Das OLG Frankfurt verschärft mit seinem aktuellen Urteil die Spielregeln für den rechtmäßigen Einsatz von Cookies erheblich. Verträge reichen nicht mehr aus, technische Kontrolle wird zur Pflicht und selbst ein bloßes „Gefühl des Überwachtwerdens“ kann unter Umständen Schadensersatz auslösen. Ein Weckruf für Unternehmen: Die Entscheidung erhöht das Haftungsrisiko spürbar und macht deutlich, dass die datenschutzkonforme Verwendung von Cookies kein formaler Pflichtpunkt, sondern ein zentrales Risikothema ist.
Ob es sich um Tracking, Analyse-Tools oder Marketing-Cookies handelt, für viele Unternehmen sind sie unverzichtbar. Doch das Urteil des OLG Frankfurt vom 11.12.2025 (Az. 6 U 81/23) zeigt deutlich, dass sich die Haftungsrisiken beim Einsatz von Cookies spürbar verschärft haben. Denn nicht nur Websitebetreiber, sondern auch Drittanbieter von Tracking- und Analysetools können unter bestimmten Voraussetzungen direkt in Anspruch genommen werden.
Das Urteil
Bei dem Urteil geht es um ein Technologieunternehmen, das über zahlreiche Websites Cookies einsetzte. Vertraglich war geregelt, dass die Websitebetreiber die erforderlichen Einwilligungen einholen sollten.
Doch das OLG Frankfurt stellt klar, dass eine rein vertragliche Verpflichtung nicht genügt, um sich der Verantwortung zu entziehen. Wer technisch den Zugriff auf das Endgerät des Nutzers ermöglicht oder auslöst, trägt dafür selbst (ggf. neben den Websitebetreiber) die rechtliche Verantwortung. § 25 Abs. 1 TDDDG schützt unmittelbar die Privatsphäre des Nutzers und stellt damit ein echtes Schutzgesetz dar. Somit sind Drittanbieter von Tracking- oder Analysetools eigenständige Adressaten der Vorschrift. Eine bloße „Weitergabe der Verantwortung“ an den Websitebetreiber durch vertragliche Regelungen ist nicht möglich. Zudem kann selbst ein bloßes Gefühl des Überwachtwerdens bereits einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO begründen.
Auswirkungen für Unternehmen
Die Entscheidung rückt die technische Implementierung von Tracking-Lösungen in den Mittelpunkt der rechtlichen Bewertung. Eine parallele Haftung der Websitebetreiber und der Drittanbieter ist möglich.
Unternehmen müssen daher sicherstellen, dass Cookies tatsächlich erst nach wirksamer Einwilligung gesetzt werden und dass entsprechende Prozesse dokumentiert sowie technisch belastbar ausgestaltet sind. Andernfalls drohen Unterlassungsansprüche und Schadensersatzforderungen. Insbesondere dann, wenn Einwilligungsmängel systematisch auftreten.
Das Urteil zeigt deutlich: Der rechtmäßige Einsatz von Cookies ist kein bloßer Formalismus, sondern ein zentrales Haftungs- und Risikothema. Entscheidend ist nicht, wer sich vertraglich verpflichtet hat, sondern wer technisch handelt. Somit wird deutlich, dass Unternehmen ihre Tracking- und Einwilligungsprozesse daher zukünftig sorgfältig überprüfen sollten, um rechtliche und wirtschaftliche Risiken wirksam zu vermeiden bzw. zu minimieren.