TL;DR — Das Meta-Pixel (früher Facebook-Pixel) ist ein Werbe-Tracking-Skript, das Cookies (_fbp, _fbc) auf den Geräten der Besuchenden setzt. Seine Verwendung erfordert nach DSGVO eine vorherige Einwilligung. BfDI, Landesdatenschutzbehörden und andere EU-Behörden haben Verwarnungen wegen Nichteinhaltung ausgesprochen. Für den rechtmäßigen Einsatz wird eine konforme CMP benötigt, die das Pixel vor der Einwilligung blockiert, sowie idealerweise die Conversions API für serverseitiges Conversion-Tracking.
Das Meta-Pixel gehört zu den am weitesten verbreiteten Marketing-Tools im Web und ist gleichzeitig eines der am stärksten unter die Lupe genommenen durch europäische Datenschutzbehörden. Sein Cross-Site-Tracking-Mechanismus, Datenübertragungen auf US-Server und der Werbezweck seiner Funktionen machen es zu einem hochriskanten Fall. Dieser Leitfaden erklärt, wie es DSGVO-konform eingesetzt werden kann.
Was ist das Meta-Pixel und welche Cookies setzt es?
Das Meta-Pixel ist ein JavaScript-Code-Snippet, das Werbetreibende auf ihrer Website platzieren, um Werbekonversionen zu messen und Meta-Zielgruppen (Facebook, Instagram) aufzubauen. Beim Laden setzt es mehrere Cookies auf dem Gerät der Besuchenden.
Meta-Pixel-Cookies
_fbp: First-Party-Cookie von Meta, Laufzeit 90 Tage, identifiziert den Browser der Nutzerin oder des Nutzers für Werbe-Targeting. Dies ist der Hauptidentifikator des Pixels.
_fbc: First-Party-Cookie, der erstellt wird, wenn Nutzende über eine Facebook-Werbeanzeige ankommen (fbclid-Parameter in der URL), Laufzeit bis zu 2 Jahre. Dient dazu, einen Besuch mit einer bestimmten Werbekampagne zu verknüpfen.
Beide Cookies sind Werbe-Cookies. Sie sind nicht funktional und genießen keine Ausnahme: Ihr Setzen erfordert eine vorherige, freiwillige, informierte und spezifische Einwilligung der Nutzenden.
Welche DSGVO-Probleme verursacht das Meta-Pixel?
Das Meta-Pixel schafft mehrere unterschiedliche Compliance-Risiken, die unabhängig voneinander behandelt werden müssen.
Datenübermittlung in die USA
Meta Platforms Ireland Ltd. überträgt die vom Pixel erhobenen Daten auf US-Server, insbesondere an Meta Platforms Inc. in den USA. Seit der Ungültigkeitserklärung des Privacy Shield (Schrems-II-Urteil, Juli 2020) müssen solche Übertragungen auf geeigneten Garantien beruhen (Standarddatenschutzklauseln plus ergänzende Maßnahmen). Mehrere EU-Behörden (CNIL, österreichische DSB) haben diese Übertragungen in bestimmten Konfigurationen als nicht konform eingestuft. Die Einführung des Data Privacy Framework 2023 hat dies für zertifizierte Unternehmen teilweise gelöst.
Werbezweck und Cross-Site-Targeting
Die vom Pixel erhobenen Daten fließen in Metas Targeting-Algorithmen ein, einschließlich für das Targeting von Nutzenden auf anderen Websites und Plattformen. Dieser Cross-Site-Targeting-Zweck erfordert eine ausdrückliche Einwilligung. Berechtigtes Interesse reicht nicht aus.
Risiko des Ladens vor der Einwilligung
Das Pixel wird häufig direkt im HTML oder über den Google Tag Manager ohne bedingte Blockierung eingebettet. In diesem Fall lädt es beim Seitenaufruf, bevor die Nutzenden das Cookie-Banner überhaupt gesehen haben. Dies ist der häufigste und am stärksten sanktionierte Verstoß.
Wie das Meta-Pixel rechtmäßig eingesetzt werden kann
Vier Maßnahmen sind für eine konforme Nutzung erforderlich.
1. Pixel vor Einwilligung blockieren
Das Meta-Pixel-Skript darf erst laden, nachdem die Nutzerin oder der Nutzer Werbe-Cookies ausdrücklich akzeptiert hat. Bei Verwendung des Google Tag Managers einen bedingten Auslöser auf Basis des Einwilligungsstatus konfigurieren (Werbungseinwilligung = true). Wenn das Pixel direkt im HTML eingebettet ist, den Script-Typ auf text/plain ändern bis zur Einwilligung, oder eine CMP nutzen, die diese Blockierung automatisch übernimmt.
2. Im Banner klar informieren
Das Cookie-Banner muss das Meta-Pixel (oder 'Werbung und Targeting') explizit in der Liste der einwilligungspflichtigen Zwecke nennen. Die Nutzenden müssen verstehen, in was sie einwilligen.
3. Conversions API (CAPI) serverseitig aktivieren
Die Conversions API von Meta ist eine Alternative oder Ergänzung zum clientseitigen Pixel. Sie sendet Konversionsereignisse direkt von Ihrem Server an die Meta-API, ohne den Browser der Nutzenden zu passieren. Vorteil: Sie wird nicht durch Adblocker oder Cookie-Ablehnungen blockiert. Die gesendeten Daten müssen jedoch von einwilligenden Nutzenden stammen oder anonymisiert sein. Die CAPI niemals zur Umgehung der Einwilligungspflicht nutzen.
4. Einwilligungssignale für Meta aktivieren
Meta verfügt über einen eigenen erweiterten Einwilligungsmechanismus (Advanced Matching mit Einwilligungssignalen). Durch die Übermittlung des Einwilligungsstatus an Meta kann der Algorithmus fehlende Konversionen für ablehnende Nutzende modellieren, ähnlich wie Google Consent Mode v2. Die Konfiguration ist in der Meta-Business-Dokumentation beschrieben.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Häufige Fehler
Das Pixel im <head> ohne Blockierung laden. Dies ist die risikoreichste Konfiguration. Alle Seitenbesuchenden werden getrackt, bevor sie die Möglichkeit hatten, abzulehnen.
CAPI zur Umgehung der Einwilligung nutzen. Die serverseitige CAPI entbindet nicht von der Einwilligungspflicht, wenn Daten die Identifikation von Individuen ermöglichen. Sie darf nur für einwilligende Nutzende oder mit anonymisierten Daten genutzt werden.
_fbc im Cookie-Audit übersehen. Der _fbc-Cookie fehlt möglicherweise im Scan (er wird nur erstellt, wenn die URL fbclid enthält). Audits müssen Landingpages von Meta-Kampagnen abdecken.
Meta nicht in der Cookie-Richtlinie erwähnen. Die Cookie-Richtlinie muss das Pixel, die gesetzten Cookies, ihre Laufzeiten und den Cross-Site-Werbezweck nennen.
Meta als alleinigen Verantwortlichen betrachten. Der Website-Betreiber ist gemeinsam Verantwortlicher mit Meta für Daten, die das Pixel auf seiner Website erhebt. Diese gemeinsame Verantwortlichkeit impliziert spezifische Pflichten.
Checkliste Meta-Pixel DSGVO
- Sicherstellen, dass das Pixel im Inkognito-Modus nicht vor einem Klick auf das Banner lädt.
- GTM-Auslöser oder CMP-Blockierung konfigurieren, um das Laden von der Werbeeinwilligung abhängig zu machen.
- Meta-Pixel und _fbp/_fbc-Cookies in der Cookie-Richtlinie mit Laufzeiten und Zwecken aufføhren.
- Conversions API serverseitig aktivieren, um Konversionen einwilligender Nutzender zu sichern.
- CAPI niemals før nicht-einwilligende Nutzende mit identifizierenden Daten nutzen.
- Erweiterte Einwilligungssignale im Meta Business Manager konfigurieren.
- Website unter /de/scan scannen, um zu bestätigen, dass _fbp und _fbc nicht vor der Einwilligung erscheinen.
- Gemeinsame Verantwortlichkeit mit Meta im DSGVO-Verarbeitungsverzeichnis dokumentieren.
- Impressum und Datenschutzerklärung mit Werbezwecken aktualisieren.
Das Meta-Pixel ist ein leistungsstarkes Tool, das bei falscher Konfiguration erhebliche rechtliche Risiken birgt. Die Blockierung vor der Einwilligung ist nicht verhandelbar. Die serverseitige Conversions API verbessert die Konversionsabdeckung, ohne die DSGVO zu umgehen. Scannen Sie Ihre Website unter /de/scan, um zu prøfen, ob das Pixel vor der Einwilligung der Nutzenden lädt.
Häufig gestellte Fragen
Ist der Meta-Pixel nach DSGVO legal?
Der Meta-Pixel kann unter DSGVO legal verwendet werden, aber nur mit gültiger vorheriger Einwilligung des Nutzers. Ohne Einwilligung stellt die Aktivierung des Meta-Pixels — der Daten an Meta-Server sendet — eine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage dar, was verboten ist. Mehrere europäische Datenschutzbehörden, darunter die französische CNIL, haben Websites wegen der Verwendung des Pixels ohne angemessene Einwilligungsverwaltung sanktioniert.
Welche Daten sammelt der Meta-Pixel?
Der Meta-Pixel kann je nach Konfiguration verschiedene Datentypen sammeln: Seitenaufrufe, Ereignisse (aufgerufenes Produkt, In-den-Warenkorb-Legen, Kauf), die IP-Adresse des Nutzers, den Browser-User-Agent und Cookie-Identifikatoren, die mit dem Facebook-Konto verknüpft sind. Im Advanced-Matching-Modus kann er auch gehashte persönliche Daten wie E-Mail-Adressen oder Telefonnummern übermitteln. Diese Daten werden von Meta für Werbezwecke und Conversion-Messung verwendet.
Wie erhalte ich eine gültige Einwilligung für den Meta-Pixel?
Um eine gültige Einwilligung für den Meta-Pixel zu erhalten, müssen Sie: ein klares Einwilligungsbanner anzeigen, das explizit Meta/Facebook-Werbe-Cookies vor jeder Pixel-Aktivierung erwähnt; eine gleichermaßen zugängliche Ablehnungsoption anbieten; den Pixel nicht aktivieren, bis eine positive Einwilligung gegeben wurde; und einen Einwilligungsnachweis mit Datum und Umfang speichern. Eine konforme CMP (Consent-Management-Plattform) übernimmt diese Blockierung und Aufzeichnung automatisch.
Was passiert, wenn ein Nutzer die Einwilligung für den Meta-Pixel ablehnt?
Wenn ein Nutzer die Einwilligung ablehnt, darf der Meta-Pixel überhaupt nicht aktiviert werden — nicht einmal in einer eingeschränkten oder begrenzten Version. Sie können die Conversions API (serverseitig) als Ergänzung für einwilligende Nutzer verwenden, aber für ablehnende Nutzer sollten keine Daten an Meta gesendet werden. Aus geschäftlicher Sicht beeinträchtigt dies Ihre Targeting- und Kampagnenmessfähigkeiten; deshalb ist die Optimierung des Einwilligungsbanners zur Verbesserung Ihrer Einwilligungsrate wichtig.
Was sind die Alternativen zum Meta-Pixel für konformes Tracking?
Mehrere Alternativen reduzieren die Abhängigkeit vom browserseitigen Meta-Pixel: Die Meta Conversions API (CAPI) ermöglicht serverseitige Ereignisübermittlung, die zuverlässiger ist und Werbeblocker umgeht. Sie kann zusammen mit dem Browser-Pixel für einwilligende Nutzer oder allein für datenschutzkonformes Messen verwendet werden. Weitere Ansätze umfassen aggregierte Ereignismessung, statistische Modellierung durch Meta und die Verwendung von UTM-Parametern für grundlegende Attribution ohne Cookies.