OLG Frankfurt: Tech-Firmen haften direkt für illegale Cookies

Frankfurter Richter brechen einen digitalen Schutzwall: Künftig können nicht nur Webseiten-Betreiber, sondern auch die Technologie-Anbieter im Hintergrund für nicht-konforme Cookies direkt verklagt werden. Das Oberlandesgericht (OLG) Frankfurt hat in einem Grundsatzurteil die Haftung unter dem Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ausgeweitet – ein Paradigmenwechsel für die Werbe- und Analysebranche.

Der Fall: Vorsätzliche Beweissicherung führt zu Schadensersatz

Im Zentrum des Verfahrens (Az. 6 U 81/23) stand ein Kläger, der gezielt Webseiten besuchte, um einen mutmaßlichen Verstoß zu dokumentieren. Mit technischen Tools zeichnete er den Netzwerkverkehr auf und erstellte eine sogenannte HAR-Datei, die das unerlaubte Setzen von Cookies durch einen Analyse-Dienst belegte.

Das Landgericht Frankfurt hatte dem Kläger zunächst 1.500 Euro Schmerzensgeld zugesprochen. Das OLG bestätigte zwar die Haftung, reduzierte die Entschädigung aber auf symbolische 100 Euro. Die Begründung: Das Verhalten des Klägers sei „provozierend“ gewesen – er hatte die Seiten absichtlich zum Zweck der Beweissicherung besucht. Dies mindere die Schwere des immateriellen Schadens, hebe die Rechtsverletzung aber nicht auf.

Passend zum Thema digitale Haftung und unerlaubtes Tracking: Viele Unternehmen sind technisch nicht auf die neuen Datenschutz‑ und Haftungsregeln vorbereitet. Ein kostenloser Cyber‑Security‑Report zeigt praxisnahe Maßnahmen, mit denen Sie Tracking‑Lücken erkennen, Schnittstellen absichern und Datenschutz‑Risiken systematisch reduzieren — ideal für Technologie‑Anbieter und Publisher, die direkte Haftungsrisiken vermeiden wollen. Jetzt Cyber‑Security‑Guide herunterladen

Hintergrund-Anbieter als „Anbieter“: Eine neue Haftungsebene

Die Kernaussage des Urteils vom 11. Dezember 2025 ist eindeutig: Ein Unternehmen, das Tracking- oder Analyse-Technologie bereitstellt, gilt als „Anbieter“ im Sinne von § 25 TDDDG. Es kann sich nicht mehr darauf berufen, dass der Webseiten-Betreiber eine unzureichende Einwilligungslösung (Consent Management Platform, CMP) verwendet hat.

„Setzt die Software des Anbieters einen Cookie oder greift ohne gültige Einwilligung auf das Endgerät zu, haftet der Anbieter selbstständig für den Verstoß“, so die Richter. Diese Auslegung durchbricht den juristischen Schutzschild, der Werbe-Tech-Firmen (AdTech) bisher oft vor direkten Verbraucherklagen bewahrte.

Branchen-Beben: AdTech muss Einwilligungen aktiv prüfen

Die Konsequenzen für die Digitalwirtschaft sind weitreichend. Bisher operierten viele Drittanbieter nach der Logik, dass die Einholung der Nutzereinwilligung alleinige Pflicht des Publishers (Webseiten-Betreibers) sei.

• Technische Verantwortung: Anbieter können sich nicht mehr blind auf die Signale der Publisher-Webseite verlassen. Ihre Systeme müssen technisch verhindern, dass nicht autorisierte Speicher- oder Zugriffsoperationen ausgeführt werden.
• Direkter Klageweg: Verbraucher können nun theoretisch den Webseiten-Betreiber umgehen und das Tracking-Unternehmen direkt verklagen. Dies könnte eine neue Welle an Abmahnungen und Massenverfahren auslösen, insbesondere wenn Aktivisten automatisierte Prüftools einsetzen.
• Beweiskraft technischer Audits: Die Anerkennung von HAR-Dateien als Beweismittel stärkt die Hand von Datenschutz-Aktivisten und Verbraucherschützern.

TDDDG und DSGVO: Ein hartes Einwilligungsregime wird bekräftigt

Das Urteil unterstreicht die strikten Vorgaben des TDDDG, das die ePrivacy-Richtlinie in deutsches Recht umsetzt. Im Gegensatz zur DSGVO, die eine Interessenabwägung für die Datenverarbeitung vorsieht, zieht das TDDDG eine klare Linie für den Zugriff auf Endgeräte: Keine Einwilligung, kein Zugriff – mit sehr eng begrenzten Ausnahmen für „unbedingt notwendige“ Dienste.

Die OLG-Entscheidung bestätigt zudem, dass Verstöße gegen Cookie-Regeln Schadensersatzansprüche nach Art. 82 DSGVO auslösen können, sofern personenbezogene Daten betroffen sind. Die Zuerkennung einer finanziellen Entschädigung – selbst in symbolischer Höhe – setzt hierfür einen wichtigen Präzedenzfall.

Ausblick: Weg zum Bundesgerichtshof wahrscheinlich

Stand 6. Januar 2026 hat der unterlegene Beklagte noch nicht bekannt gegeben, ob er Revision beim Bundesgerichtshof (BGH) einlegen wird. Angesichts der grundlegenden Bedeutung der „Anbieter“-Definition für die gesamte Digitalbranche erscheint eine Vorlage an das höchste Zivilgericht jedoch wahrscheinlich.

Für Unternehmen ist die Botschaft schon heute klar: Die Ära, in der man sich allein auf vertragliche Freistellungen mit Webseiten-Partnern verlassen konnte, neigt sich dem Ende zu. Technologie-Anbieter müssen technische Sicherheitsvorkehrungen implementieren, die nicht-konforme Datenzugriffe verhindern – oder das Risiko direkter Haftung und kumulativer Schadensersatzforderungen tragen.

PS: Für Verantwortliche, die jetzt Prüfungen und Nachweise parat haben müssen: Ein fertiges Verarbeitungsverzeichnis (Art. 30 DSGVO) hilft, alle Tracking‑ und Verarbeitungsprozesse übersichtlich zu dokumentieren und bei Audits schnell nachzuweisen. Die kostenlose Excel‑Vorlage inkl. Anleitung unterstützt Sie dabei, Audit‑Nachweise lückenlos vorzubereiten — besonders wichtig, wenn Anbieter direkt haftbar werden. Verarbeitungsverzeichnis‑Vorlage gratis herunterladen