Eine aktuelle Entscheidung des OLG Frankfurt am Main (Urteil vom 27.06.2024, Az. Az. 6 U 192/23) hat Sprengkraft – sie könnte Nutzer in die Lage versetzen, sich bei Datenschutzverstößen auf einer Webseite nicht (nur) gegen den Webseitenbetreiber zu wehren, sondern Ansprüche gegen die Anbieter der genutzten Tracking-Technologie geltend zu machen. Auf Unternehmen wie Microsoft oder Google könnte daher eine Flut von Klagen zukommen.
Denn Microsoft bietet mit seinem Dienst „Microsoft Advertising“ Software an, die es Webseitenbetreibern ermöglicht, Anzeigen in den Suchergebnissen des „Microsoft Search Network“ zu schalten und den Erfolg ihrer Werbekampagnen zu messen. Hierzu stellt Microsoft Code zur Verfügung, den Webseitenbetreiber in ihre eigene Webseite oder App integrieren, wodurch sog. Cookies auf dem Gerät der Besucher gesetzt werden.
Das Setzen von Cookies und das Auslesen eines bereits vorhandenen Cookies ist nach § 25 Abs. 1 TDDDG nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Aufgeklärt werden muss darüber, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können. Die Einwilligung des Nutzers muss durch eine eindeutig bestätigende Handlung erfolgen.In der Praxis geschieht dies regelmäßig über die jedem Internetnutzer bekannten, meist als lästig empfundenen Cookie-Banner. Was aber gilt, wenn die Belehrung nicht ausreicht oder die Einwilligung ungültig ist, bspw. durch Verwendung einer irreführenden Beschriftung des Buttons, oder wenn der Cookie schon vor der Zustimmung gesetzt wird?
Klar war bisher, dass in einem solchen Fall Unterlassungsansprüche gegen den Betreiber der Webseite oder den Anbieter der App bestehen.
Das OLG Frankfurt hat nun aber entschieden, dass auch Microsoft als Anbieter des Codes, der auf einer Webseite verwendet wurde, als Täter für die Datenschutzverletzung auf Unterlassung in Anspruch genommen werden kann. Das Gesetz verbiete jedermann „den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers“, betont der Senat. Damit erfasse es jeden Akteur, der eine konkrete Speicher- oder Zugriffshandlung beabsichtige. Die Speicherung der Cookies erfolge hier durch Microsoft selbst, da der von dem Unternehmen bereitgestellte Code den Vorgang auslöse, sobald ein Nutzer eine entsprechende Webseite besuche. Microsoft hatte vor Gericht geltend gemacht, dass nach seinen allgemeinen Geschäftsbedingungen die Webseiten-Betreiber für die Einholung der Einwilligung verantwortlich seien. Dieses Argument ließ das OLG aber nicht gelten: Microsoft müsse selbst beweisen, dass die Endnutzer vor der Speicherung von Cookies auf ihren Endgeräten eingewilligt haben. Wie der Anbieter diesen Nachweis führe, obliege ihm. Microsoft müsse aber sicherstellen, dass diese Einwilligung vorliege.
Der Volltext der Entscheidung liegt noch nicht vor, es ist aber damit zu rechnen, dass weitere Klage folgen. Ob es – wie im Fall des Scraping-Vorfalls bei Facebook – zu massenhaften Verfahren kommen wird, bleibt abzuwarten.
Autor: Rechtsanwalt Marc Hügel