OLG Frankfurt a.M.: Unternehmen, dass Cookies ohne Betreiber einer Internetseite zu sein auf dieser einsetzt, haftet ohne Einholung der erforderlichen Einwilligung auf Unterlassung und Schadensersatz nach Art. 82 DSGVO in Höhe von 100 EUR

So das Gericht in seinem Urteil vom 11. Dezember 2025 (Az.: 6 U 81/23) in einem Rechtsstreit eines Nutzers einer Internetseite gegen den Anbieter einer Cookie-Software, die auf verschiedenen Internetseiten im Einsatz war, die der Kläger aufgesucht hatte. Es fehlte nach Ansicht des Klägers an der erforderlichen Einwilligung nach § 25 I TDDDG. Dies bejahte das Gericht nach der Beweisaufnahme und sah auch die Beklagte hier als Anbieter der Cookie-Software in der rechtlichen Verantwortung. Dazu führt das Gericht in den Entscheidungsgründen des Urteils unter anderem aus:

„…Die Verpflichtung nach § 25 TDDDG ist nicht auf „Anbieter“ beschränkt wie andere Verpflichtungen des TDDDG (zB § 19); § 25 TDDDG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendiensts sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (Erwägungsgrund 66 S. 1 Cookie-RL), die üblicherweise nicht von Telemedienangeboten ausgehen (VG Köln, Urteil vom 17.07.2025, 13 K 1419/23, GRUR-RS 2025, 17335, Rnr. 80 ff.; Gierschmann/Baumgartner/Hanloser, 2023, TDDDG § 25 Rn. 42; HK-TDDDG/Schneider, 2022, TDDDG § 25 Rn. 17; BeckOK IT-Recht/Sesing-Wagenpfeil, 20. Ed. 1.10.2025, TTDSG § 25 Rn. 41-51).

Adressat des § 25 I 1 TDDDG ist daher jede natürliche oder juristische Person, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind (VG Köln Urt. v. 17.7.2025 – 13 K 1419/23, GRUR-RS 2025, 17335 Rn. 82).

Im Übrigen wäre die Beklagte auch als „Anbieterin“ iSv § 2 II Nr. 1 TDDDG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt – wobei der Begriff des „Mitwirkenden“ alle Arten von Hilfeleistung erfassen soll (HK-TDDDG/Assion, 1. Aufl. 2022, TDDDG § 2 Rn. 16-18) – oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. § 2 II Nr. 1 TDDDG liegt ein funktionales Verständnis zu Grunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TDDDG führt (Gierschmann/Baumgartner/Baumgartner, 1. Aufl. 2023, TDDDG § 2 Rn. 13), so z.B. auch der Hosting-Provider. Daher ist auch die Beklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch die Setzung der Cookies mitwirkt.

Der Ansicht des Senats steht – entgegen der Auffassung der Beklagten – nicht entgegen, dass Verfahren auf Grundlage von § 25 TDDDG (bzw. § 25 TTDSG) bisher nur gegen Webseitenbetreiber geführt worden sein sollen. Dass für ein Verstoß gegen § 25 TDDDG auch der Webseitenbetreiber verantwortlich sein kann, wird vom Senat nicht in Frage gestellt. Dies schließt allerdings nicht aus, dass auch eine Verantwortlichkeit der Beklagten besteht. Auch die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ stehen – unabhängig von der rechtlichen Unverbindlichkeit für den Senat – dem nicht entgegen, weist doch die Beklagte selber darauf hin, dass sich diese Hinweise „vor allem“ an Telemedienanbieter richten soll und eben nicht nur an diese…“

Gegenüber der Entscheidung des Landgerichts reduzierte das Gericht den Anspruch auf Schadensersatz jedoch auf 100 EUR. Dazu heißt es in der Begründung des Urteils unter anderem:

„…Der Senat bemisst den Schaden in Ausübung des ihm nach § 287 ZPO zustehenden Ermessens auf 100,– €.

Nach der Rechtsprechung des Bundesgerichthofs zum Schadensersatz bei DSGVO-Verstößen kann ein allgemein eingetretener „Kontrollverlust“ in der Regel einen Betrag von 100,– € rechtfertigen, soweit nicht Anhaltspunkte für einen höheren Schaden vorliegen. Das „Gefühl des Kontrollverlusts“ greift im vorliegenden Fall allerdings nicht, da nicht erkennbar ist, inwieweit der Kläger nachhaltig die Kontrolle über personenbezogene Daten verloren haben soll. Es handelt sich auch nicht um Daten wie Mailadresse oder Telefonnummern sondern „nur“ um anonymisierte (IP-Adresse) bzw. pseudonymisierte (so die Cookie-ID) Daten. Gleichwohl rechtfertigt das mit der Speicherung der Daten verbundene Gefühl des Überwachtwerdens einen Betrag in Höhe von 100.– €.

Ob eine Auswertung zu Werbezwecken stattgefunden hat, wie der Kläger behauptet, kann dahinstehen. Jedenfalls unter den besonderen Bedingungen des vorliegenden Falles kann dies keinen höheren Schadensersatzbetrag begründen. Der Kläger hat in einer einem Testkauf vergleichbaren Konstellation bewusst eine Situation herbeigeführt, in der er eine Setzung von Cookies veranlasst hat. Dies geht mit einer besonderen Aufmerksamkeit einher, die ein gewöhnlicher Nutzer nicht aufbringt. In dieser Situation war dem Kläger bewusst, dass er mit einfacher Löschung der Cookies jegliche weitere Nachverfolgbarkeit für die Beklagte verhindern konnte. Zwar wären in diesem Fall die – aggregierten – Daten auch weiterhin bei der Beklagten gespeichert geblieben. Ohne den bei dem Kläger gespeicherten Cookie waren diese Daten dem Kläger jedoch nicht mehr zuzuordnen. Aufgrund dieser Gesamtumstände sieht der Senat die Beeinträchtigung des Klägers als sehr gering an und schätzt den Schadensbetrag auf 100,– €.

Generalpräventive Aspekte haben nach der Rechtsprechung des EuGH (Urteil vom 4. Mai 2023, C-300/21) bei der Schadensbemessung außer Betracht zu bleiben…“

Hinweis des Autors:

Dem Autor ist zum Zeitpunkt der Erstellung des Beitrages nicht bekannt, ob gegen die Entscheidung die zugelassene Revision zum BGH eingelegt worden ist.

Rolf Albrecht

Das könnte dir auch gefallen

EuGH: Recht auf Kopie im Rahmen des Art. 15 III 1 DSGVO = betroffenen Person hat Anspruch auf eine originalgetreue und verständliche Reproduktion aller personenbezogenen Daten

OLG München: Unterlassungsanspruch bezogen auf Scraping von personenbezogenen Daten aus Sozialem Netzwerk ist mit 100 EUR zu bewerten

LG München I: kein Anspruch auf Schadensersatz gem. Art.82 DSGVO, wenn Schaden weder dargelegt noch bewiesen werden kann