Mit „Microsoft Advertising“ können Unternehmen personalisierte Werbung ausspielen und Reichweitenmessung betreiben. Im Zuge dessen kommt es zum Einsatz von Cookies und ähnlichen Technologien, insbesondere über den sogenannten „UET-Tag“.
Im hiesigen Fall vor dem OLG Frankfurt a.M. (Urteil vom 27.6.2024, Az. 6 U 192/23) verlangte die Betroffene in ihrer Klage, dass die irische Microsoft-Tochtergesellschaft es unterlassen soll, ohne ihre Einwilligung Cookies auf ihrem Endgerät zu platzieren und ähnliche Technologien zu verwenden. Auch verlangte sie die Unterlassung des Auslesens von Informationen auf ihrem Endgerät zu werblichen Zwecken. Zuvor hatte die Betroffene mehrere Websites Dritter besucht, auf der Microsoft Advertising zum Einsatz kam, ohne dass sie eine entsprechende Einwilligung abgegeben hatte.
Microsoft selbst stellt Dritten das Toolkit bereit, um Microsoft Advertising auf ihren Websites zu integrieren. Darüber hinaus verpflichtet der Konzern die Websitebetreiber in den Microsoft-Advertising-AGB, dass diese die für die Technologien erforderlichen Einwilligungen einholen sollen.
Letzteres reichte dem OLG jedoch nicht, um Microsoft zu entlasten. Es sprach der Betroffenen den Unterlassungsanspruch zu. Microsoft selbst sei dafür verantwortlich, sicherzustellen, dass die erforderlichen Einwilligungen von Betroffenen vorliegen, ehe es zum Einsatz von Cookies oder ähnlichen Technologien kommt oder Informationen aus Endgeräten ausgelesen werden. Dies ergebe sich aus § 25 Abs. 1 TTDSG (jetzt: TDDDG). Die Vorschrift betreffe sämtliche Akteure, die Informationen auf Endgeräten speichern oder von dort auslesen wollen – letztlich also auch Microsoft, auch wenn die (korrekte) Implementierung von Microsoft Advertising dem Websitebetreiber obliegt. Hierauf könne sich Microsoft aber nicht verlassen.
Bedeutung für die Praxis: Die Entscheidung des OLG Frankfurt a.M. weist Ähnlichkeiten mit einem Fall aus dem Jahr 2023 aus Frankreich auf, in welchem der Adtech-Konzern Criteo unter anderem wegen fehlender Maßnahmen zur Sicherstellung der Einholung der erforderlichen Einwilligungen durch Websitebetreiber und Nutzer der Criteo-Technologie von der französischen Datenschutzaufsichtsbehörde CNIL ein € 40 Mio. Bußgeld auferlegt bekam (wir berichteten).
Das dieses Thema nun auch national in der oberlandesgerichtlichen Rechtsprechung angekommen ist, sollte für Unternehmen im Onlinemarketing-Bereich ein Aufruf zum Handeln sein. Bieten Unternehmen aus dem Onlinemarketing-Bereich Werbe- und Trackingtechnologien an, müssen sie sicherstellen, dass Nutzer ihrer Technologien die erforderlichen Einwilligungen tatsächlich und rechtssicher einholen. Sie müssen insbesondere in der Lage sein, auf Anfrage den Behörden die Einwilligungen, die ihre Vertragspartner eingeholt haben(!), vorlegen zu können.
(Dr. Lukas Mezger, UNVERZAGT Rechtanwälte)