Haftung bei automatisch gesetzten Cookies durch Dienstanbieter | Recht

Haufe Online Redaktion

Haftung bei automatisch gesetzten Cookies durch Dienstanbieter — Bild: ©Rutmer - stock.adobe.com Dienstanbieter wie Microsoft stehen durch das OLG-Urteil zunehmend in der Verantwortung.

Das Oberlandesgericht Frankfurt am Main hat entschieden, dass Microsoft für die Cookies haftet, die auf Seiten von Drittanbietern durch seinen Dienst „Microsoft Advertising“ ohne Einwilligung automatisch gesetzt werden.

Ein Drittanbieter hatte auf seinen Webseiten Microsoft Advertising eingesetzt und es versäumt, die ausdrückliche Einwilligung für die Cookies einzuholen, die der Dienst setzt. Weil Microsoft hier nicht für eigene Datenschutzverstöße, sondern für Verstöße, die Dritte bei der Nutzung seines Dienstes begehen, haftbar gemacht wird, könnte das Urteil weitreichende Folgen für die gesamte IT-Branche haben.

OLG verpflichtet Microsoft zur Unterlassung

Das Oberlandesgericht Frankfurt am Main (OLG FFM) hat mit seiner Entscheidung vom 27.6.2024 (6 U 192/23) Microsoft dazu verpflichtet, es zu unterlassen, mit seinem Dienst Microsoft Advertising ohne Einwilligung Cookies auf den Endgeräten der Klägerin zu setzen. Der Microsoft-Dienst Microsoft Advertising sammelt Informationen über die Besucher einer Webseite und ermöglicht Webseitenbetreibern das Schalten zielgerichteter Werbeanzeigen.

Hintergrund: Microsoft Advertising

Microsoft Advertising (früher bekannt als Bing Ads) ist ein Dienst, der es Unternehmen ermöglicht, ihre Werbung in den Suchergebnissen der Microsoft-Suchmaschinen Bing, Yahoo und AOL sowie auf Partner-Webseiten zu schalten. Das Ziel ist, potenzielle Kunden zu erreichen, während sie aktiv nach bestimmten Produkten oder Dienstleistungen suchen. Werbetreibende wählen Schlüsselbegriffe aus, die zu den Produkten oder Dienstleistungen passen, die sie bewerben möchten. Wenn ein Benutzer einen dieser Schlüsselbegriffe in Bing, Yahoo, AOL oder auf einer Partner-Webseite eingibt, wird die Anzeige des werbenden Unternehmens eingeblendet. Microsoft Advertising bietet erweiterte Zielgruppen-Targeting-Optionen, darunter Standort, Geschlecht, Alter und Gerätekategorien (z. B. Desktop oder Mobilgerät), um die gewünschte Zielgruppe möglichst präzise erreichen zu können. Es enthält außerdem diverse Analysetools, mit denen sich der Erfolg der Werbekampagnen messen lässt. Für die Erfassung der Aktivitäten der Suchmaschinennutzer auf Drittwebseiten setzt Microsoft Advertising Cookies ein. Microsoft stellt seinen Kunden dafür einen Code zur Verfügung, den diese in ihre Webseiten einbinden. Werden die Webseiten aufgerufen, werden Cookies auf den Endgeräten der Besucher gesetzt oder vorhandene Cookies von dort ausgelesen. Das Setzen der Cookies wird dabei von den Betreibern der Webseiten und nicht direkt durch Microsoft veranlasst. In seinen Geschäftsbedingungen verpflichtet Microsoft die Betreiber, die Einwilligung der Webseitennutzer für das Setzen der Cookies einzuholen, da die Cookies technisch nicht erforderlich sind.

Microsoft ist für die Speicherung der Cookies kausal verantwortlich

In seinem Urteil stellt das OLG FFM fest, dass der Klägerin ein Unterlassungsanspruch zusteht. Microsoft hat durch das Setzen von Cookies gegen die gesetzlichen Vorgaben verstoßen. Das Gesetz (§ 25 TDDDG) verbietet „jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers“. Es erfasst damit jeden Akteur, der eine konkrete Speicher- oder Zugriffshandlung beabsichtigt. Microsoft speichert Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer, sobald die entsprechende Anforderung durch den bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst wird. Zudem greift es auf die hinterlegten Informationen zu, indem es sich diese von den Betreibern der Internetseiten zur Verfügung stellen lässt, nachdem diese die Informationen ausgelesen haben. Microsoft hat damit „die Speicherung der Cookies ohne Einwilligung adäquat kausal verwirklicht“.

Microsoft muss sicherstellen, dass die Einwilligung zur Speicherung vorliegt

Das OLG weist ausdrücklich darauf hin, dass Microsoft nicht dadurch entlastet wird, dass es von den jeweiligen Webseitenbetreiber verlangt, dass diese die erforderliche Einwilligung zum Setzen der Cookies einholen. Microsoft kann sich darauf nicht verlassen, sondern bleibt vielmehr darlegungs- und beweisbelastet für den Umstand, dass die Endnutzer vor der Speicherung von Cookies auf ihren Endgeräten eingewilligt haben. Wie Microsoft den Einwilligungsnachweis zu führen hat, bleibt dem Unternehmen überlassen. Microsoft muss aber sicherstellen, dass diese tatsächlich vorliegt.

Urteil nimmt Anbieter digitaler Dienste in die Pflicht

Das Urteil des OLG FFM könnte weitreichende Folgen für die gesamte IT-Branche haben, weil es die Verantwortlichkeit für datenschutzrechtliche Verstöße von den Webseitenbetreibern weg auf den Anbieter des digitalen Dienstes verlagert, mit dem die Verstöße begangen werden. Es verschärft die Datenschutzanforderungen bei der Einbindung externer Dienste und nimmt die Dienstanbieter in die Pflicht. Um etwaige Regressansprüche zu vermeiden und sicherstellen zu können, dass sie ihre vertraglichen Verpflichtungen erfüllen, sollten aber auch Webseitenbetreiber das Urteil zum Anlass nehmen, die Nutzungsbedingungen und Verträge der Dienstanbieter zu prüfen.

(OLG Frankfurt am Main, Urteil v. 27.6.2024, 6 U 192/23)