Schmerzensgeld wegen Cookies ohne Einwilligung ist seit dem Urteil des OLG Frankfurt a. M. vom 11.12.2025 (Az. 6 U 81/23) ein konkretes Haftungsrisiko – und zwar nicht nur für Websitebetreiber. Das Gericht stellt klar, dass auch Cookie-, Tracking- und Analyse-Drittanbieter in Anspruch genommen werden können, wenn sie technisch an der Speicherung oder am Auslesen von Informationen auf Endgeräten mitwirken. Damit rückt die gesamte Tracking-Kette in den Fokus: Entscheidend ist weniger, was in Partnerverträgen „vereinbart“ wurde, sondern was technisch tatsächlich passiert.
Auch wenn das OLG im konkreten Fall „nur“ 100 Euro immateriellen Schadensersatz zugesprochen hat, ist die Signalwirkung erheblich. Denn der Anspruch dem Grunde nach wurde bestätigt und der Unterlassungsanspruch bleibt ein scharfes Instrument: Wer Cookies ohne Einwilligung setzt oder das Setzen faktisch ermöglicht, riskiert nicht nur eine einmalige Zahlung, sondern muss sein Setup dauerhaft so umbauen, dass vor einer wirksamen Einwilligung technisch keine Tags/Skripte ausgelöst werden.
Warum das OLG-Urteil Cookies ohne Einwilligung betrifft
Das Urteil ist deshalb so praxisnah, weil es typische Web-Realität abbildet: Drittanbieter liefern Code oder Infrastruktur, die auf Partner-Websites eingebunden wird. Beim Seitenaufruf können dann Cookies oder Identifier gesetzt bzw. ausgelesen werden – häufig für Analytics, Reichweitenmessung oder werbliche Zwecke. Das OLG Frankfurt versteht § 25 TDDDG dabei konsequent technisch: Normadressat ist nicht automatisch nur „der Websitebetreiber“, sondern auch derjenige, der die Speicherung oder den Zugriff technisch auslöst oder kontrolliert.
Damit wird Schmerzensgeld wegen Cookies ohne Einwilligung nicht zu einem rein „frontend“-bezogenen Banner-Problem, sondern zu einer Frage der technischen Governance: Wer an der Cookie-Logik beteiligt ist, muss Einwilligungs-Compliance beweisbar und ausfallsicher gestalten – sonst drohen Unterlassung und Schadensersatz.
Sachverhalt und Prozessverlauf: Wie es zum Schmerzensgeld wegen Cookies ohne Einwilligung kam
Dem Urteil des OLG Frankfurt liegt ein technisch eher unspektakulärer, rechtlich aber hoch relevanter Sachverhalt zugrunde. Ein Nutzer besuchte mehrere Websites, auf denen Tracking- und Analyse-Technologie eines Drittanbieters eingebunden war. Er ging davon aus, dass dabei Cookies beziehungsweise vergleichbare Identifier auf seinem Endgerät gesetzt oder ausgelesen wurden, ohne dass zuvor eine wirksame Einwilligung erteilt worden war. Um diesen Verdacht zu untermauern, dokumentierte er den Netzwerkverkehr seines Browsers, unter anderem mithilfe einer HAR-Datei, und stützte seinen Vortrag zusätzlich auf ein Privatgutachten.
Auf dieser Grundlage machte der Nutzer zivilrechtliche Ansprüche geltend. Im Kern verlangte er, dass der Drittanbieter es künftig unterlässt, ohne informierte Einwilligung auf seine Endeinrichtungen zuzugreifen. Daneben begehrte er immateriellen Schadensersatz wegen des Eingriffs in seine Privatsphäre. Streitpunkt war insbesondere, ob und in welchem Umfang Cookies tatsächlich gesetzt oder ausgelesen worden waren und ob diese Vorgänge lediglich der Reichweitenmessung dienten oder weitergehende Tracking-Zwecke verfolgten.
Wie Cookies ohne Einwilligung im konkreten Fall festgestellt wurden
Im konkreten Fall führte die technische Analyse dazu, dass Schmerzensgeld wegen Cookies ohne Einwilligung dem Grunde nach zugesprochen wurde. In erster Instanz gab das Landgericht Frankfurt a. M. dem Kläger weitgehend recht (Urteil vom 27.04.2023 – 2-3 O 357/22). Es bejahte einen Unterlassungsanspruch und sprach dem Kläger 1.500 Euro immateriellen Schadensersatz zu. Das LG wertete die Cookie-Setzung ohne Einwilligung als spürbaren Eingriff und stellte dabei nicht entscheidend darauf ab, dass der Drittanbieter im Hintergrund agierte und die Websites nicht selbst betrieb.
In der Berufung korrigierte das OLG Frankfurt dieses Ergebnis teilweise. Mit Urteil vom 11.12.2025 (6 U 81/23) reduzierte es den Schadensersatz auf 100 Euro, bestätigte jedoch den Unterlassungsanspruch im Kern. Besonders wichtig: Das Gericht stellte klar, dass § 25 TDDDG grundsätzlich auch Drittanbieter erfassen kann und ließ die Revision wegen der grundsätzlichen Bedeutung der Haftungsfrage ausdrücklich zu. Für die Praxis bedeutet das, dass die Rechtsfrage keineswegs als „Einzelfall“ erledigt ist, sondern weiter höchstrichterlich geklärt werden könnte.
Der Instanzenzug zeigt damit sehr deutlich, worum es beim Schmerzensgeld wegen Cookies ohne Einwilligung geht: Nicht jeder Verstoß führt automatisch zu hohen Beträgen, wohl aber zu durchsetzbaren Unterlassungsansprüchen und zu einem realen Haftungsrisiko für alle technisch Beteiligten.
§ 25 TDDDG und Cookies ohne Einwilligung: Haftung für Websitebetreiber und Drittanbieter
Technische Mitwirkung als Haftungsgrund
Im Zentrum der rechtlichen Bewertung steht § 25 TDDDG. Die Vorschrift knüpft nicht an formale Rollen an, sondern an das tatsächliche technische Geschehen. Genau das macht sie für Tracking- und Analyse-Setups so relevant: Maßgeblich ist, wer Informationen auf dem Endgerät speichert oder ausliest – oder dies technisch veranlasst. Das OLG Frankfurt greift diesen Ansatz auf und wendet ihn konsequent an.
Die wichtigsten rechtlichen Aussagen des Gerichts lassen sich wie folgt zusammenfassen:
- § 25 TDDDG verbietet grundsätzlich das Speichern oder Auslesen von Informationen auf Endeinrichtungen ohne informierte Einwilligung.
- Normadressat ist nicht nur der Websitebetreiber, sondern jede Stelle, die technisch an der Cookie-Setzung oder am Zugriff beteiligt ist.
- Eine Haftung kommt auch für Drittanbieter in Betracht, die Code, Skripte oder Infrastruktur bereitstellen.
- Entscheidend ist die tatsächliche technische Mitwirkung, nicht die vertragliche Zuständigkeitsverteilung.
Unterlassungsanspruch als größtes Risiko
Besonders deutlich wird das Urteil bei der Frage der vertraglichen Absicherung. Viele Drittanbieter verweisen darauf, dass ihre Verträge vorsehen, dass Cookies erst nach Einwilligung aktiviert werden dürfen. Das OLG Frankfurt misst solchen Klauseln für die Außenhaftung jedoch nur begrenzte Bedeutung bei. Für das Gericht zählt, was im Browser des Nutzers tatsächlich passiert – nicht, was in AGB oder Partnerverträgen vorgesehen ist.
Auch hierzu lassen sich die Kernaussagen gut in Stichpunkten festhalten:
- Vertragliche Consent-Pflichten entlasten nicht, wenn Cookies faktisch ohne Einwilligung gesetzt werden.
- Interne Risikoverteilungen sind zivilrechtlich unbeachtlich, wenn der Drittanbieter technisch mitwirkt.
- Wer Cookies setzt oder ausliest, kann als Täter haften – selbst bei einer „reinen Dienstleisterrolle“.
Aus dieser Einordnung folgt unmittelbar der Unterlassungsanspruch. Das OLG behandelt § 25 TDDDG als Schutzgesetz, sodass bei einem Verstoß ein Anspruch auf Unterlassung in Betracht kommt. Dieser Anspruch ist für Unternehmen oft gravierender als ein einmaliger Schadensersatzbetrag, weil er eine dauerhafte Anpassung der technischen Prozesse erzwingt.
Die praktischen Konsequenzen aus dieser rechtlichen Bewertung sind daher:
- Cookie-Setzungen müssen technisch bis zur Einwilligung blockiert sein.
- Systeme müssen so gestaltet sein, dass ein Zugriff ohne Consent nicht „versehentlich“ möglich ist.
- Drittanbieter sollten sich nicht darauf verlassen, dass Websitebetreiber die Einwilligung schon korrekt einholen werden.
Damit zeigt das Urteil sehr deutlich: Schmerzensgeld wegen Cookies ohne Einwilligung ist nur die Spitze des Eisbergs. Der eigentliche Hebel liegt in der Unterlassung und in der technischen Verantwortung aller Beteiligten.
Beweislast bei Cookies ohne Einwilligung
Ein besonders praxisrelevanter Teil des Urteils betrifft die Beweislast. Das OLG Frankfurt ordnet die Einwilligung als eine für den Cookie-Setzer günstige Tatsache ein. Das hat erhebliche Folgen: Nicht der Nutzer muss im Detail beweisen, dass niemals eine Einwilligung erteilt wurde, sondern das Unternehmen muss darlegen und nachweisen, dass eine wirksame Einwilligung vorlag, bevor Cookies gesetzt oder ausgelesen wurden.
Für Betroffene reicht es in der Regel aus, schlüssig darzulegen, dass Cookies ohne Einwilligung aktiv waren. Genau hier gewinnen technische Nachweise an Bedeutung. Das Urteil zeigt, dass Gerichte solche Belege ernst nehmen und in die Beweiswürdigung einbeziehen.
Typische Beweismittel, die Nutzer vorlegen können, sind unter anderem:
- HAR-Dateien oder vergleichbare Netzwerkprotokolle
- Browser-Logs und Entwicklertools
- Screenshots des Cookie-Banners zum Zeitpunkt des Seitenaufrufs
- Listen der gesetzten Cookies bzw. Identifier (Name, Domain, Zeitpunkt, Zweck)
Bedeutung von Consent-Protokollen
Wenn solche Anhaltspunkte vorliegen, gerät der Cookie-Setzer in die Pflicht. Ein pauschales Bestreiten („Bei uns wird erst nach Consent getrackt“) genügt dann regelmäßig nicht mehr. Vielmehr muss nachvollziehbar dargelegt werden, dass ein wirksames Einwilligungssignal vorlag und technisch korrekt verarbeitet wurde.
Aus Unternehmenssicht ergeben sich daraus klare Risiken:
- Fehlende oder lückenhafte Consent-Protokolle wirken sich im Streitfall zulasten des Anbieters aus.
- Unklare CMP-Logiken oder fehlerhafte Integrationen lassen sich kaum plausibel erklären.
- Technische Ausnahmen („Bug“, „Fehlimplementierung“) schützen nicht vor Haftung, wenn sie reproduzierbar sind.
Besonders problematisch ist, dass sich Cookie-Setzungen auch nachträglich rekonstruieren lassen. Unternehmen sollten daher davon ausgehen, dass Nutzer – oder deren Anwälte – entsprechende Tests gezielt durchführen. Das macht Schmerzensgeld wegen Cookies ohne Einwilligung zu einem realistischen Anspruchsszenario, selbst wenn der konkrete Schaden gering erscheint.
Für die Praxis folgt daraus:
- Consent muss nicht nur eingeholt, sondern beweisbar dokumentiert werden.
- Es muss klar sein, welches Cookie aufgrund welcher Einwilligung gesetzt wurde.
- Im Zweifel gilt: Kann der Consent nicht sauber nachgewiesen werden, spricht das gegen den Cookie-Setzer.
Damit wird deutlich, dass das eigentliche Haftungsrisiko weniger im einmaligen Betrag liegt, sondern in der Kombination aus Beweislast, Unterlassungsanspruch und dauerhaftem Anpassungsdruck auf die Technik.
Höhe des Schmerzensgeldes: Wann mehr als 100 Euro möglich sind
Das OLG Frankfurt hat Schmerzensgeld wegen Cookies ohne Einwilligung dem Grunde nach bejaht, die Entschädigung im konkreten Fall aber auf 100 Euro reduziert. Maßgeblich war aus Sicht des Gerichts, dass die Beeinträchtigung eher gering ausfiel: Es ging überwiegend um pseudonymisierte Daten bzw. Identifier, der Kläger hatte die Situation gezielt zur Beweissicherung herbeigeführt und eine weitere Zuordnung ließ sich durch das Löschen der Cookies zumindest begrenzen. Damit hat das OLG weniger „gegen“ Schadensersatz entschieden, sondern vor allem gegen eine hohe Summe in genau dieser Konstellation.
Wichtig für die Praxis ist deshalb nicht die Zahl, sondern die Logik dahinter. Das Urteil macht deutlich, dass die Höhe stark vom Einzelfall abhängt. Deutlich höhere Beträge werden eher dort denkbar, wo Tracking über längere Zeit läuft, wo Nutzerprofile entstehen, wo Daten an weitere Dritte weitergegeben werden oder wo die Verarbeitung besonders intensiv wirkt und den Kontrollverlust spürbar erhöht. Je mehr Reichweite, Dauer und Verknüpfbarkeit ein Tracking-Setup hat, desto eher steigt das Risiko, dass Gerichte einen immateriellen Schaden als deutlich schwerwiegender bewerten.
Unterm Strich bleibt: Auch „kleine“ 100 Euro sind ein klares Signal, dass Schmerzensgeld wegen Cookies ohne Einwilligung real ist – und dass Unternehmen nicht darauf setzen sollten, Verstöße würden schon folgenlos bleiben, wenn das Setup „nur Analytics“ betrifft oder „eigentlich“ per Vertrag an Consent gebunden ist.
Technische und rechtliche To-dos für Unternehmen
Nach dem Urteil des OLG Frankfurt ist klar: Schmerzensgeld wegen Cookies ohne Einwilligung lässt sich nur dann zuverlässig vermeiden, wenn Einwilligungs-Compliance nicht nur rechtlich vorgesehen, sondern technisch abgesichert ist. Sowohl Websitebetreiber als auch Drittanbieter sollten ihre Setups deshalb kritisch überprüfen – und zwar nicht nur auf dem Papier, sondern im Live-Betrieb.
Für Websitebetreiber bedeutet das vor allem, dass Cookies und vergleichbare Tracking-Technologien standardmäßig blockiert sein müssen. Erst nach einer aktiven, informierten Einwilligung dürfen entsprechende Skripte laden oder Identifier gesetzt werden. Reine Hinweisbanner, „Weitersurfen“-Modelle oder schwer auffindbare Ablehnoptionen sind mit erheblichen Risiken verbunden. Ebenso wichtig ist die laufende Kontrolle: Drittanbieter-Tools sollten regelmäßig getestet werden, idealerweise mit verschiedenen Browsern und Endgeräten, um sicherzustellen, dass vor einem Consent tatsächlich nichts feuert.
Drittanbieter wiederum können sich nicht darauf verlassen, dass ihre Partner die Einwilligung schon korrekt einholen werden. Wer technisch an der Cookie-Setzung oder am Auslesen von Informationen mitwirkt, braucht eigene Sicherungsmechanismen. Systeme sollten so gestaltet sein, dass ohne ein valides Consent-Signal keine Speicherung oder kein Zugriff möglich ist („Fail-safe“-Prinzip). Zusätzlich sollte nachvollziehbar dokumentiert werden können, wann und auf welcher Grundlage Cookies gesetzt wurden, um im Streitfall einen Einwilligungsnachweis führen zu können.
Zusammengefasst lassen sich die wichtigsten To-dos so bündeln:
- Cookies und Tracking erst nach aktivem Opt-in technisch freischalten
- Ablehnen genauso einfach machen wie Zustimmen
- Consent-Signale zuverlässig verarbeiten und dokumentieren
- Drittanbieter-Integrationen regelmäßig technisch überprüfen
- Im Zweifel: kein Cookie, kein Zugriff
Das Urteil zeigt deutlich, dass sich das Risiko nicht mehr allein über Verträge steuern lässt. Entscheidend ist, ob die technische Umsetzung Cookies ohne Einwilligung faktisch ausschließt – denn genau daran knüpfen Unterlassung und Schmerzensgeld wegen Cookies ohne Einwilligung an.
Schmerzensgeld wegen Cookies ohne Einwilligung: Fazit und Ausblick
Das Urteil des OLG Frankfurt vom 11.12.2025 (6 U 81/23) markiert einen wichtigen Einschnitt in der rechtlichen Bewertung von Cookies und Tracking-Technologien. Schmerzensgeld wegen Cookies ohne Einwilligung ist keine theoretische Konstruktion mehr, sondern ein durchsetzbarer Anspruch, der mit einem klaren Unterlassungsrisiko verbunden ist. Besonders bedeutsam ist dabei die Klarstellung, dass § 25 TDDDG nicht nur Websitebetreiber adressiert. Auch Drittanbieter, die im Hintergrund technisch an der Speicherung oder am Auslesen von Informationen auf Endgeräten mitwirken, können als Täter in Anspruch genommen werden.
Für Unternehmen verschiebt sich der Fokus damit endgültig von der bloßen Vertragsgestaltung hin zur technischen Realität. Ob ein Cookie „eigentlich“ erst nach Einwilligung gesetzt werden sollte, spielt rechtlich keine Rolle, wenn es faktisch anders läuft. Entscheidend ist, ob die Implementierung zuverlässig verhindert, dass ohne Consent auf Endgeräte zugegriffen wird – und ob dies im Streitfall belegbar ist.
Da das OLG die Revision zugelassen hat, ist nicht ausgeschlossen, dass der Bundesgerichtshof die Haftung von Cookie- und Tracking-Drittanbietern weiter präzisiert oder begrenzt. Bis zu einer solchen Klärung bleibt das Urteil jedoch ein starkes Argument für Betroffene und ein deutlicher Warnhinweis für Unternehmen. Wer Tracking- oder Analyse-Technologie einsetzt oder bereitstellt, sollte seine Cookie- und Consent-Setups jetzt technisch sauber aufstellen. Denn auch geringe Beträge zeigen: Schmerzensgeld wegen Cookies ohne Einwilligung ist real – und vermeidbar nur durch funktionierende, dokumentierte Einwilligungsprozesse.
Fragen zu Cookies ohne Einwilligung oder zum OLG-Urteil Frankfurt (6 U 81/23)?
Entscheidend ist nicht nur der einzelne Cookie, sondern die technisch saubere Umsetzung der Einwilligungspflichten entlang der gesamten Tracking-Kette – von der CMP-Logik über das Blockieren von Skripten bis zum belastbaren Consent-Nachweis im Streitfall. Buchen Sie gern ein Teams-Meeting mit einem unserer Rechtsanwälte oder stellen Sie hier Ihre Rechtsfrage.
FAQ zu Schmerzensgeld wegen Cookies ohne Einwilligung
Was bedeutet Schmerzensgeld wegen Cookies ohne Einwilligung?
Schmerzensgeld wegen Cookies ohne Einwilligung bezeichnet immateriellen Schadensersatz, wenn Cookies oder Identifier ohne wirksame Zustimmung gesetzt oder ausgelesen werden. Grundlage sind § 25 TDDDG und Art. 82 DSGVO. Entscheidend ist eine spürbare Beeinträchtigung der Privatsphäre.
Kann man Schmerzensgeld verlangen, wenn Cookies ohne Einwilligung gesetzt wurden?
Ja. Cookies ohne Einwilligung können einen Anspruch auf Schmerzensgeld begründen. Maßgeblich sind Dauer, Umfang und Intensität des Trackings. Gerichte bewerten jeden Fall individuell – von niedrigen Beträgen bis zu höheren Summen bei intensivem Nutzertracking.
Wer haftet bei Cookies ohne Einwilligung – nur der Websitebetreiber?
Nein. Nach dem OLG Frankfurt können auch Drittanbieter haften, die Cookies setzen oder deren Setzung technisch veranlassen. Maßgeblich ist die tatsächliche technische Mitwirkung an Speicherung oder Auslesen, nicht allein die Betreiberrolle der Website. Damit kann die Haftung entlang der technischen Wertschöpfungskette entstehen – inklusive Unterlassungsansprüchen.
Wer muss beweisen, dass eine Cookie-Einwilligung vorlag?
In der Praxis trifft die Beweislast regelmäßig den Cookie-Setzer. Legt der Nutzer schlüssig dar, dass Cookies ohne Einwilligung aktiv waren, muss das Unternehmen den Nachweis einer wirksamen Einwilligung führen. Fehlen nachvollziehbare Consent-Protokolle oder ist die technische Umsetzung unklar, wirkt sich dies typischerweise zulasten des Anbieters aus.
Warum hat das OLG Frankfurt nur 100 Euro Schmerzensgeld zugesprochen?
Das OLG Frankfurt bewertete die Beeinträchtigung im konkreten Fall als gering. Ausschlaggebend waren unter anderem die Nutzung pseudonymisierter Daten, die gezielte Beweissicherung durch den Kläger und die Möglichkeit, weitere Zuordnungen durch Cookie-Löschung zu begrenzen. Wichtig ist jedoch: Der Anspruch dem Grunde nach wurde ausdrücklich anerkannt.
Sind Cookies ohne Einwilligung immer rechtswidrig?
Grundsätzlich ja, wenn Cookies nicht technisch erforderlich sind. Schmerzensgeld wegen Cookies ohne Einwilligung kann drohen, wenn Tracking-, Analyse- oder Marketing-Cookies ohne vorherige, informierte Zustimmung gesetzt oder ausgelesen werden. Maßgeblich ist insbesondere § 25 TDDDG; Ausnahmen gelten nur für zwingend notwendige Cookies (z. B. Warenkorb, Login).
Reicht ein Cookie-Banner ohne Ablehn-Button aus?
Nein. Eine Einwilligung ist nur wirksam, wenn Ablehnen genauso einfach möglich ist wie Zustimmen. Andernfalls ist das Consent-Setup rechtlich angreifbar – und Schmerzensgeld wegen Cookies ohne Einwilligung sowie Unterlassungsansprüche können im Raum stehen. Praktisch bedeutet das: klare Ablehn-Option, keine Dark Patterns und erst nach Opt-in dürfen Tracking-Skripte laden.
Können auch Analytics-Cookies Schmerzensgeld auslösen?
Ja. Auch Analytics-Cookies können Schmerzensgeld wegen Cookies ohne Einwilligung auslösen, wenn sie ohne wirksame Zustimmung gesetzt werden und dadurch ein spürbarer Kontrollverlust entsteht. Das Risiko steigt bei längerer Laufzeit, Wiedererkennung über Seiten hinweg, Profilbildung oder Weitergabe an Dritte. Entscheidend sind Umfang, Intensität und Nachweis der Cookie-Aktivität.
Müssen Einwilligungen technisch protokolliert werden?
Ja. Unternehmen müssen nachweisen können, dass vor der Cookie-Setzung eine wirksame Einwilligung vorlag. Fehlt eine saubere Protokollierung (Zeitpunkt, Auswahl, Version des Banners, Consent-Signal), wirkt das im Streitfall regelmäßig zulasten des Anbieters. Schmerzensgeld wegen Cookies ohne Einwilligung wird dadurch wahrscheinlicher, weil die Beweislast praktisch kippt.
