Haftung für den Einsatz von Cookies ohne vorherige Einwilligung
Das Oberlandesgericht Frankfurt am Main hat sich in einem Urteil (Az. 6 U 192/23, Urteil vom 25.07.2024) mit der Verantwortlichkeit eines internationalen Technologiekonzerns im Zusammenhang mit der Nutzung von Cookies auf Internetseiten befasst. Im dabei zugrundeliegenden Verfahren stand zur Prüfung, ob und inwieweit Unternehmen für datenschutzwidrige Verarbeitungsvorgänge haften, die im Rahmen der Einbettung ihrer Dienste in Internetauftritte Dritter erfolgen.
Hintergrund des Verfahrens
Sachverhalt
Im Streitfall verwendete ein Betreiber einer Internetseite auf seiner Website eine sogenannte Einbettungslösung eines US-amerikanischen Softwareunternehmens, wodurch technisch notwendige und nicht notwendige Cookies automatisiert gesetzt wurden. Für den Einsatz dieser Cookies lag im konkreten Fall weder ein wirksames Einwilligungsmanagement noch eine erteilte Zustimmung durch die Nutzer vor. Eine Organisation, die die Interessen von Verbraucherinnen und Verbrauchern vertritt, erhob daraufhin Klage wegen Verstoßes gegen das geltende Datenschutzrecht sowie gegen das Wettbewerbsrecht.
Beschwerdeweg und bisheriges Verfahren
Das Landgericht hatte in erster Instanz den Standpunkt eingenommen, die Haftung für rechtswidriges Cookie-Tracking sei im Wesentlichen der eingebundenen Softwarelösung zuzurechnen, nicht jedoch dem Unternehmen, das die Lösung auf seiner Seite einsetzt. Im Berufungsverfahren prüfte das OLG, ob auch dem Anbieter der Softwaredienstleistung, hier die Microsoft Ireland Operations Ltd., eine unmittelbare Mitverantwortung im Sinne der Datenschutzgrundverordnung (DSGVO) und des Wettbewerbsrechts zukommt.
Kernaussagen des Urteils
Anbieter trägt Mitverantwortung als (gemeinsam) Verantwortlicher
Nach Auffassung des Oberlandesgerichts sieht die maßgebliche europarechtliche Regelung – konkret Artikel 26 Abs. 1 DSGVO – eine gemeinsame Verantwortlichkeit zwischen Dienstanbieter und Webseitenbetreiber für die durch Cookies erfolgende Verarbeitung personenbezogener Daten vor. Maßgeblich hierfür sei, dass beide Seiten Einfluss auf die Datenverarbeitungsvorgänge nehmen könnten. Das Gericht stellte in diesem Kontext fest, dass die beklagte Softwaresparte von Microsoft die wesentlichen Vorgaben für die Cookie-Implementierung und etwaige Datenübermittlungen an Dritte selbstbestimmt aufgestellt hatte.
Pflicht zur aktiven Einholung einer Einwilligung
Darüber hinaus bekräftigte die Entscheidung, dass für Cookies, die nicht für den technischen Betrieb der Seite erforderlich sind, stets eine vorab erteilte informierte Zustimmung der Nutzer einzuholen ist. Fehle es an einem wirksamen Einwilligungsmanagement, liege ein Verstoß gegen § 25 TTDSG vor.
Relevanz für das Wettbewerbsrecht
Neben datenschutzrechtlichen Konsequenzen sieht das Urteil auch in wettbewerbsrechtlicher Hinsicht eine Verantwortlichkeit des Dienstanbieters. Nutzerinnen und Nutzer würden durch nicht eingeholte Einwilligungen in der Ausgestaltung ihrer Privatsphäre benachteiligt. Dies eröffne die Möglichkeit, Verstöße mittels wettbewerbsrechtlicher Schritte, einschließlich Unterlassungsklagen, durchzusetzen.
Fazit und Ausblick
Das Urteil des OLG Frankfurt am Main hat die Anforderungen für den datenschutzkonformen Einsatz von Cookies weiter konkretisiert und unterstreicht die gemeinsame Verantwortung von Dienstanbietern und Betreibern bei der Einhaltung der DSGVO. Das Verfahren ist rechtskräftig abgeschlossen; soweit bekannt, ist eine Revision zum Bundesgerichtshof nicht zugelassen.
Für Unternehmen sowie für Betreiber von digitalen Diensten werden die Verpflichtungen zur Einholung ausdrücklicher Einwilligungen und zur sorgfältigen Gestaltung von Einbindungslösungen damit weiter verschärft. Bei weitergehenden Fragestellungen im Bereich des Datenschutzrechts empfiehlt sich eine fundierte rechtliche Bewertung der individuellen Ausgangslage. Weitere Informationen und die Möglichkeit zur Rechtsberatung im Datenschutz finden Sie auf der Website von MTR Legal Rechtsanwälte.
