Das Oberlandesgericht (OLG) München hat in einem Urteil (Az. 14 U 1068/25 e) klargestellt, dass die automatisierte Erhebung von Nutzerdaten auf Drittseiten durch große Werbenetzwerke ohne explizite Einwilligung rechtswidrig ist. Der Fall betrifft die weitreichende Verarbeitung sogenannter „Offsite-Daten“ über Tools wie Pixel oder Schnittstellen. Für Betreiber im E-Commerce bedeutet dies: Wer Tracking-Tools einsetzt, trägt eine enorme Verantwortung. Das Urteil stärkt die Rechte der Verbraucher auf informationelle Selbstbestimmung massiv und zeigt, dass bloße „Pay or OK“-Modelle kein Freibrief für uferloses Datensammeln sind.
Wenn der Pixel mitliest
Im Zentrum des Rechtsstreits stand ein großes soziales Netzwerk, das über seine Business-Tools (wie den bekannten Pixel oder Conversions-APIs) Daten von Nutzern auf Webseiten Dritter einsammelte. Erfasst wurden dabei sensible Informationen: E-Mail-Adressen, Telefonnummern, IP-Adressen und sogar das Klickverhalten auf fremden Shop-Seiten.
Das Problem der Offsite-Daten
Das Gericht stellte fest, dass diese Datenerhebung bereits stattfand, bevor der Nutzer überhaupt eine wirksame Einwilligung erteilt hatte. Oft wurde der Pixel im Hintergrund geladen, sobald die Seite aufgerufen wurde. Das Netzwerk argumentierte zwar mit seinem Geschäftsmodell und berechtigten Interessen, doch das OLG München folgte dem nicht. Die Richter sahen darin eine Verletzung des Nutzungsvertrags und einen Verstoß gegen die DSGVO.
Besonders brisant für die Praxis: Das Gericht betonte die „gemeinsame Verantwortlichkeit“ nach Art. 26 DSGVO. Das bedeutet, dass nicht nur das Netzwerk selbst, sondern auch der Betreiber der Webseite, der den Pixel einbindet, rechtlich in der Pflicht steht. Wer in seinem Online-Shop solche Tools nutzt, muss sicherstellen, dass die Datenübermittlung erst nach einer informierten Zustimmung erfolgt.
Schadensersatz für Kontrollverlust
Ein wichtiger Aspekt des Urteils ist die Zuerkennung von Schadensersatz. Dem Kläger wurde eine Entschädigung in Höhe von 750 Euro zugesprochen. Das Gericht sah im unbefugten Tracking einen spürbaren Kontrollverlust über die eigenen Daten. Auch wenn keine „schwere“ Persönlichkeitsrechtsverletzung im klassischen Sinne vorlag, reicht der Verstoß gegen die DSGVO aus, um finanzielle Ansprüche geltend zu machen.
Herausforderungen für den E-Commerce
Neben der reinen Datenerhebung rücken weitere rechtliche Anforderungen in den Fokus. Wer heute einen Online-Shop betreibt, muss ein stimmiges Gesamtkonzept vorweisen. Dazu gehört nicht nur ein rechtssicheres Impressum und eine lückenlose Datenschutz-Erklärung, sondern zunehmend auch die Barrierefreiheit. Seit Juni 2025 greift das Barrierefreiheitsstärkungsgesetz (BFSG), das einige E-Commerce-Anbieter dazu verpflichtet, ihre Angebote für Menschen mit Behinderungen zugänglich zu machen. Die Transparenz bei der Datenerhebung ist hierbei ein Teilaspekt: Nur wer Informationen klar und verständlich aufbereitet, handelt gesetzeskonform.
Ein häufiger Fehler in der Praxis ist die fehlerhafte Konfiguration von Consent-Bannern. Viele Shop-Betreiber verlassen sich blind auf Standardeinstellungen, bei denen Tracking-Skripte dennoch „gefeuert“ werden, bevor der Nutzer auf „Akzeptieren“ klickt. Das Urteil des OLG München verdeutlicht, dass dies ein kostspieliges Risiko darstellt. Abmahnungen und Schadensersatzforderungen der Nutzer könnten die Folge sein.
Fazit
Das Urteil des OLG München ist ein wichtiger Appell für die Werbeindustrie und ein wichtiges Signal für den Datenschutz. Nutzer müssen die volle Kontrolle darüber behalten, welche Spuren sie im Netz hinterlassen. Für Unternehmen im Bereich E-Commerce ist es nun höchste Zeit, die eigenen Tracking-Verfahren einer kritischen Prüfung zu unterziehen. Die Kombination aus technischer Überprüfung und rechtlicher Absicherung – etwa durch korrekt gestaltete Einwilligungsdialoge – ist unumgänglich. Wer hier schlampt, riskiert nicht nur Bußgelder, sondern auch das Vertrauen seiner Kunden. Die Entwicklung zeigt deutlich: Der Schutz der digitalen Privatsphäre ist kein optionales Extra mehr, sondern eine zentrale Säule der Compliance.