Eine interessante Entscheidung zur Haftung im digitalen Marketing insbesondere von Cookie-Drittanbieternhat das OLG Frankfurt a.M. hat mit seinem Urteil vom 11.12.2025 (Az. 6 U 81/23) getroffen.
Das OLG Frankfurt hatte über die Frage zu entscheiden, ob ein Drittanbieter von Cookie-/Tracking-Technologie (Technologie- und Analyseunternehmen) zivilrechtlich auf Unterlassung in Anspruch genommen werden kann, wenn bei Seitenbesuchen ohne wirksame Einwilligung Cookies bzw. ähnliche Technologien auf dem Endgerät eines Nutzers gespeichert oder ausgelesen werden.
Im Kern ging es also nicht (nur) um Pflichten des Website-Betreibers, sondern um die Haftung desjenigen, der den Drittanbieter-Code bereitstellt und dadurch das Setzen/Auslesen von Cookies technisch veranlasst.
In diesem Fall hatte der Kläger gezielt verschiedene Webseiten besuchte, um die Speicherung von Cookies durch die Beklagte – ein Technologie- und Analyseunternehmen – zu dokumentieren. Zum Nachweis der einwilligungslosen Zugriffe legte der Kläger ein Privatgutachten sowie sogenannte HAR-Dateien vor, die den Netzwerkverkehr seines Browsers protokollierten. Das Gericht bewertete dieses gezielte Vorgehen zur Beweissicherung als rechtlich zulässig und vergleichbar mit einem Testkauf im gewerblichen Rechtsschutz. Ein Rechtsmissbrauch wurde verneint, da der Kläger lediglich dokumentierte, wie sich die Beklagte gegenüber jedem beliebigen Nutzer verhält.
Zentrale Ergebnisse
- Im Ergebnis hat das Gericht entschieden, dass die Beklagte muss es unterlassen muss, ohne informierte Einwilligung des Klägers Cookies/ähnliche Technologien einzusetzen, Identifikatoren zu speichern oder auszulesen, um das Internetverhalten des Klägers „für die Auswertung zum Zwecke zielgerichteter Werbung“ zu verfolgen bzw. verfolgen zu lassen.
Kernaussagen der Entscheidung
- § 25 TDDDG als Schutzgesetz: § 25 TDDDG (vormals § 25 TTDSG; inhaltlich wortlautgleich) ist nach Auffassung des Senats eine Schutznorm i.S.v. § 823 Abs. 2 BGB und kann damit zivilrechtliche Unterlassungsansprüche (§§ 1004, 823 Abs. 2 BGB) tragen.
- Adressatenkreis („jedermann“ / Drittanbieter): Das Verbot des § 25 TDDDG beschränkt sich nach dem Senat nicht auf „Anbieter“ i.S.v. § 2 Abs. 2 Nr. 1 TDDDG; jedenfalls sei ein Drittanbieter, der durch Cookie-Setzung an der Erbringung der Telemedien mitwirkt, als Anbieter anzusehen.
- Täterschaft trotz vertraglicher Zusicherung: Der Cookie-Setzer kann als Täter haften, selbst wenn er vertraglich mit dem Webseitenbetreiber vereinbart hat, dass Cookies nur nach Einwilligung angefordert werden sollen; reine vertragliche Zusicherungen genügen nicht, um Verantwortlichkeit auszuschließen.
- Keine Rechtfertigung über Art. 6 DSGVO („berechtigtes Interesse“) für Gerätezugriff: Die Ausnahmen in § 25 Abs. 2 TDDDG seien abschließend; eine „Rechtfertigung“ des Zugriffs über Art. 6 Abs. 1 lit. b–f DSGVO (insb. lit. f) scheide für den Gerätezugriff i.S.d. § 25 Abs. 1 TDDDG aus.
- Immaterieller Schadensersatz dem Grunde nach möglich, hier aber gering: Das Gericht bejaht dem Grunde nach einen immateriellen Schaden (Art. 82 Abs. 1 DSGVO) und schätzt ihn hier auf 100 €, u.a. weil der Kläger die Situation bewusst herbeigeführt habe und die Beeinträchtigung insgesamt als gering bewertet wurde (u.a. „Gefühl des Überwachtwerdens“).
- Feststellungsantrag (zukünftiger materieller Schaden) scheiterte am fehlenden Feststellungsinteresse.
Konsequenzen für Unternehmen
Für Unternehmen ist besonders relevant, dass nach dem OLG Frankfurt nicht nur Website-Betreiber, sondern auch Drittanbieter (Analytics/AdTech/Tracking) in den Fokus zivilrechtlicher Unterlassungsansprüche geraten können, wenn ihre Technologie ohne wirksame Einwilligung Endgerätezugriffe auslöst.
Rein vertragliche „Nur-nach-Consent“-Klauseln im Partnervertrag reichen nach der Entscheidung nicht, wenn technisch/organisatorisch nicht abgesichert ist, dass der Drittanbieter-Cookie tatsächlich erst nach Einwilligung gesetzt wird (Risiko der Täterschaft).
Praktische Implikationen (Compliance):
- Consent-Management muss so umgesetzt werden, dass Drittanbieter-Tags/Skripte vor Einwilligung nicht laden bzw. nicht „feuern“ (technische Sperre, nicht nur Policy).
- Drittanbieter sollten (auch zur eigenen Risikominimierung) Mechanismen vorsehen, um Einwilligungssignale nachvollziehbar zu erhalten/zu verifizieren und das Setzen von Cookies ohne Einwilligung zu verhindern.
- Schadensersatzrisiko: Auch bei „nur“ pseudonymisierten/anonymisierten Parametern kann ein immaterieller Schaden zugesprochen werden; die Höhe kann im Einzelfall zwar gering sein, das Klage- und Unterlassungsrisiko bleibt aber erheblich.
