Cookie-Drittanbieter

Haften jetzt

direkt.

12. Januar 2026

von

Clemens Pfitzer

Können sich Cookie-Anbieter hinter Webseitenbetreibern verstecken? Reichen vertragliche Vereinbarungen aus, um der Haftung zu entgehen? Und was gilt als Ausrede, wenn die technische Umsetzung schwierig wird? Das Oberlandesgericht Frankfurt gibt klare Antworten – mit weitreichenden Folgen für die gesamte Tracking-Branche.

Haftung von Cookie-Drittanbietern: Worum geht es in dem Urteil?

Ein Internetnutzer besuchte im März 2022 mehrere Webseiten und stellte fest, dass ein Technologie- und Analyseunternehmen dabei Cookies auf seinen Geräten speicherte – ohne dass er dem zugestimmt hatte. Der Nutzer ließ die Cookie-Setzung durch einen Experten dokumentieren, mahnte das Unternehmen ab und klagte auf Unterlassung und Schmerzensgeld.

Das Landgericht Frankfurt gab dem Kläger recht und verurteilte das Unternehmen zur Unterlassung sowie zur Zahlung von 1.500 Euro Schmerzensgeld. Gegen dieses Urteil legte das beklagte Unternehmen Berufung beim Oberlandesgericht Frankfurt ein.

OLG Frankfurt: Cookie-Einwilligung muss von Drittanbietern selbst eingeholt werden

Das Oberlandesgericht Frankfurt bestätigte im Wesentlichen das erstinstanzliche Urteil, reduzierte allerdings das Schmerzensgeld auf 100 Euro. Die Entscheidung vom 11.12.2025 -Az. 6 U 81/23 enthält mehrere wegweisende Aussagen zur Haftung von Cookie-Drittanbietern nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDDG).

Wer setzt Cookies, wer haftet? Das Cookie-Verbot gilt für jeden

Das Gericht stellte zunächst klar, dass das gesetzliche Verbot der Cookie-Speicherung ohne Einwilligung nicht auf Webseitenbetreiber beschränkt ist. Das Verbot richtet sich an jeden, der Cookies setzt – unabhängig davon, ob es sich um den Webseitenbetreiber selbst oder um einen Drittanbieter wie ein Analyseunternehmen handelt.

Mit anderen Worten: Wenn ein Drittanbieter technisch dafür sorgt, dass Cookies auf dem Gerät eines Nutzers landen, muss er selbst dafür sorgen, dass eine Einwilligung vorliegt. Diese Rechtsprechung zur Cookie-Haftung betrifft insbesondere Tracking-Anbieter, Analyse-Tools und Werbeplattformen.

Cookie-Haftung: Verträge mit Webseitenbetreibern schützen nicht vor Schadensersatz

Besonders brisant für die Praxis ist die Feststellung des Gerichts zur persönlichen Haftung bei Cookie-Verstößen. Das Analyseunternehmen hatte argumentiert, es habe mit den Webseitenbetreibern vertraglich vereinbart, dass die Cookie-Setzung nur bei vorliegender Einwilligung erfolgen dürfe. Diese vertragliche Absicherung schützte das Unternehmen jedoch nicht vor der Haftung.

Das Gericht begründet dies damit, dass das Unternehmen selbst die Cookies auf den Geräten der Nutzer speichere. Das Unternehmen könne sich nicht darauf berufen, dass Webseitenbetreiber sich nicht an die vertraglichen Vereinbarungen halten.

Anders formuliert: Wer Cookies setzt, muss selbst sicherstellen, dass eine Einwilligung vorliegt – egal was in irgendwelchen Verträgen steht. Diese Rechtsprechung zur Cookie-Einwilligung verschärft die Anforderungen an Drittanbieter erheblich.

Technische Unmöglichkeit bei Cookie-Consent: Keine anerkannte Ausrede

Das beklagte Unternehmen hatte vorgetragen, es sei technisch nicht möglich sicherzustellen, dass eine wirksame Einwilligung vorliege. Auch dieses Argument zur technischen Machbarkeit von Cookie-Consent ließ das Gericht nicht gelten. Die Frage, ob etwas technisch möglich sei, könne allenfalls bei einer anderen Form der Haftung eine Rolle spielen, nicht aber bei der direkten Täterhaftung.

Das Gericht sieht keinen Grund, warum es dem Unternehmen nicht möglich sein sollte, Cookies erst dann auf den Geräten von Nutzern zu speichern, wenn ihm die Einwilligung nachweislich übermittelt worden ist. Diese Anforderung an die Cookie-Verwaltung stellt Drittanbieter vor neue technische Herausforderungen.

Beweislast bei Cookie-Einwilligung liegt beim Drittanbieter

Ein weiterer wichtiger Aspekt der Entscheidung betrifft die Beweislast bei Cookie-Verstößen. Das Gericht stellte klar, dass das Unternehmen nachweisen muss, dass eine Einwilligung vorlag. Praktisch bedeutet das: Wer Cookies setzt, muss im Zweifel beweisen können, dass eine Einwilligung erteilt wurde.

Diese Umkehr der Beweislast bei Cookie-Consent entspricht der Datenschutz-Grundverordnung (DSGVO) und verschärft das Haftungsrisiko für Drittanbieter zusätzlich.

Schmerzensgeld bei Cookie-Verstößen: Nur 100 Euro bei Testkauf

Das Oberlandesgericht Frankfurt reduzierte das Schmerzensgeld für den Cookie-Verstoß von 1.500 Euro auf 100 Euro. Die Begründung ist bemerkenswert: Der Kläger habe die Rechtsverletzung bewusst zu Beweiszwecken herbeigeführt, vergleichbar einem Testkauf. Dabei sei ihm bewusst gewesen, dass er durch einfaches Löschen der Cookies jede weitere Nachverfolgung hätte verhindern können.

Unter diesen besonderen Umständen sah das Gericht die Beeinträchtigung als sehr gering an. Diese Entscheidung zur Höhe des Schmerzensgeldes bei Cookie-Verstößen könnte Signalwirkung für künftige Fälle haben.

Kein Rechtsmissbrauch bei systematischem Vorgehen gegen Cookie-Verstöße

Das Unternehmen hatte argumentiert, der Kläger verfolge systematisch Unternehmen wegen Cookie-Verstößen und handele rechtsmissbräuchlich. Das Gericht folgte dieser Argumentation nicht. Das gezielte Aufdecken von Cookie-Verstößen sei ebenso wie der Testkauf grundsätzlich nicht zu beanstanden. Der Kläger dokumentiere nur, wie sich das handlungsbereite Unternehmen verhalten habe.

Auch die Tatsache, dass der Kläger parallel gegen vier weitere Unternehmen wegen Cookie-Verstößen vorgegangen war, wurde nicht als Rechtsmissbrauch gewertet. Diese Rechtsprechung ermutigt möglicherweise weitere Klagen gegen Cookie-Drittanbieter.

Praktische Folgen für Cookie-Drittanbieter und Tracking-Dienste

Die Entscheidung des Oberlandesgerichts Frankfurt zur Cookie-Haftung hat erhebliche praktische Auswirkungen für Cookie-Drittanbieter, Tracking-Dienste und Analyse-Tools:

• Direkte Haftung für Cookie-Verstöße nicht vermeidbar
  Drittanbieter können sich nicht mehr darauf verlassen, dass die Webseitenbetreiber die Cookie-Einwilligung ordnungsgemäß einholen. Sie haften persönlich und unmittelbar für jeden Verstoß gegen das TDDDG. Diese direkte Haftung für Cookie-Verstöße betrifft alle Drittanbieter-Dienste gleichermaßen.
• Technische Lösungen für Cookie-Consent erforderlich
  Das Argument, eine Überprüfung der Cookie-Einwilligung sei technisch nicht möglich, wird vom OLG Frankfurt nicht akzeptiert. Drittanbieter müssen Mechanismen für Cookie-Consent-Management entwickeln, mit denen sie sicherstellen, dass ihnen die Einwilligung nachweisbar übermittelt wird, bevor Cookies gesetzt werden.
• Consent-Management-Plattformen reichen nicht aus
  Die bloße Bereitstellung von Cookie-Einwilligungs-Tools oder die Teilnahme an Branchen-Frameworks wie dem Transparency & Consent Framework genügt nicht, um die Haftung für Cookie-Verstöße auszuschließen. Cookie-Drittanbieter müssen aktiv die Einwilligung verifizieren.
• Keine Unterscheidung nach Cookie-Zweck
  Ob Cookies zu Werbezwecken oder „nur“ zur Reichweitenmessung gesetzt werden, ist für die Haftung bei Cookie-Verstößen irrelevant. Das TDDDG kennt keine solche Differenzierung beim Cookie-Consent.
• Beweislast für Cookie-Einwilligung verschärft Risiko
  Da die Drittanbieter die Beweislast für das Vorliegen einer Cookie-Einwilligung tragen, müssen sie diese dokumentieren und im Streitfall vorlegen können. Diese Dokumentationspflicht für Cookie-Consent erhöht den administrativen Aufwand erheblich.

Fazit

Wir beraten

Sie gerne zum

Datenschutz!

Kontaktformular

Jetzt anrufen!