Zum Hauptinhalt springen

Verstoß: Unzulässige Datenverarbeitung

  • Beschreibung
    Die Berufungsklägerin war ein Werbeunternehmen, das Cookies zur Zählung von Besucherzahlen für die Websites Dritter anbietet. Das Gericht hielt die erstinstanzliche Entscheidung nach einem Unterlassungs- und Schmerzensgeldanspruch auch gegen das Werbeunternehmen.
  • Aktenzeichen
    OLG Frankfurt, Urteil vom 11.12.2025 - 6 U 81/23
  • Kategorie(n)
    Werbung und Tracking
  • Betrag
    100 €

Tenor

 

    I. Auf die Berufung der Beklagten wird das am 27.04.2023 verkündete Urteil des Landgerichts Frankfurt am Main (2-03 O 357/22) unter Zurückweisung des weitergehenden Rechtsmittels teilweise abgeändert und klarstellend wie folgt neu gefasst:

    1. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung fälligen Ordnungsgeldes von bis zu 250.000 Euro, und für den Fall, dass dieses nicht beigetrieben werden kann, einer Ordnungshaft oder einer Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall Ordnungshaft bis zu zwei Jahren, diese zu vollziehen an ihren gesetzlichen Vertretern, zu unterlassen,

    ohne informierte Einwilligung des Klägers auf dessen Endeinrichtungen wie PC, Tablet, Laptop oder Telefon Cookies und ähnliche Technologien einzusetzen, Identifikatoren auf seinen Endeinrichtungen zu speichern oder aus diesen Endeinrichtungen auszulesen, um das Verhalten des Klägers im Internet für die Auswertung zum Zwecke zielgerichteter Werbung zu verfolgen bzw. verfolgen zu lassen, wenn dies geschieht wie in Anlage K 2 festgestellt und wie folgt ersichtlich:    [Abbildung]

    2. Die Beklagte wird verurteilt, an den Kläger 100.-- € zu zahlen.

    3. Im Übrigen wird die Klage abgewiesen.

    II. Von den Kosten des Rechtsstreits tragen die Beklagte 10/13 und der Kläger 3/13.

    III. Das Urteil und das angegriffene Urteil sind vorläufig vollstreckbar. Die Beklagte kann die Vollstreckung durch Sicherheitsleistung in Höhe von 13.000 € abwenden, wenn nicht der Kläger vorher Sicherheit in gleicher Höhe leistet.

    IV. Die Revision wird für die Beklagte zugelassen.

    V. Der Streitwert wird auf 13.000,-- € festgesetzt.

 

Gründe

    I.

    Die Parteien streiten über die Zulässigkeit der Speicherung und des Auslesens von Cookies durch die Beklagte zu werblichen Zwecken auf bzw. von Endgeräten des Klägers ohne dessen Einwilligung. Dem Verfahren ist ein Eilverfahren vor dem 19. Zivilsenat vorangegangen.

    Bei der Beklagten handelt es sich um ein Technologie- und Analyseunternehmen mit Sitz in Stadt1. Sie hat eine Niederlassung in der Straße1 in Stadt2.

    Am 22.03.2022 besuchte der Kläger verschiedene, in der Klageschrift näher bezeichnete Webseiten. Ob, in welchem Umfang und zu welchem Analysezweck die Beklagte im vorliegenden Fall auf Endeinrichtungen des Klägers Cookies setzte, steht in Streit. Der Kläger beauftragte einen Privatgutachter, Herrn Z mit der Begutachtung der Zugriffe durch Werbeplattformen auf sein Endgerät.

    Der Kläger ließ die Beklagte unter dem 22.04.2022 abmahnen und zur Abgabe einer strafbewehrten Unterlassungserklärung auffordern. Der Kläger forderte die Beklagte auch zur unverzüglichen Auskunftserteilung über die personenbezogenen Daten des Klägers auf (Anlage K 5).

    Der Kläger hat behauptet, die Beklagte habe ohne Einwilligung auf seinen Endgeräten Cookies gesetzt. Zwischen den Parteien ist zudem streitig, ob die Cookie-Setzung (nur) zur Reichweitenmessung oder auch zu Werbezwecken erfolgt.

    Durch Urteil vom 27.04.2023 - auf das gem. § 540 I ZPO im Hinblick auf die tatsächlichen Feststellungen Bezug genommen wird - hat das Landgericht die Beklagte zur Unterlassung und Zahlung von 1.500 € verurteilt. Zur Begründung hat das Landgericht ausgeführt, die internationale Zuständigkeit ergebe sich aus Art. 79 II DSGVO sowie die örtliche Zuständigkeit aus § 44 I BDSG. Es sei auch ein Rechtsschutzbedürfnis zu bejahen. Dies könne dem Kläger nicht mit dem Argument versagt worden, er könne die Cookies löschen und eigene Schutzmaßnahmen ergreifen um den Einsatz der Cookies zu verhindern. So wisse der Kläger schon nicht, welche kerngleichen Verletzungshandlungen die Beklagte über andere Webseiten begehe. Die Zulässigkeit der Klage scheitere auch nicht daran, dass der Kläger möglicherweise bewusst und in Kenntnis der technischen Gegebenheiten Webseiten besucht habe, um einen einklagbaren Fall zu generieren. Dies stelle kein rechtsmissbräuchliches Verhalten dar.

    Der Unterlassungsanspruch stehe dem Kläger aus §§ 1004, 823 II BGB i.V.m. § 25 I TDDSG zu. Die Beklagte sei passivlegitimiert. Sie habe zwar anders als der Webseitenbetreiber keinen unmittelbaren Einfluss auf die Gestaltung der nach § 24 TDDSG erforderlichen Einwilligung, sei aber gleichwohl Normadressat. Die Beklagte habe auch gegen § 24 TDDSG verstoßen, da sie Cookies ohne die erforderliche Einwilligung auf Endgeräten gesetzt habe. Die Beklagte habe sich zum klägerischen Vortrag insoweit nicht auf ein Bestreiten mit Nichtwissen zurückziehen können. Zudem stehe dem Kläger ein Anspruch auf Geldentschädigung i.H.v. 1500 € aus Art. 82 DSGVO zu. Auch ein pseudonymisiertes Datum müsse als personenbezogenes Datum gewertet werden. Für die Geldentschädigung in der zuerkannten Höhe sei ausreichend, dass der Kläger daran gehindert sei, die Verarbeitung seiner ihn betreffenden Daten zu kontrollieren. Zudem sei der Verstoß zu kommerziellen Zwecken erfolgt.

 

    Hiergegen richtet sich die Berufung der Beklagten, mit der sie ihren erstinstanzlichen Klageabweisungsantrag weiterverfolgt. Zu Unrecht sei das Landgericht von einem Rechtsschutzbedürfnis ausgegangen. Der Kläger könne sein Rechtsschutzziel mittels technischer Maßnahmen wie z.B. der Blockade von Drittanbieter-Cookies leichter erreichen. Zudem bestehe auch die Möglichkeit, sich vorrangig an die zuständige Datenschutzaufsichtsbehörde zu wenden. Dies gelte vor allem, da der Kläger offensichtlich generalpräventive Absichten verfolge. Im Übrigen ergebe sich sein Rechtsmissbrauch daraus, dass der Kläger nach demselben Muster gegen mindestens drei weitere Unternehmen vorgegangen sei. Dies impliziere, dass er das Internet gerade systematisch nach Webseiten mit vermeintlichen Rechtsverstößen durchsuche und dazu den Netzwerkverkehr protokolliere. Ein Rechtsmissbrauch sei schließlich auch darin zu sehen, dass der Kläger die angeblichen Beweismittel (HR-Dateien) für die Beklagte zunächst nur über einen Link bereitgestellt habe, welcher unmittelbar vor Klageerhebung deaktiviert worden sei.

    Die Beklagte betreibe keine Werbeplattform und auch die von ihr eingesetzten Technologien würden von ihr nicht zu Werbezwecken verwendet werden. Die Beklagte biete in Deutschland lediglich Werkzeuge zum Besucherzählen an. Mit diesen könne ein Webseitenbetreiber auf der Basis aggregierter Daten ohne Bezug zu einem individuellen Nutzer feststellen, welche Reichweite seine Webseite habe. Die Beklagte nutze die erhobenen Daten in Deutschland auch nicht für Werbezwecke. Sie teile auch keine Informationen über individuelle Internetnutzer mit Dritten und nicht einmal mit den Webseitenbetreibern.

    Ein Unterlassungsanspruch scheitere schon daran, dass im Anwendungsbereich der DSGVO aufgrund der Vollharmonisierung ein Unterlassungsanspruch aus rechtlichen Gründen nicht bestehe. Im Übrigen sei die Beklagte weder Täterin noch Störerin, so dass für sie tatsächlich unmöglich sei sicherzustellen, dass eine wirksame Einwilligung eingeholt werde. Auch die Implementierung des TC-Frameworks führe nicht zu einer Manipulationssicherheit. Dass die Beklagte als Drittanbieterin § 25 TDDDG faktisch nicht umsetzen könne, zeige, dass sie nach Sinn und Zweck des § 25 TDDDG nicht in den Adressatenkreis der Norm fallen könne. Im Übrigen habe die Beklagte wirksam bestritten, dass Cookies gesetzt worden seien. Sie habe mangels der HR-Datei bereits nicht den Klagevortrag und die Grundlage des Parteigutachtens prüfen können. Zudem habe der Kläger nicht bewiesen, dass er beim Webseitenbesuch nicht eingewilligt habe. In rechtlicher Hinsicht stelle schließlich die Reichweitenmessungen ein berechtigtes Interesse dar, das eine Einwilligung nicht erforderlich mache.

    Der Schadensersatzanspruch sei deutlich übersetzt.

 

    Die Beklagte beantragt:

    Auf die Berufung der Beklagten wird das Urteil des Landgerichts Frankfurt am Main vom 27.04.2023, Az. 2-03 O 357/22 abgeändert und die Klage abgewiesen.

 

    Der Kläger beantragt,

    die Berufung mit der Maßgabe zurückzuweisen, dass die Formulierung „zu werblichen Zwecken“ durch die Formulierung „für die Auswertung zum Zwecke zielgerichteter Werbung“ ersetzt werden soll.

    Er verteidigt das erstinstanzliche Urteil.

 

    Der Senat hat gem. § 144 I 2 ZPO die Vorlage der HAR-Datei angeordnet, die vom Kläger zur Akte gereicht worden ist. Weiter hat der Senat den Kläger gem. § 141 ZPO informatorisch angehört; auf das Protokoll der mündlichen Verhandlung vom 02.10.2025 wird insoweit Bezug genommen.

 

    II.

    Die zulässige Berufung der Beklagten hat nur im Hinblick auf den Schadensersatzanspruch sowie den Feststellungsantrag Erfolg. Hinsichtlich des Unterlassungsantrages bleibt die Berufung ohne Erfolg.

    1. Die - auch im Berufungsverfahren von Amts wegen zu prüfende - internationale Zuständigkeit hat das Landgericht zu Recht auf Art. 79 II DSGVO gestützt.

    Danach kann eine Klage gegen einen Verantwortlichen wahlweise im Niederlassungsland des Verantwortlichen oder im Land des gewöhnlichen Aufenthalts der betroffenen Person erhoben werden. Zwar betrifft der Anspruch des Klägers hier nicht unmittelbar die DSGVO; der Kläger stützt sich vielmehr auf einen Verstoß gegen das TDDDG. Nach dem 146. Erwägungsgrundes liegt ein Verstoß gegen die Datenschutz-Grundverordnung indes nicht nur dann vor, wenn gegen diese selbst verstoßen wurde. Erfasst werden vielmehr auch delegierte Rechtsakte, Durchführungsrechtsakte sowie Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der Datenschutz-Grundverordnung. Der Anwendungsbereich der Klage nach Abs. 1 reicht damit hinein ins nationale Recht (BeckOK DatenschutzR/Mundil, 49. Ed. 1.2.2024, DS-GVO Art. 79 Rn. 4).

    „Präzisierungen“ in diesem Sinne stellen sämtliche Regelungen dar, die Regelungsaufträge der Datenschutz-Grundverordnung umsetzen oder Regelungslücken ausfüllen oder ergänzen (Paal/Pauly/Martini Rn. 20; BeckOK DatenschutzR/Mundil, 49. Ed. 1.2.2024, DS-GVO Art. 79 Rn. 4). Das TDDDG stellt eine solche Präzisierung dar.

    Andernfalls wäre - da es sich um eine unerlaubte Handlung handelt - jedenfalls der deliktische Gerichtsstand des Art. 7 Nr. 2 EuGVVO eröffnet. Der Verstoß gegen § 25 TDDDG stellt eine unerlaubte Handlung dar, für die nach Art. 7 Nr. 2 EuGVVO ein Gerichtsstand vor dem Gericht des Ortes, an dem das schädigende Ereignis eingetreten ist, begründet ist. „Eingetreten“ ist das Ereignis nicht nur am Handlungsort, sondern auch am Erfolgsort, also an demjenigen Ort, an dem beim gewöhnlichen Verlauf die Verletzung des primär geschützten Rechtsguts eintritt (EuGH EuZW 2020, 724 Rn. 26 - Diesel; EuGH 2019, 792 Rn. 28 - Tibor-Trans; NJW 2009, 3501 - Zuid-Chemie; OLG Frankfurt EuZW 2010, 918). Dies ist hier der Wohnsitz des Klägers in Deutschland.

    Hieraus folgt auch die örtliche Zuständigkeit. Eine Prüfung der örtlichen Zuständigkeit des Erstgerichts findet zwar nach § 513 II ZPO grundsätzlich auch dann nicht statt, wenn die internationale Zuständigkeit der deutschen Gerichte zu prüfen ist. Allerdings regelt sowohl Art. 7 II EuGVVO auch die örtliche Zuständigkeit, die der Senat hier nach obigen Ausführungen bejaht. Art. 79 II DSGVO hingegen betrifft nur die internationale Zuständigkeit, während sich die örtliche Zuständigkeit nach nationalem Recht richtet (Gola/Heckmann/Werkmeister DS-GVO Art. 79 Rn. 10). Hier würde § 513 II ZPO greifen.

 

    2. Der Zulässigkeit der Klage steht nicht ein fehlendes Rechtschutzbedürfnis des Klägers entgegen.

    Die Beklagte kann den Kläger nicht darauf verweisen, dass er die Cookie-Setzung mit technischen Möglichkeiten des Internet-Browsers verhindern könnte. Ebenso wenig wie einem Hauseigentümer bei Inanspruchnahme von Rechtsschutz gegen einen Eindringling entgegengehalten werden könnte, er möge seine Fenster vergittern, kann dem Kläger gerichtliche Hilfe mit dieser Begründung versagt werden. Das Landgericht hat dieser Argumentation zu Recht entgegengehalten, es sei im Übrigen unklar, auf welchen weiteren Seiten die Beklagte Cookies setze. Das Argument der Beklagten, der Kläger könne ja auf den Besuch der entsprechenden Internetseiten verzichten, verdient keine weitere Beachtung, da der Kläger dann gar keine Internetseite mehr besuchen könnte.

    Soweit die Beklagte darauf verweist, der Kläger könne bei den Datenschutzaufsichtsbehörden die von ihm gewollte „grundsätzliche“ Klärung erreichen, steht diese Möglichkeit seinem Rechtsschutzbedürfnis nicht entgegen. Die explizite Koexistenz von gerichtlichen Rechtsbehelfen gegen den Verantwortlichen bzw. Auftragsverarbeiter und der Eingriffsbefugnis der Aufsichtsbehörde ermöglicht den betroffenen Personen, selbst zu entscheiden, wie und auf welchem Wege sie ihre Rechte aus der DSGVO geltend machen wollen. Mit Art. 79 gibt die DSGVO - ähnlich wie zuvor Art. 22 DSRL - dem Betroffenen ein Recht auf wirksamen gerichtlichen Rechtsbehelf gegen den Verantwortlichen/Auftragsverarbeiter. Die Norm flankiert das materielle Datenschutzrecht durch prozessuale Sicherungsregelungen und stellt es in die Wahlfreiheit des Einzelnen, statt/neben der Beschwerde an eine Aufsichtsbehörde unmittelbar gerichtlich gegen den Datenverarbeiter vorzugehen (Terhechte EU-VerwR/Alexander Benecke/Indra Spiecker genannt Döhmann, 2. Aufl. 2022, § 23 Rn. 80).

 

    3. Schließlich hat das Landgericht hat auch einen Rechtsmissbrauch zu Recht verneint.

    Das zielgerichtete Generieren von Verstößen ist ebenso wie der Testkauf grundsätzlich nicht beanstanden (vgl. zum Testkauf schon BGH NJW 1965, 1661 - Lockspitzel). Der Kläger ist insoweit nicht „agent provocateur“, sondern dokumentiert nur, wie sich die grundsätzlich handlungsbereite Beklagte verhalten hat. Genauso wie den Kläger hätte die Beklagte jeden anderen behandelt.

    Die Tatsache schließlich, dass der Kläger vier weitere Unternehmen wegen eines gleichartigen Verstoßes in Anspruch genommen hat, lässt nicht den Schluss darauf zu, er verfolge sachfremde Motive.

    4. Das Landgericht hat zu Recht einen Unterlassungsanspruch aus §§ 1004, 823 II BGB i.V.m. § 25 I TDDDG / TTDSG bejaht.

    a) § 25 TTDSG, auf den das Landgericht sein Urteil gestützt hat, ist durch mit Wirkung vom 14.05.2024 durch § 25 TTDSG ersetzt worden. Inhaltliche Änderungen sind damit nicht verbunden, da die Norm wortlautidentisch übernommen wurde. Die Rechtsprechung und Literatur zu § 25 TTDSG ist damit weiter verwendbar.

 

    b) § 25 TDDDG ist Schutznorm im Sinne von § 823 II BGB.

    Gemäß §§ 823 II 1, 1004 BGB ist derjenige zur Unterlassung verpflichtet, welcher gegen ein den Schutz eines anderen bezweckenden Gesetzes verstößt, wobei die für den zukunftsgerichteten Unterlassungsanspruch erforderliche Wiederholungsgefahr durch den einmal erfolgten Verstoß indiziert wird. Schutzgesetz iSv § § 823 II BGB ist eine Rechtsnorm, die nicht nach ihrer Wirkung, sondern allein nach ihrem Zweck und ihrem Inhalt zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen (stRspr.: BGH NJW 2022, 3156 Rn. 9 m.w.N.).

    Nach §§ 25 I, II 1 TDDDG ist es jedem Anbieter von elektronischen Informations- und Kommunikationsdiensten in Deutschland verboten, Informationen in der Endeinrichtung eines Endnutzers zu speichern oder auf diese Informationen zuzugreifen, wenn nicht der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Vorschrift setzt Art. 2 Ziff. 5 der Richtlinie 2009/136/EG, der sog. Cookie-Richtlinie um. Gemäß Erwägungsgrund 66 der Richtlinie kann das Speichern von Informationen auf den Endeinrichtungen eines Nutzers von legitimen Gründen wie bei manchen Arten von Cookies bis hin zum unberechtigten Eindringen in die Privatsphäre reichen. Daher sei es von größter Wichtigkeit, dass den Nutzern klare und verständliche Informationen bereitgestellt würden, wenn sie irgendeine Tätigkeit ausführen würden, die zu einer solchen Speicherung führen könnten. Die Vorschrift des § 25 I TDDDG dient folglich ihrem wortlautmäßigen Inhalt und ihrem Zweck nach dem Schutz der Privatsphäre des Endnutzers und letztendlich dem Grundrecht auf informationelle Selbstbestimmung. Daneben dient sie auch dem Schutz des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (BeckOK IT-Recht/Sesing-Wagenpfeil, 19. Ed. 1.4.2025, TTDSG § 25 Rn. 7).

 

    c) Der räumliche Anwendungsbereich des TDDDG ist eröffnet.

    Das TDDDG knüpft in § 1 III hierbei alternativ an das Bestehen einer Niederlassung, die Erbringung bzw. die Mitwirkung an der Erbringung von Dienstleistungen oder die Bereitstellung von Waren auf dem Markt im Geltungsbereich des TDDDG an. Zugleich bringt die Bestimmung des Abs. 3 S. 2, wonach § 3 DDG unberührt bleibt, einen vom Gesetzgeber angestrebten Vorrang des Herkunftslandprinzips zum Ausdruck (vgl. BT-Drs. 19/27441, 34). Die Bedeutung der Anordnungen des Abs. 3 S. 1 ist in diesem Lichte zu betrachten.

    Die zweite und die dritte Alternative der Vorschrift sollen ausweislich der Gesetzesbegründung die Geltung des Marktortprinzips nach dem Vorbild der DSGVO bewirken (BT-Drs. 19/27441, 34). Dieses gilt - worauf der Gesetzgeber zu Recht hinweist - für die Verarbeitung personenbezogener Daten ohnehin; da das TDDDG jedoch nicht ausschließlich Regelungen zur Verarbeitung personenbezogener Daten enthält, soll das Marktortprinzip auch im Übrigen Geltung beanspruchen.

    Dass die Beklagte auf dem deutschen Markt Dienstleistungen anbietet, ist unstreitig und ergibt sich im Übrigen aus der Tatsache, dass sie in Deutschland über eine Niederlassung verfügt.

 

    d) Entgegen der Auffassung der Beklagte schließt das TDDDG einen Unterlassungsanspruch nach bürgerlichem Recht nicht aus.

    Der Umstand, dass im 4. Teil des TDDDG Verstöße lediglich mit Straf- und Bußgeldvorschriften sanktioniert sind und lediglich Zuständigkeiten und Befugnisse des Bundesdatenschutzbeauftragten und der Bundesnetzagentur geregelt werden, schließt privatrechtliche Ansprüche und Rechtsbehelfe nicht aus. Die Cookie-Richtlinie verlangt nämlich zu ihrer Umsetzung wirksame, verhältnismäßige und abschreckende Sanktionen einschließlich strafrechtlicher Sanktionen. Außerdem verlangt sie, dass die zuständigen nationalen Behörden und andere nationale Stellen mit ausreichenden Befugnissen ausgestattet werden, um Verstöße zu ahnden.

    Soweit die Beklagte eine Sperrwirkung des Art. 79 DSGVO annimmt, kann dahinstehen, ob diese auch für gesamte TDDDG gelten würde, da Grundlage jedenfalls für § 25 TDDDG Art. 5 III der ePrivacy-Richtlinie ist. Im Übrigen ist nach der Rechtsprechung des EUGH ein nach nationalem Recht bestehender Unterlassungsanspruch mit Art. 79 DSGVO vereinbar (EuGH NJW 2025, 3137).

 

    e) Entgegen der Auffassung der Beklagten ist sie auch Verpflichtete des § 25 TDDDG.

    Die Verpflichtung nach § 25 TDDDG ist nicht auf „Anbieter“ beschränkt wie andere Verpflichtungen des TDDDG (zB § 19); § 25 TDDDG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendiensts sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (Erwägungsgrund 66 S. 1 Cookie-RL), die üblicherweise nicht von Telemedienangeboten ausgehen (VG Köln, Urteil vom 17.07.2025, 13 K 1419/23, GRUR-RS 2025, 17335, Rnr. 80 ff.; Gierschmann/Baumgartner/Hanloser, 2023, TDDDG § 25 Rn. 42; HK-TDDDG/Schneider, 2022, TDDDG § 25 Rn. 17; BeckOK IT-Recht/Sesing-Wagenpfeil, 20. Ed. 1.10.2025, TTDSG § 25 Rn. 41-51).

    Adressat des § 25 I 1 TDDDG ist daher jede natürliche oder juristische Person, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind (VG Köln Urt. v. 17.7.2025 - 13 K 1419/23, GRUR-RS 2025, 17335 Rn. 82).

    Im Übrigen wäre die Beklagte auch als „Anbieterin“ iSv § 2 II Nr. 1 TDDDG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt - wobei der Begriff des „Mitwirkenden“ alle Arten von Hilfeleistung erfassen soll (HK-TDDDG/Assion, 1. Aufl. 2022, TDDDG § 2 Rn. 16-18) - oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. § 2 II Nr. 1 TDDDG liegt ein funktionales Verständnis zu Grunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TDDDG führt (Gierschmann/Baumgartner/Baumgartner, 1. Aufl. 2023, TDDDG § 2 Rn. 13), so z.B. auch der Hosting-Provider. Daher ist auch die Beklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch die Setzung der Cookies mitwirkt.

    Der Ansicht des Senats steht - entgegen der Auffassung der Beklagten - nicht entgegen, dass Verfahren auf Grundlage von § 25 TDDDG (bzw. § 25 TTDSG) bisher nur gegen Webseitenbetreiber geführt worden sein sollen. Dass für ein Verstoß gegen § 25 TDDDG auch der Webseitenbetreiber verantwortlich sein kann, wird vom Senat nicht in Frage gestellt. Dies schließt allerdings nicht aus, dass auch eine Verantwortlichkeit der Beklagten besteht. Auch die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ stehen - unabhängig von der rechtlichen Unverbindlichkeit für den Senat - dem nicht entgegen, weist doch die Beklagte selber darauf hin, dass sich diese Hinweise „vor allem“ an Telemedienanbieter richten soll und eben nicht nur an diese.

    Dies steht auch nicht in Widerspruch zu Art. 5 III der Cookie-Richtlinie, die durch § 25 TDDDG umgesetzt wird. Ebenso wie das TDDDG unterscheidet auch die Cookie-Richtlinie zwischen Pflichten, die gegenüber jedermann gelten und Pflichten, die nur Diensteanbieter betreffen sollen. Soweit im „Planet49“-Urteil des EuGH (MMR 2019, 732) im dritten Leitsatz der Begriff des „Diensteanbieters“ auftaucht, kann dies die Auslegung von Art. 5 III der Cookie-Richtlinie nicht beeinflussen. Leitsätzen kommt schon kein rechtlicher Charakter zu, der für die Auslegung einer Norm relevant wäre. Im Übrigen hat sich der EuGH in der Entscheidung an keiner Stelle mit der Frage der Anwendbarkeit von Art. 5 III der Cookie-Richtlinie auf Diensteanbieter befasst. Dass der Leitsatz gleichwohl auf einen Diensteanbieter Bezug nimmt, lässt sich zwangslos durch die Tatsache erklären, dass im Ausgangsverfahren eben ein Diensteanbieter beteiligt war.

 

    f) Die Speicherung von Cookies ohne Einwilligung des Klägers auf dessen Endgerät stellt einen Verstoß gegen § 25 I TDDDG dar.

    (1) Bei den streitgegenständlichen „Cookies“ handelt es sich um Informationen im Sinne von § 25 I TDDDG. Soweit die Beklagte darauf hinweist, es würden nur die IP-Adresse (anonymisiert), die Device-/Cookie-ID (Pseudonymisiert), der Besuchszeitpunkt sowie der verwendete Browser gespeichert, steht dies der Anwendung von § 25 TDDDG nicht entgegen. Der Begriff der Information wird im TDDDG nicht näher konturiert. Die Literatur verweist darauf, dass der Begriff umfassend zu verstehen sei (Schwartmann/Jaspers/Eckhardt/Burkhardt/Reif/Schwartmann Rn. 21; Plath/Piltz Rn. 38; Sebisch DSRITB 2022, 243, 250), sodass jegliche Information von der Vorschrift erfasst werde (Schürmann/Guttmann K&R 2023, 246, 247; Säcker/Körber/Werkmeister Rn. 15). Insbesondere auf einen Personenbezug der Information kommt es nicht an (Baumgartner/Hansch ZD 2020, 435, 437; Golland NJW 2021, 2238, 2239; Haberer MMR 2020, 810, 812; Hanloser ZD 2021, 121; Nebel CR 2021, 666, 670; HK-TDDDG/Schneider Rn. 23; Schürmann/Guttmann K&R 2023, 246, 247; Sebisch BeckOK IT-Recht/Sesing-Wagenpfeil, 16. Ed. 1.10.2024, TDDDG § 25 Rn. 22).

 

    (2) Der Senat hat davon auszugehen, dass beim Besuch mehrerer Internetseiten Cookies der Beklagten ohne Einwilligung des Klägers auf dessen Endgerät gespeichert worden sind. Den entsprechenden Vortrag des Klägers hat die Beklagte nicht substantiiert bestritten.

 

    aa) Der Kläger hat unter Vorlage ihres Privatgutachtens im Einzelnen dargetan, welche Internetseiten er besucht hat und dass im Anschluss die Cookies der Beklagten auf seinem Rechner gespeichert waren, ohne dass er dazu seine Einwilligung erteilt hatte. Darüber hinaus hat er mithilfe des Privatgutachtens dargestellt, wie dies festzustellen ist und insbesondere wie der Vorgang überprüfbar nachvollzogen werden kann, was der Privatgutachter getan hat und was die Beklagte ohne weiteres selbst überprüfen kann. Damit handelt es sich bei dem Vortrag des Klägers um Tatsachen, die Gegenstand der Wahrnehmung der Beklagten sein können, so dass sich die Beklagte vollständig und wahrheitsgemäß über die Darlegung des Klägers erklären müsste, wenn sie den gegnerischen Vortrag bestreiten wollte (§ 138 ZPO), ohne dass sie dafür die HAR-Datei der Beklagten benötigen würde.

    Zudem hat der Kläger auf den Beschluss des Senats nach § 144 ZPO die HAR-Datei vorgelegt. Dieses neue Angriffsmittel war auch nicht nach § 531 I ZPO verspätet; es war vielmehr nach § 531 II Nr. 2 ZPO zuzulassen, da es infolge eines Verfahrensmangels im ersten Rechtszug nicht geltend gemacht wurde. Die Bestimmung des § 531 II Nr. 2 ZPO erfasst die Fälle, in denen eine Partei aufgrund eines objektiven Verfahrensfehlers des Erstgerichts Angriffs- und Verteidigungsmittel nicht vorgebracht hat. Darunter fällt insbesondere der Fall, dass nach § 139 gebotene Hinweise unterbleiben (BGH NJW 2004, 2152; BGH NJW 2018, 2202), sei es in Gestalt eines erforderlichen Hinweises nach § 139 I 2 ZPO zur Ergänzung und Vervollständigung des Vorbringens (BGH NJW 2005, 2624) oder eines Hinweises nach § 139 II ZPO, wenn das Erstgericht seine Entscheidung auf einen von der Partei erkennbar übersehenen Gesichtspunkt stützt (BGH NJW-RR 2005, 213; BeckOK ZPO/Wulf/Gaier, 58. Ed. 1.9.2025, ZPO § 531 Rn. 18). Hier hätte das Landgericht nach § 139 ZPO darauf hinweisen müssen, dass der Kläger zu Substantiierung seines Vortrags die HAR-Datei hätte vorlegen müssen. Auch eine Verspätung nach § 296 II ZPO liegt aus den gleichen Gründen nicht vor; eine grobe Nachlässigkeit ist nicht erkennbar.

 

    bb) Dem ist die Beklagte nicht substantiiert entgegengetreten.

    Soweit sie ausgeführt hat, die HAR-Datei weise keinerlei Bezug zum Kläger auf und zeige insbesondere nicht die IP-Adresse des Klägers, sondern lediglich isolierte Netzwerkanfragen an Server ohne die ausgehende IP-Adresse ist der Senat nach der informatorischen Anhörung des Klägers davon überzeugt, dass es sich um die Aufzeichnung des Netzwerkverkehrs des Klägers handelt. Der Kläger hat in seiner informatorischen Anhörung vor dem Senat erklärt, die im Verfahren vorgelegte HAR-Datei sei von ihm persönlich auf seinem Rechner angefertigt worden. Sein Rechtsanwalt, Herr J, sei dabei virtuell anwesend. Dabei habe dieser ihm erklärt, wie es funktioniere, eine solche HAR-Datei anzufertigen. Diese habe er anschließend an Herrn J übermittelt, wobei ihm nicht erinnerlich sei, ob dies per E-Mail geschehen oder wegen der Größe der Datei über einen Dienst. Es sei dann darüber informiert worden, dass wegen der HAR-Datei ein Gutachten eingeholt worden sei. Vor diesem Vorgang habe er seine Browser-Daten angeschaut und den Browser-Verlauf gelöscht; anschließend habe er die Seiten wieder angesteuert, die er in seinem Browser-Verlauf gehabt habe.

    Aufgrund des Ergebnisses der Anhörung, des persönlichen Eindrucks des Senats von dem Kläger sowie dem Inhalt des Sachverständigengutachtens hat der Senat keine Zweifel daran, dass die streitgegenständliche HAR-Datei bei dem Kläger aufgezeichnet worden ist.

    Dass die HAR-Datei als solche das Setzen von Cookies dokumentiert, stellt auch die Beklagte nicht in Frage. Sie hat ausgeführt, dass die HAR-Datei (lediglich) zeige, dass Cookies gesetzt wurden (EA Bl. 371). Dass die Websiteaufrufe von einer dem Kläger zuzuordnenden IP-Adresse erfolgt sind und dass die Cookies auf dem streitgegenständlichen Endgerät des Klägers gesetzt wurden, sieht der Senat - wie oben ausgeführt - als bewiesen an.

 

    (3) Es fehlt auch an der notwendigen Einwilligung des Klägers in die Cookie-Setzung. Die Beklagte rügt, das Landgericht habe verkannt, dass der Kläger nicht bewiesen habe, dass er nicht in die Cookie-Setzung eingewilligt habe. Dabei verkennt sie allerdings die Darlegungs- und Beweislast. Für die Einwilligung als für sie günstige Tatsache ist die Beklagte darlegungs- und beweisbelastet. Seiner sekundären Darlegungslast ist der Kläger insoweit durch die Darlegung der Abläufe und Vorlage des Gutachtens sowie der HAR-Datei nachgekommen, so dass nunmehr die Beklagte eine Einwilligung hätte beweisen müssen.

    Eine faktische Einwilligung dadurch, dass der Kläger die Cookies provoziert und damit jedenfalls als Zwischenschritt gewollt habe, liegt ersichtlich nicht vor. Das reine Besuchen der Internetseite ohne ausdrückliche Einwilligung kann nicht als Einwilligung auf der Grundlage von klaren und umfassenden Informationen im Sinne von § 25 I 1 TDDDG angesehen werden.

 

    (4) Entgegen der Auffassung der Beklagten ist die Speicherung auch nicht durch andere Gründe gerechtfertigt. Die beiden gesetzlichen Zugriffsermächtigungen aus § 25 II TDDDG regeln das einwilligungsfreie Speichern und Zugreifen abschließend. Ein Rückgriff auf die datenschutzrechtlichen Erlaubnistatbestände des Art. 6 I lit. b-f DSGVO zur Rechtfertigung eines Gerätezugriffs iSd § 25 I ist ausgeschlossen. Ein berechtigtes Interesse am Gerätezugriff analog Art. 6 I f DSGVO ist § 25 II ist unbekannt (Gierschmann/Baumgartner/Hanloser, 1. Aufl. 2023, TTDSG § 25 Rn. 91).

 

    g) Die Beklagte haftet insoweit auch für den Verstoß gegen § 25 I TDDDG als Täterin.

 

    (1) Die Frage, ob sich jemand als Täter, Mittäter, Anstifter oder Gehilfe in einer die zivilrechtliche Haftung begründenden Weise an einer deliktischen Handlung eines Dritten beteiligt hat, beurteilt sich nach den im Strafrecht entwickelten Rechtsgrundsätzen (vgl. BGH NJW 1975, 49; NJW 1984, 1226; GRUR 2011, 152, Rn. 30 - Kinderhochstühle im Internet I; GRUR 2011, 1018, Rn. 24 - Automobil-Onlinebörse; BGH GRUR 214, 883, Rn.13 - Geschäftsführerhaftung). Täter ist derjenige, der die Zuwiderhandlung selbst begeht (§§ 25 I StGB, 830 Abs. 1 BGB; BGH GRUR 2004, 860 - Internet-Versteigerung I; GRUR 2007, 708 - Internet-Versteigerung II; GRUR 2009, 597, Rn. 14 - Halzband; GRUR 2011, 152, 154, Rn. 30 - Kinderhochstühle im Internet; BGH GRUR 214, 883, Rn.13 - Geschäftsführerhaftung), indem er den objektiven Tatbestand einer Zuwiderhandlung selbst und adäquat kausal verwirklicht (BGH, GRUR 2016, 961, Rn. 32 - Herstellerpreisempfehlung bei Amazon).

 

    (2) Täter ist darüber hinaus in Anlehnung an die strafrechtlichen Kategorien (§ 25 I Alt. 2 StGB) der mittelbare Täter, der sich für den Rechtsverstoß als Hintermann gezielt eines unmittelbar handelnden Tatmittlers als Werkzeug bedient und so den Rechtsverstoß durch einen anderen begeht.

    Die mittelbare Täterschaft erfordert zum einen, dass der Hintermann die durch den Tatmittler vorgenommene Zuwiderhandlung im eigenen Interesse veranlasst hat, und zum anderen, dass der Hintermann die Kontrolle über das Handeln des Tatmittlers hat. Im Hinblick auf die zweite Voraussetzung, nämlich die Kontrolle im Sinne der Tatherrschaft, scheidet eine mittelbare Täterschaft jedenfalls dann aus, wenn der Tatmittler den betreffenden Verstoß seinerseits täterschaftlich - also mit eigener Kontrolle und Tatherrschaft über den Geschehensablauf - begangen hat und somit als Täter haftet. Einen „Täter hinter dem Täter“ gibt es grundsätzlich nicht.

    Der mittelbaren Täterschaft kommt allerdings nur ein potentiell sehr kleiner Anwendungsbereich zu. Denn für die Begründung einer eigenen Täterschaft reicht in den allermeisten Fällen der objektive Verstoß gegen eine Norm aus; Verschulden oder gar Vorsatz sind nicht erforderlich. Auch ein vorsatzlos handelnder Vordermann ist deshalb in aller Regel nicht nur Tatmittler, sondern selbst Täter, so dass der Hintermann nicht seinerseits als mittelbare Täter verantwortlich gemacht werden kann (Harte-Bavendamm/Henning-Bodewig/Goldmann, 5. Aufl. 2021, UWG § 8, Rnr. 462).

 

    (3) Danach ist die Beklagte hier als Täterin anzusehen: Nach dem unbestritten gebliebenen Vortrag des Klägers ist es die Beklagte, die die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer auch ohne deren Einwilligung speichert, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst wird. Darüber hinaus greift sie - was ebenfalls erstinstanzlich unstreitig geblieben ist - auf die hinterlegten Informationen zu, indem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lässt, nachdem diese die Informationen über die weiteren Webseitenbesuche des Nutzers auf den Endgeräten ausgelesen haben.

    Da die § 25 TDDG kein vorsätzliches Handeln erfordert, ist es für die Verwirklichung des Tatbestands unerheblich, ob und inwieweit die Beklagte von der fehlenden Einwilligung des Klägers Kenntnis hatte.

 

    (4) Die Beklagte kann nicht damit gehört werden, dass ihr der Umstand nicht ursächlich zugerechnet werden könne, dass Webseitenbetreiber entgegen der Allgemeinen Geschäftsbedingungen der Beklagten das Setzen von Cookies ohne Zustimmung des Endnutzers haben veranlassen lassen.

    Bei der fehlenden Einwilligung des Endnutzers, die erst den Verstoß gegen § 25 I TDDDG begründet, handelt es sich um ein negatives Tatbestandsmerkmal, das sich nicht durch ein positives Tun der Beklagten verwirklicht, sondern allein dadurch, dass sie selbst die Einholung der Einwilligung unterlässt und sich darauf verlässt, dass die jeweiligen Webseiten-Betreiber diese Einwilligung ordnungsgemäß eingeholt haben. Besteht das dem Verletzer vorgeworfene Verhalten in einem solchen Unterlassen, ist im Rahmen der normativ-kausalen Zurechnung zu fragen, ob eine pflichtgemäße Handlung den Eintritt der Rechtsgutsverletzung verhindert hätte (vgl. BGH, Urt.v.06.05.2021, I ZR 61/20, Rn. 27 - Die Filsbacher). Das ist hier der Fall. Denn nach der aus der Formulierung des § 25 I TDDDG herzuleitenden und in Art. 7 Abs. 1 DSGVO ausdrücklich geregelten Darlegungs- und Beweislastverteilung muss die Beklagte nachweisen, dass der Endnutzer vor der Speicherung der Cookies auf seinem Endgerät eingewilligt hat. Wie die Beklagte diesen Nachweis führen möchte, ist zunächst ihre Sache. Jedenfalls aber hat die Regelung über die Verteilung der Darlegungs- und Beweislast zur Folge, dass sie sicherstellen muss, dass ihr die Einwilligung des Endnutzers vom Webseitenbetreiber übermittelt wird, bevor sie ihre Cookies auf dem Gerät des Endnutzers speichert. Dadurch, dass sie dieses pflichtgemäße Handeln unterlässt, verwirklicht sie den Verstoß gegen § 25 I TDDDG adäquat-kausal.

 

    (5) Es fehlt auch nicht an der Adäquanz. Das Kriterium der Adäquanz dient im Rahmen der Feststellung des Zurechnungszusammenhangs dem Zweck, diejenigen Kausalverläufe auszugrenzen, die dem Verletzer billigerweise nicht mehr zugerechnet werden können. Im Deliktsrecht besteht ein adäquater Zusammenhang zwischen Tatbeitrag und Taterfolg, wenn eine Tatsache im Allgemeinen und nicht nur unter besonders eigenartigen, ganz unwahrscheinlichen und nach regelmäßigem Verlauf der Dinge außer Betracht zu lassenden Umständen zur Herbeiführung eines Erfolges geeignet ist. Hieran kann es fehlen, wenn der Verletzte oder ein Dritter in völlig ungewöhnlicher und unsachgemäßer Weise in den schadensträchtigen Geschehensablauf eingreift und eine weitere Ursache setzt, die den Schaden erst endgültig herbeiführt. Bei der Ermittlung der Adäquanz ist auf eine nachträgliche Prognose abzustellen, bei der neben den dem Verletzer bekannten Umständen alle einem optimalen Betrachter zur Zeit des Eintritts des Schadensereignisses erkennbaren Gegebenheiten zu berücksichtigen sind (BGH, GRUR 2016, 961, Rn. 34 - Herstellerpreisempfehlung bei Amazon m.w.N.).

    Dass es sich bei dem Setzen von Cookies ohne Einwilligung des Endnutzers auf den Webseiten Dritter keineswegs um einen besonders eigenartigen, ganz unwahrscheinlichen und nach dem regelmäßigen Verlauf der Dinge außer Betracht zu lassenden Umstand handelt, liegt auf der Hand. Im Gegenteil stellt es sogar ein naheliegendes und typisches Risiko dar, wenn die Beklagte Webseitenbetreibern ihren Quellcode zur Verfügung stellt, die damit datenschutzrelevante Prozesse unter Einbeziehung der Beklagten auslösen können, ohne dass die Beklagte in irgendeiner Weise kontrollieren kann, ob tatsächlich eine Einwilligung vorliegt oder sich dies jedenfalls von dem Beklagten durch Übermittlung der Einwilligung bestätigen lässt.

 

    (6) Ob der Beklagten ein solches pflichtgemäßes Verhalten durch entsprechende technische Vorkehrungen möglich ist, ist für die rechtliche Beurteilung des vorliegenden Falls irrelevant. Die Frage des technisch Möglichen kann allenfalls im Rahmen der Störerhaftung eine Rolle spielen, auf die es hier nicht ankommt. Im Übrigen ist schon nicht nachvollziehbar, wieso es der Beklagten nicht möglich sein soll, ihre Cookies erst dann auf den Endgeräten von Nutzern abzuspeichern, wenn ihr dessen Einwilligung übersandt worden ist. Hinzu kommt, dass der Gesetzgeber in § 26 TDDDG davon ausgeht, dass Dienste zur Einwilligungsverwaltung technisch und rechtlich möglich sind. Insofern beruft sich die Beklagte auch nur darauf, dass derzeit entsprechende Dienste noch nicht am Markt durchgesetzt sind. Das lässt die Anforderungen des § 25 I TDDDG jedoch unberührt.

 

    h) Soweit die Beklagte im Hinblick auf die Tenorierung „für die Auswertung zum Zwecke zielgerichteter Werbung“ rügt, die Beklagte betreibe keine Werbeplattform und verwende die eingesetzten Technologien nicht zu Werbezwecken, sondern nur zur Reichweitenmessung, ist dieses Argument nicht valide.

    Der Unterlassungsanspruch des Klägers besteht einschränkungslos, da § 25 TDDDG insoweit auch keine Einschränkung vorsieht. Die Speicherung ist nicht nur zu Werbezwecken, sondern grundsätzlich untersagt. Schränkt der Kläger mit dem Zusatz „zu Werbezwecken“ nun seinen Unterlassungsanspruch ein, mag er weniger verlangen, als ihm tatsächlich zustehen würde. Dies ist jedoch unschädlich.

 

    5. Das notwendige Feststellungsinteresse für den Schadensersatzfeststellungs-anspruch liegt nicht vor. Es ist nicht vorgetragen und erkennbar, wie dem Kläger in Zukunft durch die (pseudonymisierte) Cookie-Setzung noch ein materieller Schaden entstehen sollte.

 

    6. Der Kläger hat Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 I DSGVO in Höhe von 100.- €.

 

    a) Nach Erwägungsgrund 146 S. 5 der DSGVO soll - entgegen dem Wortlaut „gegen die Verordnung“ - auch ein Verstoß gegen die erlassenen delegierten Rechtsakte und Durchführungsrechtsakte sowie präzisierenden Rechtsvorschriften der Mitgliedstaaten ausreichen. Zahlreiche nationale Vorschriften, die über die DSGVO hinausgehen, sind als Präzisierung der Grundsätze des Art. 5 anzusehen sein, die dann die Haftung „nach der Verordnung“ auslösen. Jedenfalls aber besteht eine Haftung nach § 823 II i.V.m. § 25 TDDDG.

 

    b) Ein Verschulden liegt jedenfalls in Form der Fahrlässigkeit vor. Die Beklagte hat dritten die Möglichkeit überlassen, bei ihr ohne näher Prüfung der Einwilligung die Setzung von Cookies auf den Endgeräten Dritter auszulösen. Die rein vertragliche Zusicherung der Partner der Beklagten sind insoweit nicht ausreichend, um eine Fahrlässigkeit auszuschließen.

 

    c) Der Senat bemisst den Schaden in Ausübung des ihm nach § 287 ZPO zustehenden Ermessens auf 100,-- €.

    Nach der Rechtsprechung des Bundesgerichthofs zum Schadensersatz bei DSGVO-Verstößen kann ein allgemein eingetretener „Kontrollverlust“ in der Regel einen Betrag von 100,-- € rechtfertigen, soweit nicht Anhaltspunkte für einen höheren Schaden vorliegen. Das „Gefühl des Kontrollverlusts“ greift im vorliegenden Fall allerdings nicht, da nicht erkennbar ist, inwieweit der Kläger nachhaltig die Kontrolle über personenbezogene Daten verloren haben soll. Es handelt sich auch nicht um Daten wie Mailadresse oder Telefonnummern sondern „nur“ um anonymisierte (IP-Adresse) bzw. pseudonymisierte (so die Cookie-ID) Daten. Gleichwohl rechtfertigt das mit der Speicherung der Daten verbundene Gefühl des Überwachtwerdens einen Betrag in Höhe von 100.-- €.

    Ob eine Auswertung zu Werbezwecken stattgefunden hat, wie der Kläger behauptet, kann dahinstehen. Jedenfalls unter den besonderen Bedingungen des vorliegenden Falles kann dies keinen höheren Schadensersatzbetrag begründen. Der Kläger hat in einer einem Testkauf vergleichbaren Konstellation bewusst eine Situation herbeigeführt, in der er eine Setzung von Cookies veranlasst hat. Dies geht mit einer besonderen Aufmerksamkeit einher, die ein gewöhnlicher Nutzer nicht aufbringt. In dieser Situation war dem Kläger bewusst, dass er mit einfacher Löschung der Cookies jegliche weitere Nachverfolgbarkeit für die Beklagte verhindern konnte. Zwar wären in diesem Fall die - aggregierten - Daten auch weiterhin bei der Beklagten gespeichert geblieben. Ohne den bei dem Kläger gespeicherten Cookie waren diese Daten dem Kläger jedoch nicht mehr zuzuordnen. Aufgrund dieser Gesamtumstände sieht der Senat die Beeinträchtigung des Klägers als sehr gering an und schätzt den Schadensbetrag auf 100,-- €.

    Generalpräventive Aspekte haben nach der Rechtsprechung des EuGH (Urteil vom 4. Mai 2023, C-300/21) bei der Schadensbemessung außer Betracht zu bleiben.

 

    d) Soweit der Kläger den Schadensersatzanspruch auch darauf stützt, dass sein Auskunftsanspruch nicht erfüllt worden sei, ist umstritten, ob eine Verletzung von Art. 15 DSGVO einen Schadensersatzanspruch nach Art. 82 DSGVO begründen kann (vgl. Generalanwalt beim EuGH (Szpunar), Schlussantrag vom 18.09.2025 - C-526/24). Dies kann ebenso dahinstehen wie die Frage, ob ein Schadensersatzanspruch insoweit auf § 823 II BGB gestützt werden könnte, da insoweit von einem Gesamtschaden auszugehen ist, der mit 100,-- € hinreichend abgegolten ist.

 

    III.

    1. Die Kostenentscheidung folgt aus § 92 II ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit findet ihre Grundlage in §§ 708 Nr. 10 ZPO.

    2. Die Revision war nach § 543 II Nr. 1 ZPO wegen grundsätzlicher Bedeutung für die Beklagte zuzulassen.

    Die Zulassung der Revision kann sich auf eine Partei beschränken. Dies kann der Fall sein, wenn eine bestimmte Rechtsfrage Gegenstand des Rechtsstreits war, die das Berufungsgericht zum Nachteil nur einer Prozesspartei entschieden hat. Die Zulassung wirkt in diesem Fall nicht zugunsten der gegnerischen Partei, die das Urteil aus einem anderen Grund angreift.

    Die Frage der Reichweite der Haftung nach § 25 TDDDG hat für Anbieter von Cookie-Diensten grundsätzliche Bedeutung. Dies betrifft allerdings nur die Beklagte, da zu ihrem Nachteil die Anwendbarkeit von § 25 TDDDG bejaht wurde. Soweit zum Nachteil des Klägers entschieden wurde, ist ein Zulassungsgrund nicht erkennbar.

    3. Zu einer Vorlage an den Europäischen Gerichtshof war der Senat aufgrund der Zulassung der Revision nicht verpflichtet, da er kein letztinstanzliches Gericht im Sinne von Art. 267 III AEUV ist. Das ihm nach Art. 267 II AEUV zustehende Ermessen hat der Senat dahin ausgeübt, von einer Aussetzung und Vorlage abzusehen. Für den Senat stellt sich die europarechtliche Frage der Auslegung der Art. 5 III der Cookie-Richtlinie nicht als problematisch dar, da nach Ansicht des Senats europarechtliche Bedenken nicht bestehen und daher ein „acte claire“ vorliegt (vgl. oben).