Cookies – eine unendliche Geschichte. Spätestens seit DSGVO und TDDDG gilt: Ohne ausdrückliche Einwilligung geht bei nicht-essenziellen Cookies nichts. Diesmal im Fokus: die Frage, ob auch Drittanbieter haften, selbst wenn sie nicht Betreiber der Websitesind. Mit dieser Frage beschäftigte sich jüngst das Oberlandesgericht Frankfurt am Main (OLG Frankfurt) und hat mit seinem Urteil vom 11. Dezember 2025 (Az. 6 U 81/23) entschieden, dass nicht nur der Website-Betreiber bei fehlender Einwilligung für die Cookie-Setzung haftet, sondern auch jeder andere Betreiber von Cookies (= Drittanbieter-Cookies).
Der folgende Blogbeitrag erläutert kurz des Urteils des OLG Frankfurts und zeigt auf, warum sich mögliche Schadensersatzansprüche nicht nur gegen Website-Betreiber richten, sondern auch weitere Akteure haften können.
Hintergrund
Den Mittelpunkt des Verfahrens bildete der Kläger, ein Websitebesucher, welcher gezielt mehrere Websiten besuchte, um feststellen zu können, ob (Drittanbieter-)Cookies auf seinem Endgerät gespeichert werden würden, auch wenn er dazu explizit keine Einwilligung gegeben hat. Dies tat er vorsätzlich und löschte hierfür zuerst seinen gesamten Browserverlauf und zeichnete die anschließenden Website-Besucher technisch auf. Im Nachgang ließ er die Protokolle gutachterlich auswerten. Als Ergebnis konnte festgestellt werden, dass ein Drittanbieter auf der Website Cookies setzte, ohne dass der Kläger zuvor eine Einwilligung in diese über den Website-Betreiber gegeben hatte. Daraufhin klagte der Betroffene erfolgreich auf Unterlassung und Schadensersatz.
Das OLG Frankfurt betonte außerdem, dass eine gezielte Aufdeckung von Datenschutzverstößen keinen Rechtsmissbrauch darstellt. Testbesuche von Websites mit dem Ziel einer Klage, seien zulässig.
Anbieter im Sinne des § 25 TDDDG
Maßgeblich für das Urteil war die weite Auslegung des Begriffes des Anbieters. Das OLG Frankfurt führte aus, dass das Verbot der Cookie-Setzung gem. § 25 TDDDG jedermann beträfe und sich nicht nur auf den eigentlichen Website-Betreiber beschränke. Vielmehr sei auch ein Drittanbieter als Anbieter im Sinne des TDDDG zu verstehen, sofern er bei der Erbringung eines Telemediums durch das Setzen von Cookies mitwirke. Damit folgt das OLG Frankfurt der Begriffsbestimmung des Anbieters, wie es bereits die DSK in ihrer Orientierungshilfe „OH Digitale Dienste“ und der EDSA in seinen Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1) vertreten haben.
Demnach sind Anbieter „jede natürliche oder juristische Person, die eigene oder fremde digitale Dienste erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden digitalen Diensten vermittelt.“ (OH Digitale Dienste, Version 1.2, Rn. 10)
Dies können im Regelfall Website-Betreiber und Dritte gleichermaßen sein, wenn diese ebenfalls Zugriff auf die eingesetzten Dienste (= Cookies) haben. Hierzu führte die DSK weiter aus, dass alle Akteure zu nennen sind, welche Zugriffe auf (personenbezogene) Daten haben. Bei dieser Aussage stützt sich die DSK auf die EDSA, die besagt, dass sofern sich
„mehrere (gemeinsame) Verantwortliche auf die ersuchte Einwilligung stützen wollen, oder wenn die Daten an andere Verantwortliche übermittelt oder von anderen Verantworltichen verarbeitet werden sollen, die sich auf die ursprüngliche Einwilligung stützen möchten, alle diese Organisationen zu nennen sind. Auftragsverarbeiter müssen nicht im Rahmen des Erfordernisses der Einwilligung genannt werden, wenngleich die Verantwortlichen mit den Artikeln 13 und 14 DSGVO eine vollständige Liste der Empfänger oder Kategorien von Empfängern einschließlich der Auftragsverarbeiter bereitstellen müssen.“ (vgl. EDSA, Leitlinien 05/2020, Rn. 65)
Schadensersatzansprüche – Kontrollverlust als immaterieller Schaden genügt
Die Schadensersatzansprüche gegenüber dem Cookie-Drittanbieter ergeben sich laut OLG Frankfurt bereits aus der Speicherung der Cookies auf dem Endgerät des Betroffenen ohne dessen explizite Einwilligung. Denn mit der Speicherung wird ein „Gefühl des Überwachtwerdens“ hervorgerufen und der damit verbundene Kontrollverlust über die eigenen Daten konnte somit zu einem immateriellen Schaden führen. Bereits der Zugriff und die Speicherung eines Cookies auf einem Endgerät stellt nach § 25 Abs. 1 TDDDG eine Verarbeitung von Daten dar. Auf einen ggf. Personenbezug der Daten kommt es im konkreten Fall nicht an. Das TDDDG, insbesondere § 25 TDDDG ist technikneutral gehalten und geht bewusst über den Anwendungsbereich der DSGVO hinaus, wie es auch der BGH in seiner „Planet49“-Entscheidung vom 28.Mai 2020 konkretisiert hatte:
„Art. 5 Abs. 3 der RL 2002/58/EG betrifft nicht den Regelungsgegenstand der VO (EU) 2016/679, gemäß ihres Art. 1 Abs. 1 DS-GVO die Verarbeitung personenbezogener Daten, sondern die Speicherung von oder den Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind. Dieser Unterschied im Anwendungsbereich hat seinen Grund in den unterschiedlichen Schutzzwecken der betroffenen Regelungen: Während die VO (EU) 2016/679 nach ihrem Art. 1 Abs. 2 DS-GVO und ihren Erwägungsgründen 1 und 2 die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren in Art. 8 GRCh gewährleistetes Recht auf Schutz personenbezogener Daten schützt, dient Art. 5 Abs. 3 der RL 2002/58/EG, wie sich aus ihren Erwägungsgründen 24 und 25 und den Erwägungsgründen 65 und 66 der diese Richtlinie ändernden RL 2009/136/EG ergibt, dem durch Art. 8 Abs. 1 EMRK und (inzwischen) durch Art. 7 GRCh garantierten Schutz der Privatsphäre der Nutzer. Art. 5 Abs. 3 der RL 2002/58/EG soll den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen sind […]. Mithin geht die Regelung des Art. 5 Abs. 3 der RL 2002/58/EG über den Anwendungsbereich der VO (EU) 2016/679 hinaus (vgl. OH Digitale Dienste, Version 1.2, Rn. 27).“
Fazit
Das Urteil des OLG Frankfurt verschärft die Haftung – für Website-Betreiber und Cookie-Anbieter gleichermaßen. Betreiber müssen sicherstellen, dass vor dem Setzen nicht-essenzieller Cookies eine ausdrückliche Einwilligung vorliegt. Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Cookie-Anbieter müssen prüfen, ob diese Einwilligung tatsächlich erteilt wurde. Ohne Einwilligung darf kein Cookie gesetzt, kein Tracking durchgeführt werden. Unternehmen müssen nicht nur technische Mechanismen bereitstellen – sie müssen deren Wirksamkeit auch kontrollieren. Das TDDDG ist technikneutral. Daher gilt das Urteil auch für andere Tracking-Technologien.
29. Januar 2026 @ 11:51
Sehr verdienstvoll, die Recherche und die darauf aufbauende Klage. Leider erfährt man nicht, wer Ross und Reiter ist. Welche Firma war das, die heimlich Drittanbieter-Cookies gesetzt hat? –
Ich persönlich schütze mich aktiv gegen Verfolgung.
1. Mit dem Addon NoScript (was es in ähnlicher Form für jeden Browser gibt) erlaube ich, wenn überhaupt, nur der Hauptseite ihr JavaScript. Ohne JS können die Drittanbieter wie google-analytics, doubleclick etc. weder Cookies setzen/lesen, noch andere Arten von Fingerprinting anwenden.
2. Falls doch mal durch eine notwendige JS-Erlaubnis ein Keks auf meinem Rechner gelandet ist, putzt das Addon CookieAutoDelete es wieder weg, sobald ich den Tab schließe – es sei denn, ich hätte die Website wie z.B. Shop explizit auf die Ausnahmeliste gesetzt.