Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies

Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
Stand: 08.08.2024 8 min

Der Einsatz vieler Cookies ist ohne Einwilligung der betroffenen Nutzer unzulässig und kann Geldbußen, Abmahnungen und Schadensersatzforderungen zur Folge haben. Bislang schienen hierfür nur die Website-Betreiber verantwortlich zu sein. Nach einer auf den ersten Blick überraschenden Gerichtsentscheidung können aber auch andere Unternehmen haften, die mit den durch unzulässige Cookies erhobenen Daten in Berührung kommen. Mehr dazu in diesem Beitrag.

1) Voraussetzungen für Cookies und ähnliche Technologien

Was viele nicht wissen: der Einsatz von Cookies und ähnlichen Technologien zur Auswertung des Verhaltens von Website-Besuchern und dessen Zulässigkeit bemisst sich im Ausgangspunkt nicht nach der EU-Datenschutz Grundverordnung (DSGVO). Anwendung findet vielmehr ein eigener Rechtsrahmen, den Website-Betreiber beachten müssen.

Auch die Zulässigkeit von Cookies richtet sich aber nach EU-Recht. In Deutschland sind die rechtlichen Vorgaben für den Einsatz von Cookies in § 25 des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz - TDDDG) umgesetzt.

1) Einwilligungspflicht für nicht-notwendige Cookies

Nach § 25 Abs. 1 TDDDG sind die Speicherung von Informationen in der Endeinrichtung (Smartphone, Tablet, PC, etc.) des Nutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf Grundlage von klaren und umfassenden Informationen hierin eingewilligt hat. Dabei entsprechen die Anforderungen an den Inhalt und die Qualität der Informationen den Vorgaben an Datenschutzerklärungen nach der DSGVO.

Konkret bedeutet dies, dass viele Cookies oder Technologien, die ähnlich funktionieren und ähnliche Auswirkungen haben wie Cookies, bereits nur dann auf Smartphones, Tablets, PCs, etc. gespeichert werden dürfen, wenn die Nutzer dieser Endgeräte darin ausdrücklich eingewilligt haben. Dabei werden die Einwilligungen häufig via sog. Cookie-Consent-Tools ("CCT") eingeholt. Dasselbe gilt für das Auslesen der Informationen, die die Cookies nach deren Implementierung erhoben und gespeichert haben. Auch hierfür müssen die Nutzer ausdrücklich eingewilligt haben.

LegalScan Pro – Ihr Warnsystem für produktspezifische Rechtspflichten

2) Keine Einwilligung bei technisch notwendigen Cookies

Von diesem Grundsatz der Einwilligungpflichtigkeit von Cookies macht § 25 TDDDG allerdings zwei Ausnahmen.

Zum einen ist die Einwilligung nicht erforderlich, wenn

  • der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder
  • der alleinige Zweck des Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen, die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist.

Hierbei handelt es sich jeweils um technische Notwendigkeiten der Signalübertragung, die nicht von einer Einwilligung abhängig sein soll. Andernfalls würde die Kommunikation schon im Kleinen häufig nicht funktionieren.

Zum anderen ist die Einwilligung der Nutzer zudem auch dann nicht erforderlich, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann. Dies ist etwas hölzern formuliert, meint aber bloß, dass bei aus technischer Sicht notwendigen Cookies keine Einwilligung erforderlich ist.

In der Praxis streitet man sich gelegentlich darüber, welche Cookies oder ähnlichen Technologien nicht technisch notwendig in diesem Sinne sind. Allgemein anerkannt ist, dass zum Beispiel das Cookie, das für das Speichern von Produkten im digitalen Warenkorb eines Onlineshops als technisch notwendig angesehen werden. Ohne diese Speicherung würde der Online-Shop nicht wirklich nutzbar sein, da die Kunden ansonsten letztlich keine Bestellung auf den Weg bringen könnten.

3) Sanktionen bei fehlender Einwilligung

Werden einwilligungspflichtige Cookies oder ähnliche Technologien auf Webseiten eingesetzt, ohne dass der jeweilige Nutzer der Website in deren Einsatz ausdrücklich im Vorhinein eingewilligt hat, liegt ein Gesetzesverstoß vor, der verschiedene Konsequenzen haben kann:

  • Geldbußen: Nach § 28 Abs. 1 Nr. 13 TDDDG handelt ordnungswidrig, wer vorsätzlich oder fahrlässig einwilligungpflichtige Cookies oder ähnliche Technologien einsetzt oder Informationen durch diese aus Endgeräten ausliest, ohne dass zu diesem Zeitpunkt die Einwilligung des jeweiligen Nutzers vorliegt. Dies kann mit Geldbußen von bis zu EUR 300.000 geahnt werden.
  • Abmahnungen durch Mitbewerber und Verbände: Aktuell muss zudem davon ausgegangen werden, dass Verstöße gegen diese Vorschriften auch wettbewerbsrechtlich abgemahnt werden können. Mitbewerber und Verbände können bei Verstößen somit kostenpflichtige Abmahnungen verschicken und die Abgabe von Unterlassungserklärungen fordern.
  • Unterlassung und Schadensersatzforderung durch Privatleute: Daneben ist auch denkbar - und kommt in der Praxis auch gelegentlich vor - dass Privatleute Unterlassungs- und Schadensersatzansprüche wegen Verletzung von Persönlichkeitsrechten geltend machen. Gerichte haben Privatleuten in solchen Fällen teilweise schon Schmerzensgeldansprüche in geringen Höhen zugesprochen.

2) Haftung des Software-Anbieters Microsoft

1) Der Sachverhalt des Falles

In einem Fall des OLG Frankfurt (Entscheidung vom 27. Juni 2024 - Az. 6 U 192/23) wehrte sich die Klägerin gegen den Einsatz von einwilligungspflichtigen Cookies durch ein Unternehmen der Microsoft-Gruppe, ohne dass hierfür eine wirksame Einwilligung vorlag.

Das Microsoft-Unternehmen ermöglicht mit dem Dienst Microsoft Advertising Betreibern von Websites, Werbebanner in den Suchergebnissen des Suchdienstes Microsoft Search Network zu schalten und zugleich Daten zu erheben, wie erfolgreich die dadurch geschalteten Werbekampagnen sind. Durch diesen Dienst können Website-Betreiber analysieren, welche Art von Nutzern mit welcher Art von Nutzung ihre Website besuchen. Auf Grundlage dieser Informationen kann dann auch gezieltere Werbung passgenau für die jeweilige Zielgruppe ausgespielt werden.

Die Informationen über das Nutzungsverhalten der Website-Besucher werden durch sog. Cookies gesammelt, also kleine Textdateien, die hierzu auf den Endgeräten der Website-Besucher gespeichert werden. Im konkreten Fall lief dies so ab, dass das Microsoft-Unternehmen den Website-Betreibern einen Programmcode bereitgestellt haben, den diese gemäß der Handlungsanleitung des Microsoft-Dienstes in ihrer Website eingebaut haben. Dieser Programmcode sorgt dafür, dass direkt bei jedem Aufruf der Website ein Cookie auf dem Endgerät des Website-Besuchers gespeichert wird bzw. schon zuvor gespeicherte Cookies ausgelesen werden. Dabei setzt nicht das Microsoft-Unternehmen den Programmcode in die Website ein, sondern der jeweilige Website-Betreiber aufgrund der Nutzungsvereinbarung, die er hinsichtlich des Microsoft-Dienstes mit Microsoft getroffen hat. In der Nutzungsvereinbarung verpflichtet das Microsoft-Unternehmen die Website-Betreiber, die für den Einsatz des Cookies erforderlichen Einwilligungen von den Website-Besuchern jeweils einzuholen. Ob die Einwilligungen tatsächlich eingeholt werden, scheint das Microsoft-Unternehmen dann allerdings nicht oder nicht durchweg zu überprüfen.

Nach dem Besuch von betreffenden Websites stellte die Klägerin nach eigener Behauptung fest, dass ohne ihre Einwilligung die Cookies gesetzt worden waren, die letztlich auch dem Microsoft-Unternehmen die Erfassung der Informationen ihres Nutzungsverhalten ermöglichten. Daraufhin forderte die Klägerin das Microsoft-Unternehmen zur Unterlassung auf. Im Ergebnis kam es dann zu einer gerichtlichen Auseinandersetzung.

2) Die Entscheidung des Gerichts

Die Entscheidung des Gerichts liegt aktuell nur als Pressemitteilung vor, die das Gericht veröffentlicht hat. Der Volltext der Entscheidung samt den vollständigen Erwägungen des Gerichts sind hingegen noch nicht veröffentlicht worden.

Im Ergebnis bejahte das Gericht den Unterlassungsanspruch der Klägerin. Durch Setzen von Cookies habe die Beklagte gegen die gesetzlichen Vorgaben verstoßen. Aus Sicht des Gerichts hat die Klägerin hinreichend substantiiert vorgetragen, dass die entsprechenden Cookies auf ihren Geräten beim Besuch der betreffenden Webseiten ohne ihre Einwilligung gespeichert worden sind. Nach dem Gesetz sei aber jeder dazu verpflichtet, den Zugriff auf solche Endgeräte ohne die Einwilligung des Nutzers zu unterlassen. Nach Ansicht des Gerichts gilt diese Verpflichtung für jeden Akteur, der solche Daten auf dem Endgerät speichert oder auf dieses zugreift, um Informationen auszulesen.

Aus Sicht des Gerichts hafte das Microsoft-Unternehmen deshalb auch als Täterin für die Rechtsverletzung, da das Unternehmen die Speicherung der Cookies ohne Einwilligung adäquat kausal verwirklicht habe. Das Unternehmen speichere die Informationen in Form von Cookies auf den Endgeräten der Nutzer, sobald die entsprechende Aufforderung durch den von ihm bereitgestellten Programmcode ausgelöst werde. Das Unternehmen greife zudem auf die auf den Endgeräten hinterlegten Informationen zu, nachdem die Website-Betreiber die Informationen ausgelesen haben.

Das Gericht lässt es nicht zu Gunsten von Microsoft genügen, dass das Microsoft-Unternehmen sich auf die Einhaltung der Verpflichtung der Website-Betreiber gemäß der Nutzungsvereinbarung verlässt. Dies entlastet das Unternehmen also nicht. Vielmehr bleibe das Unternehmen darlegungs- und beweisbelastet für den Umstand, dass die Nutzer vor der Speicherung von Cookies auf ihren Endgeräten eingewilligt haben. Mittels technischer und organisatorischer Mittel sei es auch in rechtlich zulässiger Weise möglich, sicherzustellen, dass die Cookies nur bei Vorliegen von Einwilligungen gesetzt werden.

3) Umfang der Verantwortlichkeit und Haftung

Die Entscheidung des Gerichts scheint auf den ersten Blick überraschend, weil nicht das Microsoft-Unternehmen, sondern der einzelne Website-Betreiber den Programmcode in seine Website übernimmt, und eigentlich dieser dadurch dafür sorgt, dass beim Besuch der Website die Cookies gesetzt werden.

Allerdings genügt es aus Sicht des Gerichts für die Verantwortlichkeit des Microsoft-Unternehmens, dass am Ende die Informationen aus den Cookies automatisiert auch an das Microsoft-Unternehmen übermittelt werden. Dadurch liest das Unternehmen Informationen aus den Endgeräten der Website-Besucher aus, ohne dass in einzelnen Fällen auch eine Einwilligung vorliegt bzw. das Vorliegen einer Einwilligung nachgewiesen werden kann.

Dies alleine reicht aus Sicht des Gerichts für eine Haftung des Microsoft-Unternehmens als Täter der Rechtsverletzung. In der Konsequenz haftet das Unternehmen daher auch auf Unterlassung und ggf. auch auf sonstige Rechtsfolgen, wie etwas Schadensersatz.

3) Auswirkungen auf die Praxis

Die Entscheidung des Gerichts wirkt aus rechtlicher Sicht an sich nur in dem konkreten Verfahren zwischen den Parteien. Es kann allerdings nicht ausgeschlossen werden, dass sich künftig weitere Gerichte an dieser Entscheidung orientieren werden. Immerhin handelt es sich nicht bloß um eine erstinstanzliche Entscheidung.

Streng genommen müsste nun die Veröffentlichung des Volltextes der Entscheidung abgewartet werden, um prüfen zu können, wie die Begründung im Einzelnen ausfällt. Allerdings müssen jedenfalls solche Unternehmen die Rechtsentwicklung weiter im Blick behalten, die Daten durch Cookies erheben bzw. erheben lassen und dabei auf die Einholung der erforderlichen Einwilligung durch Dritte angewiesen sind, die sie nicht selbst überprüfen oder überprüfen können. Nach der Rechtsauffassung dieses Gerichts dürfen sich solche Unternehmen nicht darauf verlassen, wenn sie die Dritten durch vertragliche Vereinbarung zur Einholung der Einwilligungen verpflichten. Vielmehr müssen sie auch sicherstellen, dass tatsächlich hinter jedem einwilligungspflichtigen Cookie auch eine wirksame Einwilligung der betreffenden Nutzer steht.

4) Das Wichtigste in Kürze

  • Nach einer Entscheidung des OLG Frankfurt können nicht nur Website-Betreiber, sondern auch Unternehmen im Hintergrund für das Setzen von Cookies verantwortlich sein.
  • Werden Daten von Website-Besuchern mittels einwillligungspflichtiger Cookies ohne Einwilligungen erhoben, kann auch eine Haftung von anderen Unternehmen bestehen, die die Daten ebenso erheben und nutzen.
  • Zur Vermeidung eigener Haftungsrisiken müssen daher sowohl Website-Betreiber als auch solche Unternehmen im Hintergrund sicherstellen, dass sie Daten und sonstige Informationen mittels einwilligungspflichtiger Cookies tatsächlich nur bei Vorliegen der jeweiligen Einwilligungen erheben.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: von Midora über Pixabay

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Beiträge zum Thema

reCAPTCHA: Rechtliche Anforderungen + DSGVO-freundliche Alternative
(20.12.2024, 11:17 Uhr)
reCAPTCHA: Rechtliche Anforderungen + DSGVO-freundliche Alternative
Cookie-Tool muss Ablehn-Button auf erster Ebene enthalten
(17.12.2024, 14:12 Uhr)
Cookie-Tool muss Ablehn-Button auf erster Ebene enthalten
Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
(21.10.2024, 08:53 Uhr)
Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
(25.04.2024, 11:51 Uhr)
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
(15.02.2024, 07:46 Uhr)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
(27.06.2023, 14:48 Uhr)
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei