Einleitung
Mit Urteil vom 11.12.2025 hat das Oberlandesgericht Frankfurt am Main eine für Unternehmen besonders relevante Entscheidung zur Haftung von Drittanbietern für Cookies getroffen. Das Gericht klärt dabei die Anforderungen an die Cookie-Einwilligung auf Webseiten, die Reichweite des § 25 TDDDG und die Haftung bei fehlender Einwilligung. Nach Auffassung des Gerichts haften beim datenschutzwidrigen Einsatz von Tracking- und Analyse-Tools nicht nur Webseitenbetreiber, sondern auch eingebundene Cookie-Drittanbieter unmittelbar. Unternehmen drohen damit nicht nur Unterlassungsansprüche, sondern auch Schadensersatz nach DSGVO, selbst wenn lediglich pseudonymisierte Daten verarbeitet werden.
Damit erweitert sich der Kreis der Haftungsadressaten erheblich. Der rechtmäßige Einsatz von Analyse-, Statistik- oder Marketingdiensten stellt insbesondere für kleine und mittelständische Unternehmen weiterhin ein häufig unterschätztes Risiko dar.
Sachverhalt
Der spätere Kläger rief mehrere Webseiten auf, auf denen Tracking-Technologien eines Drittanbieters eingebunden waren. Nach seinem Vortrag speicherte der Drittanbieter beim Aufruf der Webseiten Cookies auf seinem Endgerät, ohne zuvor eine wirksame Einwilligung einzuholen.
Der Drittanbieter vertrat die Auffassung, allein der jeweilige Webseitenbetreiber müsse die erforderliche Einwilligung einholen. Zudem habe man vertraglich vereinbart, Cookies ausschließlich nach Einwilligung zu setzen. Darüber hinaus habe man nur pseudonymisierte Daten verarbeitet, sodass kein relevanter Eingriff vorliege. Schließlich habe der Kläger den Vorgang bewusst herbeigeführt, um einen möglichen Rechtsverstoß zu dokumentieren.
Sowohl das Landgericht Frankfurt als auch das Oberlandesgericht folgten dieser Argumentation nur teilweise. Das Berufungsgericht reduzierte zwar den Schadensersatzbetrag, bestätigte jedoch die grundsätzliche Haftung des Drittanbieters sowie den Unterlassungsanspruch.
Rechtliche Erwägungen des Gerichts
Das Gericht stellt klar, dass das Verbot des Speicherns und Auslesens von Cookies ohne Einwilligung nicht nur Webseitenbetreiber betrifft. § 25 TDDDG richtet sich an jede natürliche oder juristische Person, die technisch veranlasst, Informationen auf Endgeräten zu speichern oder auszulesen. Wer durch eigenen Programmcode oder eigene Dienste den Zugriff auf das Endgerät eines Nutzers ermöglicht, fällt in den Anwendungsbereich der Norm.
Besonders praxisrelevant ist die Einordnung des Drittanbieters als Täter des Verstoßes. Nach Auffassung des Gerichts genügt es, dass der Drittanbieter den Code bereitstellt, der beim Aufruf der Webseite automatisch Cookies setzt. Eine rein vertragliche Absicherung gegenüber dem Webseitenbetreiber reicht nicht aus, wenn technisch nicht sichergestellt ist, dass vor der Cookie-Setzung eine wirksame Einwilligung vorliegt.
Auch zur Beweislast trifft das Gericht klare Aussagen. Derjenige, der Cookies setzt, muss im Streitfall nachweisen, dass der Webseitenbesucher zuvor wirksam eingewilligt hat. Weder ein berechtigtes Interesse noch der bloße Besuch der Webseite ersetzen die Einwilligung nach § 25 TDDDG.
Darüber hinaus bejaht das Gericht einen Anspruch auf immateriellen Schadensersatz. Zwar betraf der Vorgang nur pseudonymisierte Daten. Zudem hatte der Kläger die Situation bewusst herbeigeführt. Dennoch reicht bereits das Gefühl des Überwachtwerdens und der Verlust der Kontrolle über das eigene Endgerät aus, um einen Schadensersatzanspruch in Höhe von 100 Euro zu begründen.
Die Entscheidung konkretisiert die Anforderungen an die Haftung von Drittanbietern für Cookies und verschärft die Verantwortung aller technisch an der Cookie-Setzung beteiligten Akteure.
Bedeutung der Entscheidung
Für Unternehmen mit eigener Webseite ändert sich die rechtliche Ausgangslage auf den ersten Blick nicht grundlegend. Die Verantwortung für datenschutzkonforme Cookie-Setzungen des Webseitenbetreibers ist bereits seit längerem anerkannt. Neu ist jedoch, dass diese Verantwortung nun durch eine zusätzliche Haftung der Anbieter eingebundener Dienstleister ergänzt wird.
In der Praxis bedeutet dies, dass sich Haftungsrisiken im Außenverhältnis nicht mehr durch vertragliche Regelungen verlagern lassen. Vielmehr können sich die Risiken zwischen Webseitenbetreiber und Dienstleister gegenseitig verstärken.
Insbesondere der Einsatz vermeintlich harmloser Statistik- oder Analyse-Tools kann zu Unterlassungsansprüchen, Abmahnungen und Schadensersatzforderungen führen. Voraussetzung ist lediglich, dass Einwilligungsprozesse technisch oder organisatorisch nicht sauber umgesetzt sind.
Handlungsempfehlungen für Webseitenbetreiber
Webseitenbetreiber sollten zunächst vollständig erfassen, welche Cookies und vergleichbaren Technologien auf der eigenen Webseite eingesetzt werden. Dabei sind auch Skripte und Dienste von Drittanbietern zu berücksichtigen, die im Hintergrund Daten verarbeiten.
Von zentraler Bedeutung ist eine technisch saubere Umsetzung des Einwilligungsmanagements. Cookies dürfen erst dann gesetzt werden, wenn eine aktive, informierte und nachweisbare Einwilligung des Webseitenbesuchers vorliegt. Unternehmen müssen diese Einwilligung dokumentieren und im Streitfall belegen können.
Darüber hinaus empfiehlt sich eine sorgfältige Auswahl der eingesetzten Dienstleister. Webseitenbetreiber sollten ausschließlich Anbieter nutzen, die technisch sicherstellen, dass ohne übermittelte Einwilligung kein Zugriff auf Endgeräte erfolgt.
Handlungsempfehlungen für IT- und Marketing-Dienstleister
Anbieter von Analyse-, Tracking- oder Marketingdiensten müssen ihre Haftungsrisiken im Lichte dieser Entscheidung neu bewerten. Ein bloßer Hinweis in Allgemeinen Geschäftsbedingungen oder Verträgen reicht nicht aus, um eine Haftung gegenüber Webseitenbesuchern auszuschließen. Dies gilt auch für individualvertragliche Vereinbarungen mit Webseitenbetreibern.
Erforderlich sind vielmehr technische Mechanismen, die das Setzen von Cookies erst erlauben, wenn eine wirksame Einwilligungsinformation tatsächlich vorliegt und übermittelt wurde. Ergänzend sollten Dienstleister ihre Vertragswerke, Haftungsregelungen und gegebenenfalls bestehende Versicherungen überprüfen und – soweit möglich – an die neue Risikolage anpassen.
Fazit
Das Urteil des Oberlandesgerichts Frankfurt führt zu einer erheblichen Erweiterung der Haftungsadressaten und präzisiert die Haftung von Drittanbietern für Cookies beim Einsatz von Tracking-Technologien auf Webseiten. Die Verantwortung trifft nicht mehr ausschließlich den Betreiber einer Webseite, sondern auch diejenigen, die technisch an der Datenverarbeitung beteiligt sind.
Für Unternehmen besteht daher akuter Handlungsbedarf. Sowohl die eingesetzten Tools als auch deren technische Einbindung und die zugrunde liegenden vertraglichen Strukturen sollten rechtlich und technisch überprüft werden. Eine vorausschauende Beratung im IT- und Datenschutzrecht kann helfen, Haftungsrisiken frühzeitig zu erkennen und kostspielige Auseinandersetzungen zu vermeiden.
