Schmerzensgeld wegen Cookies ohne Einwilligung – Haftung auch für Drittanbieter

Schmerzensgeld wegen Cookies ohne Einwilligung ist kein theoretisches Risiko mehr, sondern eine reale Haftungsfolge. Mit Urteil vom 11.12.2025 (OLG Frankfurt a. M., 6 U 81/23) hat das Oberlandesgericht klargestellt, dass nicht nur Websitebetreiber, sondern auch Cookie- und Tracking-Drittanbieter für das Setzen von Cookies ohne wirksame Einwilligung haften können.

Das Gericht sprach zwar „nur“ 100 Euro immateriellen Schadensersatz zu, bestätigte jedoch ausdrücklich den Unterlassungsanspruch und legte die Verantwortlichkeit nach § 25 TDDDG weit aus. Entscheidend ist nicht die vertragliche Rolle, sondern das tatsächliche technische Mitwirken an der Cookie-Setzung.

Kernaussage: Wer Cookies ohne Einwilligung setzt oder deren Setzung technisch ermöglicht, riskiert Unterlassung und Schmerzensgeld – auch als Drittanbieter im Hintergrund.

Warum das Urteil des OLG Frankfurt Websitebetreiber und Drittanbieter betrifft

Schmerzensgeld wegen Cookies ohne Einwilligung betrifft nicht mehr nur die „Front“ eines Webauftritts, sondern die gesamte technische Wertschöpfungskette. Cookies sind damit kein bloßes Technikdetail, sondern ein Compliance- und Haftungsrisiko – insbesondere bei Tracking-, Analyse- und Adtech-Setups.

Mit Urteil vom 11.12.2025 (OLG Frankfurt a. M., 6 U 81/23) hat der 6. Zivilsenat eine praxisrelevante Weichenstellung getroffen: Nicht nur der Websitebetreiber, sondern auch der Drittanbieter, der Cookies setzt oder deren Setzung technisch veranlasst, kann als Normadressat in Anspruch genommen werden. Die „Hintermann“-Position schützt nicht automatisch vor Haftung.

Der Fall ist technisch typisch, rechtlich aber scharf: Ein Nutzer dokumentierte den Netzwerkverkehr (HAR-Datei) und machte geltend, dass ein Analyseunternehmen Cookies ohne Einwilligung bzw. Identifier auf seinen Endgeräten gesetzt und ausgelesen habe. Das Landgericht sprach zunächst 1.500 Euro immateriellen Schadensersatz zu; das OLG reduzierte auf 100 Euro, bestätigte aber den Unterlassungsanspruch und stellte klar: Einwilligungs-Compliance muss technisch und prozessual beherrscht werden.

Für den Markt ist das ein deutliches Signal: Wer Tracking- oder Analyse-Technologie über Partner-Websites ausspielt, muss nicht nur Verträge und AGB sauber gestalten, sondern den Einwilligungsnachweis und die technische Sperre bis zum Consent sicherstellen – besonders bei Third-Party-Cookies, Consent-Frameworks (z. B. TCF) und serverseitigem Tagging.

Sachverhalt und Prozessverlauf: LG Frankfurt zu OLG Frankfurt

Der Fall in Kürze: Drittanbieter-Cookies im Partner-Setup

Der Fall vor dem OLG Frankfurt betrifft eine in der Praxis sehr häufige Konstellation: Ein Technologie- bzw. Analyseunternehmen stellt Code/Tools bereit, die auf Websites Dritter eingebunden werden. Beim Besuch dieser Websites werden dann Drittanbieter-Cookies bzw. Identifier auf dem Endgerät des Nutzers gespeichert und später ausgelesen – typischerweise für Analyse, Reichweitenmessung oder werbliche Zwecke.

Beweissicherung durch HAR-Datei und Privatgutachten

Ein Seitenbesucher (Kläger) rief am 22.03.2022 mehrere Websites auf. Er vermutete, dass dabei ein bestimmter Drittanbieter Cookies ohne Einwilligung setze. Zur Beweissicherung ließ er den Netzwerkverkehr protokollieren (HAR-Datei) und stützte seinen Vortrag zusätzlich auf ein Privatgutachten.

Anschließend mahnte er den Drittanbieter ab und verlangte unter anderem:

• Unterlassung: keine Cookies/Identifier ohne informierte Einwilligung auf seinen Endgeräten
• Auskunft: (im Hintergrund ebenfalls Thema)
• immateriellen Schadensersatz: wegen Eingriffs in seine Privatsphäre

Streitig war, ob und in welchem Umfang tatsächlich Cookies gesetzt wurden und ob die Verarbeitung ausschließlich der Reichweitenmessung oder auch der zielgerichteten Werbung diente.

Prozessgeschichte: 1.500 Euro beim LG, 100 Euro beim OLG

1. Instanz: LG Frankfurt a. M. (27.04.2023 – 2-3 O 357/22)

Das Landgericht verurteilte das Unternehmen zur Unterlassung und zur Zahlung von 1.500 Euro immateriellem Schadensersatz.

2. Instanz: OLG Frankfurt a. M. (11.12.2025 – 6 U 81/23)

Das OLG änderte teilweise ab:

• Unterlassung blieb im Kern bestehen (mit klarstellender Tenorierung).
• Schadensersatz wurde auf 100 Euro reduziert.
• Revision wurde zugelassen (grundsätzliche Bedeutung der Haftungsfrage).

Haftung für Cookies ohne Einwilligung nach § 25 TDDDG

§ 25 TDDDG richtet sich nicht nur an Websitebetreiber

Im Mittelpunkt der Entscheidung steht § 25 TDDDG (wortgleich aus § 25 TTDSG übernommen). Die Norm verbietet grundsätzlich, Informationen auf Endeinrichtungen zu speichern oder auszulesen, wenn keine informierte Einwilligung vorliegt. Maßgeblich ist nicht die formale Rolle, sondern das tatsächliche technische Handeln.

Das OLG Frankfurt stellt klar: Normadressat ist nicht nur der Websitebetreiber. Auch ein Drittunternehmen kann haften, wenn es

• die technische Infrastruktur bereitstellt,
• durch bereitgestellten Code die Cookie-Setzung auslöst oder ermöglicht oder
• auf bereits gespeicherte Informationen zugreift.

Vertragliche Consent-Pflichten entlasten Drittanbieter nicht

Ein zentrales Argument der Beklagten war, dass vertraglich festgelegt sei, Cookies dürften nur nach Einwilligung gesetzt werden. Das OLG weist dieses Argument zurück. Entscheidend ist nicht, was vereinbart wurde, sondern was tatsächlich passiert.

Wer Cookies faktisch ohne Einwilligung setzt oder auslesen lässt, kann als Täter haften – auch dann, wenn AGB oder Partnerverträge formal eine andere Risikoverteilung vorsehen.

Unterlassungsanspruch nach §§ 823 Abs. 2, 1004 BGB i.V.m § 25 TDDDG

Das OLG ordnet § 25 TDDDG als Schutzgesetz im Sinne von § 823 Abs. 2 BGB ein. In Verbindung mit § 1004 BGB analog ergibt sich ein privatrechtlicher Unterlassungsanspruch.

Die Wiederholungsgefahr folgt regelmäßig bereits aus dem festgestellten Erstverstoß. § 25 TDDDG ist damit nicht nur bußgeldbewehrt, sondern auch zivilrechtlich durchsetzbar.

Beweislast: Einwilligung muss der Cookie-Setzer beweisen

Besonders praxisrelevant ist die Beweislastverteilung. Das OLG stuft die Einwilligung als für den Cookie-Setzer günstige Tatsache ein. Konsequenz: Der Cookie-Setzer muss darlegen und beweisen, dass eine wirksame Einwilligung vorlag.

Legt der Nutzer schlüssig dar, dass Cookies ohne Einwilligung gesetzt wurden – etwa durch HAR-Dateien oder Browser-Logs –, genügt das, um den Anbieter in die Pflicht zu nehmen.

Schmerzensgeld wegen Cookies ohne Einwilligung: warum 100 Euro

Das Gericht erkennt ausdrücklich an, dass Schmerzensgeld wegen Cookies ohne Einwilligung möglich ist. Im konkreten Fall hielt es die Beeinträchtigung jedoch für gering und reduzierte den Betrag auf 100 Euro.

Ausschlaggebend waren unter anderem die Nutzung pseudonymisierter Daten, die bewusste Beweissicherung durch den Kläger und die Möglichkeit, eine weitere Zuordnung durch Cookie-Löschung zu verhindern. Entscheidend: Der Anspruch dem Grunde nach wurde bestätigt.

Praktische Folgen des Urteils: Handlungspflichten für Websitebetreiber und Drittanbieter

Auswirkungen für Websitebetreiber

Für Websitebetreiber bestätigt das Urteil des OLG Frankfurt bekannte Grundsätze, verschärft sie aber in der praktischen Durchsetzung. Schmerzensgeld wegen Cookies ohne Einwilligung kann auch dann drohen, wenn ein Drittanbieter-Cookie ohne wirksamen Consent gesetzt wird.

Websitebetreiber können sich nicht darauf verlassen, dass eingebundene Tools „schon datenschutzkonform“ arbeiten. § 25 TDDDG kennt keine Interessenabwägung. Ohne Einwilligung ist der Zugriff auf Endgeräte grundsätzlich unzulässig.

Für die Praxis bedeutet das:

• Cookies müssen technisch blockiert sein, bis eine Einwilligung vorliegt.
• Reine Banner-Hinweise oder „Weiternutzung“-Modelle reichen nicht aus.
• Ablehnen muss genauso einfach sein wie Zustimmen.

Auswirkungen für Cookie- und Analyse-Drittanbieter

Die eigentliche Sprengkraft der Entscheidung liegt bei den Drittanbietern. Das OLG macht deutlich: Wer Cookies setzt oder deren Setzung technisch veranlasst, kann nicht hinter dem Websitebetreiber „verschwinden“.

Zentrale Aussagen des Gerichts:

• Drittanbieter sind Normadressaten des § 25 TDDDG.
• Sie können als Täter haften, auch wenn die Einholung der Einwilligung vertraglich dem Websitebetreiber zugewiesen ist.
• Vertragliche Zusicherungen ersetzen keinen funktionierenden Einwilligungsnachweis.

Technische und organisatorische Mindestanforderungen

Aus dem Urteil lassen sich konkrete Anforderungen ableiten:

• Cookies dürfen technisch nicht ausgelöst werden, bevor ein valides Einwilligungssignal vorliegt.
• Consent-Signale müssen empfangen, verarbeitet und dokumentiert werden können.
• Es muss nachvollziehbar sein, wann, zu welchem Zweck und auf welcher Grundlage ein Cookie gesetzt wurde.
• „Fail-safe“-Prinzip: Im Zweifel kein Cookie.

Gerade bei Setups mit TCF oder serverseitigem Tagging reicht es nicht, die Nutzung vertraglich zu verlangen. Entscheidend ist, ob die technische Implementierung eine Cookie-Setzung ohne Consent faktisch ausschließt.

Beweisführung und Dokumentation

Das Urteil zeigt deutlich, dass Nutzer Cookie-Setzungen technisch nachweisen können. Unternehmen sollten daher davon ausgehen, dass:

• Cookie-Setzungen im Streitfall rekonstruierbar sind,
• ein pauschales Bestreiten nicht genügt,
• fehlende Dokumentation zulasten des Cookie-Setzers geht.

Eine saubere Dokumentation der Einwilligungsflüsse ist damit nicht nur datenschutzrechtlich, sondern auch haftungsrechtlich essenziell.

Reichweitenmessung und Werbung: Einwilligung bleibt Pflicht

Das OLG stellt klar, dass § 25 TDDDG nicht nach Zwecken differenziert. Ob Cookies für Werbung, Tracking oder Reichweitenmessung eingesetzt werden, ist für die Einwilligungspflicht unerheblich.

Die verbreitete Annahme, Reichweitenmessung sei „harmlos“ und deshalb einwilligungsfrei, wird durch die Entscheidung ausdrücklich relativiert. Maßgeblich ist allein, ob Informationen auf dem Endgerät gespeichert oder ausgelesen werden.

Schmerzensgeld wegen Cookies ohne Einwilligung: Voraussetzungen und Höhe

Was bedeutet „Schmerzensgeld“ bei Cookies rechtlich?

Bei Schmerzensgeld wegen Cookies ohne Einwilligung geht es juristisch nicht um klassisches Schmerzensgeld wie nach einem Unfall, sondern um immateriellen Schadensersatz. Dieser soll Beeinträchtigungen ausgleichen, die nicht unmittelbar in Geld messbar sind, etwa Kontrollverlust über eigene Daten oder das Gefühl, überwacht zu werden. Anspruchsgrundlage kann insbesondere Art. 82 DSGVO sein, ergänzt durch deliktische Ansprüche.

Wann kann eine Cookie-Setzung einen immateriellen Schaden darstellen?

Cookies können Nutzer über verschiedene Websites hinweg wiedererkennbar machen und ihr Verhalten auswerten. Auch wenn es sich nur um pseudonymisierte Daten handelt, kann bereits das Wissen um eine heimliche Datenverarbeitung eine relevante Beeinträchtigung darstellen. Das OLG Frankfurt stellt dabei besonders auf das Gefühl des Überwachtwerdens ab.

Warum hat das OLG Frankfurt den Betrag auf 100 Euro reduziert?

Das Gericht hielt die Beeinträchtigung im konkreten Fall für gering. Ausschlaggebend waren unter anderem:

• die bewusste Beweissicherung durch den Kläger,
• die Verarbeitung überwiegend pseudonymisierter Daten,
• die Möglichkeit, eine weitere Zuordnung durch Cookie-Löschung zu verhindern.

Der Anspruch dem Grunde nach wurde jedoch ausdrücklich bestätigt.

Gibt es Fälle mit höherem Schmerzensgeld?

Ja. Das Urteil macht deutlich, dass die Höhe stets vom Einzelfall abhängt. Höhere Beträge kommen etwa in Betracht, wenn über längere Zeit umfassend getrackt wird, Nutzerprofile entstehen oder Daten an Dritte weitergegeben werden. Auch sensible Daten oder eine besonders intensive Überwachung können die Entschädigung erhöhen.

Was Betroffene aus dem Urteil mitnehmen sollten

• Schmerzensgeld wegen Cookies ohne Einwilligung ist grundsätzlich möglich.
• Technische Beweise sind entscheidend.
• Die Intensität der Beeinträchtigung beeinflusst die Höhe maßgeblich.
• „Testfälle“ können den Anspruch begründen, aber die Höhe mindern.

Checkliste: Was Unternehmen nach dem OLG-Urteil zu Cookies jetzt tun müssen

Checkliste für Websitebetreiber

Websitebetreiber bleiben erste Ansprechpartner für Nutzerinnen und Nutzer. Das Urteil zeigt, dass Schmerzensgeld wegen Cookies ohne Einwilligung auch dann drohen kann, wenn Drittanbieter-Cookies ohne wirksamen Consent gesetzt werden.

Technik & Umsetzung

• Cookies und vergleichbare Technologien müssen standardmäßig blockiert sein.
• Eine Aktivierung darf erst nach ausdrücklicher Einwilligung erfolgen.
• „Weitersurfen“ oder bloße Hinweise genügen nicht.

Einwilligung & Information

• Klare Information über Cookies, Zwecke und beteiligte Drittanbieter.
• Einwilligung muss freiwillig sein (keine Zwangskopplung).
• Ablehnen muss genauso einfach sein wie Zustimmen.

Kontrolle & Dokumentation

• Regelmäßige Tests, ob Drittanbieter-Cookies erst nach Consent aktiv werden.
• Überprüfung mit verschiedenen Browsern und Endgeräten.
• Dokumentation der eingesetzten Tools und Zwecke.

Checkliste für Cookie-, Tracking- und Analyse-Drittanbieter

Für Drittanbieter verschiebt das Urteil die Verantwortung deutlich nach vorne. Wer Cookies setzt oder deren Setzung technisch veranlasst, trägt ein eigenes Haftungsrisiko.

Technische Absicherung

• Eigene Cookies dürfen technisch nicht gesetzt werden, solange kein gültiges Einwilligungssignal vorliegt.
• Systeme müssen so gestaltet sein, dass Consent zwingende Voraussetzung ist.
• „Fail-safe“-Logik: Im Zweifel kein Cookie.

Einwilligungsnachweis

• Möglichkeit, Consent-Signale (z. B. aus CMP/TCF) zu empfangen und zu verarbeiten.
• Klare Zuordnung: Wann wurde welches Cookie aufgrund welcher Einwilligung gesetzt?
• Protokollierung für den Streitfall.

Partner-Setups

• Technische Vorgaben für Websitebetreiber, nicht nur rechtliche Klauseln.
• Regelmäßige Stichproben oder automatisierte Prüfungen.
• Reaktionen bei fehlerhaften Integrationen (z. B. Abschaltung, Warnmechanismen).

Gemeinsame Learnings aus dem Urteil

• § 25 TDDDG ist strikt: Ohne Einwilligung kein Zugriff auf Endgeräte.
• Verantwortung folgt der tatsächlichen technischen Rolle.
• Dokumentation ist haftungsentscheidend.
• Auch geringe Beträge zeigen: Schmerzensgeld wegen Cookies ohne Einwilligung ist real und durchsetzbar.

Fazit und Ausblick: Was das Urteil langfristig für Cookies bedeutet

Das Urteil des OLG Frankfurt vom 11.12.2025 (6 U 81/23) markiert einen wichtigen Wendepunkt in der rechtlichen Bewertung von Cookies und vergleichbaren Tracking-Technologien. Schmerzensgeld wegen Cookies ohne Einwilligung ist nicht nur theoretisch möglich, sondern zivilrechtlich durchsetzbar – einschließlich Unterlassungsansprüchen.

Besonders bedeutsam ist die Klarstellung zur Haftung: § 25 TDDDG verpflichtet nicht nur Websitebetreiber. Auch Unternehmen, die im Hintergrund technische Lösungen bereitstellen und dadurch das Speichern oder Auslesen von Informationen auf Endgeräten ermöglichen, können haftbar sein. Entscheidend ist nicht die vertragliche Rollenverteilung, sondern das tatsächliche technische Mitwirken.

Für zukünftige Streitfälle ist zu erwarten, dass Gerichte noch genauer auf Dauer, Intensität und Reichweite der Datenverarbeitung schauen werden. Längere Tracking-Zeiträume, umfassende Nutzerprofile oder eine Weitergabe an Dritte können zu deutlich höheren Beträgen führen als die hier zugesprochenen 100 Euro.

Da das OLG die Revision zugelassen hat, bleibt abzuwarten, ob der Bundesgerichtshof die Haftung von Cookie-Drittanbietern weiter konkretisieren wird. Bis dahin ist das Urteil jedoch ein starkes Argument für Betroffene – und ein deutlicher Warnhinweis für Unternehmen, Cookie- und Consent-Setups technisch sauber abzusichern.

Fragen zu Schmerzensgeld wegen Cookies ohne Einwilligung?

Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht unterstützen Sie dabei, Cookie-Consent und Tracking rechtskonform nach § 25 TDDDG umzusetzen und Haftungsrisiken bei Cookies ohne Einwilligung zu vermeiden – jetzt Beratung im IT- und Datenschutzrecht anfordern oder Kontakt mit uns aufnehmen!