Kapitel 1 — Was ist der Meta Pixel?

Ein unsichtbares Programm auf fremden Websites

„Pixel" klingt nach einem winzigen Bildpunkt. Tatsächlich ist der Meta Pixel (früher: Facebook Pixel) heute ein komplexes JavaScript-ProgrammJavaScriptProgrammiersprache, die im Browser des Nutzers ausgeführt wird — im Gegensatz zu serverseitigem Code. Ermöglicht interaktive Webseiten, kann aber auch für Tracking genutzt werden.. Wenn du eine Website öffnest, auf der er installiert ist, lädt er sich automatisch in deinem Browser und sendet sofort Daten an Metas Server — bevor du irgendetwas tust.

Meta selbst beschreibt ihn so: „ein Stück Code, das dir ermöglicht, Besucheraktivitäten auf deiner Website zu verfolgen." — aus der Perspektive des Website-Betreibers. Für den Besucher: unsichtbar, ohne Ankündigung, ohne Möglichkeit zu widersprechen.[1]

Was der Pixel konkret erfasst

IP-AdresseIP-AdresseNumerische Kennung, die dein Gerät im Internet identifiziert. Verrät deinen ungefähren Standort und Internetanbieter. Gilt in der EU als personenbezogenes Datum. — identifiziert deinen Haushalt oder deine Person
Besuchte Unterseiten — welche Seiten, wie lange, in welcher Reihenfolge
Geklickte Buttons — inklusive der Beschriftung ("Termin buchen", "Mehr erfahren")
Suchbegriffe auf der Website — was du in interne Suchfelder getippt hast
Formulardaten — Feldnamen und bei bestimmten Einstellungen auch die eingetragenen Werte
Facebook-CookieTracking-CookieKleine Datei, die der Browser speichert und bei jedem Seitenaufruf mitsendet. Ermöglicht das Wiedererkennen eines eingeloggten Nutzers über verschiedene Websites hinweg. — wenn vorhanden, verknüpft alle Daten direkt mit deinem Profil

Wie er dich erkennt — auch ohne Facebook-Konto

Wer bei Facebook oder Instagram eingeloggt ist, hat einen Cookie im Browser. Dieser Cookie ist auf jeder anderen Website mit Pixel sichtbar — Meta kann so deine Aktivität auf einer beliebigen Website direkt mit deinem Profil verknüpfen.

Aber auch ohne Login-Cookie funktioniert das Tracking. Die Kombination aus IP-Adresse, Browser-Typ, Betriebssystem und weiteren technischen Details reicht in vielen Fällen aus, um eine Person über Zeit wiederzuerkennen. Das nennt sich Browser-FingerprintingBrowser-FingerprintingMethode, um Nutzer ohne Cookies zu identifizieren. Aus Kombinationen wie Bildschirmauflösung, Browser-Version, Schriftarten und Zeitzone entsteht ein einzigartiger „Fingerabdruck"..

⚠️

Der Pixel sammelt Daten über alle Besucher — auch über Menschen ohne Facebook-Konto. Was Meta mit diesen Daten macht, ist nicht öffentlich bekannt. Meta-CPO Chris Cox antwortete 2022 auf die direkte Frage des US-Kongresses, ob Meta Gesundheitsdaten von Krankenhäusern besitze: „Nach meinem Wissen nicht." — und versprach eine schriftliche Nachlieferung.[4]

Wo er installiert ist

Laut einer Analyse von The Markup ist der Meta Pixel auf mehr als 30 % aller populären Websites installiert.[2]

In Deutschland taucht er laut Stiftung Warentest (Juli 2025) auf alltäglichen Websites auf, darunter: spiegel.de, bild.de, tagesschau.de, stern.de, faz.net — sowie auf Gesundheitsseiten wie apotheken.de, docmorris.de, helios-gesundheit.de und jameda.de.[5]

Kapitel 2 — Der Krankenhausscandal

Patientendaten direkt an Meta ↑ nach oben

Im Juni 2022 testeten das investigative Newsroom The Markup und das Gesundheitsmagazin STAT News die Websites der 100 größten Krankenhäuser der USA. Das Ergebnis war eindeutig.

33 der 100 Krankenhäuser hatten den Meta Pixel installiert — darunter auf Seiten zur Online-Terminbuchung und in passwortgeschützten Patientenportalen.[3]

Was der Pixel dabei an Meta sendete:

Zwei konkrete Beispiele aus der Untersuchung: Auf der Website des University Hospitals Cleveland Medical Center sendete ein Klick auf „Online-Termin buchen" den Arztname und den Suchbegriff „pregnancy termination" an Facebook. Auf der Website des Froedtert Hospital in Wisconsin wurde beim Buchen eines Termins die Erkrankung „Alzheimer" mitübertragen.

Wie groß ist das Problem wirklich?

Die Markup-Untersuchung war auf 100 Krankenhäuser begrenzt. Eine Studie aus 2021 untersuchte 3.747 US-Krankenhäuser: 98,6 % davon hatten mindestens ein Tracking-Tool, das Daten an Dritte übertrug. Die Sammelklage gegen Meta nennt auf Basis von Expertenanalysen mindestens 664 Krankenhaussysteme und medizinische Anbieter-Websites, über die Meta Patientendaten erhalten hat.[6]

Die Reaktion der Krankenhäuser

Nach Veröffentlichung der Untersuchung entfernten 28 der 33 identifizierten Krankenhäuser den Pixel. Mindestens drei versandten offizielle Datenpannen-Benachrichtigungen an Patienten:

Die 33 identifizierten Krankenhäuser hatten zusammen mehr als 26 Millionen Patientenaufnahmen und ambulante Besuche im Jahr 2020.[4]

Metas Position: Die Schuld liegt bei den Websites

Meta argumentierte vor Gericht: Die Krankenhäuser seien verantwortlich, nicht Meta. Bei der Nutzung des Pixels müssten Websitebetreiber bestätigen, keine sensiblen Daten zu übermitteln.

Gleichzeitig ist bekannt: Meta betreibt ein internes Filtersystem, das sensible Gesundheitsdaten erkennen und herausfiltern soll. Meta hatte selbst eingestanden, dieses System sei „noch nicht vollständig genau in Betrieb". The Markup fand außerdem, dass das System Daten zu Terminen bei Schwangerschaftsberatungsstellen nicht blockierte.[7]

Kapitel 3 — Klagen in den USA

Sammelklage, Vergleiche — und Zuckerbergs Pflichtaussage ↑ nach oben

Im Juni 2022 wurde die erste SammelklageSammelklage (Class Action)Klageform, bei der viele Betroffene mit identischem Schaden gemeinsam gegen einen Beklagten klagen. Im US-Recht häufig genutzt. Ermöglicht Klagen auch bei niedrigem individuellem Schadensersatz. eingereicht. Bis heute wurden Dutzende Klagen zu In re Meta Pixel Healthcare Litigation (US District Court, Northern District of California) zusammengefasst.

Im September 2023 wies das Gericht Metas Antrag auf Abweisung teilweise ab: Metas mögliche Verletzung des Electronic Communications Privacy ActECPAUS-Bundesgesetz von 1986, das digitale Kommunikation vor unbefugtem Abhören schützt. Gilt als veraltet, da es vor dem Internetzeitalter entstand — wird aber weiterhin in Datenschutzklagen eingesetzt. sowie Vertragsbruch-Ansprüche dürfen verhandelt werden.

Im April und Mai 2025 ordnete das Gericht an, dass Mark Zuckerberg persönlich für eine begrenzte Zeugenaussage zur Verfügung stehen muss. Meta hatte dagegen Einspruch erhoben und verloren — legte dann aber Berufung beim 9. US-Berufungsgericht (Ninth Circuit) ein. Bei der mündlichen Verhandlung im Dezember 2025 signalisierte das Ninth-Circuit-Panel Sympathie für Metas Position. Eine abschließende Entscheidung steht noch aus.[6]

Vergleiche gegen Krankenhäuser

Mehrere Krankenhäuser haben sich bereits außergerichtlich verglichen:

ℹ️

In den USA ist HIPAAHIPAAHealth Insurance Portability and Accountability Act — US-Bundesgesetz von 1996. Regelt den Schutz medizinischer Daten. Gilt für Krankenhäuser und Versicherungen, aber nicht für Tech-Konzerne wie Meta. das zentrale Patientendatenschutzgesetz. HIPAA verbietet Krankenhäusern, geschützte Gesundheitsdaten ohne ausdrückliche Einwilligung an Dritte weiterzugeben. Meta hat mit keinem der betroffenen Krankenhäuser ein solches Abkommen — und ist selbst nicht HIPAA-pflichtig. Im Dezember 2022 stellte das US-Gesundheitsministerium klar: Die Nutzung des Meta Pixels auf Krankenhauswebsites verstößt gegen HIPAA. Im Juli 2023 versandten US-Gesundheitsministerium und FTC gemeinsame Warnbriefe an 130 Gesundheitsorganisationen.[14]

Kapitel 4 — Deutschland und Europa

DSGVO-Urteile: Eine Welle gegen Meta ↑ nach oben

In Deutschland ist die Rechtslage eindeutig: Personenbezogene DatenPersonenbezogene DatenAlle Informationen, die eine natürliche Person direkt oder indirekt identifizieren. Dazu zählen Name, E-Mail, IP-Adresse, Cookie-IDs und Standortdaten. Unterliegen dem Schutz der DSGVO. dürfen nur mit gültiger Rechtsgrundlage verarbeitet werden — in der Praxis meist ausdrückliche Einwilligung. Das BundeskartellamtBundeskartellamtDeutsche Wettbewerbsbehörde. Untersagte Meta 2019 die Zusammenführung von Drittseiten-Daten ohne Einwilligung. Das Verfahren war wegweisend: Es verknüpfte Datenschutzverstöße mit Wettbewerbsrecht. hatte bereits 2019 festgestellt: Metas Verarbeitung von Drittseiten-Daten ohne Einwilligung ist unzulässig.

Das Problem in der Praxis: Der Pixel sammelt Daten oft, bevor ein Nutzer einem Cookie-Banner zugestimmt hat. Oder er sammelt bei Ablehnung weiter. Und die Conversion API (dazu gleich mehr) ist für Nutzer völlig unsichtbar und technisch nicht blockierbar.

Welle deutscher Gerichtsurteile

Seit 2024 urteilen deutsche Gerichte zunehmend gegen Meta und gegen Websites, die den Pixel ohne wirksame Einwilligung einsetzen. Laut Stiftung Warentest (Juli 2025) liegen bereits rund 500 Urteile gegen Meta vor — mit Schadensersatz zwischen 1.000 und 10.000 Euro.[16]

Gericht Datum Betrag Status
LG Ellwangen 19.02.2025 10.000 € Berufung
LG Augsburg 28.03.2025 5.000 € Berufung
LG Leipzig 04.07.2025 5.000 € Berufung
LG Hamburg 17.04.2025 3.000 € Berufung
LG Frankfurt a.M. 27.05.2025 2.500 € Berufung
OLG Dresden 03.02.2026 je 1.500 € Rechtskräftig ✓
OLG Jena 02.03.2026 3.000 € BGH-Revision
OLG München 18.12.2025 750 € Revision zugelassen

Besonders bedeutsam: Die OLG-Dresden-Urteile vom 3. Februar 2026 sind rechtskräftig — der Senat ließ keine Revision zu. Das ist erstmals in Deutschland eine rechtskräftige Oberlandesgerichtsentscheidung, die plattformübergreifendes Meta-Tracking ohne Einwilligung als DSGVO-Verstoß einordnet.

Das OLG Jena (2. März 2026) ließ die Revision zum Bundesgerichtshof zu — der BGH wird Grundsatzfragen zur Einwilligung, Reichweite und Schadensberechnung höchstrichterlich klären. Meta geht in allen Fällen konsequent in Berufung.[17][20]

Die Gerichte entscheiden einheitlich: Schon das Gefühl, ausgespäht zu werden — der sogenannte KontrollverlustImmaterieller Schaden (DSGVO Art. 82)Der EuGH entschied am 4. Mai 2023 (C-300/21): Schon das Gefühl des Verlusts der Kontrolle über eigene Daten reicht als nachweisbarer Schaden für einen Schadensersatzanspruch aus — ohne materiellen Vermögensschaden. — reicht als Schaden für einen Schadensersatzanspruch aus, auch ohne nachgewiesenen materiellen Schaden. Diese Linie folgt einem EuGH-Urteil vom 4. Mai 2023 (C-300/21).

Österreich: Max Schrems siegt — rechtskräftig

Im Dezember 2025 entschied der Oberste Gerichtshof Österreich rechtskräftig: Meta muss für DSGVO-Verstöße durch seine Tracking-Tools Schadensersatz zahlen — und sprach Schrems 500 Euro zu. Kläger war Max Schrems. Das Verfahren dauerte elf Jahre und wurde zweimal dem EuGH zur Vorabentscheidung vorgelegt. Darüber hinaus erklärte der OGH personalisierte Werbung ohne explizite informierte Einwilligung für grundsätzlich illegal und verpflichtete Meta, Schrems vollständigen Datenzugriff innerhalb von 14 Tagen zu gewähren.[5]

Kapitel 5 — Die Conversion API

Das Werkzeug, das Adblocker umgeht ↑ nach oben

Den Meta Pixel kann man mit einem Adblocker blockieren. Den Cookie kann man ablehnen. Was viele nicht wissen: Meta hat ein Nachfolgewerkzeug, das beides umgeht — die Conversion APIConversion API (CAPI)Server-zu-Server-Schnittstelle von Meta. Überträgt Nutzerdaten direkt vom Webserver an Meta — ohne den Browser des Nutzers. Für Nutzer unsichtbar und technisch nicht blockierbar..

Der entscheidende Unterschied: Während der Pixel im Browser des Nutzers läuft und technisch blockiert werden kann, läuft die Conversion API direkt auf dem ServerServerseitiges TrackingCode, der nicht im Browser des Nutzers, sondern auf dem Webserver des Betreibers läuft. Adblocker und Browser-Datenschutzfunktionen haben darauf keinen Zugriff. der Website. Die Daten werden vom Website-Betreiber direkt an Meta übermittelt — am Browser des Nutzers vorbei. Der Nutzer kann das weder sehen noch verhindern.

„Ob Webseiten die Meta Conversion-API einsetzen und ob sie Daten zum konkreten Besuch an Meta übertragen, können Benutzer nicht erkennen. Wo das Programm läuft, können sie die Sammlung ihrer Daten auch nicht verhindern."

Stiftung Warentest, Juli 2025 [5]

Meta bewirbt die Conversion API öffentlich als Reaktion auf iOS-Datenschutzmaßnahmen (App Tracking TransparencyApp Tracking TransparencyApple-Funktion seit iOS 14.5 (2021). Apps müssen Nutzer um Erlaubnis bitten, bevor sie sie über andere Apps und Websites hinweg verfolgen dürfen. Hat Metas Werbeeinnahmen stark belastet. seit iOS 14.5) und Browser-Datenschutz in Safari und Firefox. Aus Metas Perspektive ist das logisch: Je mehr Websites die API statt des klassischen Pixels nutzen, desto weniger können Nutzer ihr Tracking blockieren.

Kapitel 6 — Was du tun kannst

Technische und rechtliche Möglichkeiten ↑ nach oben

Was technisch hilft

⚠️

Gegen die Conversion API gibt es keine technische Schutzmöglichkeit für Nutzer. Sie läuft auf dem Server der Website, nicht im Browser — kein AdblockerAdblockerBrowser-Erweiterung, die Werbung und Tracker auf Basis von Filterlisten blockiert. Greift nur bei clientseitigem Code — also Code, der im Browser läuft. Gegen serverseitiges Tracking (wie die Conversion API) wirkungslos., kein Browser-Setting kann sie blockieren.

Was rechtlich möglich ist (Deutschland)

Aufgrund der aktuellen Rechtsprechung können betroffene Nutzer in Deutschland SchadensersatzDSGVO-Schadensersatz (Art. 82)Anspruch auf Entschädigung bei DSGVO-Verstößen. Seit dem EuGH-Urteil C-300/21 reicht immaterieller Schaden (Kontrollverlust) aus. Deutsche Gerichte sprechen 1.000–10.000 € zu. Klagen sind individuell oder über Anwaltskanzleien möglich. geltend machen. Das Gefühl des Kontrollverlusts reicht als Schaden aus. Stiftung Warentest empfiehlt, Beweise zu sichern: Screenshots, Datenschutzerklärungen, Cookie-Banner.

ℹ️

Rechtsstatus (Stand März 2026): Die OLG-Dresden-Urteile sind rechtskräftig. Das OLG-Jena-Urteil ist nicht rechtskräftig — Revision zum BGH zugelassen. Die Landgerichts-Urteile sind ebenfalls noch nicht rechtskräftig. Die finale höchstrichterliche Klärung durch den BGH steht noch aus.[17]

Fazit

Das Geschäftsmodell ist das Problem ↑ nach oben

Der Meta Pixel ist keine Eigenheit von Facebook-Nutzern. Er ist auf einem Drittel aller populären Websites — und das bedeutet: Fast jede Person, die das Internet nutzt, wird von Meta verfolgt. Auf Nachrichtenseiten. Auf Gesundheitsportalen. Auf Arztterminseiten. Manchmal sogar in passwortgeschützten Patientenportalen.

Das ist kein Versehen. Es ist das Geschäftsmodell. Meta erwirtschaftete im zweiten Quartal 2025 einen Umsatz von 47,5 Milliarden US-Dollar — fast ausschließlich durch personalisierte Werbung. Personalisierte Werbung braucht Daten. Der Pixel liefert sie: massenhaft, unsichtbar, grenzenlos.

Die Gerichte fangen an, das zu stoppen. In Deutschland, in Österreich, in den USA. Aber die Conversion API zeigt: Meta findet immer neue Wege, um das Tracking aufrechtzuerhalten — tiefer in der Technik, unsichtbarer für den Nutzer.
25 Quellen
  1. Meta for Developers — offizielle Pixel-Dokumentation: developers.facebook.com
  2. The Markup — How We Built a Meta Pixel Inspector (April 2022): themarkup.org
  3. The Markup / STAT News — Facebook receiving sensitive medical information from hospitals (Juni 2022): themarkup.org
  4. The Markup / STAT News — Meta faces Congress questions (September 2022): themarkup.org
  5. Stiftung Warentest — Meta Business Tools, Meta sieht fast jeden Klick (Juli 2025): test.de
  6. Cohen Milstein — In re Meta Pixel Healthcare Litigation: cohenmilstein.com
  7. Compliancy Group — Meta claims hospitals to blame (Mai 2023): compliancy-group.com
  8. Paubox — Meta claims hospitals to blame: paubox.com
  9. Fierce Healthcare — Advocate Aurora, WakeMed class actions (November 2022): fiercehealthcare.com
  10. Healthcare IT Today — Meta faces legal firestorm (November 2022): healthcareittoday.com
  11. Milberg — Advocate Aurora settlement 12,25 Mio. USD: milberg.com
  12. HIPAA Journal — one-third of healthcare websites Meta Pixel (2024): hipaajournal.com
  13. HIPAA Journal — Meta facing scrutiny: hipaajournal.com
  14. KL Gates — Pixel tools in healthcare (Oktober 2023): klgates.com
  15. American Bar Association — OCR Guidance HIPAA und Meta Pixel: americanbar.org
  16. Presseportal / Dr. Stoll & Sauer — 500 Urteile gegen Meta (August 2025): presseportal.de
  17. Dr. Stoll & Sauer — OLG Dresden rechtskräftig (Februar 2026): dr-stoll-kollegen.de
  18. Dr. Stoll & Sauer — LG Leipzig, bis 10.000 Euro möglich (August 2025): dr-stoll-kollegen.de
  19. Anwalt.de — 500 Urteile, bis 10.000 Euro (August 2025): anwalt.de
  20. Ad-hoc-news — OLG Jena März 2026, BGH-Revision: ad-hoc-news.de
  21. IT-Kanzlei Lutz — LG Lübeck November 2025: datenschutz-rv.de
  22. WBS Legal — Meta Business Tools und DSGVO: wbs.legal
  23. eRecht24 — Meta Pixel und DSGVO-Konformität: e-recht24.de
  24. Borns IT-Blog — EuGH erklärt Metas DSGVO-Regeln für illegal (Juli 2023): borncity.com
  25. Clayden Law — Meta Pixels, lessons for website operators: claydenlaw.co.uk