Das Oberlandesgericht Frankfurt hat mit Urteil vom 11. Dezember 2025 (Aktenzeichen 6 U 81/23) eine Entscheidung zur Haftung von Drittanbietern für die Setzung von Cookies ohne Einwilligung des Nutzers getroffen. Es geht im Kern um die Frage, ob Technologieunternehmen, die im Hintergrund Cookies auf Endgeräten speichern, selbst als Normadressaten des § 25 Telemedien-Datenschutz-Durchführungsgesetzes (TDDDG) anzusehen sind – und damit für Verstöße gegen die Einwilligungspflicht haften.
Diese erste obergerichtliche Entscheidung klärt nicht nur die Reichweite der Norm, sondern setzt auch Maßstäbe für die zivilrechtliche Durchsetzbarkeit von Unterlassungs- und Schadensersatzansprüchen. Besonders bemerkenswert ist die klare Positionierung des Senats: Selbst wenn ein Drittanbieter vertraglich mit dem Webseitenbetreiber vereinbart hat, Cookies nur bei Vorliegen einer Einwilligung zu setzen, entbindet dies nicht von der eigenen Verantwortung.
Technische Mitwirkung und fehlende Einwilligung
Der Kläger, ein Internetnutzer, besuchte im März 2022 mehrere Webseiten, auf denen die Beklagte – ein Technologie- und Analyseunternehmen – Cookies auf seinem Endgerät speicherte. Eine Einwilligung hierfür hatte er nicht erteilt. Stattdessen ließ er den Vorgang durch einen Privatgutachter dokumentieren und mahnte die Beklagte ab. Das Landgericht Frankfurt gab seiner Klage auf Unterlassung und Schadensersatz in Höhe von 1.500 Euro statt. Die Beklagte berief sich in der Berufungsinstanz darauf, sie sei lediglich Dienstleisterin für Reichweitenmessung und nicht für die Einholung von Einwilligungen zuständig. Zudem bestritt sie, dass die Cookies zu Werbezwecken genutzt worden seien, und argumentierte, der Kläger habe die Verletzungshandlung bewusst provoziert, um Schadensersatzansprüche geltend zu machen. Das OLG entschied mit folgenden Leitsätzen:
- Das Verbot der Cookie-Speicherung nach § 25 TDDDG beschränkt sich nicht auf „Anbieter“ im Sinne von § 2 Abs. 2 Nr. 1 TDDDG; vielmehr gilt sie gegenüber jedermann. Jedenfalls aber ist derjenige, der an der Erbringung der Telemedien eines Seitenbetreibers durch Setzung von (Drittanbieter)Cookies mitwirkt, als Anbieter anzusehen.
- Erfolgt die Setzung eines Cookies ohne Einwilligung des Seitenbesuchers, haftet der Cookie-Setzer auch dann als Täter, wenn er vertraglich gegenüber dem Seitenbetreiber vereinbart hat, dass die automatisierte Anforderung des Cookies nur bei Einwilligung des Seitenbesuchers erfolgen soll.
- Die Setzung eines Cookies ohne Einwilligung kann einen Schmerzensgeldanspruch auslösen. Hat der Seitenbesucher die einwilligungslose Setzung des Cookies zu Beweissicherungszwecken bewusst herbeigeführt, war ihm bewusst, dass er mit einfacher Löschung der Cookies jegliche weitere Nachverfolgbarkeit für die Beklagte verhindern konnte. Dies rechtfertigt einen Schadensersatzanspruch in Höhe von 100.– €.
Das OLG Frankfurt bestätigte damit zwar den Unterlassungsanspruch, reduzierte den Schadensersatz jedoch auf 100 Euro. Die zentrale Frage lautete: Kann ein Drittanbieter, der technisch an der Cookie-Setzung mitwirkt, aber keine direkte Kontrolle über die Einwilligungseinholung hat, als Täter eines Verstoßes gegen § 25 TDDDG haften? Und wenn ja, unter welchen Voraussetzungen?
Entscheidung des OLG FFM
Das OLG FFM bejahte die Passivlegitimation der Beklagten und stützte sich dabei auf eine weite Auslegung des § 25 TDDDG. Entgegen der Auffassung der Beklagten richtet sich das Verbot der einwilligungslosen Cookie-Setzung nicht nur an „Anbieter“ im engeren Sinne, sondern an jedermann, der kausal an der Speicherung oder dem Auslesen von Informationen auf Endeinrichtungen mitwirkt. Diese Auslegung folgt aus dem Schutzzweck der Norm, der sich an der ePrivacy-Richtlinie (2009/136/EG) orientiert. Der Senat betonte, dass § 25 TDDDG nicht zwischen Telemedienanbietern und technischen Dienstleistern differenziert, sondern jeden erfasst, der die Speicherung oder den Zugriff veranlasst. Selbst wenn die Beklagte vertraglich mit den Webseitenbetreibern vereinbart hatte, Cookies nur bei Einwilligung zu setzen, entlastet sie dies nicht: Die Pflicht zur Einwilligungseinholung obliegt jedem Akteur, der die technische Umsetzung steuert, wobei das OLG frühere Rechtsprechung des VG Köln referenziert:
Die Verpflichtung nach § 25 TDDDG ist nicht auf „Anbieter“ beschränkt wie andere Verpflichtungen des TDDDG (zB § 19); § 25 TDDDG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendiensts sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (Erwägungsgrund 66 S. 1 Cookie-RL), die üblicherweise nicht von Telemedienangeboten ausgehen (…).
Adressat des § 25 I 1 TDDDG ist daher jede natürliche oder juristische Person, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind (…).
Im Übrigen wäre die Beklagte auch als „Anbieterin“ iSv § 2 II Nr. 1 TDDDG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt – wobei der Begriff des „Mitwirkenden“ alle Arten von Hilfeleistung erfassen soll (…) – oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. § 2 II Nr. 1 TDDDG liegt ein funktionales Verständnis zu Grunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TDDDG führt (…), so z.B. auch der Hosting-Provider. Daher ist auch die Beklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch die Setzung der Cookies mitwirkt.
Interessant ist die dogmatische Begründung der Täterschaft. Das Gericht stellte klar, dass die Beklagte als unmittelbare Täterin handelt, weil sie durch ihren Programmcode die Cookie-Setzung auslöst. Ein etwaiges Fehlverhalten der Webseitenbetreiber – etwa die unterbliebene Einwilligungseinholung – ändert nichts an der eigenen Verantwortung des Drittanbieters. Die Beklagte hätte sicherstellen müssen, dass ihr die Einwilligung des Nutzers vor der Speicherung übermittelt wird. Dass sie dies unterließ, begründet nach Ansicht des Senats eine adäquat-kausale Verletzungshandlung. Die Argumentation, man könne als Drittanbieter die Einhaltung der Einwilligungspflicht nicht kontrollieren, wies das Gericht zurück: Technische Lösungen wie Einwilligungsmanagement-Systeme (§ 26 TDDDG) seien möglich und zumutbar.
Reichweite des Unterlassungsanspruchs.
Ein weiterer Streitpunkt betraf die Reichweite des Unterlassungsanspruchs. Die Beklagte wandte ein, sie nutze die Cookies ausschließlich zur Reichweitenmessung, nicht zu Werbezwecken. Das OLG hielt dem entgegen, dass § 25 TDDDG die Speicherung ohne Einwilligung generell verbietet – unabhängig vom konkreten Verwendungszweck. Die Einschränkung im Tenor („für die Auswertung zum Zwecke zielgerichteter Werbung“) sei daher eine freiwillige Selbstbeschränkung des Klägers, die den Anspruch nicht einschränke.
Schadensersatz: Immaterieller Schaden und Kontrollverlust
Die Reduzierung des Schadensersatzes von 1.500 auf 100 Euro ist besonders aufschlussreich, wenn auch nicht sonderlich überraschend: Das Gericht differenzierte zwischen dem allgemeinen „Gefühl des Kontrollverlusts“ – das bei anonymisierten oder pseudonymisierten Daten wie IP-Adressen oder Cookie-IDs weniger schwer wiege – und dem konkreten Überwachungsdruck. Da der Kläger die Cookie-Setzung bewusst herbeigeführt hatte, um Beweise zu sichern, sei sein Leidensdruck geringer einzustufen als bei einem ahnungslosen Nutzer. Zudem konnte er die Cookies jederzeit löschen, was die Nachverfolgbarkeit für die Beklagte beendete. Der Senat verwies auf die Rechtsprechung des Bundesgerichtshofs (die nach meiner Lesart vom EUGH gestützt wird), wonach ein Kontrollverlust in der Regel mit 100 Euro zu bewerten sei, sofern keine besonderen Umstände vorlägen.
Generalpräventive Erwägungen, etwa die Abschreckung ähnlicher Verstöße, spielten bei der Bemessung keine Rolle. Der Europäische Gerichtshof hatte in seinem Urteil vom 4. Mai 2023 (C-300/21) klargestellt, dass Schadensersatz individuell zu bemessen ist und nicht der Sanktionierung von Unternehmen dient. Dieser Linie folgte das OLG konsequent.
Praktische Konsequenzen
Der Beklagte im Verfahren zeigt, dass die Entscheidung erhebliche Auswirkungen auf die Praxis der Cookie-Nutzung hat. Zur Verteidigung hatte dieser noch vorgebracht, dass Verfahren auf Grundlage von § 25 TTDSG (bzw. § 25 TDDDG) bislang nur gegen Webseitenbetreiber geführt worden seien. Das OLG sieht dies jedoch zu Recht nicht als ausschlaggebendes Argument und hebt damit hervor, dass Drittanbieter, die bisher davon ausgingen, ihre Haftung ende mit der vertraglichen Vereinbarung zur Einwilligungseinholung durch den Webseitenbetreiber, ihre Prozesse überprüfen müssen.
Solche Anbieter müssen sicherstellen, dass ihnen die Einwilligung des Nutzers tatsächlich vorliegt, bevor sie Cookies setzen. Technische Lösungen wie das „Transparency & Consent Framework“ (TCF) der IAB Europe könnten hier an Bedeutung gewinnen, auch wenn das Gericht deren Manipulationssicherheit nicht explizit bewertete. Webseitenbetreiber müssen im Gegenzug ihre Partner sorgfältig auswählen und vertraglich absichern. Eine bloße Zusicherung, Cookies nur bei Einwilligung zu setzen, reicht nicht aus. Sie müssen vielmehr nachweisen können, dass die Einwilligung tatsächlich eingeholt und an den Drittanbieter weitergegeben wurde. Andernfalls drohen Abmahnungen sowie zivilrechtliche Unterlassungs- und Schadensersatzansprüche.
Verantwortungszuweisung mit Signalwirkung
Auch wenn es eine erste, einzelne Entscheidung ist – man sollte sie nicht unterschätzen in ihrer Breitenwirkung. Allerdings auf „beiden Seiten“ nicht.
Die bislang in den Fachmedien nur wenig rezipierte Entscheidung hat eine deutliche Signalwirkung: Die Einwilligungspflicht nach § 25 TDDDG ist keine delegierbare Formalie mit „Kopf-in-den-Sand“-Schutz, sondern eine wirksame Schranke gegen unkontrollierte Datenerhebung. Drittanbieter können sich nicht hinter vertraglichen Regelungen oder technischen Unwägbarkeiten verstecken. Nutzer dürften damit künftig noch leichter gegen unerwünschte Tracking-Praktiken vorgehen können. Es bleibt jedoch die Einschränkung, dass mit drastischen Reduzierungen des Schadensersatzes zu rechnen ist, wenn Gerichte zwischen berechtigten Ansprüchen und missbräuchlichen „Testfällen“ differenzieren.
Die Haftung für Cookies liegt künftig nicht mehr allein beim Webseitenbetreiber, sondern bei allen Beteiligten, die an der technischen Umsetzung mitwirken. Das erhöht den Druck auf die Branche, datenschutzkonforme Lösungen zu entwickeln, und könnte langfristig zu mehr Transparenz im digitalen Werbemarkt führen.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- EuGH klärt Verantwortlichkeit juristischer Personen bei Geldwäscheverstößen - 11. Februar 2026
- Studie: KI als Berater scheitert am Menschen - 10. Februar 2026
- Fehlerhafte Durchsuchung hindert Beschlagnahme nicht - 10. Februar 2026
