Wer Cookies ohne Einwilligung setzt, haftet

Viele Unternehmen sehen sich nicht als „Cookie-Verantwortliche“, weil sie keine Website betreiben. Typischer Fall: Ein Technologieanbieter liefert Analyse-, Tracking- oder Marketing-Komponenten, die Webseitenbetreiber einbinden. Die Einwilligung soll der Webseitenbetreiber über ein Consent-Banner einholen. Wenn dabei etwas schiefläuft, fühlen sich Drittanbieter oft nur „mitbeteiligt“, nicht zuständig.

Diese Sichtweise kann nach einer Entscheidung des OLG Frankfurt a.M. (Urt. v. 11.12.2025 - Az.: 6 U 81/23) erheblich riskanter sein, als es manche Verträge und Compliance-Konzepte nahelegen. Das Gericht hat deutlich gemacht, dass eine Haftung wegen rechtswidriger Cookie-Setzung auch dann in Betracht kommt, wenn das Unternehmen nicht selbst Webseitenbetreiber ist.

Kurzüberblick

• Cookie-Setzung ohne wirksame Einwilligung kann einen Rechtsverstoß darstellen
• Adressat des Verbots ist nicht nur der Webseitenbetreiber, sondern kann auch der Drittanbieter sein, der die Cookie-Setzung technisch veranlasst
• Vertragliche Absprachen mit Webseitenbetreibern können die eigene Verantwortlichkeit nicht zuverlässig „wegdelegieren“
• Unterlassungsansprüche können auch bei technisch „kleinen“ Eingriffen im Raum stehen
• Schadensersatz wurde im entschiedenen Fall zugesprochen, aber deutlich reduziert

Die Entscheidung des OLG Frankfurt a.M. vom 11.12.2025 (Az.: 6 U 81/23)

Worum ging es?

Ausgangspunkt war der Vorwurf eines Nutzers, beim Besuch verschiedener Webseiten seien Cookies eines Drittanbieters auf seinem Endgerät gespeichert worden, ohne dass er ausdrücklich eingewilligt habe. Der Nutzer ließ die Vorgänge technisch prüfen und machte anschließend gerichtliche Ansprüche geltend.

Im Kern ging es um diese Fragen:

• Kann ein Drittanbieter „Täter“ einer rechtswidrigen Cookie-Setzung sein, obwohl er keine Website betreibt?
• Reicht es zur Entlastung, wenn der Drittanbieter vertraglich vereinbart, Cookies dürften nur nach Einwilligung gesetzt werden?
• Wie wird ein immaterieller Schaden bewertet, wenn sich der Nutzer „überwacht“ fühlt?

Kernaussage: § 25 TDDDG kann auch Drittanbieter unmittelbar treffen

Die Entscheidung knüpft an den Gedanken an, dass das Speichern von Informationen auf Endeinrichtungen und der Zugriff darauf grundsätzlich nur unter engen Voraussetzungen zulässig ist. Vereinfacht gesagt: Wer den Zugriff auf das Endgerät des Nutzers technisch auslöst oder auslösen lässt, kann in den Fokus geraten.

Das Gericht hat dabei besonders hervorgehoben, dass es für die Verantwortlichkeit nicht allein darauf ankommt, wer „im Vordergrund“ die Website betreibt. Maßgeblich kann vielmehr sein, wer die konkrete Speicher- oder Zugriffshandlung in der Praxis veranlasst und wessen Technologie ohne hinreichende Sicherungen Cookies setzt.

Praktische Folge: Drittanbieter können sich nicht ohne Weiteres darauf zurückziehen, die Einwilligungsabfrage sei „Sache des Webseitenbetreibers“.

Vertragsklausel hilft nicht automatisch

In vielen Geschäftsmodellen findet sich eine Standardlogik:

• Webseitenbetreiber verpflichtet sich, Einwilligungen einzuholen
• Drittanbieter verspricht, nur „nach Consent“ zu verarbeiten
• Risiko soll über AGB, AV-Verträge oder technische Einstellungen abgefangen werden

Das OLG Frankfurt a.M. hat deutlich gemacht, dass eine solche Konstruktion die eigene Haftung nicht zuverlässig ausschließt, wenn die Technologie faktisch Cookies setzt, ohne dass eine wirksame Einwilligung sichergestellt ist. Eine rein vertragliche Risikoabwälzung kann zu kurz greifen, wenn die technische Realität nicht dazu passt.

Unterlassung auch ohne „Werbeabsicht“

Bemerkenswert ist, dass der Unterlassungsanspruch nicht davon abhängig gemacht wurde, ob die Cookie-Setzung zu Werbezwecken oder „nur“ zur Reichweitenmessung erfolgte. Aus Sicht der Praxis bedeutet das:

• Schon die unzulässige Speicherung bzw. das Auslesen kann genügen, um Ansprüche auszulösen
• Die Diskussion über den konkreten Business-Zweck kann für die Haftungsfrage weniger entlastend sein, als vielfach angenommen wird

Kein Rechtsmissbrauch allein wegen gezielter Dokumentation

Der Nutzer hatte den Vorwurf technisch dokumentiert und die Situation gezielt überprüft. Das Gericht hat dies nicht ohne Weiteres als rechtsmissbräuchlich eingeordnet. Vergleichbar mit einem Testkauf kann es aus Sicht der Gerichte zulässig sein, Verstöße zielgerichtet festzuhalten, um sie später nachweisen zu können.

Für Unternehmen bedeutet das:

• Das Argument „Der Nutzer hat das provoziert“ kann im Einzelfall wenig tragen
• Entscheidend bleibt, ob die Technologie objektiv so funktioniert, dass es ohne Einwilligung zur Cookie-Setzung kommen kann

Schadensersatz: Warum es „nur“ 100 EUR wurden

Ausgangspunkt: Immaterieller Schadensersatz ist möglich – rechtlich aber über Art. 82 DSGVO
Das OLG Frankfurt a.M. hat im konkreten Fall immateriellen Schadensersatz zugesprochen, gestützt auf Art. 82 Abs. 1 DSGVO. Ein Anspruch folgt damit nicht „automatisch“ aus § 25 TDDDG; er setzt zusätzlich eine DSGVO-relevante Verarbeitung personenbezogener Daten und einen dadurch verursachten immateriellen Nachteil voraus.

Reduktion wegen geringer Eingriffsintensität im konkreten Fall
Das Gericht hat den von der Vorinstanz zugesprochenen Betrag von 1.500 EUR im Berufungsverfahren auf 100 EUR reduziert. Ausschlaggebend war, dass die Beeinträchtigung – trotz Rechtsverstoßes – als eher gering eingestuft wurde, u.a. weil:
• der Kläger die Cookie-Setzungen in einer testähnlichen Situation gezielt dokumentiert und bewusst in Kauf genommen hatte,
• er durch sofortiges Löschen der Cookies eine weitere Nachverfolgbarkeit hätte verhindern können,
• nach den Feststellungen des Senats keine besonders sensiblen oder unmittelbar identifizierenden Daten (z.B. E-Mail-Adresse oder Telefonnummer), sondern vor allem Online-Identifier (z.B. IP-/Cookie-ID) betroffen waren.
Gleichwohl hat der Senat das mit der Speicherung verbundene Gefühl des Überwachtwerdens als ausreichenden immateriellen Nachteil für 100 EUR angesehen.

Wichtig für die Einordnung: Das bedeutet nicht, dass es „immer nur“ geringe Beträge geben wird. Es zeigt aber, dass Gerichte bei der Höhe stark auf die Umstände des Einzelfalls schauen.

Kein Strafschadensersatz
Art. 82 DSGVO dient der Kompensation eines tatsächlich erlittenen Schadens; er ist nicht als „Strafschadensersatz“ oder allgemeines Abschreckungsinstrument konzipiert. Für die Risikobewertung heißt das: Maßgeblich sind Art, Umfang und Intensität der konkreten Beeinträchtigung im Einzelfall.

Warum das Urteil für Unternehmen so relevant ist

Drittanbieter sind häufiger angreifbar als viele denken

Wer Technologien bereitstellt, die auf Nutzerendgeräten speichern oder auslesen, ist oft näher an der „konkreten Zugriffshandlung“, als es interne Rollenbeschreibungen vermuten lassen. Risikokonstellationen entstehen besonders dort, wo:

• Skripte oder SDKs bereits beim Seitenaufruf laden
• Cookies vor dem ersten Consent gesetzt werden können
• Einwilligungssignale technisch nicht robust verarbeitet werden
• Fail-open-Mechanismen existieren, die bei Unsicherheiten trotzdem tracken

Kurz gesagt: Je automatisierter die Cookie-Setzung, desto wichtiger werden technische Sicherungen statt bloßer Vertragsklauseln.

Beweisführung: Technische Nachweise sind praxistauglich

Das Verfahren zeigt, dass Kläger mit technischen Mitteln argumentieren können, etwa durch Mitschnitte des Datenverkehrs und gutachterliche Auswertungen. Für Unternehmen erhöht das den Druck, intern belastbar dokumentieren zu können:

• Was wird wann gesetzt?
• Von welchem Systemteil wird das ausgelöst?
• Welche Consent-Signale werden wie verarbeitet?
• Was passiert bei fehlendem oder widersprüchlichem Consent?

Was Sie als Webseitenbetreiber oder Drittanbieter jetzt prüfen sollten

Technische und organisatorische Stellschrauben

Wenn Sie Tracking-, Analyse- oder Marketing-Technologien einsetzen oder anbieten, sollten Sie die Praxisabläufe kritisch testen. Typische Prüffelder sind:

• Consent-Gating
• Skripte und Tags werden erst nach Einwilligung geladen
• Keine „Vorab“-Cookies durch Default-Konfigurationen
• Consent-Signal-Verarbeitung
• Einwilligungssignale werden eindeutig, dokumentierbar und konsistent ausgewertet
• Keine Verarbeitung bei unklaren Zuständen
• Auditierbarkeit
• Nachvollziehbare Logs und Versionierung von Tag-Konfigurationen
• Reproduzierbare Testläufe in definierten Browser-Setups
• Vertrag und Realität
• Verträge spiegeln die technische Umsetzung tatsächlich wider
• Rechte, Pflichten und Kontrollmechanismen sind nicht nur „Papier“, sondern operativ umsetzbar

Kommunikation und Risikoallokation

Rechtlich und wirtschaftlich kann es entscheidend sein, wie Sie mit Partnern (Webseitenbetreibern, Agenturen, Plattformen) zusammenarbeiten. Sinnvoll sind häufig:

• Klare technische Mindestanforderungen an Consent-Implementierungen
• Kontroll- und Audit-Rechte, die praktisch durchsetzbar sind
• Schnittstellen- und Verantwortlichkeitskonzepte, die nicht nur datenschutzrechtlich, sondern auch im Blick auf § 25 TDDDG funktionieren

Wie wir Ihnen helfen können

Wenn Sie unsicher sind, ob Ihr Setup mit § 25 TDDDG und den aktuellen Anforderungen der Rechtsprechung zusammenpasst, lässt sich das in der Regel strukturiert klären. In Mandaten geht es häufig um zwei Ziele: Risiken senken und Angriffsflächen reduzieren, bevor es zu Abmahnungen oder Klagen kommt.

Typische Ansatzpunkte in der Beratung sind:

• Rechtliche Einordnung Ihres konkreten Tracking- und Consent-Setups
• Risikoprüfung bei Drittanbieter-Technologien und Vertragsketten
• Strategie bei Abmahnung oder Klage, einschließlich Unterlassungs- und Schadensersatzforderungen
• Pragmatische Maßnahmenpakete, die technisch umsetzbar sind und juristisch belastbar wirken

Wenn Sie eine Abmahnung erhalten haben oder eine gerichtliche Auseinandersetzung droht, ist eine frühe, sachlich saubere Reaktion oft entscheidend.