungsdaten für eigene KI-gestützte Präventionsangebote nutzen zu dürfen.

Die Ärzteschaft warnte umgehend vor einer Aushöhlung der Schweigepflicht, auch in Bezug auf den Europäischen Gesundheitsdatenraum (EHDS). Erst kürzlich hat das Deutsche Psychotherapeuten Netzwerk (DPNW) sich dafür eingesetzt, dass die ePA bei der Umsetzung der E-Evidence-Verordnung als „observationsfreier Raum“ festgesetzt wird. „Die Zusage des Bundesjustizministeriums ist ein wichtiges Signal für den Schutz der Persönlichkeitsrechte von Patientinnen und Patienten. Psychotherapie braucht einen geschützten Raum – das gilt analog wie digital. Dass die ePA künftig ausdrücklich als observationsfreier Raum gelten soll, ist ein Erfolg der Intervention des DPNW,“ erklärt der DPNW-Vorsitzende Dieter Adler.

Aktuell laufen die Vorbereitungen für den Aufbau des EHDS, in dem in den nächsten Jahren Gesundheitsdaten für die Versorgung und Forschung ausgetauscht werden. Auf nationaler Ebene sind bereits Abrechnungsdaten beim Forschungsdatenzentrum Gesundheit zugänglich, sofern ein Antrag auf Datenzugang genehmigt wurde.

(mack)