Meta Conversion API und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber die Meta Conversion API ein, übermittelt er Server-zu-Server Conversion-Ereignisse und – soweit verfügbar – damit verbundene Nutzerdaten (in gehashter Form) an Meta, um die Werbeerfolgsmessung und das Anzeigen-Targeting in Meta-Werbenetzwerken (Facebook, Instagram) zu verbessern. Diese Seite zeigt Webseitenbetreibern in Deutschland, welche Daten die Meta Conversion API nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet, welche Zwecke und Rechtsgrundlagen typischerweise einschlägig sind und welche Pflichtangaben dazu in die Datenschutzerklärung gehören.

A. Zweck und Funktionsweise der Meta Conversion API

Die Meta Conversion API (CAPI) – früher „Facebook Conversions API" – ist eine Server-zu-Server-Schnittstelle, über die Webseitenbetreiber Conversion-Ereignisse direkt vom eigenen Server an Meta übermitteln. Im Gegensatz zum browserseitigen Meta Pixel (das im Browser des Nutzers ausgeführt wird) erfolgt die Übermittlung serverseitig und ist damit weniger anfällig für Browser-Tracking-Blocker, Cookie-Lifetime-Beschränkungen und Werbeblocker. Typischerweise werden Ereignisse wie PageView, AddToCart, Purchase, Lead oder CompleteRegistration an Meta gesendet.

Diese Seite konzentriert sich auf die Integrations-Funktion Server-zu-Server-Übermittlung von Conversion-Ereignissen über die Meta Conversion API. Andere Meta-Integrationen (Meta Pixel als JavaScript-Snippet, Meta Business Tools, Login mit Facebook, Social Plugins) sind nicht primärer Gegenstand dieser Darstellung. Häufig wird die CAPI parallel zum Meta Pixel eingesetzt („Pixel + CAPI").

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz der Meta Conversion API

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu Betroffenenrechten und Aufsichtsbehörde tool-bezogen bestimmte Mindestinhalte. Für den Einsatz der Meta Conversion API sind das insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO),
• bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt erhobenen Daten zusätzlich die Kategorien der Daten (Art. 14 Abs. 1 lit. d DSGVO).

Es ist nicht erforderlich, die Meta Conversion API mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn diese Praxis weit verbreitet ist. Die „Textbaustein-pro-Tool"-Methode hat sich als schlechte Manier etabliert: Sie führt zu langen, redundanten Texten, macht die Datenschutzerklärung schwer pflegbar und steht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Tracking, Marketing-Integrationen …) beschreibt und Meta lediglich in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter der Meta Conversion API

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters die Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland. Konzernmuttergesellschaft ist die Meta Platforms, Inc., 1 Meta Way, Menlo Park, CA 94025, USA.

Die Meta Platforms, Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework (DPF) zertifiziert; der Status ist unter https://www.dataprivacyframework.gov/s/participant-search verifizierbar. Ergänzend kommen EU-Standardvertragsklauseln zum Einsatz.

Die Datenschutzhinweise von Meta sind abrufbar unter https://www.facebook.com/privacy/policy. Die Nutzungsbedingungen für Meta-Business-Tools – einschließlich der CAPI – sind unter https://www.facebook.com/legal/terms/businesstools abrufbar; die ergänzenden Bedingungen zu Daten zwischen Werbetreibenden und Meta unter https://www.facebook.com/legal/controller_addendum. Meta tritt nach diesen Bedingungen in Bezug auf bestimmte Verarbeitungen (Werbeerfolgsmessung) als gemeinsam Verantwortlicher mit dem Webseitenbetreiber auf, in Bezug auf andere als eigenständig Verantwortlicher.

D. Datenverarbeitung über die Meta Conversion API – Ablauf in Schritten

E. Erhobene Daten beim Einsatz der Meta Conversion API

Im Zusammenhang mit der Meta Conversion API werden nach den öffentlich zugänglichen Angaben des Anbieters typischerweise gehashte E-Mail-Adresse, gehashte Telefonnummer, gehashter Name und ggf. weitere gehashte Identifikatoren, IP-Adresse, User-Agent, Click-IDs (fbc, fbp), Conversion-Werte (Betrag, Währung, Produkt-IDs), Zeitstempel und Event-Namen verarbeitet.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitstempel, User-Agent.
• Klickpfade: aufgerufene Seiten, ausgelöste Conversion-Events.
• Endgeräte-Daten: Gerätetyp und Betriebssystem, soweit aus dem User-Agent ableitbar.
• Browserinformationen: Browsername und -version, soweit aus dem User-Agent ableitbar.
• Grobe Standortdaten: aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Nutzerprofile: nach Angaben des Anbieters Zuordnung zu Custom Audiences und Lookalike Audiences (auf Seiten von Meta).
• Conversion-Ereignisse: vom Webseitenbetreiber definierte Ereignisse (z. B. PageView, Purchase, Lead).

Hinweis: Auch wenn identifizierende Felder gehasht übermittelt werden, handelt es sich nach herrschender Auffassung weiterhin um personenbezogene Daten im Sinne der DSGVO, da Meta die Hashes mit eigenen Daten abgleichen und Nutzern zuordnen kann.

F. Nutzungszwecke beim Einsatz der Meta Conversion API

Webseitenbetreiber nutzen die Meta Conversion API typischerweise zur Verbesserung der Erfolgsmessung von Werbekampagnen in Meta-Werbenetzwerken, zur stabilen Übermittlung von Conversion-Ereignissen (auch bei Browser-Tracking-Beschränkungen), zur Optimierung von Anzeigen und zum Aufbau von Custom Audiences und Lookalike Audiences.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Allgemeines Marketing: Erfolgsmessung von Werbekampagnen, Reichweitenanalyse.
• Nutzerprofil-Erstellung: Zuordnung zu Custom Audiences und Lookalike Audiences (auf Seiten von Meta).
• Nutzerindividuelles Marketing: Ausrichtung von Werbung in Meta-Werbenetzwerken an Interessen und Verhalten des Nutzers.
• Allgemeine Produktverbesserung: Auswertung aggregierter Conversion-Daten zur Optimierung der Webseite.

G. Rechtsgrundlagen beim Einsatz der Meta Conversion API

In einem ersten Schritt ist die Meta Conversion API einer Tool-Kategorie zuzuordnen: Es handelt sich im Schwerpunkt um ein Tool aus der Kategorie Tracking (Marketing) bzw. Remarketing.

In einem zweiten Schritt kommen folgende Rechtsgrundlagen typischerweise in Betracht:

• Für die Übermittlung von Conversion-Daten an Meta: regelmäßig Marketing-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG, soweit clientseitig Cookies oder vergleichbare Speicherzugriffe (z. B. fbp, fbc) gesetzt oder ausgelesen werden.
• Soweit Conversion-Daten ausschließlich serverseitig und ohne Zugriff auf Endgeräte-Speicher übermittelt werden, ist die Anwendbarkeit von § 25 TDDDG umstritten; die Übermittlung an Meta zu Werbezwecken unterliegt jedoch weiterhin der DSGVO. Eine Einwilligung ist auch hier regelmäßig zu empfehlen, weil die Übermittlung der Erfolgsmessung von Werbung dient.
• Für die gemeinsam verantwortliche Verarbeitung zwischen Webseitenbetreiber und Meta (Werbeerfolgsmessung): nach den Vorgaben der Meta-Bedingungen für Business-Tools.

Welche Rechtsgrundlage konkret einschlägig ist, hängt von der konkreten Konfiguration (Pixel + CAPI, ausschließlich CAPI, gehashte Identifier, Click-IDs) und der Einbindung im Consent-Banner ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zur Meta Conversion API

• Joint Controller Agreement: Nach den Nutzungsbedingungen für Meta-Business-Tools (insbesondere Ziffer 5.a) treten Meta und der Webseitenbetreiber für bestimmte Verarbeitungen (Werbeerfolgsmessung) als gemeinsam Verantwortliche auf. Die wesentlichen Inhalte der Joint-Controller-Vereinbarung sind unter https://www.facebook.com/legal/controller_addendum abrufbar und sollten in der Datenschutzerklärung referenziert werden.
• Hashing: Die Übermittlung identifizierender Daten erfolgt nach den öffentlich zugänglichen Angaben in gehashter Form (typischerweise SHA-256). Eine Anonymisierung ist damit nicht erreicht; die Daten bleiben personenbezogen.
• Pixel + CAPI: Wird die CAPI parallel zum Meta Pixel betrieben, ist eine Deduplizierung über Event-IDs vorzusehen, um Doppel-Conversions zu vermeiden.
• Drittlandtransfer / DPF: Meta Platforms, Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert; ergänzend werden EU-Standardvertragsklauseln eingesetzt.
• Opt-Out-Möglichkeiten der Nutzer: Werbeeinstellungen bei Meta sind unter https://www.facebook.com/help/109378269482053/ abrufbar.
• Quellenhinweis: Die Angaben beruhen auf öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zur Meta Conversion API und Datenschutz

J. Fazit zur Meta Conversion API

Beim Einsatz der Meta Conversion API werden personenbezogene Daten der Webseitenbesucher serverseitig an Meta übermittelt. Vertragspartner ist die Meta Platforms Ireland Limited; die US-Konzernmutter Meta Platforms, Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert. Zentrale Pflichten sind die Einbindung der CAPI in das Consent-Management, die Berücksichtigung der Joint-Controller-Vereinbarung von Meta sowie eine bewusste Konfiguration der übermittelten Identifikatoren.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für die Meta Conversion API einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Tracking, Remarketing …) übergreifend erklärt und nur im Anhang Empfänger den Anbieter Meta nennt – inklusive Hinweis auf die gemeinsame Verantwortlichkeit. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com