Ein Unternehmen, das rechtswidrig Cookies setzt, haftet hierfür, auch wenn es selbst nicht Webseiten-Betreiber ist (OLG Frankfurt a.M., Urt. v. 11.12.2025 - Az.: 6 U 81/23).
Der klägerische Nutzer stellte fest, dass beim Besuch mehrerer Internetseiten Cookies eines Drittanbieters ohne seine ausdrückliche Einwilligung auf seinem Endgerät gespeichert wurden. Der Anbieter war ein in Deutschland ansässiges Technologieunternehmen. Der Kläger ließ das Verhalten durch ein Gutachten prüfen und erhob anschließend Klage auf Unterlassung und Schadensersatz.
Das LG Frankfurt a.M. sprach dem Kläger in der 1. Instanz den Unterlassungsanspruch sowie einen Schadensersatz von 1.500,- EUR zu.
In der Berufung bestätigte das OLG Frankfurt im Wesentlichen die Entscheidung des LG, reduzierte aber den Schadensersatz auf 100 EUR.
1. Cookie-Setzung ohne Einwilligung = Rechtsverstoß
Es seien Cookies ohne Einwilligung gesetzt worden. Damit sei gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) verstoßen worden.
Das Verbot gelte nicht nur für Webseiten-Betreiber, sondern für jeden, der auf Endgeräte zugreife. Das verklagte Unternehmen habe seine Technologie so programmiert, dass automatisch Cookies gesetzt würden, ohne sicherzustellen, dass zuvor eine Einwilligung vorliegen müsse.
Der Umstand, dass es vertraglich mit den jeweiligen Webseiten-Betreibern vereinbart habe, Cookies nur nach Einwilligung zu setzen, ändere daran nichts. Die Verantwortung könne nicht auf diese Dritten abgewälzt werden:
"Die Verpflichtung nach § 25 TDDDG ist nicht auf „Anbieter“ beschränkt wie andere Verpflichtungen des TDDDG (…); § 25 TDDDG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. (…)
Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt.
Das kann der Anbieter eines Telemediendiensts sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. (…)
Adressat des § 25 I 1 TDDDG ist daher jede natürliche oder juristische Person, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist.
Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind (…)."
2. Kein Rechtsmissbrauch bei gezielter Provokation
Der Kläger habe den Verstoß auch ausreichend nachgewiesen, nämlich u.a. durch eine HAR-Datei und ein Sachverständigengutachten.
Das Gericht sah es nicht als rechtsmissbräuchlich an, dass der Kläger eine solche Situation gezielt provoziert habe. Es sei legitim, Verstöße gezielt zu dokumentieren, vergleichbar mit einem Testkauf.
Ein Unterlassungsanspruch bestehe unabhängig davon, ob die Daten zu Werbezwecken oder zur Reichweitenmessung genutzt würden, denn jede Speicherung ohne Einwilligung sei unzulässig:
"Das zielgerichtete Generieren von Verstößen ist ebenso wie der Testkauf grundsätzlich nicht beanstanden (vgl. zum Testkauf schon BGH NJW 1965, 1661 - Lockspitzel).
Der Kläger ist insoweit nicht “agent provocateur”, sondern dokumentiert nur, wie sich die grundsätzlich handlungsbereite Beklagte verhalten hat. Genauso wie den Kläger hätte die Beklagte jeden anderen behandelt.
Die Tatsache schließlich, dass der Kläger vier weitere Unternehmen wegen eines gleichartigen Verstoßes in Anspruch genommen hat, lässt nicht den Schluss darauf zu, er verfolge sachfremde Motive."
3. Höhe des Schadensersatzes nur bei 100,- EUR
Das OLG Frankfurt a.M. reduzierte den vom LG ursprünglich zugesprochenen Schadensersatz in Höhe von 1.500,- EUR deutlich auf 100,- EUR.
Dabei betonte das Gericht, dass ein “allgemeines Gefühl des Kontrollverlusts” in der Regel einen Betrag in dieser Größenordnung von 100,- EUR rechtfertige.
Im vorliegenden Fall sei der Grad der Intensität jedoch stark abgeschwächt. Denn der Kläger habe die Situation gezielt herbeigeführt, indem er – ähnlich einem Testkauf – Seiten aufgerufen habe, um das Verhalten der Beklagten zu dokumentieren. Ihm war bewusst, dass Cookies gesetzt werden konnten und er durch das Löschen dieser Cookies eine weitere Verfolgung verhindern konnte.
Außerdem habe es sich bei den gespeicherten Daten nicht um besonders sensible oder identifizierende Informationen wie E-Mail-Adressen oder Telefonnummern, sondern lediglich um anonymisierte oder pseudonymisierte Daten (z. B. IP-Adresse, Cookie-ID) gehandelt. Diese konnten ohne den auf dem Endgerät gespeicherten Cookie nicht eindeutig dem Kläger zugeordnet werden.
Die Beeinträchtigung sei daher eher gering. Generalpräventive Gesichtspunkte, z.B. eine abschreckende Wirkung für andere Unternehmen, dürften nach der Rechtsprechung des EuGH nicht bei der Bemessung des Schadensersatzes berücksichtigt werden:
“Gleichwohl rechtfertigt das mit der Speicherung der Daten verbundene Gefühl des Überwachtwerdens einen Betrag in Höhe von 100,- €.”