Verhandlungstermin am 8. Oktober 2026 um 9:00 Uhr in Sachen I ZR 5/26 (Haftung von Cookie-Drittanbietern)
Ausgabejahr2026
Erscheinungsdatum30.06.2026
Nr. 118/2026
Der unter anderem für Ansprüche aus der EU-Datenschutz-Grundverordnung zuständige I. Zivilsenat des Bundesgerichtshofs hat über die Frage zu entscheiden, ob ein Unternehmen, das auf von anderen Unternehmen betriebenen Webseiten Cookies bereitstellt, dafür haftet, wenn diese Cookies ohne vorherige Einwilligung der jeweiligen Nutzer der Webseiten auf deren Endgeräten gespeichert werden.
Sachverhalt:
Der Kläger ist eine Privatperson. Bei der Beklagten handelt es sich um ein Technologie- und Analyseunternehmen. Am 22. März 2022 besuchte der Kläger verschiedene Webseiten. Ob, in welchem Umfang und zu welchem Analysezweck die Beklagte dabei auf Endeinrichtungen des Klägers Cookies setzte, steht zwischen den Parteien in Streit.
Der Kläger hat behauptet, die Beklagte habe ohne seine Einwilligung auf seinen Endgeräten Cookies gesetzt und damit gegen das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG), seit 14. Mai 2024 umbenannt in Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG), und die Datenschutz-Grundverordnung (DSGVO) verstoßen. Er nimmt die Beklagte auf Unterlassung und Zahlung eines immateriellen Schadensersatzes in Höhe von mindestens 1.500 € sowie auf Feststellung der Schadensersatzpflicht hinsichtlich aller künftigen materiellen Schäden in Anspruch.
Bisheriger Prozessverlauf:
Das Landgericht hat der Klage stattgegeben und dem Kläger immateriellen Schadensersatz in Höhe von 1.500 € zugesprochen. Auf die Berufung der Beklagten hat das Berufungsgericht das landgerichtliche Urteil teilweise abgeändert und die Beklagte unter Abweisung der Klage im Übrigen zur Unterlassung und zur Zahlung von 100 € verurteilt.
Zur Begründung hat das Berufungsgericht ausgeführt, ein Rechtsschutzbedürfnis des Klägers sei gegeben. Der Kläger müsse sich weder darauf verweisen lassen, die Cookie-Setzung mit technischen Möglichkeiten seines Internet-Browsers zu verhindern, noch müsse er sich vorrangig an die Datenschutzaufsichtsbehörden wenden. Die Klage sei auch nicht rechtsmissbräuchlich. Die Tatsache, dass der Kläger weitere Unternehmen wegen gleichartiger Verstöße in Anspruch genommen habe, lasse nicht den Schluss zu, er verfolge sachfremde Motive. Das zielgerichtete Generieren von Verstößen sei ebenso wie ein Testkauf grundsätzlich nicht zu beanstanden.
Die Speicherung von Cookies auf Endgeräten des Klägers ohne seine Einwilligung stelle einen Verstoß gegen § 25 Abs. 1 TTDSG/TDDDG dar. Die Beklagte habe das Setzen der Cookies nicht substantiiert bestritten. Eine Einwilligung des Klägers habe die darlegungs- und beweisbelastete Beklagte nicht nachweisen können. Eine faktische Einwilligung liege nicht darin, dass der Kläger die Cookies provoziert und damit jedenfalls als Zwischenschritt gewollt habe. Das Besuchen einer Internetseite könne für sich genommen nicht als Einwilligung im Sinne von § 25 Abs. 1 Satz 1 TTDSG/TDDDG angesehen werden.
Die Beklagte sei Verpflichtete des § 25 TTDSG/TDDDG. Die Vorschrift sei nicht auf Anbieter von digitalen Diensten beschränkt, sondern verbiete jedermann den Zugriff auf vernetzte Endeinrichtungen ohne Einwilligung des Endnutzers. Da die Beklagte an der Erbringung der Telemedien der Seitenbetreiber durch das Setzen der Cookies mitwirke, sei sie als Anbieterin im Sinne von § 2 Abs. 2 Nr. 1 TTDSG/TDDDG anzusehen.
Für den Verstoß gegen § 25 Abs. 1 TTDSG/TDDDG hafte die Beklagte als Täterin. Sie speichere die Cookies auf den Endeinrichtungen der Nutzer auch ohne deren Einwilligung, sobald die entsprechende Anforderung durch den von ihr bereitgestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst werde. Darüber hinaus greife die Beklagte auf die ausgelesenen Informationen zu. Der Umstand, dass Webseitenbetreiber entgegen den Allgemeinen Geschäftsbedingungen der Beklagten ohne Zustimmung des Endnutzers Cookies setzen ließen, sei der Beklagten zurechenbar. Sie habe sicherzustellen, dass ihr die Einwilligung des Endnutzers vom Webseitenbetreiber übermittelt werde, bevor sie die Cookies auf dem Gerät des Endnutzers speichere. Dadurch, dass sie dieses pflichtgemäße Handeln unterlasse, verwirkliche sie den Verstoß gegen § 25 Abs. 1 TTDSG/TDDDG adäquat-kausal.
Neben einem Unterlassungsanspruch aus § 1004, § 823 Abs. 2 BGB in Verbindung mit § 25 Abs. 1 TTDSG/TDDDG stehe dem Kläger nach Art. 82 Abs. 1 DSGVO und § 823 Abs. 2 BGB in Verbindung mit § 25 TDDDG ein Anspruch auf Schadensersatz gegen die jedenfalls fahrlässig handelnde Beklagte zu. Der immaterielle Schaden sei mit 100 € ausreichend bemessen. Ein Schadensersatzfeststellungsanspruch bestehe nicht. Es sei nicht erkennbar, wie dem Kläger in Zukunft durch die pseudonymisierte Cookie-Setzung noch ein materieller Schaden entstehen sollte.
Mit ihrer vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihren Antrag auf vollständige Klageabweisung weiter.
Vorinstanzen:
Landgericht Frankfurt am Main – Urteil vom 27. April 2023 – 2-03 O 357/22
Oberlandesgericht Frankfurt am Main – Urteil vom 11. Dezember 2025 – 6 U 81/23
Die maßgeblichen Vorschriften lauten:
§ 2 Abs. 2 Nr. 1 TDDDG (in der ab dem 14. Mai 2024 geltenden Fassung) und § 2 Abs. 2 Nr. 1 TTDSG (in der vom 1. Dezember 2021 bis zum 13. Mai 2024 geltenden Fassung)
Im Sinne dieses Gesetzes ist (…) „Anbieter von digitalen Diensten“ jede natürliche oder juristische Person, die eigene oder fremde digitale Dienste erbringt, an der Erbringung mitwirkt oder (…)
§ 25 Abs. 1 TDDDG (in der ab dem 14. Mai 2024 geltenden Fassung) und § 25 Abs. 1 TTDSG (in der vom 1. Dezember 2021 bis zum 13. Mai 2024 geltenden Fassung)
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
Art. 82 Abs. 1 DSGVO
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.
(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.
Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. Sind weitere Beeinträchtigungen zu besorgen, so kann der Eigentümer auf Unterlassung klagen.
Karlsruhe, den 30. Juni 2026
.
Pressestelle des Bundesgerichtshofs
76125 Karlsruhe
Telefon (0721) 159-5013
Telefax (0721) 159-5501