Redaktionsgruppe der Cyber Law Clinic im Sommersemester 2025
Das Oberlandesgericht Frankfurt am Main hat in einem Urteil vom 27. Juni 2024 (Az. 6 U 192/23) einen bemerkenswerten Beschluss zur datenschutzrechtlichen Verantwortlichkeit von Anbietern von Cookie-Tracking-Software gefällt. Das Urteil betrifft einen Unterlassungsanspruch wegen rechtswidriger Speicherung von Cookies ohne Einwilligung und rückt dabei insbesondere die Pflichten von Softwareanbietern in den Fokus.
Hintergrund: Cookie-Software für Werbezwecke
Die Beklagte vertreibt eine Softwarelösung, die es Unternehmen ermöglicht, über das Setzen von Cookies auf Webseiten Daten über Nutzer zu erheben. Diese Daten dienen dazu, Käufergruppen zu analysieren und die Wirksamkeit von Werbekampagnen zu messen.
Dabei stellt die Beklagte ihren Kunden – Unternehmen, die die Software auf ihren eigenen Webseiten einsetzen – einen Code zur Verfügung, der auf den jeweiligen Webauftritt implementiert werden muss. Die technische Gestaltung dieses Codes erlaubt es, Cookies nur dann auszulesen oder zu speichern, wenn der Webseitenbesucher seine Einwilligung erteilt hat. Gleichzeitig regeln die Allgemeinen Geschäftsbedingungen der Beklagten, dass die Verantwortung für eine ordnungsgemäße Implementierung des Codes und damit für die Einholung der Einwilligung beim Webseitenbetreiber liegt.
Verletzung der Privatsphäre trotz fehlender Einwilligung
Die Verfügungsklägerin, eine Nutzerin, besuchte eine Webseite, auf der die Software der Beklagten eingesetzt wurde, verweigerte jedoch ausdrücklich ihre Einwilligung zur Nutzung von Cookies. Trotzdem wurden entsprechende Cookies auf ihrem Endgerät gespeichert. Sie machte daraufhin einen Unterlassungsanspruch nach § 823 Abs. 2, § 1004 BGB in Verbindung mit § 25 TDDDG geltend.
§ 25 TDDDG sieht vor, dass Informationen nur dann in der Endeinrichtung eines Nutzers gespeichert oder von dort ausgelesen werden dürfen, wenn der Nutzer zuvor auf Basis klarer und umfassender Informationen eingewilligt hat. Die Einwilligung muss gemäß den Vorgaben der DSGVO erfolgen.
LG lehnt einstweilige Verfügung ab – OLG widerspricht
Das zunächst mit dem Fall befasste Landgericht hatte den Antrag auf Erlass einer einstweiligen Verfügung abgelehnt. Zur Begründung führte es an, dass kein Verfügungsgrund bestehe. Eine Änderung der technischen Prozesse auf Seiten der Beklagten sei mit erheblichem wirtschaftlichem und zeitlichem Aufwand verbunden. Zudem könne die Klägerin sich mit relativ geringem Aufwand selbst schützen, etwa durch die Browser-Einstellungen zur Unterbindung von Cookies.
Das OLG Frankfurt hingegen hob diese Entscheidung auf und erkannte sehr wohl einen Verfügungsgrund an. Es folgte der Argumentation der Klägerin, wonach die Interessenabwägung im vorliegenden Fall zu ihren Gunsten ausfallen müsse. Insbesondere sei es unzumutbar, die Verantwortung für die Unterbindung rechtswidriger Datenspeicherung allein auf den Nutzer abzuwälzen.
Keine Duldung eines rechtswidrigen Geschäftsmodells
Das Gericht stellte klar: Die Beklagte könne sich nicht auf einen Mehraufwand berufen, wenn das Geschäftsmodell selbst in rechtswidriger Weise in das informationelle Selbstbestimmungsrecht der Nutzer eingreift. Ein berechtigtes Interesse an der Aufrechterhaltung eines Geschäftsmodells, das gegen datenschutzrechtliche Vorschriften verstößt, bestehe nicht.
Außerdem sei anderenfalls jeder Nutzer dem Risiko eines Kontrollverlusts über seine personenbezogenen Daten und einer potenziellen Weitergabe an unberechtigte Dritte ausgesetzt. Dies widerspreche nicht nur dem Grundrecht auf Datenschutz, sondern auch dem Effektivitätsgrundsatz des Unionsrechts.
Effektiver Rechtsschutz im Datenschutzrecht
Besonders betonte das OLG den Effektivitätsgrundsatz der EU: Nationale Gerichte seien verpflichtet, einen effektiven Schutz unionsrechtlicher Positionen, hier insbesondere aus der DSGVO, sicherzustellen. Würde man die Verantwortung allein auf die Webseitenbetreiber verlagern, könnten Anbieter wie die Beklagte sich pauschal aus der Verantwortung ziehen, obwohl sie technische Kontrolle über das System haben und dieses bewusst so gestalten, dass eine rechtswidrige Nutzung jedenfalls nicht ausgeschlossen ist.
Fazit: Anbieter haften für rechtswidrige Techniknutzung
Das Urteil des OLG Frankfurt verdeutlicht, dass Anbieter von Tracking-Technologien nicht allein auf ihre AGB verweisen können, um sich der datenschutzrechtlichen Verantwortung zu entziehen. Wenn ihre Software ohne wirksame Einwilligung zur Datenerhebung führt, kann ihnen selbst ein Unterlassungsanspruch entgegengehalten werden, auch wenn sie formal nicht Betreiber der Webseite sind.
In der Abwägung zwischen wirtschaftlichem Aufwand und dem Schutz des Grundrechts auf informationelle Selbstbestimmung fällt das Gericht eine klare Entscheidung zugunsten der Nutzer. Dies könnte weitreichende Auswirkungen auf Anbieter technischer Werbelösungen haben, die bislang ihre Rolle als bloße Zulieferer verstanden wissen wollten.
