Haftung von Cookie-Anbietern bei fehlender Einwilligung

Das Speichern von nicht technisch notwendigen Cookies und das Abrufen von Informationen auf dem Endgerät mittels solcher Cookies bedarf der Einwilligung des Gerätenutzers. Wird die Einwilligung nicht eingeholt, haftet meist der Webseitenbetreiber nach Art. 82 DSGVO. Ob neben diesem auch das Unternehmen, das die Software vertreibt, mit der die Cookies auf dem Endgerät gesetzt werden, nach dem TDDDG haften kann, hatte das OLG Frankfurt in einem etwas länger zurückliegenden, aber wegen der weitläufigen Nutzung von Cookies nicht minder relevanten Beschluss zu klären.

Das Einwilligungserfordernis nach dem TDDDG

Das zur Speicherung und zum Abruf von Informationen von und durch Cookies in der Regel die Einwilligung des Nutzers notwendig ist, steht in § 25 TDDDG. Dieser lautet wie folgt.

„(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer (…) eingewilligt hat.“

Zweck der Einwilligung ist die Sicherung der Vertraulichkeit und Integrität des Geräts, über das die Webseite aufgerufen wird. Idee ist, dass nicht heimlich Anwendungen installiert werden. Vielmehr soll über die technische Integrität des Geräts, wer von und auf es zugreifen darf, der Nutzer entscheiden.

Das Einwilligungserfordernis nach der DSGVO

Ebenso müssen Nutzer von Webseiten zumeist nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO einwilligen, dass die Cookies Ihre Personendaten verarbeiten dürfen. Grund für diese Einwilligung ist, dass der Nutzer, bevor er einwilligt, formal über Art und Umfang der Verarbeitung informiert werden muss und dann informiert über seine Privatsphäre disponieren kann. Zumeist werden die Einwilligung nach dem TDDDG und die nach der DSGVO zusammen eingeholt, trotzdem sind sie formal zu trennen.

Wer hatte in diesem Fall seine Einwilligung nicht erteilt?

Dem sich mit § 25 Abs. 1 TDDDG befassenden Urteil des OLG 6 U 192/23 lag folgender Fall zugrunde:

Die Beklagte vertreibt Software an Unternehmen, die diese für ihre Webseiten nutzen und das Speichern von Cookies auf den Geräten der Besucher der Webseiten ermöglicht. Der Anbieter hat aber nach eigenen Angaben keinen Einfluss auf die Websites ihrer Kunden, diund keinen Zugriff auf deren Server. Soweit die Cookies auf den Geräten der Besucher installiert wird bzw. Personendaten erhoben werden, verlangt der Anbieter, dass die Unternehmen die Einwilligung von ihren Kunden einholen. Die Klägerin behauptete, Websites besucht zu haben, auf denen von der Software der Beklagten ohne ihre Zustimmung Cookies gesetzt worden seien, was sachverständig bestätigt wurde.

Wieso haftet der Cookie-Anbieter?

Das OLG verurteilte die Beklagte zur Unterlassung ohne Einwilligung der Klägerin Cookies zu speichern. Grundlage hierfür seien § 823 Abs. 2 BGB, § 1004 Abs. 1 BGB i.V.m. § 25 Abs. 1 TDDDG.

Nach § 823 Abs. 2 Satz 1 BGB ist derjenige zur Unterlassung verpflichtet, der gegen ein Gesetz verstößt, das den Schutz anderer bezweckt. Das OLG sieht in § 25 Abs. 1 TDDSG ein solches.

Das Einwilligungserfordernis schütze die (Geräte-)Privatsphäre des Nutzers. Dies unterstreiche Erwägungsgrund 66 der sog. „Cookie-Richtlinie“, wonach die Einwilligung der Regelfall für die Speicherung von Software auf den Geräten der Endnutzer sei, worüber die Nutzer zu informieren seien. § 25 TDDSG setze diesen Teilaspekt der Cookie-Richtlinie in deutsches Recht um. Durch die Speicherung von Cookies ohne Einwilligung der Nutzerin habe die Beklagte gegen § 25 TDDSG verstoßen. § 25 TDDDG richte sich an jeden, der Software auf dem Endgerät des Nutzers speichere oder Daten davon erhebe. Daher sei es gleich, dass die Beklagte nicht direkt dem TDDDG unterfalle.

Dass die Beklagte ihre Kunden verpflichte, eine Einwilligung in die Verwendung ihrer Cookies einzuholen, entlaste sie nicht. Sie müsse nach § 25 TDDDG beweisen, dass die Nutzer in die Verwendung der Cookies eingewilligt hätten. Es sei Ihr Risiko, wenn sie das nicht könne, weil die Kunden auf ihrer Webseite das Einholen der Einwilligung unterließen. Für den Verstoß sei der fehlende technische Zugriff auf die Datenverarbeitungsvorgänge Ihrer Kunden irrelevant.

Überholung durch die Nutzung von Einwilligungsdiensten?

Nun mag man sich fragen, ob das Urteil nicht durch die Nutzung von anerkannten Dienste obsolet wird, nachdem die für deren Implementierung nötige Verordnung erlassen wurde. Das dürfte nicht der Fall sein, denn solche Dienste ändern nichts an der Verantwortlichkeit der Webseitenbetreiber und der Anbieter von Cookies. Ggf. kann der Betreiber aber Regress beim Dienstleister nehmen. Diese werden in der Regel Auftragsverarbeiter sein und diesem gegenüber vertraglich haften.

Extensive Haftungserweiterung oder nicht?

Die Entscheidung des OLG zeigt, dass auch Cookie-Anbieter bei fehlender Einwilligung der Website-Besucher haften können. Zumeist werden Website-Besucher trotzdem aber eher die Website-Betreiber als die Cookie-Anbieter in die Haftung nehmen, weil die Betreiber anders als die Anbieter über das Impressum direkt fassbar sind. Indes mag das Urteil für Verbraucherverbände nützlich sein, wenn sie meinen, dass Cookies generell nicht legal nutzbar sind. Auf Basis des Urteils ist es dann denkbar, Website-Betreiber und Cookie-Anbieter auf Unterlassung in Anspruch zu nehmen.