Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.

Der Fall

Ein Websitenutzer hat gegen ein Technologie- und Analyseunternehmen geklagt, das auf verschiedenen Websites Cookies einsetzte und mit den jeweiligen Websitebetreibern Verträge abgeschlossen hatte, in denen es die Betreiber dazu verpflichtete, eine Einwilligung von den Nutzern vor dem Einsatz der Cookies einzuholen. Der klagende Websitenutzer hatte verschiedene Webseiten besucht, mit dem Wissen, dass dort einwilligungsbedürftige Cookies ohne wirksame Einwilligung gespeichert werden. Er dokumentierte den Einsatz der Cookies durch ein Privatgutachten und die Erstellung von HAR-Dateien zur Protokollierung des Netzwerkverkehrs seines Browsers. Sodann mahnte er die Beklagte ab und forderte sie zur Abgabe einer strafbewehrten Unterlassungserklärung auf. Das Landgericht Frankfurt hat das Technologie- und Analyseunternehmen zur Unterlassung aus §§ 1004, 823 Abs. 2 i.V.m. § 25 Abs. 1 TDDDG sowie zur Zahlung von 1.500 EUR aus Art. 82 DSGVO verurteilt. Die Beklagte legte gegen das Urteil Berufung beim OLG Frankfurt ein, das die Klage nur im Hinblick auf den Schadensersatzanspruch abänderte und diesen auf 100 EUR reduzierte.

Die Entscheidung des OLG Frankfurt

In seinem Urteil setzt sich das OLG Frankfurt mit verschiedenen Rechtsfragen auseinander.

Rechtsschutzbedürfnis

Streitig war zunächst, ob der Kläger überhaupt ein Rechtsschutzbedürfnis für seine Klage vorweisen kann, da er nach Ansicht der Beklagten technische Maßnahmen hätte einsetzen können, um die Drittanbieter-Cookies zu blockieren und den Eingriff in seine Rechte damit hätte abstellen können. Diesen Einwand entkräftete das Gericht mit dem Vergleich, dass einem Hauseigentümer unter Verweis auf die Möglichkeit der Vergitterung seiner Fenster auch nicht im Nachhinein die Möglichkeit des Rechtsschutzes bei einem bereits stattgefundenen Einbruch versagt werden darf. Ein Rechtsmissbrauch durch den Kläger liegt nach der richterlichen Auffassung trotz seines „zielgerichteten Generierens“ von Verstößen nicht vor, da er letztlich nur das Verhalten der Beklagten dokumentiert hat (das Setzen von Cookies auf Websites ohne Einwilligung). Zudem hat der Kläger weitere Unternehmen wegen gleichartiger Verstöße verklagt, was nach Ansicht des Gerichts gegen das Vorliegen sachfremder Motive spricht.

Der Unterlassungsanspruch

Dem Kläger steht nach Ansicht des Gerichts nach §§ 823 Abs. 2 Satz 1, 1004 BGB ein Unterlassungsanspruch zu, da der Nichteinholung der Einwilligung eine Verletzung von § 25 TDDDG und damit zugleich ein Verstoß gegen ein Schutzgesetz ist. Denn § 25 Abs. 1 TDDDG bezweckt den Schutz der Privatsphäre des Endnutzers, die Sicherung des Grundrechts auf informationelle Selbstbestimmung sowie den Schutz des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Nach Ansicht des OLG Frankfurt schließt das TDDDG auch keine privatrechtlichen Ansprüche und Rechtsbehelfe aus, denn aus Art. 15 Abs. 2 ePrivacy-Richtlinie i.V.m. Art. 84 Abs. 1 DSGVO folgt, dass die Mitgliedstaaten „wirksame, verhältnismäßige und abschreckende Sanktionen“ umzusetzen haben. Da die ePrivacy-Richtlinie zudem Grundlage für § 25 TDDDG ist, hat eine mögliche Sperrwirkung für Unterlassungsansprüche, die sich aus Art. 79 DSGVO ergibt, keine Bedeutung, wobei der EuGH in seinem Urteil vom 4.9.2025 – C-655/23 bereits entschieden hatte, dass diese Vorschrift mit einem Unterlassungsanspruch aus nationalem Recht vereinbar ist.

Adressat von § 25 TDDDG

Nach Ansicht des Gerichts verpflichtet § 25 TDDDG nicht nur den Anbieter eines Dienstes (§ 2 Abs. 2 Nr. 1 TDDDG), wie z.B. den Website- oder App-betreiber. Vielmehr verbietet die Vorschrift jedermann das Setzen von Cookies ohne Einwilligung. Darunter fällt vor allem derjenige, der „kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist“. Dies kann also auch der Drittanbieter sein, der seine Cookies über verschiedene Websites auf die Endgeräte der Nutzer setzt. Das OLG geht von einer rein faktischen Betrachtungsweise aus: wer auf die Endeinrichtung zugreift, muss Adressat der Einwilligung sein.

Ungeachtet dessen sieht das OLG Frankfurt den Drittanbieter jedoch auch vom Anbieterbegriff in § 2 Abs. 2 Nr. 1 TDDDG umfasst, da hierfür bereits das Mitwirken an der Erbringung eigener oder fremder Telemedien ausreicht. Denn der Drittanbieter wirkt an der Erbringung der Telemedien der Websitebetreiber durch die Setzung der Cookies mit. Gleichzeitig weist das Gericht darauf hin, dass auch der Websitebetreiber für einen Verstoß gegen § 25 TDDDG verantwortlich sein kann und die Haftung des Drittanbieters dessen Verantwortlichkeit nicht ausschließt.

Haftung

Das Gericht erklärt ausführlich, inwiefern die Beklagte als Drittanbieter für den Verstoß haftet. Durch den bereitgestellten Programmcode, der auf der vom Nutzer besuchten Website ausgelöst wird, erhält sie von dem Websitebetreiber die hinterlegten Informationen des Nutzers. Insofern verwirklicht sie nach Ansicht des Gerichts „den objektiven Tatbestand einer Zuwiderhandlung selbst und adäquat kausal“ und haftet dementsprechend als Täterin. Eine Enthaftung dadurch, dass vertraglich mit dem Websitebetreiber vereinbart wurde, dass dieser eine Einwilligung vom Nutzer einzuholen hat, sei nach Ansicht des Gerichts nicht möglich. Denn die fehlende Einwilligung sei ein negatives Tatbestandsmerkmal, dass auf einem Unterlassen des Drittanbieters beruhe, da dieser keine Einwilligung einholt, sondern sich darauf verlässt, dass der Websitebetreiber dies tut. Jedoch hat der Drittanbieter sicherzustellen, dass die Einwilligung vom Websitebetreiber eingeholt und ihm übermittelt wird, bevor er die Cookies auf dem Endgerät des Nutzers speichert. Durch das Unterlassen dieser pflichtgemäßen Handlung verwirklicht der Drittanbieter adäquat-kausal den Verstoß gegen § 25 Abs. 1 TDDDG. Den Einwand, dass ein Drittanbieter dies technisch nicht realisieren kann, lässt das Gericht nicht gelten. Denn aus § 26 TDDDG lässt sich entnehmen, dass Dienste zur Einwilligungsverwaltung technisch und rechtlich möglich sind.

Höhe des Schadensersatzes

Den Anspruch auf immateriellen Schadensersatz stützt das Gericht auf Art. 82 Abs. 1 DSGVO und verweist im Hinblick auf die Höhe auf das BGH-Urteil vom 18.11.2024 (Az. VI ZR 10/24), wonach bei DSGVO-Verstößen ein „Kontrollverlust in der Regel einen Beitrag von 100 EUR“ rechtfertigen kann. Der Kontrollverlust wird vorliegend zwar verneint, jedoch liege ein „mit der Speicherung der Daten verbundenes Gefühl des Überwachtwerdens“ vor, das diesen Betrag rechtfertigt. Dass sich der Kläger bewusst in diese Situation begeben hat, ist vermutlich der Grund dafür, dass das Gericht den ursprünglich vom LG Frankfurt festgesetzten Betrag von 1.500 EUR derart reduziert hat.

Folgen für die Praxis

Das Urteil des OLG Frankfurt ist in mehrfacher Hinsicht besonders relevant – sowohl für Anbieter von Tracking/Analysetools, die auf Websites oder in Apps eingebunden werden. Aber auch für die einbindenden Betreiber der Websites oder Apps.

Zum einen hält das Gericht grundsätzlich eine parallele Haftung des Websitebetreibers und des Drittanbieters für möglich. Zum anderen kann sich der Drittanbieter selbst durch eine vertragliche Verpflichtung des Websitebetreibers zur Einholung der Einwilligung nicht enthaften. Für die Praxis bedeutet dies, dass Drittanbieter künftig selbst sicherstellen müssen, dass ihre Cookies erst nach erteilter Einwilligung des Nutzers auf dessen Endgerät gesetzt werden. Anderenfalls droht ihnen ein hohes Haftungsrisiko. Der Umstand, dass das Gericht im vorliegenden Fall dem Kläger ein Schmerzensgeld zugesprochen hat, obwohl dieser das einwilligungslose Setzen des Cookies bewusst zu Beweissicherungszwecken herbeigeführt hat, zeigt zudem, dass die Rechtsprechung die Schutzbedürftigkeit des Nutzers als besonders hoch ansieht. Insofern droht Websitebetreibern und Drittanbietern künftig ein noch höheres Risiko für Rechtsstreitigkeiten bei einem unrechtmäßigen Einsatz von Cookies. Denn das Urteil könnte möglicherweise ein Einfallstor für massenhafte Schadensersatzansprüche von Nutzern sein, wenn Rechtsverstöße gegen § 25 Abs. 1 TDDDG auf einer Website wegen fehlender oder unzureichender Einwilligungen bekanntwerden.

Insofern gilt umso mehr, dass Websitebetreiber die Compliance ihrer eingesetzten Cookies und Cookie-Banner und Drittanbieter die Dokumentation einer wirksamen Einwilligung sicherstellen sollten, um das Haftungsrisiko zu minimieren.