Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Ja, auch Drittanbieter können für Cookies haften. Erfahren Sie, welche Auswirkungen dies auf Unterlassungsansprüche, Schadensersatz und potenzielle Risiken für Ihr Unternehmen hat.
Die Annahme, datenschutzrechtliche Risiken ließen sich vertraglich „weiterreichen“, gerät zunehmend ins Wanken. Wer technische Tools bereitstellt, die ohne wirksame Einwilligung Informationen auf Endgeräten speichern oder auslesen, begibt sich selbst auf das „dünne Eis“ der Cookie-Haftung.
Die Konsequenzen reichen von Abmahnungen bis zu unmittelbaren Zahlungsansprüchen betroffener Nutzer. Die zentrale Frage lautet daher: Reicht ein Vertrag mit dem Seitenbetreiber aus oder entsteht eine eigene datenschutzrechtliche Verantwortlichkeit bereits durch die technische Einbindung des Tools?
Ausgangspunkt, der am LG Frankfurt a.M. geklärt werden sollte, war die Einbindung eines Drittanbieter-Tools auf einer Webseite, über das Cookies gesetzt und Nutzerdaten verarbeitet wurden. Der Anbieter der Technologie war selbst kein Betreiber der betreffenden Internetseite. Gleichwohl ermöglichte seine technische Infrastruktur das Speichern und Auslesen von Informationen auf den Endgeräten der Besucher.
Ein Seitenbesucher machte geltend, dass Cookies ohne wirksame Einwilligung gesetzt worden seien. Er wandte sich dabei nicht nur gegen den Webseitenbetreiber, sondern auch gegen das Unternehmen, das die Tracking-Technologie bereitstellte. Der Drittanbieter verteidigte sich unter anderem damit, lediglich als technischer Dienstleister tätig zu sein und keinen unmittelbaren Einfluss auf die konkrete Einbindung oder die Einholung der Einwilligung zu haben.
Im Zentrum stand damit die Frage, ob ein Unternehmen, das Tracking-Dienste entwickelt und bereitstellt, für Datenschutzverstöße haftet, wenn seine Technologie ohne ausreichende Einwilligung eingesetzt wird.
Die zentralen Streitpunkte im Überblick
Drittanbieter-Tracking ist die Verfolgung von Nutzerverhalten durch externe Dienste, die nicht von der besuchten Webseite stammen. Es erfolgt meist über Cookies, Pixel oder Skripte, die auf vielen Seiten platziert werden, um Daten wie Browserverlauf oder Interessen zu sammeln – vor allem für personalisierte Werbung. Im Gegensatz zum Erstanbieter-Tracking, das nur die eigene Webseite betrifft, sorgt es dafür, dass Cross-Site-Profile erstellt werden können. Vor allem aber birgt es Datenschutzrisiken, weshalb Browser zunehmend Third-Party-Cookies blocken.
Das Gericht urteilte, dass die Verantwortlichkeit für rechtswidrig gesetzte Cookies nicht auf den Webseitenbetreiber beschränkt ist. Auch ein Drittanbieter, der die technische Infrastruktur für Tracking-Tools bereitstellt und dadurch das Speichern sowie Auslesen von Informationen auf Endgeräten ermöglicht, kann selbst in die Haftung geraten. Maßgeblich ist, ob das Unternehmen einen willentlichen und adäquat kausalen Beitrag zur Rechtsverletzung leistet und die datenschutzwidrige Verarbeitung zumindest mitveranlasst.
Im konkreten Fall bejahte das Gericht eine eigene Verantwortlichkeit des Drittanbieters. Die technische Bereitstellung des Tools reiche aus, wenn dessen Funktionsweise gerade darauf angelegt sei, Cookies zu setzen und personenbezogene Daten zu erfassen. Wer eine solche Technologie entwickelt, kontrolliert und wirtschaftlich verwertet, könne sich nicht darauf zurückziehen, dass allein der Webseitenbetreiber für die Einholung der Einwilligung zuständig sei.
Rechtlich stützte sich das Gericht insbesondere auf folgende Normen:
Wesentlich war, dass das Gericht von einer zumindest gemeinsamen Verantwortlichkeit im datenschutzrechtlichen Sinne ausging. Wer die Datenverarbeitung durch seine Technologie strukturell ermöglicht und davon profitiert, trägt Mitverantwortung für deren Rechtmäßigkeit.
In erster Instanz sprach das Landgericht Frankfurt a.M. dem Kläger neben dem Unterlassungsanspruch 1.500 EUR zu. In der Berufung bestätigte das Oberlandesgericht Frankfurt die Entscheidung im Kern, reduzierte den Schadensersatz jedoch auf 100 EUR. Maßgeblich war, dass § 25 TDDDG als Verbot jedermann bindet, der den Zugriff auf Endgeräte technisch veranlasst, auch ohne Betreiberrolle der Webseite.
Eine vertragliche Verlagerung auf Seitenbetreiber genügte dafür nicht. Der Unterlassungsanspruch blieb auch dann bestehen, wenn der Kläger den Verstoß gezielt dokumentierte, vergleichbar mit einem Testkauf. Für die Schadenshöhe stellte das OLG auf einen eher gering ausgeprägten Kontrollverlust ab, da der Kläger das Setting bewusst herbeiführte, Cookies löschbar waren und vor allem technische, pseudonymisierte Daten betroffen waren.
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.
Die Entscheidung verschärft die Haftungsrisiken im Cookie-Umfeld deutlich. Wer Tracking-Technologien bereitstellt oder technisch auslöst, trägt eigene Verantwortung für die Einhaltung von § 25 TDDDG und der DSGVO – unabhängig davon, ob er selbst Webseitenbetreiber ist. Vertragsklauseln mit Kunden reichen zur Absicherung nicht aus, wenn die technische Ausgestaltung eine Cookie-Setzung ohne vorherige Einwilligung ermöglicht.
Für Unternehmen bedeutet das, Consent-Mechanismen, Einbindung von Dritttools und technische Voreinstellungen sorgfältig zu prüfen. Andernfalls drohen Unterlassungsansprüche und Schadensersatz. Auch bei vermeintlich geringfügigen Verstößen.
Haben Sie Tracking-Tools oder Drittanbieter-Cookies auf Ihrer Webseite eingebunden? Sind Sie sicher, dass sämtliche Einwilligungen technisch wirksam eingeholt und dokumentiert werden? Wurden Sie wegen eines Cookie-Verstoßes abgemahnt oder mit einer Unterlassungsforderung konfrontiert? Droht ein Bußgeldverfahren der Aufsichtsbehörde oder möchten Sie Ihre Datenschutz-Compliance proaktiv überprüfen lassen?
Unsere Leistungen als Kanzlei für Datenschutzrecht umfassen insbesondere die Erstellung maßgeschneiderter Datenschutzerklärungen für Internetseiten, Apps und Social-Media-Auftritte, die Abwehr von Abmahnungen und einstweiligen Verfügungen sowie die Verteidigung in behördlichen Bußgeldverfahren. Wir begleiten unternehmerische Maßnahmen im Bereich PR und Marketing wie Werbemails, Umfragen, Gewinnspiele oder Fotoaufnahmen und beraten zu allen datenschutzrechtlichen Fragen rund um Ihr Online-Business, vom Online-Shop bis zum E-Commerce-Modell.
Darüber hinaus prüfen wir Vertragsbeziehungen auf Datenschutzkonformität, klären die Pflicht zur Bestellung eines Datenschutzbeauftragten oder Datenschutzvertreters, führen Audits zur Überprüfung Ihrer internen Prozesse durch – auch in Kooperation mit unserer SBS Data GmbH – und sichern internationale Datentransfers rechtlich ab. Ergänzend unterstützen wir Sie bei der Gestaltung von Auftragsverarbeitungsverträgen, Joint-Controller-Vereinbarungen, datenschutzrechtlich erforderlichen Rechtstexten sowie bei der Verpflichtung von Mitarbeitern auf das Datengeheimnis.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?