Zum ersten Mal in Deutschland ist Meta Platforms rechtskräftig zu Schadenersatz verurteilt worden, weil es mittels seiner Meta Business Tools personenbezogene Daten auf fremden Webseite und Apps erntet und dann ohne wirksame Zustimmung verarbeitet. Das Oberlandesgericht Dresden (OLG) hat dabei in vier parallelen Entscheidungen sogar die Revision zum Bundesgerichtshof (BGH) ausgeschlossen, weil die Sache auf Ebene der Obergerichte eindeutig gesehen werde. Dabei verweist es auf das OLG München, das ebenfalls gegen Meta geurteilt hat. Dennoch sind die Sichtweisen der beiden OLG nicht deckungsgleich.

Im Zentrum steht der Kontrollverlust, den Betroffene über ihre Daten erleiden. Sie wissen nicht, auf welchen Webseiten und Apps welche Daten über sie erhoben und an Meta weitergereicht werden, und was Meta dann damit macht. Das OLG Dresden (Az 4 U 292/25) spricht von einer „unabsehbaren Vielzahl personenbezogener Daten, darunter je nach Einzelfall auch Gesundheitsdaten oder Daten zur sexuellen Orientierung”. Die geernteten Informationen nutzt der Konzern für eigene Zwecke, nicht zuletzt den Zuschnitt von Reklame. Entgegen Metas Darstellung ist das keine Leistung im Interesse Betroffener.

Zwar werden personenbezogene Daten vor Übertragung an Meta gehasht, aber mit dem selben Verfahren, das Meta intern einsetzt. Daher kann das Unternehmen die Hashes laut OLG Dresden „in den meisten Fällen” zuordnen.

Kontrollverlust

Der Verlust der Kontrolle über eigene Daten begründet Schadenersatz nach Art 82 Datenschutzgrundverordnung – denn weder hat Meta wirksame Zustimmung der Betroffen eingeholt, noch kann es sich auf andere Rechtfertigungsgründe stützen. Darin sind sich die OLG-Senate 4 in Dresden und 14 in München (Az 14 U 1068/25e) einig.

Und es kommt noch schlimmer für Meta: Auch ohne nachgewiesene Datensammlung droht laut OLG Dresden Schadenersatzpflicht. Nämlich dann, wenn der Kläger zeigen kann, dass er sich begründet davor fürchtet, dass auf unabhängigen Webseiten seine Daten gesammelt und von Meta missbräuchlich verwendet werden, und dass diese begründete Furcht negative Folgen gehabt hat. Rein hypothetisches Risiko, oder Furcht ohne negative Folgen, reichen demnach nicht.

Schadenersatz variiert

Da es sich um immaterielle Schäden handelt, ist der konkrete Schadenersatz schwer zu beziffern. Er soll keine Straf- oder Abschreckungsfunktion haben. Das Landgericht Leipzig hat im Juli einem „typisch” Betroffenen 5.000 Euro zuerkannt, ohne konkrete Umstände zu erheben. Das OLG Dresden belässt es bei 1.500 Euro und merkt an, dass es bei dargelegter „psychischer Beeinträchtigung” mehr zugesprochen hätte.

Das OLG München hingegen gesteht in dem heise online vorliegenden Urteil nur halb so viel zu und verweist dabei sogar darauf, dass es sich um einen besonderen Fall handelt. Die Klägerin sei „aufgrund ihrer gesundheitlichen Probleme überdurchschnittlich empfindlich, und ihre Probleme wurden durch den streitgegenständlichen Vorfall ‚befeuert‛.” Außerdem seien sensible Daten, nämlich zur Gesundheit der Klägerin, betroffen. Einem gesunden Betroffenen hätte der Münchner Senat 14 also wohl weniger Schadenersatz gegeben.

Wo sich deutsche Gerichte einpendeln werden, bleibt abzuwarten. Bislang zeigt sich, dass über den Durchschnittsfall hinausgehende Beeinträchtigungen höheren Schadenersatz nach sich ziehen, sofern das im Verfahren dargelegt wird. Minderjährige können wohl mit höheren Geldbeträgen rechnen, als Erwachsene. Dem Vernehmen nach sind einzelne Landgerichte bei Minderjährigen schon bis 10.000 Euro gegangen.

Unterlassung

Beide OLG erlegen Meta auf, die Datensammlung zu unterlassen. Das gilt zwar nur hinsichtlich der jeweiligen Kläger, könnte Meta aber härter treffen, als Schadenersatzzahlungen in ein ein paar zehntausend Fällen. Meta lukriert mit zugeschnittener Werbeausspielung in Europa größenordnungsmäßig eine Milliarde US-Dollar pro Woche. Damit lassen sich einige drei- oder vierstellige Schadenersatzzahlungen bestreiten.

Doch beide OLG drohen mit bis zu 250.000 Euro Ordnungsgeld pro Verstoß gegen den Unterlassungsbefehl. Gleichzeitig halten die Dresdner fest, dass nicht erst die Verwendung der Daten durch Meta, sondern schon ihre Übermittlung an Meta und ihr Abgleich mit internen Informationen als Datenverarbeitung nach Art 4 Z 2 DSGVO gilt – etwa die Nachschau, ob die beobachtete Person ein Meta-Konto hat. Meta muss also die Funktionsweie Business Tools selbst überarbeiten, um zu verhindern, dass Daten der erfolgreichen Kläger überhaupt an Meta fließen. Wie das ohne Umstellung auf Opt-In effizient gehen soll, ist nicht ersichtlich. Damit steht und fällt Metas Geschäftsmodell im Europäischen Wirtschaftsraum (EWR).

Juristisch stützen beiden OLG den Unterlassungsanspruch nicht direkt auf die DSGVO, sondern auf das deutsche Persönlichkeitsrecht. Das ist eine gute Nachricht für Meta, weil die deutschen Urteile damit weniger leicht auf andere Staaten im EWR umgelegt werden können. Konkret zitiert das OLG Dresden „§ 823 Abs 1 BGB iVm Art 2 Abs 1 Art 1 Abs 2 GG; § 823 Abs 2 BGB iVm Art 6 DSGVO, jeweils iVm § 1004 Abs 1 S 2 BGB analog”, während die Münchner es mit „entsprechender Anwendung der §§ 1004 Abs 1 S 2, 823 Abs 1 BGB” simpler angehen.

Zusätzlich sehen die Münchner Richter, dass auch der zwischen Meta und der Klägerin geschlossene Vertrag für deren Meta-Konto die Unterlassungspflicht begründet: „Durch die rechtswidrige Datenverarbeitung hat (Meta) gegen eine (Haupt- oder Neben-) Pflicht des Nutzungsvertrages verstoßen, und (Meta) tut es – soweit ersichtlich – weiterhin.” Allerdings schränken die bayrischen Richter ein, dass dem Facebook-Betreiber nicht jegliche Verarbeitung personenbezogener Daten der Klägerin auf alle Zeit untersagt wird. Einerseits könnte die Frau ja irgendwann zustimmen, andererseits gibt es gewisse Datenverarbeitungen, die laut DSGVO auch ohne Zustimmung zulässig sind. Nur weil Meta solche Verarbeitungen im aktuellen Verfahren nicht dargelegt habe, sei nicht auszuschließen, dass dies dem Konzern nicht eines Tages gelingen könnte.