Wer Cookies auf einer Website platziert, wird rechtlich als Anbieter eingestuft und haftet für fehlende Einwilligungs-Abfragen, sagt das OLG Frankfurt a. M. Auch ein Drittunternehmen, das Cookies integriert, hafte, wenn der Betreiber der jeweiligen Website AGB-widrig keine Einwilligung der Endnutzerinnen und -nutzer abfrage. Einem Nutzer, der bewusst illegale Cookie-Setzungen provoziert hatte, sprach das Gericht daher einen Schadensersatzanspruch von 100 Euro zu (Urteil vom 11.12.2025 – 6 U 81/23).
Der Mann hatte mehrere Websites besucht, in dem Verdacht, dass dabei ein bestimmtes Technologie- und Analyseunternehmen ohne seine Einwilligung Cookies auf seinem Gerät speichern würde. Er sollte Recht behalten und fertigte, um dies beweisen zu können, ein digitales Protokoll (eine sog. HAR-Datei) an, mit der er schließlich vor Gericht zog.
Das LG Frankfurt a.M. verurteilte das Unternehmen in erster Instanz zur Unterlassung und Zahlung von 1.500 Euro Schmerzensgeld. Die Grundlage sah das Gericht in einem Verstoß des Analyse-Unternehmens gegen § 25 I TDDDG, der das Setzen von Cookies ohne Einwilligung der Endnutzerinnen und -nutzer grundsätzlich verbietet. Die Berufung des Unternehmens zum OLG Frankfurt a.M. verpasste der Schadenssumme mit einer Reduzierung auf lediglich 100 Euro zwar einen Dämpfer, stellte aber immerhin die Haftungsfrage klar: Nicht nur die Betreiber im Vordergrund haften für illegale Cookie-Setzungen, sondern auch Dritte, die daran mitwirken.
"Anbieter"? – Das TDDDG macht keinen Unterschied
Das Unternehmen hatte argumentiert, dass es als Technologie- und Analyseunternehmen zwar Urheber der Cookies sei, die Einbindung und Speicherung auf den Endgeräten aber durch Websites Dritter veranlasst würde. Wenn diese nun keine Einwilligung der Nutzerinnen und Nutzer einholten, könne das Unternehmen im Hintergrund dafür nicht haften. Dieser Linie stellte sich der 6. Zivilsenat jedoch entgegen.
§ 25 TDDDG, auf den es hier ankomme, unterscheide gerade nicht zwischen "Anbietern" – und damit etwa Betreibern der Website als Telemedium – und anderen. Bei anderen Verpflichtungen des TDDDG möge das der Fall sein, das Cookie-Verbot sei aber bewusst verhaltensbezogen formuliert ("Speicherung", "Zugriff"), erklärte das OLG. Damit adressiere es jede Person, die die Speicherung bzw. den Zugriff auf das Endgerät veranlasse und der die Realisierung dieser Gefahr zuzurechnen sei. Ob es sich dabei um "Anbieter" oder Datenverarbeiter der DS-GVO handele, sei nicht entscheidend.
Abgesehen davon sei das Unternehmen hier sogar "Anbieter", weil es zumindest an der Erbringung der Websitedienste mitwirke. Derartige Verfahren mögen bisher zwar vor allem gegen Websitebetreiber geführt worden sein, das stehe einer Verantwortung des dahinterstehenden Cookie-Setzers allerdings nicht entgegen, meinten die Frankfurter Richterinnen und Richter.
"Cookie-Setzer" muss sichergehen
Der Senat führte aus, dass den Cookie-Setzer im Hintergrund die Beweislast für die Einwilligung treffe. Hier hatte der Kläger mithilfe seines Anwalts eine HAR-Datei anfertigen lassen, die den Netzwerkverkehr seines Geräts – mitsamt gesetzten Cookies – dokumentiert hatte. Ein Privatgutachten habe die Cookies schließlich mit dem beklagten Unternehmen in Verbindung gebracht.
Da das Unternehmen sich für die Einholung der Einwilligung nicht zuständig gesehen hatte, konnte es diesem Vorbringen vor Gericht nichts entgegensetzen. Es berief sich auf eine "faktische" Einwilligung dadurch, dass die Websites gerade in Erwartung ihrer Cookies (bzw. zu Testzwecken) besucht hatte. Das genügte dem Senat allerdings noch nicht, um von einer informierten Einwilligung nach § 25 Abs. 1 S. 1 TDDDG auszugehen.
In haftungsrechtlicher Hinsicht sei das Unternehmen insoweit als Täterin anzusehen. Gerade aufgrund der Beweislastverteilung könne es die Einholung der Einwilligung nicht vollständig auf die Drittwebsites abwälzen, die sie per AGB dazu verpflichtet hatte.
Der 6. Zivilsenat stellte auch klar, dass in dem bewussten Besuch der betroffenen Websites kein Rechtsmissbrauch seitens des Klägers liege. Er habe den Verstoß – ähnlich einem Testkauf – nicht wirklich provoziert, sondern lediglich dokumentiert, wie sich das beklagte Unternehmen verhalte. Sein Rechtsschutzbedürfnis entfalle auch nicht deshalb, da er von den Cookies wusste und die Setzung mit technischen Maßnahmen habe vorbeugen können. Man könne einem Hauseigentümer bei der Klage gegen einen Einbrecher auch nicht vorhalten, er möge sein Fenster vergittern, bevor er gerichtliche Hilfe in Anspruch nehme, so der Senat.
Schmerzensgeld begründet
Neben der Unterlassung aus §§ 1004, 823 Abs. 2 BGB iVm § 25 I TDDDG habe der Kläger auch einen Anspruch auf immateriellen Schadensersatz. Dafür zog der Senat auch Art. 82 I DSGVO heran.
Ein "Gefühl des Kontrollverlusts" – wie vom BGH für den immateriellen Schadensersatz bei Datenschutzverstößen vorausgesetzt – erkannte der Senat hier nicht. Es gehe "nur" um die anonymisierte IP-Adresse sowie die Cookie-ID des Klägers. Allerdings gehe gerade auch mit der Gefahr weiterer, bisher unbekannter Cookie-Setzungen ein gewisses "Gefühl des Überwachtwerdens" einher. Aufgrund der "Testkaufsituation" sei die Beeinträchtigung des Klägers indes nur "sehr gering", so dass der Senat hier lediglich einen Betrag von 100 Euro ansetzte.
