OLG Frankfurt a.M., Urteil vom 27.06.2024, Az. 6 U 192/23
§ 2 TTDSG, § 25 TTDSG, Verordnung (EU) 2016/679
Das OLG Frankfurt a.M. hat entschieden, dass ein Hersteller von Software, die von anderen Unternehmen im Kontakt mit Endverbrauchern genutzt wird, für Datenschutzverletzungen haftet, die durch das Setzen von Cookies der Software ohne Einwilligung der Nutzer entstehen. Unerheblich sei insoweit, dass der Hersteller seine gewerblichen Kunde zur Einholung der datenschutzrechtlichen Einwilligung verpflichte, diese aber solchen Verpflichtungen nicht nachkämen. Zum Volltext der Entscheidung:
Oberlandesgericht Frankfurt a.M.
Urteil
…
1. Auf die Berufung der Verfügungsklägerin wird das am 03.11.2023 verkündete Urteil des Landgerichts Frankfurt am Main (2-02 O 217/22) dahingehend abgeändert, dass die einstweilige Verfügung des Landgerichts vom 16.09.2022 im Sinne eines Neuerlasses mit folgendem Tenor bestätigt wird:
Die Verfügungsbeklagte wird unter Abänderung des angefochtenen Urteils des Landgerichts Frankfurt am Main vom 03.11.2023 zum Aktenzeichen 2-02 O 217/22 verurteilt, es bei Vermeidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR und für den Fall, dass dieses nicht beigetrieben werden kann, einer Ordnungshaft oder einer Ordnungshaft bis zu sechs Monaten, diese zu vollziehen an ihren gesetzlichen Vertretern, zu unterlassen,
ohne informierte Einwilligung der Verfügungsklägerin auf deren Endeinrichtungen, wie PC, Tablet, Laptop oder Telefon Cookies und ähnliche Technologien einzusetzen, insbesondere Identifikatoren auf ihren Endeinrichtungen zu speichern oder aus diesen Endeinrichtungen auszulesen, um das Verhalten der Verfügungsklägerin im Internet zu werblichen Zwecken zu verfolgen bzw. verfolgen zu lassen,
wenn das geschieht, wie in Anlage ASt 2 auf Seite 28 bis Seite 38 festgestellt.
2. Die Kosten des Verfügungsverfahrens trägt die Antragsgegnerin.
Gründe
I.
Die Parteien streiten im Rahmen des einstweiligen Rechtschutzes über die Zulässigkeit der Speicherung und des Auslesens von Cookies durch die Verfügungsbeklagte zu werblichen Zwecken auf bzw. von Endgeräten der Verfügungsklägerin ohne deren Einwilligung.
Die Verfügungsbeklagte hat ihren Sitz in Land1 und ist eine Tochtergesellschaft der A Corporation (nachfolgend „A“). Sie bietet Unternehmenssoftware und zugehörige Dienste für Unternehmenskunden in der EU an, einschließlich Werbe- und Analysedienste, darunter auch „A Advertising“, das bis 2019 als „Suchmaschine1 Ads“ vertrieben wurde.
A Advertising ermöglicht es Webseiten-Betreibern, Anzeigen in den Suchergebnissen des „A Search Network“ (einschließlich Suchmaschine1, Suchmaschine2 und Suchmaschine3) zu schalten und den Erfolg ihrer Werbekampagnen zu messen. Wenn ein Webseiten-Betreiber beispielsweise auf seiner eigenen Webseite Produkte zum Verkauf anbietet, kann er A Advertising nutzen, um Informationen über die Besucher seiner Webseite zu sammeln, Interessengruppen zu bilden, die aus mehreren Besuchern bestehen, die ähnliche Verhaltensweisen auf seiner Webseite an den Tag gelegt haben, und um den Besuchern aus diesen Interessengruppen Anzeigen für ihre Produkte auf der Suchmaschine1 oder auf anderen Partner-Webseiten zu zeigen. Webseiten-Betreiber können auch Besucher, die eine spezielle Produktseite besucht haben, gezielt darauf gerichtete Anzeigen schalten.
Die Verfügungsbeklagte verwendet laut ihrer Datenschutzrichtlinie (Anlage Ast 1) Cookies und ähnliche Technologien, um Präferenzen und Einstellungen der Kunden zu speichern und einzuhalten. Danach werden auch Cookies eingesetzt, um die Daten der Onlineaktivität zu erfassen und um die Interessen der Nutzer zu identifizieren, so dass solche Werbung angezeigt werden kann, die für den Nutzer relevant ist. Die Verfügungsbeklagte stellt den Drittanbieter-Webseiten, die A Advertising nutzen, einen „Code“ zur Verfügung, den die Webseiten-Betreiber in ihre eigenen Webseiten-Codes (also: ihre Webseiten-Programmierung) einpflegen können. Dieser Code kann in verschiedene Anwendungen (z.B. Webseiten, Onlinedienste und Apps – im Folgenden beispielhaft beschränkt auf Webseiten) eingebunden werden.
Bei Aufruf der Webseite und Ausführung des Codes wird, abhängig von der konkreten Implementierung durch den Drittanbieter, durch die Verfügungsbeklagte ein Cookie gesetzt oder, falls das Cookie bereits gesetzt ist, dessen Wert gelesen. Ein Webserver setzt oder liest ein Cookie auf einer bestimmten Endeinrichtung somit nur dann, wenn die Webseite, die die Endeinrichtung aufruft, auch entsprechend programmiert ist. Abhängig von der konkreten Implementierung des Codes sendet die Drittanbieter-Webseite ein Signal an den Webserver der Verfügungsbeklagten und fordert das Setzen oder Lesen eines Cookies an. Die fraglichen Cookies werden nur dann gesetzt, wenn die Drittanbieter-Webseite ein entsprechendes Signal sendet.
Die von der Verfügungsklägerin angeführten und besuchten Webseiten, die nicht von der Verfügungsbeklagten betrieben werden, nutzen A Advertising aufgrund eines Vertragsverhältnisses mit der Verfügungsbeklagten. Die Betreiber sind selbstständige und mit der Verfügungsbeklagten nicht verbundene Unternehmen. Auf die Programmierung dieser Webseiten hat die Verfügungsbeklagte keinen Einfluss und auch keinen Zugriff auf deren Server. Das Setzen von Cookies wird dabei ausschließlich von den Betreibern der Webseiten durch die entsprechende Programmierung der Seite veranlasst, die dementsprechend auch für die ggfs. erforderliche Einwilligung sorgen sollen. Die Verfügungsbeklagte verpflichtet die Betreiber der Webseiten vertraglich dazu, für die erforderlichen Einwilligungen zu sorgen.
Die Verfügungsklägerin hat behauptet, am 24. August 2022 die Seiten www.(…).com, www.(…).com und www.(…).com besucht zu haben. Eine forensische Auswertung des aufgezeichneten Netzwerkverkehrs (Anlage ASt 2) habe ergeben, dass ohne Einwilligung der Verfügungsklägerin Cookies der Verfügungsbeklagten auf dem Gerät der Verfügungsklägerin gesetzt worden seien.
Das Landgericht hat zunächst der Verfügungsbeklagten durch Beschluss vom 16.09.2022 im Wege der einstweiligen Verfügung untersagt, ohne informierte Einwilligung der Antragstellerin auf deren Endeinrichtungen wie PC, Tablet, Laptop oder Telefon Cookies und ähnliche Technologien einzusetzen, insbesondere Identifikatoren auf ihren Endeinrichtungen zu speichern oder aus diesen Endeinrichtungen auszulesen, um das Verhalten der Antragstellerin im Internet zu werblichen Zwecken zu verfolgen bzw. verfolgen zu lassen, wie geschehen beim Aufruf folgender Websites: (…).com (…).com (…).com (…).com.
Durch Urteil vom 03.11.2023 – auf das gem. § 540 I ZPO im Hinblick auf die tatsächlichen Feststellungen Bezug genommen wird – hat das Landgericht die einstweilige Verfügung aufgehoben und den auf ihren Erlass gerichteten Antrag zurückgewiesen.
Zur Begründung hat das Landgericht ausgeführt, dass der für den Erlass der begehrten einstweiligen Verfügung erforderliche Verfügungsgrund fehle. Da es sich der Sache nach um eine Leistungsverfügung handele, seien strenge Maßstäbe an die Vorwegnahme der Hauptsache anzulegen. An der notwendigen Darlegung, dass die Verfügungsklägerin dringend auf eine solche sofortige Erfüllung angewiesen ist und andernfalls derart erhebliche Nachteile erleiden würde, dass ihr ein Abwarten des Hauptsacheverfahrens nicht zumutbar sei, fehle es. Für die Verfügungsbeklagte sei eine Erfüllung nur durch ein umfängliches Umstellen ihrer Prozesse beim Setzen und Auslesen von Cookies auf Endgeräten von Endnutzern möglich. Denn es sei der Verfügungsbeklagten nicht möglich, die Prozesse nur für Endgeräte der Verfügungsklägerin umzustellen, da sie die Verfügungsklägerin beim Netzwerkverkehr über das Internet ohne den Einsatz von Cookies nicht mehr identifizieren kann. Dieses vollumfängliche Umstellen der Prozesse sei für die Verfügungsbeklagte nur mit enormem Aufwand in zeitlicher und finanzieller Hinsicht möglich. Auf Seiten der Verfügungsklägerin hingegen bestehe die Möglichkeit, das Speichern bzw. Auslesen von Cookies bei der Internetnutzung im Internetbrowser zu blockieren. Insgesamt falle die Interessenabwägung damit zulasten der Verfügungsklägerin aus.
Hiergegen richtet sich die Berufung der Verfügungsklägerin, mit der sie ihr erstinstanzliches Antragsziel weiterverfolgt. Entgegen der Auffassung der Verfügungsbeklagten bestehe ein Verfügungsgrund. Es handele sich bei dem begehrten Titel um eine Unterlassungsverfügung, die gerade keinen Fall der Leistungsverfügung darstelle. Dass diese auch Handlungspflichten auslösen könne, stehe dem nicht entgegen. Auch werde der unionsrechtliche Effektivitätsgrundsatz verfehlt. Jedenfalls falle die Interesseabwägung zugunsten der Verfügungsklägerin aus, da es kein Recht auf die Ausübung eines rechtswidrigen Geschäftsmodells geben könne. Zudem müsse die Verfügungsklägerin mit der Ungewissheit des Verbleibs ihrer Daten, dem damit einhergehenden Kontrollverlust und der Angst vor einer Weitergabe an unbefugte Dritte leben.
Ergänzend ist hinzuzufügen, dass die Verfügungsbeklagte ihre Prozesse so abgeändert hat, dass die betreffenden Webseiten keine Cookies der Verfügungsklägerin mehr nutzen können.
Die Verfügungsklägerin beantragt:
Die Verfügungsbeklagte wird unter Abänderung des angefochtenen Urteils des Landgerichts Frankfurt am Main vom 03.11.2023 zum Aktenzeichen 2-02 O 217/22 verurteilt, es bei Vermeidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR und für den Fall, dass dieses nicht beigetrieben werden kann, einer Ordnungshaft oder einer Ordnungshaft bis zu sechs Monaten, diese zu vollziehen an ihren gesetzlichen Vertretern,
zu unterlassen,
ohne informierte Einwilligung der Verfügungsklägerin auf deren Endeinrichtungen, wie PC, Tablet, Laptop oder Telefon Cookies und ähnliche Technologien einzusetzen, insbesondere Identifikatoren auf ihren Endeinrichtungen zu speichern oder aus diesen Endeinrichtungen auszulesen, um das Verhalten der Verfügungsklägerin im Internet zu werblichen Zwecken zu verfolgen bzw. verfolgen zu lassen,
wenn das geschieht, wie in Anlage ASt 2 auf Seite 28 bis Seite 38 festgestellt.
Die Verfügungsbeklagte beantragt,
die Berufung zurückzuweisen.
Sie verteidigt das erstinstanzliche Urteil und sieht darüber hinaus auch keinen Verfügungsanspruch.
II.
Die zulässige Berufung der Verfügungsklägerin hat in der Sache Erfolg. Die Verfügungsklägerin hat sowohl das Bestehen eines Verfügungsanspruchs als auch eines Verfügungsgrundes glaubhaft gemacht.
1. Entgegen der Auffassung der Verfügungsbeklagten ist der Antrag nach § 253 ZPO hinreichend bestimmt.
a) Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Unterlassungsantrag nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Gegner deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt (BGH GRUR 2022, 1308 Rz. 26 – YouTube II; BGH, Urteil vom 9. September 2021 – I ZR 90/20 -, BGHZ 231, 38-87 und juris Rz. 19 m. w. N.). Eine hinreichende Bestimmtheit ist für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll (BGH GRUR 2022, 1308 Rz. 26 – YouTube II).
b) Hier bestehen keine Bedenken im Hinblick auf die Bestimmtheit. Soweit die Verfügungsbeklagte die Begriffe „Verfolgen im Internet“ sowie „ähnliche Technologien“ rügt, hat der Senat keine Bedenken. Das „Verfolgen im Internet“ lässt sich unproblematisch dahingehend auslegen, dass eine (Wieder-)Identifizierung des Nutzers gemeint ist. Der Begriff „ähnlichen Technologien“ ist im Zusammenhang mit der beispielhaften Erwähnung von Cookies genannt und lässt daher eine hinreichende Bestimmbarkeit erkennen.
2. Das Landgericht ist zu Recht vom Bestehen eines Verfügungsanspruchs aus § 823 II, 1004 BGB i.V.m. § 25 TTDSG/TDDDG (im Folgenden nur: TTDSG) ausgegangen.
a) § 25 TTDSG ist Schutznorm im Sinne von § 823 II BGB.
Gemäß §§ 823 Abs. 2 S. 1, 1004 BGB ist derjenige zur Unterlassung verpflichtet, welcher gegen ein den Schutz eines anderen bezweckenden Gesetzes verstößt, wobei die für den zukunftsgerichteten Unterlassungsanspruch erforderliche Wiederholungsgefahr durch den einmal erfolgten Verstoß indiziert wird. Schutzgesetz i.S.v. § § 823 Abs. 2 BGB ist eine Rechtsnorm, die nicht nach ihrer Wirkung, sondern allein nach ihrem Zweck und ihrem Inhalt zumindest auch dazu dienen soll, den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen (stRspr.: BGH NJW 2022, 3156 Rn. 9 m.w.N.).
Nach §§ 25 Abs. 1, 2 Abs. 1 TTDSG, 1 TMG ist es jedem Anbieter von elektronischen Informations- und Kommunikationsdiensten in Deutschland verboten, Informationen in der Endeinrichtung eines Endnutzers zu speichern oder auf diese Informationen zuzugreifen, wenn nicht der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Vorschrift stellt die Umsetzung von Art. 2 Ziff. 5 der Richtlinie 2009/136/EG, der sog. Cookie-Richtlinie. Gemäß Erwägungsgrund 66 der Richtlinie kann das Speichern von Informationen auf den Endeinrichtungen eines Nutzers von legitimen Gründen wie bei manchen Arten von Cookies bis hin zum unberechtigten Eindringen in die Privatsphäre reichen. Daher sei es von größter Wichtigkeit, dass den Nutzern klare und verständliche Informationen bereitgestellt würden, wenn sie irgendeine Tätigkeit ausführen würden, die zu einer solchen Speicherung führen könnten. Die Vorschrift des § 25 Abs. 1 TTDSG dient folglich ihrem wortlautmäßigen Inhalt nach und nach ihrem Zweck nicht nur „zumindest auch“, sondern ausschließlich dem Schutz der Privatsphäre des Endnutzers und letztendlich dem Grundrecht auf informationelle Selbstbestimmung.
b) Entgegen der Auffassung der Verfügungsbeklagten schließt das TTDSG einen Unterlassungsanspruch nach bürgerlichem Recht nicht aus. Der Umstand, dass im 4. Teil des TTDSG Verstöße lediglich mit Straf- und Bußgeldvorschriften sanktioniert sind und lediglich Zuständigkeiten und Befugnisse des Bundesdatenschutzbeauftragten und der Bundesnetzagentur geregelt werden, schließt privatrechtliche Ansprüche und Rechtsbehelfe nicht aus. Die Cookie-Richtlinie verlangt nämlich zu ihrer Umsetzung wirksame, verhältnismäßige und abschreckende Sanktionen einschließlich strafrechtlicher Sanktionen. Außerdem verlangt sie, dass die zuständigen nationalen Behörden und andere nationale Stellen mit ausreichenden Befugnissen ausgestattet werden, um Verstöße zu ahnden. Dies schließt anderweitige gerichtliche Rechtsbehelfe jedoch nicht aus.
Soweit die Verfügungsbeklagte eine Sperrwirkung des Art. 79 DSGVO annimmt, kann dahinstehen, ob diese überhaupt existiert. Die h.M. jedenfalls lässt einen Unterlassungsanspruch aus § 1004 BGB insoweit zu (vgl. die Nachweise bei Kühling/Buchner/Bergt, 4. Aufl. 2024, DS-GVO Art. 79 Rn. 1). Eine umfassende Sperrwirkung für alle datenschutzrechtlichen Fragestellungen lässt sich hieraus nicht ablesen. Art. 95 DSGVO sorgt für eine strikte Trennung zwischen ePrivacy-RL und DSGVO, da grundsätzlich keine zusätzlichen datenschutzrechtlichen Pflichten in das TTDSG herüberschwappen. Und in umgekehrter Richtung verweist § 25 Abs. 1 S. 2 TTDSG ausschließlich auf das datenschutzrechtliche Einwilligungsregime, ohne bspw. datenschutzrechtliche Rollenbilder zu übernehmen (Gierschmann/Baumgartner/Hanloser, 1. Aufl. 2023, TTDSG § 25 Rn. 37)
c) Die Verfügungsklägerin hat durch ihre eidesstattliche Versicherung glaubhaft gemacht, dass sie aus dem Geltungsbereich des TTDSG heraus die Seitenaufrufe getätigt hat.
Das TTDSG knüpft in § 1 III hierbei alternativ an das Bestehen einer Niederlassung, die Erbringung bzw. die Mitwirkung an der Erbringung von Dienstleistungen oder die Bereitstellung von Waren auf dem Markt im Geltungsbereich des TTDSG an. Zugleich bringt die Bestimmung des Abs. 3 S. 2, wonach § 3 TMG unberührt bleibt, einen vom Gesetzgeber angestrebten Vorrang des Herkunftslandprinzips zum Ausdruck (vgl. BT-Drs. 19/27441, 34). Die Bedeutung der Anordnungen des Abs. 3 S. 1 ist in diesem Lichte zu betrachten.
Die zweite und die dritte Alternative der Vorschrift sollen ausweislich der Gesetzesbegründung die Geltung des Marktortprinzips nach dem Vorbild der DS-GVO bewirken (BT-Drs. 19/27441, 34). Dieses gilt – worauf der Gesetzgeber zu Recht hinweist – für die Verarbeitung personenbezogener Daten ohnehin; da das TTDSG jedoch nicht ausschließlich Regelungen zur Verarbeitung personenbezogener Daten enthält, soll das Marktortprinzip auch im Übrigen Geltung beanspruchen. Dass die Verfügungsbeklagte auf dem deutschen Markt Dienstleistungen anbietet, ist unstreitig.
Die Geltung des TTDSG wird jedoch durch das Territorialitätsprinzip begrenzt.
Es kann dahinstehen, wie sich auswirken würde, wenn für die Verfügungsbeklagte bei dem Seitenaufruf durch die Verfügungsklägerin nicht erkennbar gewesen wäre, ob ein Aufruf von Deutschland aus erfolgt, etwa aufgrund der Verwendung einer VPN-Applikation mit einer ausländischen IP-Adresse.
Die Verfügungsbeklagte konnte dies nämlich nicht glaubhaft machen. Während die Verfügungsklägerin grundsätzlich darlegungs- und glaubhaftmachungsbelastet für die tatbestandlichen Voraussetzungen des § 25 TTDSG ist, ist die Verfügungsbeklagte als darlegungs- und glaubhaftmachungsbelastet für die Ausnahme anzusehen, dass für sie – trotz deutscher Sprachwahl – aufgrund einer ausländischen IP-Adresse nicht erkennbar gewesen sei, dass es sich um eine Nutzerin aus Deutschland gehandelt hat. Soweit der Verfügungsklägerin insoweit eine sekundäre Darlegungslast obliegen würde, ist sie dieser nachgekommen. Sie hat ausdrücklich erklärt, keine IP-Adresse verwendet zu haben. Ihr Prozessbevollmächtigter hat zudem erklärt, bei der Abfrage in der Wohnung der Verfügungsklägerin anwesend gewesen zu sein und nicht wahrgenommen zu haben, dass die Verfügungsklägerin eine VPN-Software verwendet habe. Damit hat die Verfügungsklägerin ihrer sekundären Darlegungslast genügt, so dass es nun an der Verfügungsbeklagten wäre, den Zugriff über eine VPN-Software mit ausländischer IP-Adresse zu belegen, was ihr nicht gelungen ist. Nur zur Vervollständigung sei erwähnt, dass auch der von der Verfügungsklägerin beauftragte Sachverständige im Rahmen seiner Gutachtenerstellung auf den entsprechenden Seiten eine Cookie-Setzung ohne Zustimmung nachvollzogen hat. Dass – auch – er eine VPN-Software verwendet haben soll, ist nicht erkennbar.
d) Die Verfügungsbeklagte hat durch das Setzen der Cookies auf den streitgegenständlichen Seiten gegen § 25 II TTDSG verstoßen.
(1) Dass die Cookies der Verfügungsbeklagten beim Besuch mehrerer Internetseiten ohne Einwilligung der Verfügungsklägerin auf deren Endgerät gespeichert wurden, ist von der Verfügungsklägerin substantiiert vorgetragen, von der Verfügungsbeklagten nicht wirksam bestritten und bedarf daher keiner Glaubhaftmachung.
Die Verfügungsklägerin hat unter Vorlage ihres Privatgutachtens im Einzelnen dargetan, welche Internetseiten sie besucht hat und dass im Anschluss die Cookies der Verfügungsbeklagten auf ihrem Rechner gespeichert waren, ohne dass sie dazu ihre Einwilligung erteilt hatte. Darüber hinaus hat sie mithilfe des Privatgutachtens dargestellt, wie dies festzustellen und insbesondere wie der Vorgang überprüfbar nachvollzogen werden kann, was der Privatgutachter getan hat und was die Verfügungsbeklagten ohne weiteres selbst überprüfen kann. Damit handelt es sich bei dem Vortrag der Verfügungsklägerin um Tatsachen, die Gegenstand der Wahrnehmung der Verfügungsbeklagten sein können, so dass sich die Verfügungsbeklagten vollständig und wahrheitsgemäß über die Darlegung der Antragstellerin erklären müsste, wenn sie den gegnerischen Vortrag bestreiten wollte (§ 138 ZPO), ohne dass sie dafür die HAR-Datei der Verfügungsbeklagten benötigen würde.
Soweit die Verfügungsbeklagte spekuliert, die Verfügungsklägerin könne möglicherweise bei einem früheren Besuch eine Einwilligung erteilt haben, ist dieser Vortrag unsubstantiiert. Auch für eine vorherige Einwilligung ist die Verfügungsbeklagte darlegungs- und glaubhaftmachungsbelastet. Dass sie tatsächlich hierzu nicht in der Lage ist, da sie die Einholung der Zustimmung auf Dritte – die Webseitenbetreiber – ausgelagert hat, kann die Darlegungs- und Glaubhaftmachungspflicht nicht zu Lasten der Verfügungsklägerin verändern.
(2) Entgegen der Auffassung der Verfügungsbeklagten ist sie auch Verpflichtete des § 25 TTDSG. Die Haftung ist nicht auf „Anbieter“ beschränkt, wie andere Verpflichtungen des TTDSG (z.B. § 19); § 25 TTDSG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendienstes sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (Erwgr. 66 S. 1 RL (EG) 2009/136 (Cookie-RL)), die üblicherweise nicht von Telemedienangeboten ausgehen (Gierschmann/Baumgartner/Hanloser, 1. Aufl. 2023, TTDSG § 25 Rnr. 42; HK-TTDSG/Schneider, 1. Aufl. 2022, TTDSG § 25 Rnr. 17)
Im Übrigen wäre die Verfügungsbeklagte auch als „Anbieterin “ im Sinne von § 2 Nr. 1 TTDSG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt – wobei der Begriff des „Mitwirkenden“ wohl alle Arten von Hilfeleistung erfassen soll (HK-TTDSG/Assion, 1. Aufl. 2022, TTDSG § 2 Rnr. 16-18) – oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. Abs. 2 Nr. 1 liegt ein funktionales Verständnis zugrunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TTDSG führt (Gierschmann/Baumgartner/Baumgartner, 1. Aufl. 2023, TTDSG § 2 Rnr. 13), so z.B. auch der Hosting Provider. Daher ist auch die Verfügungsbeklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch die Setzung der Cookies mitwirkt.
e) Für diese Rechtsverletzung haftet die Verfügungsbeklagte auch als Täterin. Auf die Kriterien für eine Verantwortlichkeit für das Verhalten Dritter kommt es nicht an.
Die Frage, ob sich jemand als Täter, Mittäter, Anstifter oder Gehilfe in einer die zivilrechtliche Haftung begründenden Weise an einer deliktischen Handlung eines Dritten beteiligt hat, beurteilt sich nach den im Strafrecht entwickelten Rechtsgrundsätzen (vgl. BGH GRUR 2011, 152, Rn. 30 – Kinderhochstühle im Internet I; GRUR 2011, 1018, Rn. 24 – Automobil-Onlinebörse; Urt. v. 18.06.2014, I ZR 242/12, Rn.13 – Geschäftsführerhaftung). Täter ist derjenige, der die Zuwiderhandlung selbst begeht (§§ 25 I StGB, 830 I 1 BGB; BGH GRUR 2004, 860 – Internet-Versteigerung I, m.w.Nachw.; GRUR 2007, 708 – Internet-Versteigerung II; GRUR 2009, 597, Rn. 14 – Halzband; GRUR 2011, 152, 154, Rn. 30 – Kinderhochstühle im Internet; Urt. v. 18.06.2014, I ZR 242/12, Rn.13 – Geschäftsführerhaftung), indem er den objektiven Tatbestand einer Zuwiderhandlung selbst, adäquat kausal verwirklicht (BGH, Urt. v. 03.03.2016, I ZR 110/15, Rn. 32 – Herstellerpreisempfehlung bei Amazon m.w.N.). Nach dem bereits erstinstanzlich unbestritten gebliebenen Vortrag der Verfügungsklägerin ist es die Verfügungsbeklagte, die die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer auch ohne deren Einwilligung speichert, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst wird. Darüber hinaus greift sie – was ebenfalls erstinstanzlich unstreitig geblieben ist – auf die hinterlegten Informationen zu, indem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lässt, nachdem diese die Informationen über die weiteren Webseitenbesuche des Nutzers auf den Endgeräten ausgelesen haben. Die Verfügungsbeklagte kann nicht damit gehört werden, dass ihr der Umstand nicht ursächlich zugerechnet werden könne, dass Webseitenbetreiber entgegen der Allgemeinen Geschäftsbedingungen der Verfügungsbeklagten das Setzen von Cookies ohne Zustimmung des Endnut-zers haben veranlassen lassen. Die Verfügungsbeklagte hat die Speicherung der Cookies ohne Endnutzereinwilligung adäquat kausal verwirklicht.
Es fehlt auch nicht an der Adäquanz. Das Kriterium der Adäquanz dient im Rahmen der Feststellung des Zurechnungszusammenhangs dem Zweck, diejenigen Kausalverläufe auszugrenzen, die dem Verletzer billigerweise nicht mehr zugerechnet werden können. Im Deliktsrecht besteht ein adäquater Zusammenhang zwischen Tatbeitrag und Taterfolg, wenn eine Tatsache im Allgemeinen und nicht nur unter besonders eigenartigen, ganz unwahrscheinlichen und nach regelmäßigem Verlauf der Dinge außer Betracht zu lassenden Umständen zur Herbeiführung eines Erfolges geeignet ist. Hieran kann es fehlen, wenn der Verletzte oder ein Dritter in völlig ungewöhnlicher und unsachgemäßer Weise in den schadensträchtigen Geschehensablauf eingreift und eine weitere Ursache setzt, die den Schaden erst endgültig herbeiführt. Bei der Ermittlung der Adäquanz ist auf eine nachträgliche Prognose abzustellen, bei der neben den dem Verletzer bekannten Umständen alle einem optimalen Betrachter zur Zeit des Eintritts des Schadensereignisses erkennbaren Gegebenheiten zu berücksichtigen sind (BGH, GRUR 2016, 961, Rnr. 34 – Herstellerpreisempfehlung bei Amazon m.w.N.). Dass es sich bei dem Setzen von Cookies ohne Einwilligung des Endnutzers auf den Webseiten Dritter keineswegs um einen besonders eigenartigen, ganz unwahrscheinlichen und nach dem regelmäßigen Verlauf der Dinge außer Betracht zu lassenden Umstand handelt, zeigt sich schon daran, dass sich die Verfügungsbeklagte damit in ihren Allgemeinen Geschäftsbedingungen ausdrücklich und eingehend befasst.
Allerdings handelt es sich bei der fehlenden Einwilligung des Endnutzers, die erst den Verstoß gegen § 25 Abs. 1 TTDSG begründet, um ein negatives Tatbestandsmerkmal, das sich nicht durch ein positives Tun der Verfügungsbeklagten verwirklicht, sondern allein dadurch, dass sie selbst die Einholung der Einwilligung unterlässt und sich darauf verlässt, dass die jeweiligen Webseiten-Betreiber diese Einwilligung ordnungsgemäß eingeholt haben. Besteht das dem Verletzer vorgeworfene Verhalten in einem solchen Unterlassen, ist im Rahmen der normativ-kausalen Zurechnung zu fragen, ob eine pflichtgemäße Handlung den Eintritt der Rechtsgutsverletzung verhindert hätte (vgl. BGH, GRUR 2021, 1303, Rnr. 27 – Die Filsbacher). Das ist hier der Fall. Denn nach der aus der Formulierung des § 25 Abs. 1 TTDSG herzuleitenden und in Art. 7 Abs. 1 DSGVO ausdrücklich geregelten Darlegungs- und Beweislastverteilung muss die Verfügungsbeklagte nachweisen, dass der Endnutzer vor der Speicherung der Cookies auf seinem Endgerät eingewilligt hat. Wie die Verfügungsbeklagte diesen Nachweis führen möchte, ist zunächst ihre Sache. Jedenfalls aber hat die Regelung über die Verteilung der Darlegungs- und Beweislast zur Folge, dass sie sicherstellen muss, dass ihr die Einwilligung des Endnutzers vom Webseitenbetreiber übermittelt wird, bevor sie ihre Cookies auf dem Gerät des Endnutzers speichert. Dadurch dass sie dieses pflichtgemäße Handeln unterlässt, verwirklicht sie den Verstoß gegen § 25 Abs. 1 TTDSG adäquat-kausal.
Ob der Verfügungsbeklagten ein solches pflichtgemäßes Verhalten durch entsprechende technische Vorkehrungen möglich ist, ist für die rechtliche Beurteilung des vorliegenden Falls irrelevant. Die Verfügungsbeklagten selbst erkennt, dass die Frage des technisch Möglichen allenfalls im Rahmen der Störerhaftung eine Rolle spielen kann, auf die es hier nicht ankommt. Im Übrigen ist schon nicht nachvollziehbar, wieso es der Verfügungsbeklagten nicht möglich sein soll, ihre Cookies erst dann auf den Endgeräten von Nutzern abzuspeichern, wenn ihr dessen Einwilligung übersandt worden ist. Hinzu kommt, dass der Gesetzgeber in § 26 TTDSG davon ausgeht, dass Dienste zur Einwilligungsverwaltung technisch und rechtlich möglich sind. Selbst wenn solche Dienste noch nicht existieren sollten, lässt das die Anforderungen des § 25 Abs. 1 TTDSG jedoch unberührt.
3. Es fehlt auch nicht an einem Verfügungsgrund. Ihm steht insbesondere nicht entgegen, dass die Umsetzung der Unterlassungsverpflichtung für die Verfügungsbeklagte mit erheblichem Aufwand verbunden ist.
a) Die Verfügungsbeklagte weist zu Recht darauf hin, dass sich nach der ständigen Rechtsprechung des Bundesgerichtshofs die Verpflichtung zur Unterlassung einer Handlung, durch die wie im Streitfall ein fortdauernder Störungszustand geschaffen wurde, nicht in bloßem Nichtstun erschöpft. Vielmehr umfasst sie auch die Vornahme möglicher und zumutbarer Handlungen zur Beseitigung der Störungsquelle, wenn allein dadurch dem Unterlassungsgebot Folge geleistet werden kann (BGH, Urt. v. 14.03.2017 – VI ZR 721/15 – Verdeckte Generaleinwilligung, Rn. 35 f.,BGH Urteil vom 11. November 2014 – VI ZR 18/14, AfP 2015, 33 Rn. 16 zur titulierten Unterlassungsverpflichtung; BGH, Urteile vom 22. Oktober 1992 – IX ZR 36/92, BGHZ 120, 73, 76 f.; vom 18. September 2014 – I ZR 76/13, GRUR 2015, 258 Rn. 64; Beschluss vom 25. Januar 2007 – I ZB 58/06, NJW-RR 2007, 863 Rn. 17, jeweils mwN). Allerdings gelten im Eilverfahren – wegen des Verbots der Vorwegnahme der Hauptsache – abgemilderte Pflichten (BGH GRUR 2020, 548, Rnr. 19 – Diätische Tinnitusbehandlung).
b) Dies macht die einstweilige Unterlassungsverfügung allerdings nicht zu einer Leistungsverfügung im klassischen Stil.
Die Leistungsverfügung führt nicht zu einer Sicherung des Anspruchs oder Regelung eines Zustandes, sondern führt zu einer endgültigen Befriedigung. Da sie deshalb zu einer umfänglichen Vorwegnahme der Hauptsache führt, ist die Leistungsverfügung nur unter strengen Voraussetzungen zulässig.
Die Unterlassungsverfügung unterscheidet sich in zweierlei Hinsicht von der klassischen Leistungsverfügung. Sie führt nicht zu einer endgültigen Vorwegnahme der Hauptsache, sondern nur für den Zeitraum, in dem die Verfügung wirkt, da der Unterlassungsanspruch gewissermaßen jeden Tag „neu“ entsteht. Im Gegensatz dazu führt die klassische Leistungsverfügung zur endgültigen und vollständigen Erfüllung (z.B. Zahlung, Belieferung, Räumung).
Zum anderen droht dem Unterlassungsgläubiger für jeden Tag, in dem er seinen Unterlassungsanspruch nicht durchsetzen kann, ein endgültiger und nicht mehr nachzuholender Rechtsverlust. Die Unterlassungsverfügung ist daher schon grundsätzlich nicht an den strengen Kriterien der Leistungsverfügung zu messen (so nicht nur im Bereich des gewerblichen Rechtsschutzes, sondern auch im Bereich des – dem Datenschutz wesensähnlichen – Persönlichkeitsrechts (vgl. Götting/Schertz/Seitz, Handbuch Persönlichkeitsrecht, 2. Auflage 2019, § 50, Rnr. 3).
c) Der Senat kann im Übrigen auch nicht erkennen, dass der Verfügungsbeklagten eine über Gebühr große Belastung auferlegt würde.
Der Senat verkennt nicht, dass die Tatsache, dass die Verfügungsklägerin im Internet nicht beim Besuch der Seiten erkannt werden kann und in der Folge das Unterlassungsgebot nicht nur begrenzt auf die Verfügungsklägerin umgesetzt werden kann, sondern gleichsam übergreift und eine universelle Lösung erfordert. Dass die faktische Wirkung (universell) über die rechtliche Wirkung (Rechtsverhältnis der Parteien) hinausgreift, stellt jedoch einen Verfügungsgrund nicht in Frage, sondern ist die Folge der Gefährdung, die die die Beklagte durch die Ausgestaltung ihres Geschäftsmodells verursacht hat.
Die Verfügungsklägerin hat unbestritten vorgetragen, dass es technisch einfach umsetzbare Lösungen gibt, die die Übermittlung der Einwilligung an den Cookie-Setzer ermöglichen (TCF-Standard). Wenn die Verfügungsbeklagte ihre Kunden von der Implementierung des TCF-Standards, also von rechtskonformem Handeln, nach eigenen Aussagen nicht überzeugen kann, kann dies jedenfalls nicht zulasten der Verfügungsklägerin berücksichtigt werden.
Die Rechtsverletzung der Verfügungsklägerin intensiviert sich zudem täglich mehr, da die Speicherdauer des Cookies 13 Monate beträgt und die Hinzuspeicherung weiterer Nutzerverhaltensweisen auf anderen besuchten Websites ermöglich werden, die das JavaScript der Verfügungsbeklagten in ihrem Quellcode implementiert haben.
4. Der Verfügungsbeklagten war auch kein Schriftsatzrecht auf die Erörterungen in der mündlichen Verhandlung einzuräumen. § 283 ZPO ist im Verfahren des einstweiligen Rechtsschutzes nicht anzuwenden (OLG München WRP 71, 533; 79, 166; OLG Koblenz WRP 81, 115, 116; Zöller-Greger Rn 2).
Selbst bei gegenteiliger Ansicht (so wohl Musielak/Voit/Foerste, 21. Aufl. 2024, ZPO § 283 Rn. 1, 2; MüKoZPO/Prütting, 6. Aufl. 2020, ZPO § 283 Rn. 5-8) lägen die Voraussetzungen des § 283 ZPO hier nicht vor. Für eine Fristbestimmung des Gerichts nach § 283 ZPO ist nach dem Wortlaut zunächst Voraussetzung, dass der „überraschten“ Partei ein Vorbringen des Gegners nicht rechtzeitig durch vorbereitenden Schriftsatz vor dem Termin mitgeteilt wurde. Einigkeit besteht darüber, dass unter „Vorbringen“ neue Anträge, neue Gegenerklärungen auf tatsächliche Behauptungen sowie neue tatsächliche Behauptungen fallen (MüKoZPO/Prütting, 6. Aufl. 2020, ZPO § 283 Rn. 9). Ob auch Rechtsausführungen hierunter zu subsumieren sind, ist streitig (vgl. die Nachweise bei MüKoZPO/Prütting, 6. Aufl. 2020, ZPO § 283 Rn. 9).
Jedenfalls ist in beiden Fällen Voraussetzung, dass sich die Partei auf ein Vorbringen des Gegners oder auf einen rechtlichen Hinweis des Gerichts nach § 139 ZPO nicht erklären kann. Diese Voraussetzungen liegen hier jedoch nicht vor. Gegenstand der mündlichen Verhandlung waren tatsächliche und rechtliche Aspekte, die sämtlich Aktenbestandteil waren und von den Parteien schon seit Anhängigkeit des Rechtsstreits umfassend erörtert worden sind.
Das einzig Neue für die Verfügungsbeklagte in der mündlichen Verhandlung war die vorläufige Rechtsauffassung des Gerichts. Diese kann jedoch nicht Gegenstand eines Schriftsatznachlasses nach § 283 ZPO sein. Es ist nicht Sinn der Regelung, einer Partei eine nochmalige Auseinandersetzung mit der vorläufigen Rechtsauffassung des Gerichts zu verschaffen – erst recht nicht im Eilverfahren.
Der Senat hat die Sache mit den Parteien im Termin umfangreich erörtert und auch durch eine Unterbrechung die Gelegenheit zur Rücksprache mit den Mandanten gegeben. Das rechtliche Gehör ist daher selbst nach strengen Kriterien des Bundesverfassungsgerichts für das Eilverfahren gewahrt.
5. Die Kostenentscheidung folgt aus § 97 ZPO.
Eine Entscheidung über die vorläufige Vollstreckbarkeit war nicht erforderlich, da einstweilige Verfügung stets ohne gesonderte Erklärung vorläufig vollstreckbar sind.
Permalink
Diesen Link können Sie kopieren und verwenden, wenn Sie genau dieses Dokument verlinken möchten:
https://www.rv.hessenrecht.hessen.de/perma?d=LARE240000913