Das Oberlandesgericht Frankfurt am Main (OLG FFM) hat am 27.06.2024 entschieden (Az. 6 U 192/23), dass der Softwarehersteller Microsoft für fehlerhaft gesetzte Cookies auf Drittseiten haftet. Im konkreten Fall ging es um die Verwendung des Dienstes „Microsoft Advertising“, der auf Webseiten ohne die ausdrückliche Einwilligung der Nutzer Cookies setzte.
Die Entscheidung ist besonders bedeutsam, weil Microsoft nicht nur für die eigenen Datenschutzverstöße haftbar gemacht, sondern auch für solche, die durch Dritte bei der Nutzung der Software entstehen. Dies unterstreicht die Verantwortung von Softwareherstellern, auch die korrekte Integration ihrer Produkte durch Dritte zu gewährleisten. Das Gericht stellte zudem klar, dass Websitebetreiber die Zustimmung der Nutzer für die Speicherung und Verarbeitung von Cookies einholen müssen, andernfalls drohen empfindliche Strafen.
Das Urteil könnte weitreichende Konsequenzen für die gesamte IT-Branche haben, da es die Anforderungen an Datenschutz und Cookie-Management bei der Einbindung externer Dienste verschärft.
Zum Sachverhalt
In dem Verfahren vor dem Oberlandesgericht Frankfurt a.M. erhob eine Privatperson Klage gegen das europäische Microsoft Tochterunternehmen Microsoft Ireland Operations Limited. Ihr Dienst „Microsoft Advertising“ ermöglicht es Webseiten-Betreibern, Anzeigen in den Suchergebnissen des „Microsoft Search Network“ zu schalten und den Erfolg ihrer Werbekampagnen zu messen. Die Klägerin forderte Microsoft auf das Speichern von Cookies sowie den Einsatz anderer Technologien auf ihrer Endeinrichtungen ohne vorherige Einwilligung zu unterlassen. Zudem forderte die Person, dass Microsoft das Auslesen von Informationen aus diesen Endeinrichtungen zu werblichen Zwecken unterlässt. Die Klägerin hatte verschiedene Webseiten besucht auf denen Tracking-Technologien von Microsoft implementiert waren.
Im Mittelpunkt des Verfahrens stand das Produkt „Microsoft Advertising“, Microsofts Pendant zu „Google Ads“. Mit Microsoft Advertising können Unternehmen zielgruppen- und interessenbasierte Werbung auf der Suchmaschine „Bing“ und weiteren Webseiten innerhalb des Microsoft-Netzwerks schalten. Zudem ermöglicht es die Messung und Analyse des Erfolgs von Werbeanzeigen und -kampagnen. Die hierfür notwendige Erfassung des Surfverhaltens und anderer Aktivitäten der Nutzer erfolgt über Cookies und ähnliche Technologien, insbesondere durch den „UET-Tag“ (Universal Event Tracking) von Microsoft Advertising. Microsoft stellt seinen Werbepartnern und Kunden den dafür benötigten Code bereit, der in die jeweiligen Webseiten integriert werden kann. Die Nutzungsbedingungen für Microsoft Advertising verpflichten die Webseiten-Betreiber ausdrücklich, die erforderlichen Einwilligungen der Nutzer einzuholen, wie in Ziffer 9 Buchstabe b) der Bedingungen festgelegt.
Der rechtliche Rahmen für diese Vorgänge ergibt sich aus dem Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Gemäß § 25 Abs. 1 TDDDG ist das Speichern von Informationen in einer Endeinrichtung sowie der Zugriff auf bereits gespeicherte Informationen nur mit der vorherigen und informierten Einwilligung des Endnutzers erlaubt. Eine Ausnahme von der Einwilligungspflicht nach § 25 Abs. 2 Nr. 2 TDDDG besteht nur dann, wenn die Speicherung oder der Zugriff zwingend notwendig ist, um einen vom Nutzer ausdrücklich gewünschten digitalen Dienst bereitzustellen. Die Regelung beruht auf der ePrivacy-Richtlinie (Richtlinie 2002/58/EG) und der sogenannten „Cookie-Richtlinie“ (Richtlinie 2009/136/EG, Art. 2 Nr. 5) und dient dem Schutz der Integrität von Endgeräten.
Zum Zeitpunkt der Entscheidung des OLG FFM galt noch das Vorgängergesetz, das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), welches jedoch denselben § 25 enthielt. Während das TDDDG primär die Speicherung und den Zugriff auf Informationen regelt, unterliegen die anschließenden Verarbeitungen personenbezogener Daten den Bestimmungen der Datenschutz-Grundverordnung (DSGVO).
Entscheidungsgründe und wesentliche Überlegungen des OLG
Das Urteil des OLG FFM thematisiert in seinen Entscheidungsgründen wesentliche rechtliche Auffassungen zu § 25 TTDSG bzw. § 25 TDDDG im Rahmen der zivilrechtlichen Rechtsdurchsetzung, die bisher in der juristischen Diskussion wenig Beachtung fanden. In einer Pressemitteilung vom 23. Juli 2024 wird die Entscheidung des Gerichts als zivilrechtliche Haftung von Microsoft für die einwilligungsfreie Speicherung von Cookies über Webseiten Dritter bezeichnet, was neue Sichtweisen auf die Verantwortlichkeit von Technologieunternehmen eröffnet.
Das Gericht stellt klar, dass § 25 TDDDG als Schutzgesetz im Sinne von § 823 Abs. 2 BGB gilt und in erster Linie dem Schutz der Privatsphäre der Endnutzer und deren Recht auf informationelle Selbstbestimmung dient. Zudem betont das Urteil, dass das TDDDG zivilrechtliche Unterlassungsansprüche gemäß §§ 823 Abs. 2, 1004 BGB in Verbindung mit § 25 TDDDG nicht ausschließt.
Das Gericht sieht Microsoft als Verantwortlichen für das Setzen von nicht notwendigen Cookies ohne Einwilligung und damit als Adressaten von § 25 TDDDG, der sich nicht nur gegen Anbieter im Sinne des Gesetzes, sondern gegen jedermann richtet, der ohne Einwilligung auf vernetzte Endgeräte zugreift. Die Regelung ist verhaltensbezogen und betrifft jede Handlung, die auf den Zugriff oder die Speicherung abzielt, unabhängig davon, ob sie von einem Anbieter eines digitalen Dienstes oder einem anderen Akteur ausgeht.
Microsoft wird für die Speicherung der Cookies ohne Einwilligung als direkt verantwortlich angesehen, da dies durch den von Microsoft bereitgestellten Code auf Webseiten ermöglicht wird. Auch wenn Webseiten-Betreiber entgegen den Vorgaben Microsofts keine Einwilligung eingeholt haben, entlastet dies Microsoft nach Ansicht des Gerichts nicht. Die Adäquanz des Kausalverlaufs wird vom Gericht nicht verneint, da Microsoft zwar in den Nutzungsbedingungen die Einwilligung als erforderlich bezeichnet, aber dennoch durch Vertrauen auf die Webseiten-Betreiber seine Verpflichtungen nicht erfüllt hat. Das Gericht unterstreicht, dass die Pflichtverletzung durch Microsoft im Unterlassen liegt, da die Einholung der Einwilligung die Speicherung der Cookies hätte verhindern können. Auch die Rechenschaftspflicht gemäß Art. 7 Abs. 1 DSGVO wird hier als relevant angesehen, wobei offenbleibt, ob Microsoft technisch die Möglichkeit hat, die Einholung der Einwilligung nachzuweisen.
Folgen der Entscheidung
Die Entscheidung markiert einen Paradigmenwechsel in der datenschutzrechtlichen Rechtsdurchsetzung. Bisher lag der Fokus der rechtlichen und behördlichen Praxis in Deutschland stark auf den Webseiten-Betreibern. Die Verantwortlichkeit erstreckte sich hauptsächlich auf diese, während Anbieter digitaler Dienste seltener im Fokus standen. Nun geraten auch diese Anbieter, deren Technologien auf Cookies oder ähnlichen Mechanismen basieren, stärker ins Visier. Weitere ähnliche Verfahren sind denkbar.
Besonders relevant wird dies bei Anbietern, die als Gatekeeper im Sinne des Digital Markets Acts (Verordnung (EU) 2022/1925) gelten. Für sie ergibt sich eine Pflicht, nachgelagert zur Einwilligung, die Verarbeitung personenbezogener Daten durchzuführen, wie in Art. 5 Abs. 2 S. 1 DMA festgelegt. Unternehmen wie Google und Microsoft haben mit der Einführung des teilweise umstrittenen „Consent Mode“ auf diese Anforderungen reagiert.
Den Verantwortlichen der Webseiten wird empfohlen, die Nutzungsbedingungen und vertraglichen Vereinbarungen mit Anbietern sorgfältig zu überprüfen, um sicherzustellen, dass sowohl gesetzliche als auch vertragliche Verpflichtungen eingehalten werden. So können mögliche Regressansprüche der Anbieter vermieden werden.