Haftung von Cookie-Anbietern bei fehlender Einwilligung – Was Unternehmen wissen müssen

Cookies sind kleine Datendateien, die auf Websites genutzt werden, um Besucher zu erkennen, Websitefunktionen zu ermöglichen oder Nutzerverhalten zu analysieren. Doch sie bergen Risiken: Wenn Cookies ohne gültige Einwilligung gesetzt werden, drohen rechtliche Probleme – nicht nur für Website-Betreiber, sondern auch für Anbieter solcher Cookie-Tools. Unternehmen sollten deshalb wissen: Wer haftet? Und wie lässt sich das verhindern?

Rechtliche Grundlagen 

a) Einwilligungspflicht nach TDDDG

In Deutschland regelt das TDDDG, dass das Speichern oder Auslesen von Daten auf Endgeräten – also auch Cookies – nur erlaubt ist, wenn Nutzer vorgängig ihre ausdrückliche Zustimmung gegeben haben. Technisch notwendige Cookies (z. B. für den Warenkorb) sind davon ausgenommen, alle anderen müssen aktiv bestätigt werden.

b) Anforderungen der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) verlangt zudem eine freiwillige, informierte und eindeutige Einwilligung zur Verarbeitung personenbezogener Daten – wie sie beim Setzen von Tracking- oder Analyse-Cookies anfällt.

Das Urteil des OLG Frankfurt (Az. 6 U 192/23)

Das Oberlandesgericht Frankfurt hat entschieden:

  • Auch Cookie-Anbieter (wie Tracking-Tools oder Analyse-Dienste) können haftbar sein, wenn durch ihre Tools Cookies auf Webseiten gesetzt werden – und zwar auch ohne direkten technischen Zugriff.
  • Selbst wenn der Anbieter seine Kunden zur Einholung der Einwilligung verpflichtet, reicht das nicht aus. Er muss nachweisen, dass Nutzer wirksam eingewilligt haben.
  • Kommt er dem nicht nach, kann er auf Unterlassung geklagt werden – ganz gleich, ob er selbst technisch greift oder Firmen die Tools einsetzen.

Konsequenzen für Unternehmen
  1. Verantwortung teilen sich neuerdings beide: Website-Betreiber und Cookie-Anbieter haften.
  2. Einwilligungs-Lösungen sind gefragt: Banner & Cookies müssen rechtskonform gestaltet und technisch umgesetzt sein.
  3. Beweispflicht liegt bei Anbieter und Betreiber: Es muss dokumentierbar sein, dass Nutzer aktiv zugestimmt haben.

Cookie-Banner richtig gestalten

Unternehmen müssen beim Banner auf Folgendes achten:

  • Opt-in-Verfahren: Cookies dürfen erst nach aktivem Klick zugelassen werden.
  • Gleichwertige Buttons: „Akzeptieren" und „Ablehnen" müssen optisch gleichwertig sein.
  • Klare Sprache & Transparenz: Zweck, Anbieter, Datenarten sowie Links zur Datenschutzerklärung müssen im Banner stehen.
  • Einfacher Widerspruch: Ablehnen muss genauso leicht möglich sein wie Zustimmen.
  • Keine Voreinstellungen: Checkboxen dürfen nicht vorausgewählt sein.
  • Banner sichtbar bei Erstbesuch, ohne Inhalte zu verdecken oder Zugriff auf wichtige Links wie Impressum zu blockieren.

Konkrete Umsetzungsschritte

Als Datenschutzbeauftragter empfehle ich folgendes Vorgehen:

Schritt 1: Cookie-Analyse
  • Erfasse alle eingesetzten Cookies und Tools.
  • Unterscheide technisch notwendige von einwilligungsbedürftigen Cookies.
Schritt 2: Banner korrekt gestalten
  • Aktive Zustimmung durch Nutzer erforderlich.
  • Gleichgewichtete Buttons und klare Texte einbauen.
  • Direktes Ablehnen ermöglichen.
Schritt 3: Einwilligung dokumentieren
  • Zeit, Umfang, Art der Einwilligung speichern.
  • Widerrufsoption bereitstellen.
Schritt 4: Anbieter vertraglich einbinden
  • Verantwortungen und Nachweispflichten vertraglich festlegen.
  • Vertraglich regeln, dass Anbieter Einwilligungsnachweis führt.
Schritt 5: Regelmäßige Überprüfung & Schulungen
  • Audit jährlich durchführen.
  • Mitarbeitende aus Technik, Marketing und Recht schulen.

Warum das wichtig ist
  • Rechtliches Risiko: Abmahnungen, Unterlassungsklagen und Bußgelder (bis 300 000 € nach TDDDG und deutlich mehr nach DSGVO).
  • Reputation & Vertrauen: Transparenz stärkt die Kundenbindung und schützt den Ruf.
  • Wettbewerbsvorteil: DSGVO-Konformität zeigt Professionalität.

Häufige Fragen

Frage Antwort
Sind technisch notwendige Cookies erlaubt? Ja – aber alles andere benötigt Opt‑in.
Gelten die Regeln nur in Deutschland? Bisher nur national, doch überall in der EU ähnliche Rechtsprechung zu erwarten.
Was passiert ohne Einwilligungsnachweis? Anbieter haften – auch wenn die technische Integration allein durch Website-Betreiber erfolgt.
Reicht ein Standard Consent-Tool? Nur wenn es korrekt umgesetzt ist: Opt-in, gleichwertige Buttons, Dokumentation.
Was tun bei Gesetzesänderungen? Audit, Banner-Anpassung, Schulungen – laufend dranbleiben.

To‑Do‑Liste für Datenschutzbeauftragte
  1. Alle Cookies und Tools inventarisieren.
  2. Banner rechtssicher gestalten und umsetzen.
  3. Einwilligungen dokumentieren und Widerrufsoption bieten.
  4. Anbieter in Verträgen klar regeln.
  5. Mitarbeitende schulen und Audits durchführen.


Unternehmen müssen sich strikt an die Einwilligungspflichten halten – sowohl als Website-Betreiber als auch als Anbieter von Cookie-Tools. Ein korrekt gestaltetes Opt-in-Cookie-Banner, eine gute Dokumentation und klare vertragliche Regelungen sind unerlässlich. So schützt man sich vor Abmahnungen, Bußgeldern und Imageverlust – und wird zum vertrauenswürdigen Partner im digitalen Raum.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

 

×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Besserer Schutz vor Hackerangriffen – Warum Datens...
Einsichtsfähigkeit bei Kindern und Jugendlichen – ...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.