Im digitalen Marketing und E-Commerce verlassen sich viele Unternehmen auf die Einbindung von Drittanbieterdiensten für Analyse, Tracking oder Retargeting. Dabei wird regelmäßig davon ausgegangen, dass der Webseitenbetreiber die datenschutzrechtliche Verantwortung trägt; insbesondere, wenn in vertraglichen Vereinbarungen geregelt ist, dass Cookies nur nach Einwilligung gesetzt werden dürfen. Doch diese Sichtweise greift zu kurz. Das Oberlandesgericht Frankfurt hat mit Urteil vom 11. Dezember 2025 (Az. 6 U 81/23, nicht rechtskräftig) klargestellt, dass auch Technologieanbieter haften können, wenn Cookies auf Webseiten ohne wirksame Einwilligung gesetzt werden und zwar unabhängig davon, ob sie selbst Betreiber der Seite sind oder auf vertragliche Zusicherungen vertrauen. Unser ECC-Clubmitglied, Rechtsanwalt Rolf Becker, Alfter, erläutert die Bedeutung des Urteils für die Praxis.
Fallkonstellation: Cookies ohne Zustimmung trotz vertraglicher Regelungen
Dem Verfahren lag die Klage eines Nutzers zugrunde, der mehrere Webseiten aufgerufen hatte, bei denen Drittanbieter-Cookies ohne seine Einwilligung gespeichert wurden. Der verklagte Anbieter war kein Betreiber der Webseiten, sondern ein Technologieunternehmen, das Tracking- und Analysefunktionen bereitstellte. Dieses hatte sich gegenüber den Seitenbetreibern vertraglich absichern lassen: Cookies sollten nur mit wirksamem Consent gesetzt werden. Dennoch wurde beim Besuch der Seiten ein Cookie ausgelöst, ohne Einwilligung.
Das Landgericht sprach dem Kläger zunächst einen Unterlassungsanspruch sowie ein Schmerzensgeld von 1.500 Euro zu. Das OLG Frankfurt bestätigte den Unterlassungstenor, reduzierte das Schmerzensgeld jedoch auf 100 Euro. Ausschlaggebend dafür war, dass der Kläger die Setzung des Cookies nach Auffassung des Gerichts gezielt zur Beweissicherung herbeigeführt und die Nachverfolgbarkeit selbst hätte unterbinden können.
25 TDDDG: Einwilligungspflicht für jeden Zugriff auf Endgerätespeicher
Die zentrale Rechtsgrundlage ist § 25 Abs. 1 TDDDG. Danach ist es unzulässig, Informationen im Endgerät eines Nutzers zu speichern oder auszulesen, sofern der Nutzer nicht vorher auf Grundlage klarer und umfassender Informationen eingewilligt hat. Der Begriff „Endgerät“ erfasst dabei nicht nur klassische Cookies, sondern auch andere Tracking-Technologien wie Pixel oder Local Storage, unabhängig von einer personenbezogenen Datenerhebung im engeren Sinne. Das ist der Grund für die vielen Einwilligungsbanner im Internet.
Bemerkenswert ist die verhaltensbezogene Auslegung des § 25 TDDDG durch das OLG: Nicht nur der Betreiber der Webseite, sondern jede Partei, die an der technischen Umsetzung beteiligt ist, kann in der Pflicht stehen. Das betrifft insbesondere Drittanbieter, deren Skripte in Webseiten eingebunden sind und dort unmittelbar Cookie-Vorgänge auslösen. Die Richter betonen, dass die Regelung sich „gegenüber jedermann“ richtet und damit einen weiten Adressatenkreis umfasst.
Drittanbieter haften auch ohne eigenes Verschulden
Das Gericht stellt zudem klar, dass ein technischer Mitverursachungsbeitrag ausreicht, um haftungsrechtlich als „Täter“ im Sinne der Vorschrift angesehen zu werden. Es kommt nicht darauf an, ob der Drittanbieter die Einwilligung bewusst ignoriert oder schuldhaft gehandelt hat. Auch das Vertrauen auf vertragliche Zusicherungen, wonach der Seitenbetreiber für die Einholung der Zustimmung sorgt, genügt nicht als Entlastung.
Für die Praxis bedeutet das: Anbieter von Analyse- oder AdTech-Diensten können sich nicht mehr hinter dem Webseitenbetreiber verstecken. Wer Technologien bereitstellt, die Tracking auslösen, muss technisch-organisatorisch sicherstellen, dass diese nur bei vorliegender Einwilligung aktiv werden. Geschieht das nicht, drohen nicht nur aufsichtsrechtliche Sanktionen, sondern auch zivilrechtliche Unterlassungsansprüche.
Schutzgesetzcharakter: § 25 TDDDG als Basis zivilrechtlicher Ansprüche
Das OLG bejaht zudem ausdrücklich, dass § 25 TDDDG ein Schutzgesetz im Sinne des § 823 Abs. 2 BGB darstellt. Damit eröffnen sich für betroffene Nutzer neben behördlichen Maßnahmen auch zivilrechtliche Klagewege. Die Kombination mit einem Eigentumsschutzanspruch aus § 1004 BGB erlaubt die Durchsetzung von Unterlassungsansprüchen gegen Beteiligte in der technischen Kette, eine Entwicklung, die vor allem für datenintensive digitale Geschäftsmodelle heikel ist.
Dass das Schmerzensgeld im konkreten Fall reduziert wurde, ändert daran nichts. Die wirtschaftliche Sprengkraft liegt weniger in der Höhe einzelner Entschädigungen, sondern in der Möglichkeit massenhafter zivilrechtlicher Inanspruchnahme, ähnlich wie bei Fluggastrechten oder DSGVO-Auskunftsklagen. Dies gilt insbesondere für automatisiert verfolgte Verstöße, wie sie bei systematischer Consent-Nichteinhaltung auftreten können.
Hohe Anforderungen an technische Umsetzung
Das Urteil legt die Messlatte für Compliance deutlich höher. Ein vertraglich formuliertes Pflichtenkonzept reicht nicht aus. Vielmehr muss die technische Infrastruktur sicherstellen, dass Drittanbieter-Skripte erst dann geladen oder aktiviert werden, wenn eine gültige Einwilligung vorliegt. Dies betrifft insbesondere Setups mit Tag-Management-Systemen, Consent-Management-Plattformen (CMPs) und Real-Time-Bidding-Strukturen, bei denen externe Komponenten häufig noch vor Verarbeitung des Consent-Signals aktiv werden.
Auch die bloße Einbindung einer CMP genügt nicht, wenn diese technisch nicht korrekt funktioniert oder konfiguriert ist. Drittanbieter stehen in der Pflicht, ihre Integrationen so zu gestalten, dass keine unautorisierte Datenverarbeitung erfolgt und müssen im Streitfall nachweisen können, dass sie alle zumutbaren Prüf- und Steuerungsmaßnahmen ergriffen haben.
Fazit: Haftungsfalle für AdTech und Analyseanbieter
Mit seiner Entscheidung zieht das OLG Frankfurt die Verantwortungslinie in die Tiefe der technischen Lieferkette. Wer Technologien bereitstellt, die auf Webseiten Cookie-Zugriffe auslösen, muss sich nicht nur auf vertragliche Regeln verlassen, sondern trägt eine eigene, rechtlich relevante Verantwortung. Die Anerkennung von § 25 TDDDG als Schutzgesetz öffnet den Weg für zivilrechtliche Klagen und entzieht sich der reinen Kontrolle der Datenschutzaufsicht.
Das Urteil ist noch nicht rechtskräftig. Die Revision wurde wegen grundsätzlicher Bedeutung zugelassen. Unternehmen, die mit Drittanbieter-Technologien arbeiten oder solche bereitstellen, sollten dennoch nicht auf die höchstrichterliche Klärung warten. Die technische Absicherung der Einwilligungskette wird zum Compliance-Faktor und zwar unabhängig davon, ob man selbst Webseitenbetreiber ist oder nur "im Hintergrund" agiert.
ÜBER DEN AUTOR
Rechtsanwalt Rolf Becker war bis Ende 2023 Partner und Mitbegründer der Rechtsanwaltssozietät Wienke & Becker – Köln, die mit Ablauf des Jahres 2023 beendet wurde. Er ist Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht, insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Onlinehandel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
Rechtsanwalt Becker auf LinkedIn.
PRESSEHINWEISE
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!