Urteil : „Microsoft Advertising“ haftet für einwilligungsfreie Cookie-Speicherung von Webseitenbetreibern : aus der RDV 5/2024, Seite 293 bis 296
(OLG Frankfurt, Urteil vom 27. Juni 2024 – 6 U 192/23)
Relevanz für die Praxis
Die Entscheidung betont zum einen noch einmal die Notwendigkeit zur Einholung von Einwilligungen, immer dann, wenn ein Dienst technisch nicht notwendige Cookies setzt (§ 25 TDDDG). Zum anderen stellt sie klar, dass diese Pflicht unmittelbar denjenigen trifft, der Cookies speichert oder ausliest, und damit im vorliegenden Fall „Microsoft Advertising“. In wessen Auftrag oder Interesse diese Speicherung bzw. der Zugriff erfolgt, ist im Rahmen des § 25 TDDDG unerheblich. Das gilt auch dann, wenn derjenige, in dessen Interesse und Auftrag die Speicherung erfolgt – im vorliegenden Fall der Webseitenbetreiber – vertraglich dazu verpflichtet gewesen wäre, eine Einwilligung einzuholen. Liegt die erforderliche Einwilligung nicht vor, hat der Endnutzer einen Unterlassungsanspruch aus §§ 823 II, 1004 BGB i.V.m. § 25 TDDDG.
Willigen Endnutzer nicht in die Speicherung von Cookies auf ihren Endgeräten gegenüber den Webseitenbetreibern ein, die Cookies verwenden, haftet der Anbieter für die mit seiner Unternehmenssoftware begangene Rechtsverletzung. Es entlastet ihn nicht, dass nach seinen Allgemeinen Geschäftsbedingungen die Webseitenbetreiber für die Einholung der Einwilligung verantwortlich sind.
Aus den Gründen:
- Das Landgericht ist zu Recht vom Bestehen eines Verfügungsanspruchs aus § 823 II, 1004 BGB i.V.m. § 25 TTDSG/TDDDG (im Folgenden nur: TTDSG) ausgegangen.
a) § 25 TTDSG ist Schutznorm im Sinne von § 823 II BGB. Gemäß §§ 823 Abs. 2 S. 1, 1004 BGB ist derjenige zur Unterlassung verpflichtet, welcher gegen ein den Schutz eines anderen bezweckenden Gesetzes verstößt, wobei die für den zukunftsgerichteten Unterlassungsanspruch erforderliche Wiederholungsgefahr durch den einmal erfolgten Verstoß indiziert wird. Schutzgesetz im Sinne von § 823 Abs. 2 BGB ist eine Rechtsnorm, die nicht nach ihrer Wirkung, sondern nach ihrem Zweck und Inhalt zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen.
Nach §§ 25 Abs. 1, 2 Abs. 1 TTDSG, 1 TMG ist es jedem Anbieter von elektronischen Informations- und Kommunikationsdiensten in Deutschland verboten, Informationen in der Endeinrichtung eines Endnutzers zu speichern oder auf diese Informationen zuzugreifen, wenn nicht der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Vorschrift stellt die Umsetzung von Art. 2 Ziff. 5 der Richtlinie 2009/136/EG, der sogenannten Cookie-Richtlinie, dar. Gemäß Erwägungsgrund 66 der Richtlinie kann das Speichern von Informationen auf den Endeinrichtungen eines Nutzers von legitimen Gründen wie bei manchen Arten von Cookies bis hin zum unberechtigten Eindringen in die Privatsphäre reichen. Daher sei es von größter Wichtigkeit, dass den Nutzern klare und verständliche Informationen bereitgestellt würden, wenn sie irgendeine Tätigkeit ausführen würden, die zu einer solchen Speicherung führen könnte. Die Vorschrift des § 25 Abs. 1 TTDSG dient folglich nicht nur dem Schutz der Privatsphäre des Endnutzers, sondern auch dem Grundrecht auf informationelle Selbstbestimmung.
b) Entgegen der Auffassung der Verfügungsbeklagten schließt das TTDSG einen Unterlassungsanspruch nach bürgerlichem Recht nicht aus. Der Umstand, dass im vierten Teil des TTDSG Verstöße lediglich mit Straf- und Bußgeldvorschriften sanktioniert sind und nur Zuständigkeiten und Befugnisse des Bundesdatenschutzbeauftragten geregelt werden, schließt privatrechtliche Ansprüche und Rechtsbehelfe nicht aus. Die Cookie-Richtlinie verlangt zu ihrer Umsetzung wirksame, verhältnismäßige und abschreckende Sanktionen. Außerdem verlangt sie, dass die zuständigen nationalen Behörden und andere nationale Stellen mit ausreichenden Befugnissen ausgestattet werden, um Verstöße zu ahnden. Anderweitige gerichtliche Rechtsbehelfe bleiben dadurch unberührt.
- Die Verfügungsbeklagte hat durch das Setzen der Cookies auf den streitgegenständlichen Seiten gegen § 25 Abs. 2 TTDSG verstoßen.
(1) Dass die Cookies der Verfügungsbeklagten ohne Einwilligung der Verfügungsklägerin auf deren Endgerät gespeichert wurden, ist von der Verfügungsklägerin substanziiert vorgetragen und von der Verfügungsbeklagten nicht wirksam bestritten.
Die Verfügungsbeklagte hat die Speicherung der Cookies ohne Einwilligung des Endnutzers adäquat kausal verwirklicht und haftet für diese Rechtsverletzung.
(2) Entgegen der Auffassung der Verfügungsbeklagten ist sie auch Verpflichtete des § 25 TTDSG. Die Haftung ist nicht auf „Anbieter“ beschränkt, wie andere Verpflichtungen des TTDSG (z.B. § 19); § 25 TTDSG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendienstes sein, ebenso aber auch andere wie Zugriffsinteressierte, unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (Erwägungsgrund 66 S. 1 der RL 2009/136/EG – Cookie-Richtlinie), die üblicherweise nicht von Telemedienangeboten ausgehen.
Im Übrigen wäre die Verfügungsbeklagte auch als „Anbieterin“ im Sinne von § 2 Nr. 1 TTDSG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt – wobei der Begriff des „Mitwirkenden“ wohl alle Arten von Hilfeleistung erfassen soll – oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. Abs. 2 Nr. 1 liegt ein funktionales Verständnis zugrunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TTDSG führt, so z.B. auch der Hosting-Provider. Daher ist auch die Verfügungsbeklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch das Setzen der Cookies mitwirkt.
e) Für diese Rechtsverletzung haftet die Verfügungsbeklagte auch als Täterin. Auf die Kriterien für eine Verantwortlichkeit für das Verhalten Dritter kommt es nicht an. Die Frage, ob sich jemand als Täter, Mittäter, Anstifter oder Gehilfe in einer die zivilrechtliche Haftung begründenden Weise an einer deliktischen Handlung eines Dritten beteiligt hat, beurteilt sich nach den im Strafrecht entwickelten Rechtsgrundsätzen (vgl. BGH GRUR 2011, 152, Rn. 30 – Kinderhochstühle im Internet I; GRUR 2011, 1018, Rn. 24 – Automobil-Onlinebörse; Urt. v. 18.06.2014, I ZR 242/12, Rn.13 – Geschäftsführerhaftung). Täter ist derjenige, der die Zuwiderhandlung selbst begeht (§§ 25 I StGB, 830 I 1 BGB). Die Verfügungsbeklagte hat die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer auch ohne deren Einwilligung gespeichert, sobald die entsprechende Anforderung durch den von ihr bereitgestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst wurde.
Darüber hinaus greift sie auf die hinterlegten Informationen zu, indem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lässt, nachdem diese die Informationen über die weiteren Webseitenbesuche des Nutzers auf den Endgeräten ausgelesen haben. Die Verfügungsbeklagte kann nicht damit gehört werden, dass Webseitenbetreiber entgegen den Allgemeinen Geschäftsbedingungen der Verfügungsbeklagten das Setzen von Cookies ohne Zustimmung des Endnutzers veranlasst haben. Die Verfügungsbeklagte hat die Speicherung der Cookies ohne Einwilligung des Endnutzers adäquat kausal verwirklicht.
Es fehlt auch nicht an der Adäquanz. Das Kriterium der Adäquanz dient im Rahmen der Feststellung des Zurechnungszusammenhangs dem Zweck, diejenigen Kausalverläufe auszugrenzen, die dem Verletzer billigerweise nicht mehr zugerechnet werden können. Im Deliktsrecht besteht ein adäquater Zusammenhang zwischen Tatbeitrag und Taterfolg, wenn eine Tatsache im Allgemeinen und nicht nur unter besonders eigenartigen, ganz unwahrscheinlichen und nach regelmäßigem Verlauf der Dinge außer Betracht zu lassenden Umständen zur Herbeiführung eines Erfolges geeignet ist. Dass es sich bei dem Setzen von Cookies ohne Einwilligung des Endnutzers auf den Webseiten Dritter keineswegs um einen besonders eigenartigen, ganz unwahrscheinlichen und nach dem regelmäßigen Verlauf der Dinge außer Betracht zu lassenden Umstand handelt, zeigt sich schon daran, dass sich die Verfügungsbeklagte damit in ihren Allgemeinen Geschäftsbedingungen ausdrücklich und eingehend befasst.
3. Verfügungsgrund und Aufwand der Unterlassungsverpflichtung
Es fehlt auch nicht an einem Verfügungsgrund. Ihm steht insbesondere nicht entgegen, dass die Umsetzung der Unterlassungsverpflichtung für die Verfügungsbeklagte mit erheblichem Aufwand verbunden ist.
a) Die Verfügungsbeklagte weist zu Recht darauf hin, dass sich nach der ständigen Rechtsprechung des Bundesgerichtshofs die Verpflichtung zur Unterlassung einer Handlung, durch die wie im Streitfall ein fortdauernder Störungszustand geschaffen wurde, nicht in bloßem Nichtstun erschöpft. Vielmehr umfasst sie auch die Vornahme möglicher und zumutbarer Handlungen zur Beseitigung der Störungsquelle, wenn allein dadurch dem Unterlassungsgebot Folge geleistet werden kann.
b) Die einstweilige Unterlassungsverfügung ist jedoch nicht mit einer Leistungsverfügung gleichzusetzen, die zu einer endgültigen Vorwegnahme der Hauptsache führt. Eine Unterlassungsverfügung entfaltet Wirkung nur für den Zeitraum, in dem die Verfügung besteht, da der Unterlassungsanspruch täglich neu entsteht. Da dem Unterlassungsgläubiger bei Nichterfüllung des Unterlassungsanspruchs ein endgültiger und nicht mehr nachzuholender Rechtsverlust droht, ist die einstweilige Unterlassungsverfügung im Eilverfahren gerechtfertigt.
c) Die Verfügungsbeklagte hat technische Lösungen zur Einholung der Einwilligung der Nutzer, wie den TCF-Standard (Transparency & Consent Framework), nicht implementiert, was die fortgesetzte Rechtsverletzung verstärkt.
d) Die Verfügungsbeklagte hat durch das Setzen der Cookies ohne Einwilligung der Nutzer zudem eine fortgesetzte und zunehmende Rechtsverletzung begangen, da die Speicherdauer der Cookies 13 Monate beträgt. Während dieser Zeit werden weitere Nutzerdaten gesammelt, die das JavaScript der Verfügungsbeklagten auf anderen besuchten Websites speichert, sobald es im Quellcode der Seiten implementiert ist. Dies bedeutet, dass sich der Schaden für den betroffenen Nutzer mit jeder weiteren Datenspeicherung vergrößert.
Ergebnis
Das OLG Frankfurt hat in seinem Urteil klargestellt, dass „Microsoft Advertising“ für die einwilligungsfreie Speicherung von Cookies auf Webseiten haftet, auch wenn die Verantwortung für die Einholung der Einwilligung vertraglich auf die Webseitenbetreiber übertragen wurde. Die Verpflichtung zur Einholung einer Einwilligung trifft gemäß § 25 TTDSG direkt denjenigen, der die Cookies speichert oder auf sie zugreift. Es ist unerheblich, ob ein Dritter, wie der Webseitenbetreiber, in diesem Fall für die Einholung der Einwilligung zuständig war.
Die Entscheidung unterstreicht die hohe Bedeutung der Einhaltung datenschutzrechtlicher Bestimmungen durch alle Beteiligten, die Cookies setzen oder auf gespeicherte Daten zugreifen. Ein Unterlassungsanspruch des Endnutzers entsteht, wenn die erforderliche Einwilligung fehlt. Verantwortliche, die ihre Pflichten nicht einhalten, können nicht von vertraglichen Regelungen zur Haftung entlastet werden, selbst wenn diese auf den Webseitenbetreiber verweisen.
Zur Vertiefung:
- [Aufsatz] Meta führt bezahlpflichtiges Abonnement ein – PUR-Modelle an der Schnittstelle zwischen Datenschutz, Privatautonomie und unternehmerischer Freiheit – RDV 1/2024
- [Kurzbeitrag] OLG Köln: Rechtswidrige Übermittlung der IP-Adresse in die USA – RDV 1/2024
- [Arbeitspapier] Neue Gesetze zum Datenschutz: Aus TMG wird DDG – aus TTDSG wird TDDDG – DataAgenda-Arbeitspapier 63, 6/2024