Das Oberlandesgericht (OLG) Frankfurt am Main hat mit Urteil vom 27. Juni 2024 – 6 U 192/23 – entschieden, dass das Technologieunternehmen Microsoft bzw. seine Tochterfirma für die Speicherung von Cookies auf Endgeräten ohne Einwilligung der Nutzer haftet. Auch vertragliche Regelungen, die die Webseitenbetreiber zur Einholung der Einwilligung verpflichten, entlasten Microsoft nicht von der Verantwortung für die Datenschutzverletzungen.
Der Fall
Die Klägerin hatte Webseiten besucht, auf denen ohne Einwilligung Cookies zu Werbezwecken gesetzt wurden. Diese Cookies wurden im Rahmen des Microsoft Dienstes „Microsoft Advertising“ verwendet, der es Webseitenbetreibern ermöglicht, zielgerichtete Anzeigen zu schalten und den Erfolg von Werbekampagnen zu messen. Für diesen Zweck stellt Microsoft den Betreibern einen Code zur Verfügung, der auf den Webseiten integriert wird und das Setzen von Cookies auslöst. Auf die Programmierung der von der Klägerin besuchten Webseiten hatte Microsoft keinen Einfluss und auch keinen Zugriff auf die Server der Webseitenbetreiber. Microsoft verpflichtet die Betreiber der Webseiten vertraglich dazu, für die erforderlichen Einwilligungen zu sorgen.
Im Wege des einstweiligen Rechtsschutzes wurde es Microsoft zunächst untersagt, ohne informierte Einwilligung der Klägerin auf deren Endeinrichtungen wie PC, Tablet Cookies und ähnliche Technologien einzusetzen, insbesondere Identifikatoren auf ihren Endeinrichtungen zu speichern oder aus diesen Endeinrichtungen auszulesen, um das Verhalten der Klägerin im Internet zu werblichen Zwecken zu verfolgen bzw. verfolgen zu lassen. Das Landgericht (LG) Frankfurt hob die einstweilige Verfügung auf. Es war der Ansicht, dass der Klägerin ein Verfügungsgrund fehle.
Die Klägerin legte gegen das Urteil des LG Frankfurt Berufung ein. Sie war der Meinung, dass es sich bei dem begehrten Titel um eine Unterlassungsverfügung handele, die gerade keinen Fall der Leistungsverfügung darstelle, von der das LG Frankfurt ausgegangen sei. Dass diese auch Handlungspflichten auslösen könne, stehe dem nicht entgegen. Auch werde der unionsrechtliche Effektivitätsgrundsatz verfehlt. Jedenfalls falle die Interesseabwägung zugunsten der Verfügungsklägerin aus, da es kein Recht auf die Ausübung eines rechtswidrigen Geschäftsmodells geben könne. Zudem müsse die Verfügungsklägerin mit der Ungewissheit des Verbleibs ihrer Daten, dem damit einhergehenden Kontrollverlust und der Angst vor einer Weitergabe an unbefugte Dritte leben.
Die Entscheidung
Das OLG Frankfurt urteilte zugunsten der Klägerin und verpflichtete Microsoft, das Setzen von Cookies ohne ausdrückliche Einwilligung zu unterlasen. Das Gericht führte aus, dass die vertraglichen Regelungen zwischen Microsoft und den Webseitenbetreibern nicht ausreichen, um Microsoft von der Haftung zu entbinden. Die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben kann nicht einseitig auf die Webseitenbetreiber abgewälzt werden. Vielmehr müsse das Unternehmen Microsoft sicherstellen, dass die von ihm bereitgestellte Technologie den gesetzlichen Anforderungen entspricht und die Einwilligung der Nutzer ordnungsgemäß eingeholt wird. Das Gericht betonte, dass jeder Akteur, der auf Endgeräte zugreift oder Daten speichert, der Einholung einer ausdrücklichen Zustimmung bedarf, da § 25 TDDDG nicht auf „Anbieter“ beschränkt sei. Im Übrigen wäre Microsoft auch als „Anbieter“ im Sinne von § 2 Nr. 1 TDDDG anzusehen. Danach ist „Anbieter von digitalen Diensten“ jede natürliche oder juristische Person, die eigene oder digitale Dienste erbringt oder an der Erbringung mitwirkt – wobei der Begriff des „Mitwirkenden“ wohl alle Arten von Hilfeleistung erfassen soll. Microsoft haftet daher als „Täter“ für die Speicherung und den Zugriff auf die Informationen durch Cookies. Das Unternehmen bliebt darlegungs- und beweisbelastet, um nachzuweisen, dass eine solche Einwilligung tatsächlich vorlag.
Fazit
Das Urteil verdeutlicht, dass Technologieanbieter wie Microsoft trotz vertraglicher Klauseln nicht aus der Verantwortung entlassen werden, wenn ihre Software zur Verarbeitung personenbezogener Daten ohne Einwilligung genutzt wird. Dies könnte weitreichende Konsequenzen für die Einhaltung der DS-GVO in der Werbeindustrie haben.