Was ist 2025 bei Facebook-Werbung unter der DSGVO wirklich Pflicht? Der Artikel erklärt Datentransfers in die USA, warum Meta Pixel nur mit aktiver Einwilligung laufen darf, welche Anforderungen eine CMP erfüllen muss und worauf es bei Custom Audiences, Conversion API, Datenschutzerklärung und AVV ankommt – inklusive praktischer Checkliste.
Facebook-Werbung und DSGVO sind ein komplexes Thema mit realen Konsequenzen. Aufsichtsbehörden haben Meta in den letzten Jahren mit Bußgeldern in Milliardenhöhe belegt. Deutsche und österreichische Datenschutzbehörden haben entschieden, dass bestimmte Facebook-Tools ohne korrekte Einwilligung nicht DSGVO-konform sind.
Dieser Artikel gibt einen strukturierten Überblick über die rechtlichen Anforderungen – ohne Panikmache, aber mit klaren Handlungsempfehlungen. Hinweis: Dies ist keine Rechtsberatung.
Meta ist ein US-amerikanisches Unternehmen. Sobald du den Meta Pixel nutzt, Kundendaten als Custom Audience hochlädst oder in irgendeiner Form Daten über Nutzer an Meta sendest, findet ein Datentransfer in die USA statt.
Dieser Transfer ist nach DSGVO nur rechtmäßig, wenn ausreichende Garantien vorhanden sind. Seit dem EU-US-Datenschutzrahmen (2023) ist die Situation besser – aber weiterhin nicht vollständig unproblematisch.
Der Meta Pixel setzt Cookies und überträgt Nutzerdaten. Das ist nur mit ausdrücklicher, freiwilliger und informierter Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO) rechtmäßig.
Das bedeutet praktisch: Ein Cookie-Banner, der den Pixel standardmäßig aktiviert oder bei dem „Ablehnen" schwerer zugänglich ist als „Zustimmen", ist nicht DSGVO-konform. Der Pixel darf erst nach aktiver Zustimmung des Nutzers aktiviert werden.
Eine Consent Management Platform (CMP) ist das technische System, über das Einwilligungen eingeholt, gespeichert und verwaltet werden. Bekannte Anbieter: Usercentrics, Cookiebot, OneTrust, Borlabs Cookie (für WordPress).
Anforderungen an eine DSGVO-konforme CMP: Granulare Zustimmung pro Cookie-Kategorie, gleich leichte Zugänglichkeit von Zustimmen und Ablehnen, Widerrufsmöglichkeit, Dokumentation aller Einwilligungen.
Das Hochladen von Kundendaten (E-Mail-Listen) als Custom Audience ist nur rechtmäßig, wenn eine gültige Rechtsgrundlage für die Datenweitergabe an Meta besteht. Optionen: ausdrückliche Einwilligung (am sichersten), berechtigtes Interesse (umstritten, Einzelfallprüfung notwendig).
Wichtig: Meta selbst verarbeitet die hochgeladenen Daten nur nach Hashing – aber das ändert nichts an der Rechtmäßigkeitsanforderung auf deiner Seite.
Die Conversion API sendet Daten server-seitig – ohne Browser-Cookies. Das bedeutet: kein Cookie-Consent notwendig für die technische Übertragung. Aber: Die DSGVO-Anforderungen bleiben dieselben – es werden weiterhin personenbezogene Daten (IP-Adresse, E-Mail-Hash) übertragen.
Die CAPI ist technisch robuster als der Browser-Pixel – aber kein DSGVO-Freifahrtschein. Die Rechtmäßigkeit der Datenverarbeitung muss unabhängig von der technischen Übertragungsart sichergestellt sein.
Apples App Tracking Transparency (ATT) mit iOS 14 hat die Datenbasis für Facebook-Targeting erheblich reduziert. Nutzer, die das Tracking ablehnen (ca. 60–70%), sind für den Pixel unsichtbar. Auswirkungen: weniger Retargeting-Daten, unvollständige Conversion-Messung, weniger effektive Lookalike Audiences.
Gegenmaßnahmen: CAPI implementieren, Aggregated Event Measurement konfigurieren, First-Party-Daten stärken.
Jede Datenschutzerklärung muss die Nutzung von Meta-Tools transparent kommunizieren: welche Daten gesammelt werden, für welchen Zweck, auf welcher Rechtsgrundlage, wie lange sie gespeichert werden, dass Daten an Meta (USA) übertragen werden.
• Funktionsfähige CMP implementiert? • Pixel startet erst nach aktiver Zustimmung? • Datenschutzerklärung aktuell und vollständig? • AVV mit Meta abgeschlossen? • Custom-Audience-Upload auf rechtliche Grundlage geprüft? • CAPI als Ergänzung zum Pixel implementiert? • Regelmäßige Überprüfung auf neue Behördenentscheidungen?
Facebook-Werbung ist DSGVO-konform möglich – aber nur mit sorgfältiger Implementierung. Die wichtigsten Maßnahmen: funktionierende CMP, korrekte Einwilligungen, aktuelle Datenschutzerklärung und CAPI als ergänzendes Tracking-Tool. Wer das umsetzt, ist gut aufgestellt.