Direkt zum Inhalt wechseln

Eine Entscheidung des Oberlandesgerichts Frankfurt am Main (Urteil vom 27.06.2024, Az. 6 U 192/23) zeigt einen neuen Rechtsdurchsetzungsansatz im Anwendungsbereich des TDDDG auf, der auch auf das allgemeine Datenschutzrecht ausstrahlen könnte. Das Urteil stellt eine eigene „Haftung“ von Microsoft in Fällen unzulässiger Cookie-Speicherungen auf Dritt-Webseiten im Rahmen von Microsoft Advertising fest.

Sachverhalt der Entscheidung

Der Entscheidung des OLG Frankfurt a.M. liegt ein einstweiliges Verfügungsverfahren aus Herbst vergangenen Jahres zugrunde. In dem Verfahren forderte eine Person von der irischen Microsoft-Tochtergesellschaft das Unterlassen des Speicherns von Cookies und anderen Technologien auf ihren Endeinrichtungen und das Auslesen aus diesen Endeinrichtungen ohne vorherige Einwilligung, um ihr Verhalten zu werblichen Zwecken zu verfolgen. Dies war auf verschiedenen Webseiten, die die Person aufgerufen hatte und auf welchen Tracking-Technologie von Microsoft implementiert war, geschehen.

Gegenständlich ging es dabei um „Microsoft Advertising“, dem Konkurrenzprodukt von Microsoft zu „Google Ads“. Mithilfe von Microsoft Advertising können Unternehmen zielgruppen- und interessenorientierte Werbung auf der Microsoft-Suchmaschine „Bing“ und anderen Webseiten innerhalb der Microsoft-Umgebung schalten sowie den Erfolg von Anzeigen und Werbekampagnen messen und auswerten. Die dafür erforderliche Erfassung des Surfverhaltens und von Aktivitäten von Personen erfolgt über Cookies und andere vergleichbare Technologien (bei Microsoft Advertising insbesondere der „UET-Tag“). Microsoft stellt seinen Kunden hierfür einen Code zur Verfügung, den diese auf ihren Webseiten einbinden konnten. Die Webseite-Betreiber werden durch die Nutzungsbedingungen für Microsoft Advertising von Microsoft verpflichtet, die erforderliche(n) Einwilligung(en) einzuholen (siehe Ziffer 9 Buchstabe b)).

Maßgeblicher Rechtsrahmen ist hierfür das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Nach § 25 Abs. 1 TDDDG erfordert das Speichern von Informationen in einer Endeinrichtung (§ 2 Abs. 2 Nr. 6 TDDDG) und der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, die vorherige informierte Einwilligung des Endnutzers. Die Einwilligung ist nach § 25 Abs. 2 Nr. 2 TDDDG nur dann entbehrlich, wenn eine unbedingte Erforderlichkeit für die Bereitstellung eines vom Endnutzer ausdrücklich gewünschten digitalen Dienstes vorliegt. Die Norm beruht auf der ePrivacy-Richtlinie (Richtlinie 2002/58/EG) und der sog. „Cookie-Richtlinie“ (Richtlinie 2009/136/EG, dort Art. 2 Ziff. 5) und dient dem Schutz der Endgeräteintegrität. Der Entscheidung des OLG Frankfurt a.M. lag noch das Vorgängergesetz TTDSG zugrunde, welches jedoch einen identischen § 25 enthielt. Erst die anschließenden Datenverarbeitungen von personenbezogenen Daten unterliegen dann den Regelungen der DSGVO.

Maßgebliche Erwägungen in den Entscheidungsgründen

Das Urteil beinhaltet in den Entscheidungsgründen eine Vielzahl an interessanten Ausführungen zu Fragestellungen rund um § 25 TDDDG im Kontext einer zivilrechtlichen Rechtsdurchsetzung, die bisher so noch nicht im Vordergrund gestanden haben. In der am 23.07.2024 veröffentlichten Pressemitteilung hatte das OLG Frankfurt a.M. die Entscheidung öffentlichkeitswirksam als (zivilrechtliche) „Haftung“ Microsofts für einwilligungsfreie Cookie-Speicherung über Webseiten Dritter bezeichnet.

Zunächst führt das Gericht aus, dass § 25 TDDDG als Schutzgesetz im Rahmen von § 823 Abs. 2 BGB einzustufen ist. Die Vorschrift diene nach Wortlaut und Zweck nicht nur „zumindest auch“, sondern sogar ausschließlich dem Schutz der Privatsphäre des Endnutzers und letztendlich dem Grundrecht auf informationelle Selbstbestimmung. Zudem schließt nach Auffassung des Gerichts das TDDDG zivilrechtliche Unterlassungsansprüche nach §§ 823 Abs. 2, 1004 BGB i.V.m. § 25 TDDDG nicht aus.

Den Verstoß gegen § 25 Abs. 1 TDDDG, d.h. das Setzen von nicht unbedingt erforderlichen Cookies ohne Einwilligung, konnte das Gericht, da Microsoft als Verfügungsbeklagte den substantiierten Vortrag der Verfügungsklägerin nicht wirksam bestritten hat, annehmen. Von zentraler Bedeutung ist hierbei, dass das Gericht in seinem Urteil festhält, dass auch Microsoft zum Adressatenkreis von § 25 TDDDG zählt. Die Verpflichtung sei nicht wie andere TDDDG-Vorschriften auf „Anbieter“ (vgl. § 2 Abs. 2 Nr. 1 TDDDG) beschränkt, sondern verbiete vielmehr „jedermann“ den Zugriff auf vernetzte Endeinrichtungen ohne vorherige Einwilligung. Der Tatbestand sei rein verhaltensbezogen formuliert und daher Normadressat derjenige Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Dies könne der Anbieter eines Digitalen Dienstes sein, aber ebenso auch andere Zugriffsinteressierte. Im Übrigen sei Microsoft auch als Anbieterin einzustufen, da Microsoft an der Erbringung der Digitalen Dienste der Webseiten-Betreiber durch das Setzen der Cookies mitwirke und daher dem weiten funktionalen Verständnis der Begriffsdefinition unterliege.

Für den Verstoß gegen § 25 TDDDG ist Microsoft nach den Entscheidungsgründen auch als Täterin anzusehen, da Microsoft die Speicherung der Cookies ohne Endnutzereinwilligung adäquat kausal verwirklicht hat. Die Speicherung erfolgt, sobald die entsprechende Anforderung durch den von Microsoft bereitgestellten Code auf der besuchten Webseite ausgelöst wird. Der Zugriff auf in den Endeinrichtungen gespeicherten Informationen findet in dem Moment statt, wenn Microsoft sich von den Webseite-Betreibern die Informationen zur Verfügung stellen lässt, nachdem diese die Informationen auf den Endgeräten ausgelesen haben. Der Umstand, dass die Webseiten-Betreiber entgegen den Vorgaben von Microsoft aus den Nutzungsbedingungen es unterlassen haben, eine Einwilligung einzuholen, entlastet Microsoft nach Ansicht des Gerichts nicht.

Zudem stellt das Gericht in den Entscheidungsgründen fest, dass auch kein atypischer und die Adäquanz ausschließenden Kausalverlauf vorliegt. Dies zeige sich bereits daran, dass Microsoft das Erfordernis der Einwilligung ausdrücklich und eingehend in den Nutzungsbedingungen behandle. Bei der fehlenden Einwilligung handle es sich um ein negatives Tatbestandsmerkmal, das sich nicht durch ein positives Tun verwirkliche, sondern allein dadurch, dass Microsoft selbst die Einholung der Einwilligung unterlässt und sich darauf verlasse, dass die Webseiten-Betreiber die Einwilligung ordnungsgemäß eingeholt haben. Eine pflichtgemäße Handlung seitens Microsofts in Form der Sicherstellung, dass die Einwilligung vom Webseiten-Betreiber übermittelt wird, bevor Cookies auf einem Endgerät gespeichert werden, würde den Eintritt der Rechtsgutverletzung verhindern. Hier stellt das Gericht unter Verweis auf die Einbindung der DSGVO-Vorgaben für eine informierte Einwilligung im Rahmen von § 25 Abs. 1 TDDDG auf die Rechenschaftspflicht aus Art. 7 Abs. 1 DSGVO und die daraus abzuleitende Darlegungs- und Beweislastverteilung ab. Die Frage, ob Microsoft eine entsprechende Nachweisführung technisch überhaupt möglich sei, ließ das Gericht offen. Dies sei allenfalls im Rahmen der Störerhaftung von Relevanz, auf die es im vorliegenden Sachverhalt jedoch nicht ankomme.

Auswirkungen der Entscheidung

Die Entscheidung rückt einen neuen Richtungsansatz der datenschutzrechtlichen Rechtsdurchsetzung ins Blickfeld. Auch im Rahmen von Cookies und vergleichbaren Technologien war insbesondere in Deutschland und in der aufsichtsbehördlichen Praxis die Rechtsdurchsetzungspraxis bisher sehr anwenderorientiert. Adressaten von Verwaltungsverfahren waren stets die Webseite-Betreiber. Neben deren weiterhin bestehender Verantwortlichkeit stehen nun aber auch die Anbieter von Diensten, zu deren Realisierung Cookies oder ähnliche Identifier eingesetzt werden, verstärkt im Fokus. Weitere gleichgelagerte Verfahren sind denkbar.

Handelt es sich bei den Anbietern zugleich auch um Gatekeeper im Sinne des Digital Markets Acts (Verordnung (EU) 2022/1925) ergibt sich eine vergleichbare und an das Setzen von Cookies oder anderen Identifier nachgelagerte Pflicht zum Einholen von Einwilligungen für daran anschließende Verarbeitungsvorgänge personenbezogener Daten, Art. 5 Abs. 2 S. 1 DMA. Auf diese Verpflichtung haben Google und auch Microsoft mit der Einführung des sog. und teilweise datenschutzrechtlich umstrittenen „Consent Mode“ reagiert.

Webseite-Betreibern ist anzuraten, die maßgeblichen Nutzungsbedingungen und sonstigen Vereinbarungen der Anbieter zu prüfen, um sicherzugehen, dass die zusätzlich zu gesetzlichen Vorgaben bestehenden vertraglichen Verpflichtungen eingehalten werden, um mögliche vertragliche Regressansprüche der Anbieter zu vermeiden.