Das OLG Frankfurt am Main hat mit seinem Urteil vom 11. Dezember 2025 eine neue Entscheidung zur Haftung im digitalen Marketing insbesondere von Cookie-Drittanbietern getroffen. Der 6. Zivilsenat stellte klar, dass Drittanbieter von Cookies unmittelbar für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich sind, sobald ihr Programmcode auf einer Webseite zum Einsatz kommt. Diese Entscheidung bricht mit der bisherigen Praxis vieler Technologieanbieter, die die Verantwortung für das Einholen von Einwilligungen rein vertraglich auf die Webseitenbetreiber abwälzten.
Beweissicherung durch Netzwerkanalyse und HAR-Dateien
Dem Verfahren (11.12.2025 – Az. 6 U 81/23) lag ein Sachverhalt zugrunde, bei dem ein Kläger gezielt verschiedene Webseiten besuchte, um die Speicherung von Cookies durch die Beklagte – ein Technologie- und Analyseunternehmen – zu dokumentieren. Zum Nachweis der einwilligungslosen Zugriffe legte der Kläger ein Privatgutachten sowie sogenannte HAR-Dateien vor, die den Netzwerkverkehr seines Browsers protokollierten. Das Gericht bewertete dieses gezielte Vorgehen zur Beweissicherung als rechtlich zulässig und vergleichbar mit einem Testkauf im gewerblichen Rechtsschutz. Ein Rechtsmissbrauch wurde verneint, da der Kläger lediglich dokumentierte, wie sich die Beklagte gegenüber jedem beliebigen Nutzer verhält.
Die Reichweite des § 25 TDDDG für Drittanbieter
Ein zentraler Aspekt der Entscheidung ist die Auslegung des § 25 TDDDG. Das Gericht stellte fest, dass sich das Verbot der Cookie-Speicherung ohne Einwilligung nicht nur auf die unmittelbaren Betreiber von Telemedien beschränke, sondern gegenüber jedermann gelte. Wer kausal die Ausführung des Quelltextes veranlasst, der zur Speicherung von Informationen auf dem Endgerät führt, sei rechtlich als Normadressat des § 25 TDDDG anzusehen. Die Beklagte sei zudem als Anbieterin im funktionalen Sinne (§ 2 II Nr. 1 TDDDG) anzusehen, da sie durch die Bereitstellung ihrer Analyse-Tools aktiv an der Erbringung des digitalen Dienstes mitwirke.
Unterlassungsanspruch und deliktsrechtliche Haftung
Das OLG Frankfurt bejahte einen Unterlassungsanspruch des Klägers auf Basis der §§ 1004, 823 Abs. 2 BGB in Verbindung mit § 25 Abs. 1 TDDDG. Da der § 25 TDDDG als Schutznorm eingestuft wird, löst ein Verstoß dagegen unmittelbare deliktsrechtliche Ansprüche aus. Die für den Unterlassungsanspruch notwendige Wiederholungsgefahr werde bereits durch den einmalig erfolgten Verstoß ohne gültige Einwilligung indiziert. Dabei spiele es keine Rolle, ob die Daten zu Werbezwecken oder lediglich zur Reichweitenmessung genutzt wurden, da die Vorschrift den Schutz der Privatsphäre und die Integrität informationstechnischer Systeme umfassend gewährleiste.
Vertragliche Absicherungen bieten keinen Schutz
Besonders brisant für die Praxis ist die Feststellung des Senats, dass vertragliche Vereinbarungen zwischen Drittanbietern und Webseitenbetreibern keine Haftungsbefreiung bewirken. Die Beklagte hatte argumentiert, sie habe mit ihren Partnern vereinbart, dass Cookies nur bei Vorliegen einer Einwilligung gesetzt werden dürfen. Das Gericht urteilte jedoch, dass die Beklagte als Täterin hafte, wenn sie trotz fehlender Einwilligung die Speicherung vornimmt. Wer seinen Quellcode zur Verfügung stellt, ohne technisch sicherzustellen, dass eine Einwilligung vorliegt, handele fahrlässig. Eine bloße vertragliche Zusicherung der Partner reiche nicht aus, um dieses typische Risiko der Digitalbranche auszuschließen.
Immaterieller Schadensersatz bei Kontrollverlust
Dem Kläger wurde ein immaterieller Schadensersatz in Höhe von 100 Euro nach Art. 82 Abs. 1 DSGVO zugesprochen. Das Gericht begründete dies mit dem durch die unbefugte Speicherung verursachten Gefühl des Überwachtwerdens und dem damit einhergehenden Kontrollverlust über die eigenen Daten. Obwohl es sich im konkreten Fall nur um pseudonymisierte Daten handelte, sah der Senat darin eine entschädigungspflichtige Beeinträchtigung. Ein Anspruch auf materiellen Schadensersatz wurde hingegen mangels eines dargelegten oder erkennbaren konkreten Vermögensschadens abgelehnt.
Handlungsbedarf für Unternehmen
Unternehmen sollten infolge dieses Urteils ihre Compliance-Prozesse kritisch verschärfen. Es ist nicht mehr ausreichend, die datenschutzrechtliche Verantwortung rein vertraglich an Partner zu delegieren. Anbieter von Tracking- und Analyse-Tools müssen eine technische Validierung der Einwilligungskette implementieren, um sicherzustellen, dass Skripte erst nach einem positiven Consent-Signal aktiv werden. Webseitenbetreiber wiederum sollten prüfen, ob die eingebundenen Drittanbieter-Tools tatsächlich die konfigurierte Consent-Logik respektieren, um sich vor Mitverantwortung und Unterlassungsklagen zu schützen. Die datenschutzrechtliche Konformität beim Einsatz von Drittdiensten auf Websites bleibt ein zentrales Anliegen der Aufsichtsbehörden. Regelmäßige Audits und die technische Überwachung der Datenströme werden somit zum unverzichtbaren Bestandteil der IT-Compliance.
Fazit
Das Urteil des OLG Frankfurt verdeutlicht die Haftungslage für Cookie-Drittanbieter und fügt sich in die Reihe aktueller Entwicklungen ein, über die wir bereits berichteten. Wie das Millionen-Bußgeld gegen SHEIN zeigt, ahnden Aufsichtsbehörden die Missachtung von Nutzerentscheidungen bei Cookies mittlerweile mit drakonischen Strafen. Gleichzeitig steigen die Anforderungen an die Gestaltung: Das VG Hannover betonte erst kürzlich die Pflicht zu einem „Alles ablehnen“-Button auf der ersten Ebene von Bannern, um manipulative Designs zu verhindern.
Als Reaktion auf diese „Zustimmungsmüdigkeit“ der „Cookie-Flut“ rücken nun neue Lösungen wie der von der BfDI genehmigte Cookie-Manager „Consenter“ in den Fokus, die auf Basis der neuen Einwilligungsverwaltungsverordnung ein zentrales Management ermöglichen sollen. Gleichzeitig schafft das OLG Frankfurt durch die Ausdehnung der Haftung auf Drittanbieter eine Verantwortungskette, die alle Beteiligten zur aktiven Einhaltung der Vorgaben des TDDDG zwingt. Für die Unternehmenspraxis bedeutet dies, dass Datenschutz-Compliance kein bloßer Formalismus mehr ist, sondern eine technische und strategische Voraussetzung für nachhaltigen Geschäftserfolg.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
