Schmerzensgeld für Cookies bei fehlender Einwilligung | Recht

Haufe Online Redaktion

Schmerzensgeld für Cookies bei fehlender Einwilligung — Bild: MStudioImages/GettyImages Der Anspruch kann sich auch gegen Technologie- und Analyseunternehmen richten, die für die Websitebetreiber tätig werden

Wer ohne Einwilligung der User Cookies setzt, haftet auf Unterlassung und Schadenersatz. Dies gilt auch, wenn er selbst nicht der Betreiber der Website ist.

Das OLG Frankfurt hat sich mit der Frage auseinandergesetzt, ob auch derjenige, der keine eigenen Websites betreibt für rechtswidrig gesetzte Cookies in die Haftung genommen werden kann. Die Antwort des OLG ist eindeutig: Nicht nur die unmittelbaren Betreiber von Websites, sondern jeder, der – auch mittelbar über Websites anderer Betreiber – auf ein Endgerät zugreift, ist Haftungsadressat für Verstöße gegen das Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

Cookies grundsätzlich nur mit Einwilligung

Gegenstand des vom OLG in zweiter Instanz entschiedenen Rechtsstreits war die Zulässigkeit der Speicherung und des Auslesens von mittels Cookies generierter Daten durch die Beklagte zu werblichen Zwecken auf dem Smartphone eines privaten Users ohne dessen Einwilligung. § 25 Abs. 1, Abs. 2 Satz 1 TDDDG verbietet es jedem Anbieter von elektronischen Informationen und Kommunikationsdiensten, Informationen auf der Endeinrichtung eines Endnutzers zu speichern oder auf diese Informationen zuzugreifen, wenn der Handy-Nutzer nicht auf der Grundlage einer klaren und umfassenden Information in diese Nutzung eingewilligt hat. Die Vorschrift dient dem Schutz der Privatsphäre des Nutzers und ist nach der Bewertung des OLG damit letztlich ein Ausfluss der Grundrechte auf informationelle Selbstbestimmung sowie auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Verbot ungenehmigten Zugriffs

Das OLG stellte klar, dass § 25 Abs. 1, Abs. 2 Satz 1 TDDDG auch einen Unterlassungsanspruch nach bürgerlichem Recht nicht ausschließt. Die Vorschrift beschränke sich auch nicht auf „Anbieter“ im technischen Sinne. § 25 Abs. 1, Abs. 2 Satz 1 TDDDG untersage vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Adressat des Gesetzes seien sowohl die Anbieter von Telemediendiensten als auch jegliche andere Zugriffsinteressierten. Im Ergebnis adressiere die Vorschrift jede natürliche oder juristische Person, die kausal die Ausführung oder den Zugriff auf eine Endeinrichtung veranlasst, und zwar unabhängig davon ob sie formal datenschutzrechtlich Verantwortlicher ist oder nicht.

Cookies durch Privatgutachten hinreichend nachgewiesen

Im konkreten Fall ging der Senat unter Bezugnahme auf ein vom Kläger vorgelegtes Privatgutachten davon aus, dass Cookies der Beklagten ohne Einwilligung des Klägers beim Besuch mehrerer Internetseiten auf dessen Endgerät gespeichert worden sind. Die Beklagte sei den Ausführungen in dem Gutachten nicht substantiiert entgegengetreten.

Darüber hinaus habe die Beklagte nicht darlegen können, dass der Kläger in die Platzierung der Cookies eingewilligt habe. Die Darlegungs- und Beweislast für das Vorliegen einer Einwilligung liege allein bei der Beklagten.

Kein Rechtsmissbrauch des Klägers

Entgegen der Auffassung der Beklagten war eine Einwilligung im entschiedenen Fall auch nicht konkludent anzunehmen. Diese Frage kam auf, weil der Kläger diverse Websites bewusst besucht hatte, um die Richtigkeit seiner Vermutung zu überprüfen, dass die Beklagte über diese Websites ungefragt Cookies setzt. Diese Vorgehensweise ist nach der Bewertung des OLG nicht zu beanstanden. Der Kläger habe - ähnlich einem Testkäufer von Produkten - bewusst die diversen Seiten zum Zweck der Überprüfung seines Verdachts besucht. Dies sei ein rechtlich zulässiges Vorgehen zum Zwecke der Dokumentation unberechtigter Zugriffe auf die Geräte von Endnutzern. Eine konkludente Einwilligung liege in diesem Vorgehen nicht.

Beklagte haftet als Täterin

Die Beklagte haftet nach Auffassung des Gerichts als Täterin. In Anlehnung an strafrechtliche Kategorien sei der Rechtsverstoß der Beklagten als mittelbarer Täterin zuzurechnen. Informationen in Form von Cookies seien auf den Endeinrichtungen der Nutzer auf Veranlassung der Beklagten gespeichert worden, sobald die entsprechende Anforderung auf der vom Nutzer besuchten Internetseite ausgelöst wurde. Unbestritten greife die Beklagte auf diese hinterlegten Informationen zu, indem sie sich diese von den Betreibern der Internetseiten überstellen lässt.

Immaterieller Schaden ist gering

Die Höhe des immateriellen Schadens des Klägers gemäß Art. 82 Abs. 1 DSGVO bewertete das OLG allerdings deutlich niedriger als die Vorinstanz. Das OLG reduzierte das von der Vorinstanz auf 1.500 Euro festgesetzte Schmerzensgeld auf 100 Euro. Dabei berücksichtigte der Senat, dass der Kläger die Rechtsverstöße bewusst in Kauf genommen hatte. Mehr als ein allgemeines Gefühl des Kontrollverlustes hinsichtlich der gespeicherten Daten sei als immaterielle Beeinträchtigung nicht erkennbar. Dieses Gefühl des Überwachtwerdens habe der Kläger beim Besuch der entsprechenden Websites bewusst in Kauf genommen. Durch Löschung der Cookies hätte er jede Nachverfolgbarkeit durch die Beklagte umgehend verhindern können. Ein Schmerzensgeld von 100 Euro sei daher tatangemessen und als Schadenskompensation ausreichend.

(OLG Frankfurt, Urteil v. 11.12.2025, 6 U 81/23)