Wer Cookies ohne nachweisbare Einwilligung setzt oder ausliest, kann auf Unterlassung und Schadensersatz haften – nicht nur als Websitebetreiber, sondern auch als technisch mitwirkender Dritter, der bloß Quellcode bereitstellt (OLG Frankfurt, Urteil vom 11.12.2025, Az. 6 U 81/23).
Cookie-Setzung durch Drittcode beim Besuch fremder Webseiten
Der Kläger besuchte Webseiten, auf denen Cookies auf seinem Endgerät gespeichert und später ausgelesen wurden. Die Beklagte war ein Technologie- und Analyseunternehmen, also nicht Betreiberin der Webseiten. Sie stellte nur den Quellcode bereit, der die Cookie-Setzung auslöste. In das Setzen der Cookies hatte der Kläger nicht eingewilligt. Er verlangte daher Unterlassung und immateriellen Schadensersatz.
Das verklagte Tech-Unternehmen verwies auf vertragliche Regelungen mit den Webseitenbetreibern, wonach Cookies nur bei Einwilligung der Besucher gesetzt werden durften. Außerdem könnten Besucher Cookies technisch blockieren. Schließlich läge Rechtsmissbrauch vor, weil der Kläger die Cookie-Setzungen gezielt herbeigeführt habe, um Beweise zu sichern.
§ 25 TDDDG als Maßstab für das Speichern und Auslesen von Cookies
Das OLG Frankfurt gab der Klage im Kern statt. Es bestehe ein Unterlassungsanspruch (§§ 1004, 823 Abs. 2 BGB in Verbindung mit § 25 TDDDG) sowie ein Anspruch auf Zahlung von immateriellem Schadensersatz.
Nach § 25 TDDDG sei das Speichern und Auslesen von Informationen auf Endgeräten grundsätzlich nur mit informierter Einwilligung erlaubt. Der bloße Besuch einer Webseite stelle keine Einwilligung im Sinne von § 25 Abs. 1 TDDDG dar.
Ein Rückgriff auf die allgemeine Rechtsgrundlage des Art. 6 Abs. 1 DSGVO scheide aus. Entscheidend sei, ob eine wirksame Einwilligung des Nutzers vorliege oder eine Ausnahme nach § 25 Abs. 2 TDDDG greife, was im Prozess beides nicht der Fall war. Somit erfolgte die Cookie-Setzung ohne Rechtsgrundlage.
Drittanbieter als Adressat und Täter nach § 25 TDDDG
Rechtlich interessant ist, dass das verklagte Tech-Unternehmen aus Sicht des Gerichts Adressatin von § 25 TDDDG sein konnte. Das Cookie-Speicherungsverbot gelte nicht nur gegenüber klassischen Anbietern wie Betreibern von Websites oder Apps, sondern gegenüber Jedermann. Als Cookie-Drittanbieter, der durch Cookie-Setzung an der Erbringung von Telemedien mitwirkte, sei das verklagte Tech-Unternehmen Anbieter im Sinne von § 2 Abs. 2 Nr. 1 TDDDG.
Auf Haftungsebene sei das Unternehmen nicht nur Teilnehmer oder Gehilfe. Wer durch eigenen Quellcode die Cookie-Speicherung auslöse, handele als Täter. Das gelte auch dann, wenn vertraglich mit Seitenbetreibern vereinbart worden sei, Cookies nur bei vorheriger Einwilligung der Nutzer zu setzen. Das Tech-Unternehmen konnte sich daher nicht mit Verweis auf die Pflichten des Webseitenbetreibers enthaften.
Dass das TDDDG ein eigenes Sanktions- und Aufsichtssystem enthalte, beseitige das Rechtsschutzbedürfnis des Klägers nicht. Auch technische Blockademöglichkeiten der Websitebesucher würden die Klage nicht entbehrlich machen.
Beweislast für die Einwilligung liegt beim Cookie-Setzer
Eine weitere Kernfrage des Streits war, wer die Einwilligung darlegen und beweisen musste. Das OLG Frankfurt sah die Darlegungs- und Beweislast bei demjenigen, der das Cookie setzte. Damit traf die Beklagte das Risiko, eine wirksame Einwilligung nicht belegen zu können.
Diese Verteilung ist für Drittanbieter besonders heikel. In der Praxis liegen Consent-Informationen oft beim Webseitenbetreiber bzw. bei dessen Consent-Tool. Trotzdem genügte es aus Sicht des Gerichts nicht, sich auf vertragliche Zusagen der Websitebetreiber zu verlassen. Wer Cookies technisch auslöse, müsse damit rechnen, im Streitfall die Einwilligung der Besucher konkret belegen zu müssen.
100 Euro immaterieller Schadensersatz
Das OLG Frankfurt sprach dem Kläger immateriellen Schadensersatz zu, reduzierte den Betrag im Vergleich zur Vorinstanz aber deutlich auf 100 Euro. Das LG Frankfurt hatte dem Kläger in erster Instanz noch 1.500 Euro zugesprochen. Das Oberlandesgericht berücksichtigte bei seiner Entscheidung, dass der Kläger die Cookie-Setzung bewusst herbeigeführt hatte. Zudem sei ihm bewusst gewesen, dass er mit einfacher Löschung der Cookies weitere Nachverfolgbarkeit hätte verhindern können.
Für den gemeinen Internetnutzer ist das Urteil eine positive Nachricht. Für Tech-Anbieter, die Dritten Tracking- oder Marketing-Cookies technisch bereitstellen, entsteht dagegen ein kaum kontrollierbares Haftungsrisiko, das sie gegenüber Websitebesuchern nicht vertraglich aushebeln können.
Das Internet ist voll von Websites, die Cookies ohne (ausreichende) Erlaubnis der Nutzer speichern. Angesichts leichter technischer Auslesbarkeit solcher Fehler wird es nicht lange dauern bis zu ersten Geschäftsmodellen. Das OLG Frankfurt hätte hier die Möglichkeit gehabt, über die Annahme von Rechtsmissbrauch gegenzusteuern, beschränkte sich aber auf eine Reduzierung des Schadensersatzbetrags.
