Urteil : Verantwortlichkeit von Technologie- und Analyseunternehmen für die Cookie-Setzung nach § 25 TDDDG : aus der RDV 3/2026, Seite 157 bis 160

Aus den Gründen:

4. Das Landgericht hat zu Recht einen Unterlassungsanspruch aus §§ 1004, 823 II BGB i.V.m. § 25 I TDDDG / TTDSG bejaht.

[…] b) § 25 TDDDG ist Schutznorm im Sinne von § 823 II BGB.

[…]

d) Entgegen der Auffassung der Beklagten schließt das TDDDG einen Unterlassungsanspruch nach bürgerlichem Recht nicht aus. […]

e) Entgegen der Auffassung der Beklagten ist sie auch Verpflichtete des § 25 TDDDG.

Die Verpflichtung nach § 25 TDDDG ist nicht auf „Anbieter“ beschränkt wie andere Verpflichtungen des TDDDG (z.B. § 19); §  25 TDDDG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendiensts sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (ErwG 66 S. 1 Cookie-RL), die üblicherweise nicht von Telemedienangeboten ausgehen (VG Köln, Urt. v. 17.7.2025, 13 K 1419/23, GRURRS 2025, 17335, Rnr. 80 ff.; Gierschmann/Baumgartner/Hanloser, 2023, TDDDG § 25 Rn. 42; HK-TDDDG/Schneider, 2022, TDDDG § 25 Rn. 17; BeckOK IT-Recht/Sesing-Wagenpfeil, 20. Ed. 1.10.2025, TTDSG § 25 Rn. 41-51).

Adressat des § 25 I 1 TDDDG ist daher jede natürliche oder juristische Person, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind (VG Köln Urt. v. 17.7.2025 – 13 K 1419/23, GRUR-RS 2025, 17335 Rn. 82).

Im Übrigen wäre die Beklagte auch als „Anbieterin“ i.S.v. § 2 II Nr. 1 TDDDG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt – wobei der Begriff des „Mitwirkenden“ alle Arten von Hilfeleistung erfassen soll (HK-TDDDG/Assion, 1. Aufl. 2022, TDDDG § 2 Rn. 16-18) – oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. § 2 II Nr. 1 TDDDG liegt ein funktionales Verständnis zu Grunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TDDDG führt (Gierschmann/Baumgartner/Baumgartner, 1. Aufl. 2023, TDDDG § 2 Rn. 13), so z.B. auch der Hosting-Provider. Daher ist auch die Beklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch die Setzung der Cookies mitwirkt.

Der Ansicht des Senats steht – entgegen der Auffassung der Beklagten – nicht entgegen, dass Verfahren auf Grundlage von §  25 TDDDG (bzw. §  25 TTDSG) bisher nur gegen Webseitenbetreiber geführt worden sein sollen. Dass für ein Verstoß gegen § 25 TDDDG auch der Webseitenbetreiber verantwortlich sein kann, wird vom Senat nicht in Frage gestellt. Dies schließt allerdings nicht aus, dass auch eine Verantwortlichkeit der Beklagten besteht. Auch die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ stehen – unabhängig von der rechtlichen Unverbindlichkeit für den Senat – dem nicht entgegen, weist doch die Beklagte selber darauf hin, dass sich diese Hinweise „vor allem“ an Telemedienanbieter richten soll und eben nicht nur an diese.

Dies steht auch nicht in Widerspruch zu Art. 5 III der Cookie-Richtlinie, die durch § 25 TDDDG umgesetzt wird. Ebenso wie das TDDDG unterscheidet auch die Cookie-Richtlinie zwischen Pflichten, die gegenüber jedermann gelten und Pflichten, die nur Diensteanbieter betreffen sollen. Soweit im „Planet49“-Urteil des EuGH (MMR 2019, 732) im dritten Leitsatz der Begriff des „Diensteanbieters“ auftaucht, kann dies die Auslegung von Art. 5 III der Cookie-Richtlinie nicht beeinflussen. Leitsätzen kommt schon kein rechtlicher Charakter zu, der für die Auslegung einer Norm relevant wäre. Im Übrigen hat sich der EuGH in der Entscheidung an keiner Stelle mit der Frage der Anwendbarkeit von Art. 5 III der Cookie-Richtlinie auf Diensteanbieter befasst. Dass der Leitsatz gleichwohl auf einen Diensteanbieter Bezug nimmt, lässt sich zwangslos durch die Tatsache erklären, dass im Ausgangsverfahren eben ein Diensteanbieter beteiligt war.

f) Die Speicherung von Cookies ohne Einwilligung des Klägers auf dessen Endgerät stellt einen Verstoß gegen §  25 I TDDDG dar.

(1) Bei den streitgegenständlichen „Cookies“ handelt es sich um Informationen im Sinne von § 25 I TDDDG. Soweit die Beklagte darauf hinweist, es würden nur die IP-Adresse (anonymisiert), die Device-/Cookie-ID (Pseudonymisiert), der Besuchszeitpunkt sowie der verwendete Browser gespeichert, steht dies der Anwendung von § 25 TDDDG nicht entgegen. Der Begriff der Information wird im TDDDG nicht näher konturiert. Die Literatur verweist darauf, dass der Begriff umfassend zu verstehen sei (Schwartmann/Jaspers/Eckhardt/ Burkhardt/Reif/Schwartmann Rn.  21; Plath/Piltz Rn.  38; Sebisch DSRITB 2022, 243, 250), sodass jegliche Information von der Vorschrift erfasst werde (Schürmann/Guttmann, K&R 2023, 246, 247; Säcker/Körber/Werkmeister Rn. 15). Insbesondere auf einen Personenbezug der Information kommt es nicht an (Baumgartner/Hansch, ZD 2020, 435, 437; Golland, NJW 2021, 2238, 2239; Haberer, MMR 2020, 810, 812; Hanloser, ZD 2021, 121; Nebel, CR 2021, 666, 670; HK-TDDDG/Schneider Rn.  23; Schürmann/Guttmann, K&R 2023, 246, 247; Sebisch BeckOK IT-Recht/Sesing-Wagenpfeil, 16. Ed. 1.10.2024, TDDDG § 25 Rn. 22).

(2) Der Senat hat davon auszugehen, dass beim Besuch mehrerer Internetseiten Cookies der Beklagten ohne Einwilligung des Klägers auf dessen Endgerät gespeichert worden sind. Den entsprechenden Vortrag des Klägers hat die Beklagte nicht substanziiert bestritten.

[…]

(3) Es fehlt auch an der notwendigen Einwilligung des Klägers in die Cookie-Setzung. Die Beklagte rügt, das Landgericht habe verkannt, dass der Kläger nicht bewiesen habe, dass er nicht in die Cookie-Setzung eingewilligt habe. Dabei verkennt sie allerdings die Darlegungs- und Beweislast. Für die Einwilligung als für sie günstige Tatsache ist die Beklagte darlegungs- und beweisbelastet. Seiner sekundären Darlegungslast ist der Kläger insoweit durch die Darlegung der Abläufe und Vorlage des Gutachtens sowie der HAR-Datei nachgekommen, so dass nunmehr die Beklagte eine Einwilligung hätte beweisen müssen.

Eine faktische Einwilligung dadurch, dass der Kläger die Cookies provoziert und damit jedenfalls als Zwischenschritt gewollt habe, liegt ersichtlich nicht vor. Das reine Besuchen der Internetseite ohne ausdrückliche Einwilligung kann nicht als Einwilligung auf der Grundlage von klaren und umfassenden Informationen im Sinne von § 25 I 1 TDDDG angesehen werden.

(4) Entgegen der Auffassung der Beklagten ist die Speicherung auch nicht durch andere Gründe gerechtfertigt. Die beiden gesetzlichen Zugriffsermächtigungen aus § 25 II TDDDG regeln das einwilligungsfreie Speichern und Zugreifen abschließend. Ein Rückgriff auf die datenschutzrechtlichen Erlaubnistatbestände des Art. 6 I lit. b)-f) DS‑GVO zur Rechtfertigung eines Gerätezugriffs i.S.d. § 25 I ist ausgeschlossen. Ein berechtigtes Interesse am Gerätezugriff analog Art. 6 I f DS‑GVO ist § 25 II ist unbekannt (Gierschmann/Baumgartner/ Hanloser, 1. Aufl. 2023, TTDSG § 25 Rn. 91).

g) Die Beklagte haftet insoweit auch für den Verstoß gegen § 25 I TDDDG als Täterin.

(1) Die Frage, ob sich jemand als Täter, Mittäter, Anstifter oder Gehilfe in einer die zivilrechtliche Haftung begründenden Weise an einer deliktischen Handlung eines Dritten beteiligt hat, beurteilt sich nach den im Strafrecht entwickelten Rechtsgrundsätzen (vgl. BGH, NJW 1975, 49; NJW 1984, 1226; GRUR 2011, 152, Rn. 30 – Kinderhochstühle im Internet I; GRUR 2011, 1018, Rn. 24 – Automobil-Onlinebörse; BGH, GRUR 214, 883, Rn.13 – Geschäftsführerhaftung). Täter ist derjenige, der die Zuwiderhandlung selbst begeht (§§ 25 I StGB, 830 Abs. 1 BGB; BGH, GRUR 2004, 860 – Internet-Versteigerung I; GRUR 2007, 708 – Internet-Versteigerung II; GRUR 2009, 597, Rn. 14 – Halzband; GRUR 2011, 152, 154, Rn. 30 – Kinderhochstühle im Internet; BGH, GRUR 214, 883, Rn. 13 – Geschäftsführerhaftung), indem er den objektiven Tatbestand einer Zuwiderhandlung selbst und adäquat kausal verwirklicht (BGH, GRUR 2016, 961, Rn. 32 – Herstellerpreisempfehlung bei Amazon).

(2) Täter ist darüber hinaus in Anlehnung an die strafrechtlichen Kategorien (§ 25 I Alt. 2 StGB) der mittelbare Täter, der sich für den Rechtsverstoß als Hintermann gezielt eines unmittelbar handelnden Tatmittlers als Werkzeug bedient und so den Rechtsverstoß durch einen anderen begeht.

Die mittelbare Täterschaft erfordert zum einen, dass der Hintermann die durch den Tatmittler vorgenommene Zuwiderhandlung im eigenen Interesse veranlasst hat, und zum anderen, dass der Hintermann die Kontrolle über das Handeln des Tatmittlers hat. Im Hinblick auf die zweite Voraussetzung, nämlich die Kontrolle im Sinne der Tatherrschaft, scheidet eine mittelbare Täterschaft jedenfalls dann aus, wenn der Tatmittler den betreffenden Verstoß seinerseits täterschaftlich – also mit eigener Kontrolle und Tatherrschaft über den Geschehensablauf – begangen hat und somit als Täter haftet. Einen „Täter hinter dem Täter“ gibt es grundsätzlich nicht.

Der mittelbaren Täterschaft kommt allerdings nur ein potenziell sehr kleiner Anwendungsbereich zu. Denn für die Begründung einer eigenen Täterschaft reicht in den allermeisten Fällen der objektive Verstoß gegen eine Norm aus; Verschulden oder gar Vorsatz sind nicht erforderlich. Auch ein vorsatzlos handelnder Vordermann ist deshalb in aller Regel nicht nur Tatmittler, sondern selbst Täter, so dass der Hintermann nicht seinerseits als mittelbare Täter verantwortlich gemacht werden kann (Harte-Bavendamm/Henning-Bodewig/Goldmann, 5. Aufl. 2021, UWG § 8, Rn. 462).

(3) Danach ist die Beklagte hier als Täterin anzusehen: Nach dem unbestritten gebliebenen Vortrag des Klägers ist es die Beklagte, die die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer auch ohne deren Einwilligung speichert, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst wird. Darüber hinaus greift sie – was ebenfalls erstinstanzlich unstreitig geblieben ist – auf die hinterlegten Informationen zu, indem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lässt, nachdem diese die Informationen über die weiteren Webseitenbesuche des Nutzers auf den Endgeräten ausgelesen haben.

Da die § 25 TDDDG kein vorsätzliches Handeln erfordert, ist es für die Verwirklichung des Tatbestands unerheblich, ob und inwieweit die Beklagte von der fehlenden Einwilligung des Klägers Kenntnis hatte.

(4) Die Beklagte kann nicht damit gehört werden, dass ihr der Umstand nicht ursächlich zugerechnet werden könne, dass Webseitenbetreiber entgegen der Allgemeinen Geschäftsbedingungen der Beklagten das Setzen von Cookies ohne Zustimmung des Endnutzers haben veranlassen lassen.

Bei der fehlenden Einwilligung des Endnutzers, die erst den Verstoß gegen § 25 I TDDDG begründet, handelt es sich um ein negatives Tatbestandsmerkmal, das sich nicht durch ein positives Tun der Beklagten verwirklicht, sondern allein dadurch, dass sie selbst die Einholung der Einwilligung unterlässt und sich darauf verlässt, dass die jeweiligen Webseiten-Betreiber diese Einwilligung ordnungsgemäß eingeholt haben. Besteht das dem Verletzer vorgeworfene Verhalten in einem solchen Unterlassen, ist im Rahmen der normativ-kausalen Zurechnung zu fragen, ob eine pflichtgemäße Handlung den Eintritt der Rechtsgutsverletzung verhindert hätte (vgl. BGH, Urt. v. 6.5.2021, I ZR 61/20, Rn. 27 – Die Filsbacher). Das ist hier der Fall. Denn nach der aus der Formulierung des § 25 I TDDDG herzuleitenden und in Art. 7 Abs. 1 DS‑GVO ausdrücklich geregelten Darlegungs- und Beweislastverteilung muss die Beklagte nachweisen, dass der Endnutzer vor der Speicherung der Cookies auf seinem Endgerät eingewilligt hat. Wie die Beklagte diesen Nachweis führen möchte, ist zunächst ihre Sache. Jedenfalls aber hat die Regelung über die Verteilung der Darlegungs- und Beweislast zur Folge, dass sie sicherstellen muss, dass ihr die Einwilligung des Endnutzers vom Webseitenbetreiber übermittelt wird, bevor sie ihre Cookies auf dem Gerät des Endnutzers speichert. Dadurch, dass sie dieses pflichtgemäße Handeln unterlässt, verwirklicht sie den Verstoß gegen § 25 I TDDDG adäquat-kausal.

(5) Es fehlt auch nicht an der Adäquanz. Das Kriterium der Adäquanz dient im Rahmen der Feststellung des Zurechnungszusammenhangs dem Zweck, diejenigen Kausalverläufe auszugrenzen, die dem Verletzer billigerweise nicht mehr zugerechnet werden können. Im Deliktsrecht besteht ein adäquater Zusammenhang zwischen Tatbeitrag und Taterfolg, wenn eine Tatsache im Allgemeinen und nicht nur unter besonders eigenartigen, ganz unwahrscheinlichen und nach regelmäßigem Verlauf der Dinge außer Betracht zu lassenden Umständen zur Herbeiführung eines Erfolges geeignet ist. Hieran kann es fehlen, wenn der Verletzte oder ein Dritter in völlig ungewöhnlicher und unsachgemäßer Weise in den schadensträchtigen Geschehensablauf eingreift und eine weitere Ursache setzt, die den Schaden erst endgültig herbeiführt. Bei der Ermittlung der Adäquanz ist auf eine nachträgliche Prognose abzustellen, bei der neben den dem Verletzer bekannten Umständen alle einem optimalen Betrachter zur Zeit des Eintritts des Schadensereignisses erkennbaren Gegebenheiten zu berücksichtigen sind (BGH, GRUR 2016, 961, Rn. 34 – Herstellerpreisempfehlung bei Amazon m.w.N.).

Dass es sich bei dem Setzen von Cookies ohne Einwilligung des Endnutzers auf den Webseiten Dritter keineswegs um einen besonders eigenartigen, ganz unwahrscheinlichen und nach dem regelmäßigen Verlauf der Dinge außer Betracht zu lassenden Umstand handelt, liegt auf der Hand. Im Gegenteil stellt es sogar ein naheliegendes und typisches Risiko dar, wenn die Beklagte Webseitenbetreibern ihren Quellcode zur Verfügung stellt, die damit datenschutzrelevante Prozesse unter Einbeziehung der Beklagten auslösen können, ohne dass die Beklagte in irgendeiner Weise kontrollieren kann, ob tatsächlich eine Einwilligung vorliegt oder sich dies jedenfalls von dem Beklagten durch Übermittlung der Einwilligung bestätigen lässt.

(6) Ob der Beklagten ein solches pflichtgemäßes Verhalten durch entsprechende technische Vorkehrungen möglich ist, ist für die rechtliche Beurteilung des vorliegenden Falls irrelevant. Die Frage des technisch Möglichen kann allenfalls im Rahmen der Störerhaftung eine Rolle spielen, auf die es hier nicht ankommt. Im Übrigen ist schon nicht nachvollziehbar, wieso es der Beklagten nicht möglich sein soll, ihre Cookies erst dann auf den Endgeräten von Nutzern abzuspeichern, wenn ihr dessen Einwilligung übersandt worden ist. Hinzu kommt, dass der Gesetzgeber in § 26 TDDDG davon ausgeht, dass Dienste zur Einwilligungsverwaltung technisch und rechtlich möglich sind. Insofern beruft sich die Beklagte auch nur darauf, dass derzeit entsprechende Dienste noch nicht am Markt durchgesetzt sind. Das lässt die Anforderungen des § 25 I TDDDG jedoch unberührt. [—]

6. Der Kläger hat Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 I DS‑GVO in Höhe von 100,– €.

a) Nach Erwägungsgrund 146 S. 5 der DS‑GVO soll – entgegen dem Wortlaut „gegen die Verordnung“ – auch ein Verstoß gegen die erlassenen delegierten Rechtsakte und Durchführungsrechtsakte sowie präzisierenden Rechtsvorschriften der Mitgliedstaaten ausreichen. Zahlreiche nationale Vorschriften, die über die DS‑GVO hinausgehen, sind als Präzisierung der Grundsätze des Art.  5 anzusehen sein, die dann die Haftung „nach der Verordnung“ auslösen. Jedenfalls aber besteht eine Haftung nach § 823 II i.V.m. § 25 TDDDG.

b) Ein Verschulden liegt jedenfalls in Form der Fahrlässigkeit vor. Die Beklagte hat dritten die Möglichkeit überlassen, bei ihr ohne nähere Prüfung der Einwilligung die Setzung von Cookies auf den Endgeräten Dritter auszulösen. Die rein vertragliche Zusicherung der Partner der Beklagten sind insoweit nicht ausreichend, um eine Fahrlässigkeit auszuschließen.

c) Der Senat bemisst den Schaden in Ausübung des ihm nach § 287 ZPO zustehenden Ermessens auf 100,– €.

Nach der Rechtsprechung des Bundesgerichtshofs zum Schadenersatz bei DS‑GVO-Verstößen kann ein allgemein eingetretener „Kontrollverlust“ in der Regel einen Betrag von 100,– € rechtfertigen, soweit nicht Anhaltspunkte für einen höheren Schaden vorliegen. Das „Gefühl des Kontrollverlusts“ greift im vorliegenden Fall allerdings nicht, da nicht erkennbar ist, inwieweit der Kläger nachhaltig die Kontrolle über personenbezogene Daten verloren haben soll. Es handelt sich auch nicht um Daten wie Mailadresse oder Telefonnummern sondern „nur“ um anonymisierte (IP-Adresse) bzw. pseudonymisierte (so die Cookie-ID) Daten. Gleichwohl rechtfertigt das mit der Speicherung der Daten verbundene Gefühl des Überwachtwerdens einen Betrag in Höhe von 100,– €.

Ob eine Auswertung zu Werbezwecken stattgefunden hat, wie der Kläger behauptet, kann dahinstehen. Jedenfalls unter den besonderen Bedingungen des vorliegenden Falles kann dies keinen höheren Schadenersatzbetrag begründen. Der Kläger hat in einer einem Testkauf vergleichbaren Konstellation bewusst eine Situation herbeigeführt, in der er eine Setzung von Cookies veranlasst hat. Dies geht mit einer besonderen Aufmerksamkeit einher, die ein gewöhnlicher Nutzer nicht aufbringt. In dieser Situation war dem Kläger bewusst, dass er mit einfacher Löschung der Cookies jegliche weitere Nachverfolgbarkeit für die Beklagte verhindern konnte. Zwar wären in diesem Fall die – aggregierten – Daten auch weiterhin bei der Beklagten gespeichert geblieben. Ohne den bei dem Kläger gespeicherten Cookie waren diese Daten dem Kläger jedoch nicht mehr zuzuordnen. Aufgrund dieser Gesamtumstände sieht der Senat die Beeinträchtigung des Klägers als sehr gering an und schätzt den Schadensbetrag auf 100,– €.

Generalpräventive Aspekte haben nach der Rechtsprechung des EuGH (Urt. v. 4.5.2023, C-300/21) bei der Schadensbemessung außer Betracht zu bleiben.

d) Soweit der Kläger den Schadenersatzanspruch auch darauf stützt, dass sein Auskunftsanspruch nicht erfüllt worden sei, ist umstritten, ob eine Verletzung von Art. 15 DS‑GVO einen Schadenersatzanspruch nach Art. 82 DS‑GVO begründen kann (vgl. Generalanwalt beim EuGH (Szpunar), Schlussantrag vom 18.9.2025 – C-526/24). Dies kann ebenso dahinstehen wie die Frage, ob ein Schadenersatzanspruch insoweit auf § 823 II BGB gestützt werden könnte, da insoweit von einem Gesamtschaden auszugehen ist, der mit 100,– € hinreichend abgegolten ist.

Zur Vertiefung

Benededikt/Reif/Schwartmann, Datenschutz bei Websites – aktuelle Rechtslage und Ausblick auf das TTDSG = RDV 5/2020

Schwartmann, Benedikt, Reif (Hrsg.), Datenschutz im Internet, 1. Aufl. 2025