Meta Pixel (Facebook Ads) und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber das Meta Pixel (ehemals Facebook Pixel) zur Conversion-Messung und Remarketing-Audienz-Erstellung ein, verarbeitet er zusammen mit Meta Platforms Ireland Limited als gemeinsame Verantwortliche (Joint Controller) personenbezogene Daten wie Besucherdaten, Conversion-Ereignisse und Profilinformationen auf Basis von Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Die Rolle des Meta Pixel im DSGVO-System unterscheidet sich grundlegend von reinen Analytics-Tools: Der Webseitenbetreiber und Meta sind gemeinsam Verantwortliche, nicht in einer Auftragsverarbeiter-Beziehung. Dies hat erhebliche datenschutzrechtliche Konsequenzen. Die vorliegende Anleitung erklärt diese Joint-Controller-Struktur und die Anforderungen an die Datenschutzerklärung. Stand: 2026-04-22.

A. Zweck und Funktionsweise von Meta Pixel

Das Meta Pixel ist ein Tracking-Code-Snippet, das Webseitenbetreiber in ihre Website einbetten. Es erfasst Nutzerinteraktionen und sendet diese als Conversion-Ereignisse an die Meta-Infrastruktur (Facebook, Instagram, Messenger). Das Pixel hat zwei Hauptfunktionen:

1. Conversion-Tracking: Das Pixel registriert, wann Nutzer bestimmte Zielaktionen durchführen (z.B. Produktkauf, Kontaktformular-Ausfüllung, Download, Videoansicht). Diese Conversion-Daten ermöglichen dem Webseitenbetreiber, die Effektivität von Facebook-Werbekampagnen zu messen.

2. Custom Audiences und Remarketing: Das Pixel sendet eine Liste von Website-Besuchern an Meta (sowie deren Browsing-Verhalten und Interaktionen). Meta erstellt daraus digitale Zielgruppen (Audiences), die der Webseitenbetreiber in künftigen Ads-Kampagnen nutzen kann, um ehemalige Besucher zu erneut ansprechen.

Extended Matching (Erweiterte Zuordnung): Bei aktivierter erwiterter Zuordnung sendet das Pixel auch Kundendaten aus dem CRM des Webseitenbetreibers an Meta (z.B. E-Mail-Adressen, Telefonnummern, Namen). Meta nutzt diese zur Zuordnung zu bestehenden Meta-Profilen.

Die Besonderheit: Joint Controller Anders als reine Tracking-Tools (Google Analytics) ist das Meta Pixel nicht nur ein Auftragsverarbeitungs-Instrument. Meta und der Webseitenbetreiber sind gemeinsame Verantwortliche (Art. 26 DSGVO) für die Datenerhebung und -übermittlung. Dies ergibt sich aus der Meta Business Tools Joint Controller Terms.

B. Pflichtangaben in der Datenschutzerklärung zu Meta Pixel

Nach DSGVO Art. 13 Abs. 1 und Art. 14 müssen Webseitenbetreiber bei Einsatz von Meta Pixel folgende Angaben machen:

• Identität und Kontaktdaten der Verantwortlichen (Art. 13 Abs. 1 lit. a) – hier: Webseitenbetreiber UND Meta Platforms Ireland Limited (als Joint Controllers)
• Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c)
• Rechtsgrundlage(n) (Art. 13 Abs. 1 lit. d)
• Kategorien von Empfängern (Art. 13 Abs. 1 lit. e)
• Speicherdauer oder Kriterien zur Bestimmung (Art. 13 Abs. 2 lit. a)
• Berechtigungen und Pflichten der Joint Controllers (Art. 26 DSGVO)

Ein zentraler Punkt: Die typischerweise in Datenschutzerklärungen vorfindlichen isolierten Tool-Absätze (z.B. „Meta Pixel: Wir nutzen das Meta Pixel...") sind nicht ausreichend. Stattdessen erfordert Art. 26 Abs. 3 DSGVO, dass die Verteilung von Verantwortlichkeiten zwischen den Joint Controllers für Nutzer transparent gemacht wird. Ein isolierter Absatz wird dem nicht gerecht.

Besserer Ansatz: Ein zentral erklärtes Kapitel zu den Datenempfängern (mit Nennung von Meta), eine klare Aufschlüsselung der Joint-Controller-Beziehung, und eine Empfängertabelle, die Meta als Joint Controller ausweist.

C. Anbieter von Meta Pixel: Meta Platforms Ireland Limited

Juridische Basis (Betreiber, nicht Mutterkonzern):

• Vollständiger Name: Meta Platforms Ireland Limited
• Anschrift: 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, D02 AX86, Irland
• Sitzland: Irland (Europäischer Wirtschaftsraum)
• Mutterkonzern: Meta Platforms Inc. (USA) – für Datenschutz-Fragen ist aber Meta Ireland zuständig
• Rolle: Joint Controller (gemeinsamer Verantwortlicher) zusammen mit dem Webseitenbetreiber, nicht Auftragsverarbeiter

Data Privacy Framework (DPF): Meta Platforms Inc. (USA) und ihre Tochtergesellschaften sind DPF-zertifiziert. Dies ermöglicht Datenübermittlungen von der EU in die USA auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO). Die Zertifizierung wurde nach der Schrems-II-Entscheidung des EuGH wieder hergestellt (Juli 2023).

Joint Controller Terms (Wichtig): https://www.facebook.com/legal/terms/businesstools Diese Terms sind zwingend zu beachten und sollten in der Datenschutzerklärung verlinkt sein. Darin wird die Verteilung von Verantwortlichkeiten und Pflichten zwischen Meta und dem Webseitenbetreiber geregelt.

Datenschutzerklärung: https://www.facebook.com/privacy/policy

AVV/DPA: Bei Meta Pixel gibt es keinen klassischen Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO, da Meta nicht als Auftragsverarbeiter fungiert. Stattdessen gelten die Joint Controller Terms und Metas Datenschutzerklärung.

D. Datenverarbeitung durch Meta Pixel – Ablauf

E. Erhobene Daten beim Einsatz von Meta Pixel

Das Meta Pixel erfasst umfangreiche Daten. Im Standard-Modus sind es:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, HTTP-Header, Anfrage-Timestamp, User-Agent (Browser, Betriebssystem, Gerätetyp), Geolocation (auf IP-Basis)
• Klickpfade: Besuchte Seiten der Website, Referrer-URL, angeklickte Elemente (Buttons, Links), Scroll-Verhalten, Verweilzeiten auf einzelnen Seiten
• Endgeräte-Daten: Gerätetyp (Desktop, Tablet, Mobile), Bildschirmauflösung, Betriebssystem-Version, Netzwerk-Typ (WiFi, Mobilfunk)
• Browserinformationen: Browsername, Browserversion, Cookies (First-Party und Third-Party), Local Storage, Pixel ID (Meta-Cookie)
• Conversion-Ereignisse: Warenkorb-Addition, Checkout-Abschluss, Kaufabschluss, Registrierung, Kontaktformular-Ausfüllung, Download, Video-View, Lead-Generierung mit zugehörigen Inhalten (Produktname, Preis, Kategorie, Menge)
• Nutzerprofil-Daten: (Bei Extended Matching) E-Mail-Adressen (gehasht), Telefonnummern (gehasht), Namen, Geburtsdatum, Anschrift, Geschlecht – sofern vom Webseitenbetreiber an Meta gesendet
• Tracking-Identifizierer: Meta Pixel ID, Nutzer-IDs, Hashed Email-Adressen, werbe-spezifische IDs (z.B. GAID für Android)

F. Nutzungszwecke beim Einsatz von Meta Pixel

Meta gibt an, dass Pixel-Daten zu folgenden Zwecken verarbeitet werden:

• Conversion-Tracking: Messung, ob und wann Website-Besucher als Folge einer Meta-Anzeige eine Aktion durchführen (Kauf, Anmeldung etc.)
• Audience-Erstellung: Segmentierung von Website-Besuchern in Custom Audiences für gezieltes Remarketing
• Profilverbesserung: Anreicherung von Meta-Nutzerprofilen mit Daten aus der Website (Kaufhistorie, Interessen, Kundensegment)
• Nutzerprofil-Erstellung und Interessensegmentierung: Entwicklung von Vorhersagen über Nutzerinteressen basierend auf Website-Behavior
• Werbe-Optimierung: Training von Metas Algorithmen zur Verbesserung der Anzeigen-Targeting-Genauigkeit
• Systeme zur Betrugserkennung und Sicherheit: Erkennung verdächtiger Aktivitäten auf der Website oder in Metas Werbenetzwerk
• Ggf. Metas interne Geschäftszwecke: Metas Dokumentation räumt ein, dass Daten auch für Systeme zur Produktverbesserung genutzt werden

G. Rechtsgrundlagen für Meta Pixel

Kernrechtsgrundlage: Einwilligung Das Meta Pixel basiert primär auf Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Die Einwilligung ist für das Setzen von Cookies und das Tracking erforderlich.

Besonderheit: Joint Controller Gemäß Art. 26 DSGVO sind der Webseitenbetreiber und Meta gemeinsame Verantwortliche. Dies bedeutet:

• Beide sind verpflichtet, Transparent über die gemeinsame Verarbeitung zu berichten
• Beide müssen Informationen über die Verteilung der Verantwortlichkeiten geben
• Beide können ggf. haftbar sein, wenn Betroffene Rechte geltend machen

Die Meta Business Tools Joint Controller Terms regeln die Verteilung:

• Der Webseitenbetreiber ist Verantwortlicher für die Entscheidung, das Pixel einzusetzen und die Conversion-Ereignisse zu definieren
• Meta ist Verantwortlicher für die weitere Verarbeitung der Daten in Metas Infrastruktur und zu Metas eigenen Zwecken

Rechtsgrund für Joint-Controller-Beziehung: Art. 26 DSGVO erlaubt es zwei Parteien, gemeinsam Verantwortliche zu sein, sofern dies der Realität der Datenverarbeitung entspricht. Bei Meta Pixel ist dies der Fall: Beide Parteien treffen gemeinsam Entscheidungen über Mittel und Zwecke der Erhebung und Übermittlung.

H. Besonderheiten und Hinweise zu Meta Pixel

1. Joint Controller Status ist nicht Optional Der EuGH hat in der Fashion-ID-Entscheidung (C-40/17) festgestellt, dass bei gemeinsamer Mitverantwortung für die Datenverarbeitung ein Joint-Controller-Verhältnis vorliegt. Dies ist nicht verhandelbar – unabhängig davon, ob die Parteien dies vertraglich regeln oder nicht.

2. Meta Business Tools Joint Controller Terms Link: https://www.facebook.com/legal/terms/businesstools Diese Terms sollten gelesen und verlinkt werden. Sie enthalten wesentliche Verteilungen von Verantwortlichkeiten und Datenschutzpflichten.

3. DPF-Zertifizierung und Datentransfers in die USA Meta Platforms Inc. ist DPF-zertifiziert. Dies ermöglicht Datenübermittlungen in die USA auf Basis von Art. 45 DSGVO. Eine zusätzliche DSFA (Datenschutz-Folgenabschätzung) wird von Datenschützern dennoch empfohlen, insbesondere bei sensitiven Daten.

4. Opt-Out-Links für Nutzer

• Facebook: https://www.facebook.com/help/109378269482053/ (Einstellungen für Werbung)
• Instagram: Nutzer können Remarketing-Ads in den Kontoeinstellungen deaktivieren
• Breitere Kontrolle: Ad Preferences im Facebook/Meta-Konto

5. Extended Matching und Kundendaten Wenn Extended Matching aktiviert ist, können CRM-Daten (E-Mail, Telefon, Name) an Meta gesendet werden. Dies erhöht die Anforderungen an die Einwilligung: Die Datenschutzerklärung muss explizit darauf hinweisen, dass auch CRM-Daten an Meta gehen.

6. Custom Audiences und Third-Party Data Meta warnt vor der Hochladung von kundenidentifizierenden Daten (PIIs), die nicht vom Webseitenbetreiber selbst erfasst wurden. Die Verantwortung für Datenschutzkonformität bleibt beim Webseitenbetreiber.

I. FAQ zu Meta Pixel

J. Fazit und Empfehlung zu Meta Pixel

Meta Pixel ist eines der verbreitetsten Tracking-Tools im E-Commerce und Digital Marketing. Seine Besonderheit liegt in der Joint-Controller-Struktur: Der Webseitenbetreiber und Meta sind nicht in einer klassischen Auftragsverarbeiter-Beziehung, sondern gemeinsame Verantwortliche. Dies ist rechtlich komplex und erfordert eine präzise Darstellung in der Datenschutzerklärung.

Isolierte Tool-Absätze sind unzureichend und widersprechen Art. 26 Abs. 3 DSGVO. Stattdessen sollten Joint-Controller-Verhältnisse transparent kommuniziert werden: mit Klärung der Rollen, Verlinkung der Meta Business Tools Terms, und expliziter Nennung von Meta als Verantwortlicher neben dem Webseitenbetreiber selbst.

Ein themenorientierter Aufbau mit zentraler Erklärung der Datenempfänger und ihrer Rollen ist praktikabler und rechtskonformer als traditionelle Textbausteine.