Im April 2025 entschied das Oberlandesgericht Frankfurt am Main, dass Meta Platforms, die Muttergesellschaft von Facebook, eine Geldentschädigung in Höhe von 200 Euro an einen Nutzer zahlen muss. Hintergrund war ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO), der aus den unzureichenden und datenschutzunfreundlichen Standardeinstellungen eines Facebook-Tools resultierte. Trotz der vergleichsweise geringen Höhe der Strafe und Schadensersatzsumme wirft das Urteil wichtige Fragen zur Wirksamkeit der DSGVO-Sanktionen und den Umgang großer Tech-Konzerne mit Nutzerdaten auf. Der Fall nahm seinen Ursprung bei einem weit verbreiteten Datenschutzproblem mit Facebooks Kontaktimport-Funktion. Zwischen Anfang 2018 und September 2019 erlaubte die Plattform standardmäßig, dass Nutzer über Telefonnummern Profile anderer Nutzer finden konnten – selbst wenn diese ihre Nummern eigentlich als privat markiert hatten.
Dieses sogenannte „Data Protection by Default“-Prinzip wurde durch die Voreinstellung nicht hinreichend umgesetzt. In der Praxis bedeutet das für Millionen von Nutzern einen erheblichen Kontrollverlust über ihre persönlichen Daten. Scraper, also automatisierte Programme, nutzten diese Schwachstelle und kombinierten Telefonnummern mit öffentlich zugänglichen Daten wie Namen oder Wohnorten. Die Folge war eine massive Datensammlung, die 2021 in Form eines Datensatzes von über 533 Millionen Facebook-Nutzern online veröffentlicht wurde. Das Oberlandesgericht befand, dass Meta durch die voreingestellte Freigabe gegen Artikel 25 der DSGVO verstieß, welcher den Datenschutz durch technische und organisatorische Maßnahmen bereits bei der Gestaltung und standardmäßig garantiert.
Das Gericht unterstrich die Notwendigkeit, dass Standardeinstellungen so gestaltet sein müssen, dass sie das höchstmögliche Datenschutzniveau gewährleisten und Nutzer nichts aktiv tun müssen, um ihre Daten zu schützen. Dass Meta dies versäumt hatte, war Grundlage für die Schadensersatzforderung. Interessant ist, dass der gerichtlich festgesetzte Betrag von 200 Euro auf den ersten Blick niedrig erscheint, im Vergleich zu vielen teils hohen Bußgeldern gegen Tech-Unternehmen im Kontext der DSGVO. Dennoch steht diese Summe symbolisch für die Anerkennung von immateriellen Schäden durch den Kontrollverlust persönlicher Daten. Deutsche Gerichte tendieren bei solchen Fällen dazu, kleinere Beträge zur Entschädigung zuzusprechen, auch wenn kein konkreter finanzieller Schaden nachgewiesen wird.
Dieser Trend reflektiert eine bestimmte Rechtsprechungslinie in Deutschland, die auf dem Grundsatz beruht, dass allein die Verletzung der Datenschutzrechte und der daraus resultierende Verlust der Datenkontrolle eine Schadensersatzpflicht begründen können – ohne den Nachweis weiterer negativer Konsequenzen wie Identitätsdiebstahl oder finanzielle Verluste. Die Grenze liegt hierbei oft zwischen 100 und 500 Euro, wobei 200 Euro ein gängiger Mittelwert sind. Das Urteil des Oberlandesgerichts ist zudem von Bedeutung, weil es eine frühere Gerichtsentscheidung des Landgerichts Wiesbaden aufhob, welche die Klage gegen Meta abgewiesen hatte. Die höhere Instanz stellte klar, dass Datenschutzverletzungen nicht nur formale Verfehlungen darstellen, sondern auch direkte Ansprüche bei Betroffenen auslösen können. Außerdem verpflichtete das Gericht Meta dazu, die problematischen Standardeinstellungen zu verändern und den Schutz der Nutzerdaten nachhaltig sicherzustellen.
Im Kontext der DSGVO gewinnt eine solche Entscheidung an Brisanz, da sie einen der wenigen greifbaren Fälle darstellt, in denen ein großer US-amerikanischer Konzern vor einem deutschen Gericht zur Verantwortung gezogen wurde. Die DSGVO wurde 2018 eingeführt, um ein einheitliches Datenschutzniveau in der EU zu erreichen und besonders die Rechte der Verbraucher hinsichtlich persönlicher Daten zu stärken. Dennoch zeigen verschiedene Kontroll- und Durchsetzungsschwächen, dass die Regulierung und ihre praktischen Konsequenzen in der Tech-Branche weiterhin eine herausfordernde Aufgabe bleiben. Parallel zu diesem Fall bestehen weitere Ermittlungen und Sanktionen gegen Meta auf europäischer Ebene, die sich ebenfalls mit fragwürdigen Datenschutzpraktiken beschäftigen. So verhängte beispielsweise die irische Datenschutzbehörde, zuständig für viele große US-Firmen, gegen Meta im Dezember 2024 eine Geldbuße von 251 Millionen Euro wegen ähnlicher Verstöße nach Artikel 25 der DSGVO.
Dieses Bußgeld erfolgte in Verbindung mit einem separaten Datenleck aus dem Jahr 2018, was verdeutlicht, dass die europäischen Datenschutzbehörden erheblichen Druck auf Tech-Giganten ausüben. Neben dem Datenschutz spielte jüngst auch der Digital Markets Act (DMA), eine EU-Regulierung zur Kontrolle großer Digitalplattformen, eine Rolle im regulatorischen Umfeld von Meta. Die Europäische Kommission verhängte im selben Zeitraum eine Geldstrafe von 200 Millionen Euro gegen Meta wegen missbräuchlicher Praktiken mit dem „pay or consent“-Modell auf Facebook und Instagram. Dieses Modell zwang Nutzer letztes Jahr, entweder für den Service zu zahlen oder eine umfangreiche Datenverfolgung zu akzeptieren, was laut EU-Kommission gegen Wettbewerbsregeln verstößt. Die Kombination aus Datenschutz- und Wettbewerbsrechtsverfahren zeigt, wie vielschichtig die Herausforderungen rund um den Umgang mit Nutzerdaten sind.
Für Verbraucher bedeutet dies immerhin, dass sie über Rechtsverstöße informiert werden und die Aufsichtsbehörden zunehmend aktiv gegen Konzerne vorgehen, um Grundrechte zu schützen. Trotzdem sind insbesondere die verhängten Bußgelder in Einzelfällen vielfach als zu gering kritisiert worden, um echte Verhaltensänderungen bei großen Tech-Firmen zu erzwingen. Aus Sicht von Datenschützern mahnt der Fall um die 200-Euro-Strafe gegen Meta auch die Notwendigkeit strengerer Sanktionen und effektivere Durchsetzung an. Nur so lasse sich sicherstellen, dass die technischen und organisatorischen Standards, die gemäß DSGVO verlangt werden, nicht nur auf dem Papier existieren. Kritiker heben zudem hervor, wie wichtig Transparenz und einfach nutzbare Datenschutzoptionen für Endanwender sind.
Für Nutzer bietet das Urteil eine klare Botschaft: Selbst wenn der finanzielle Schaden scheinbar gering ausfällt, haben Betroffene das Recht, ihre Ansprüche geltend zu machen und die Verletzung ihrer Datenschutzrechte vor Gericht zu bringen. Die Digitalisierung und der omnipräsente Einsatz sozialer Medien machen den verantwortungsvollen Umgang mit persönlichen Daten unverzichtbar. Abschließend lässt sich sagen, dass das Urteil des Oberlandesgerichts Frankfurt den anhaltenden Spannungsbogen zwischen großen Technologieunternehmen und europäischen Datenschutzvorschriften widerspiegelt. Es zeigt, wie Regulierungen wie die DSGVO in der Praxis umgesetzt und durchgesetzt werden können und welche Rolle Gerichte dabei spielen. Gleichzeitig unterstreicht der Fall, dass weitere Anstrengungen nötig sind, um das Datenschutzniveau für Internetnutzer nachhaltig zu verbessern und Rechtssicherheit zu schaffen.
In einer Zeit, in der personenbezogene Daten eine wesentliche Ressource im digitalen Zeitalter sind, bleibt der datenschutzrechtliche Umgang mit ihnen eines der zentralen Themen der modernen Gesellschaft und Gesetzgebung. Das Meta-Urteil könnte als Präzedenzfall dienen, der sowohl Firmen als auch Nutzer zu mehr Verantwortungsbewusstsein und der Wahrung von Grundrechten im Internet anhält.
