EuGH: Neue Maßstäbe für die datenschutzrechtliche Verantwortung von Online-Plattformen
Am 2. Dezember 2025 hat der Europäische Gerichtshof (EuGH) mit dem Urteil C-492/23 („Russmedia“) eine grundlegende Entscheidung zur datenschutzrechtlichen Verantwortlichkeit von Betreibern von Online-Marktplätzen getroffen. Im Mittelpunkt stand die Frage, ob und in welchem Umfang Plattformbetreiber für personenbezogene – insbesondere sensible – Daten haften, die Nutzer in Anzeigen veröffentlichen.
Executive Summary
Der EuGH stellt klar, dass Plattformbetreiber bei Anzeigen, die personenbezogene Daten enthalten, bereits vor der Veröffentlichung geeignete technische und organisatorische Maßnahmen ergreifen müssen.
Hierzu gehört insbesondere die Pflicht, Anzeigen mit sensiblen personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO zu erkennen. Zudem müssen sie prüfen, ob der inserierende Nutzer selbst die betroffene Person ist oder über eine tragfähige Rechtsgrundlage verfügt. Die Veröffentlichung muss verweigert werden, wenn keine einschlägige Ausnahme nach Art. 9 Abs. 2 DSGVO – insbesondere keine ausdrückliche Einwilligung der betroffenen Person – vorliegt.
In diesem Zusammenhang handelt der Plattformbetreiber regelmäßig gemeinsam verantwortlich mit dem inserierenden Nutzer im Sinne von Art. 26 DSGVO.
Ausgangspunkt des Verfahrens
Anlass des Verfahrens war ein Fall aus Rumänien. Im Jahr 2018 veröffentlichte ein unbekannter Dritter auf einem Online-Marktplatz eine Anzeige, in der eine Frau ohne ihr Wissen und ohne ihre Einwilligung als Anbieterin sexueller Dienstleistungen dargestellt wurde. Die Anzeige enthielt Fotos, die der Frau zuzuordnen waren, sowie ihre private Telefonnummer.
Der EuGH stellte klar, dass es sich hierbei um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO handelt. Die Darstellung als Anbieterin sexueller Dienstleistungen betrifft zudem Daten zum Sexualleben und fällt damit unter die besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Entscheidend ist, dass dieser Schutz auch dann greift, wenn die Angaben unwahr oder verleumderisch sind.
Nach einer Löschungsaufforderung entfernte der Plattformbetreiber die Anzeige innerhalb kurzer Zeit. Die Betroffene machte dennoch einen Anspruch auf immateriellen Schadensersatz geltend. Während das erstinstanzliche Gericht der Klage stattgab, wies das Berufungsgericht die Klage ab. Das Berufungsgericht Cluj setzte das Verfahren aus und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor. Zentrale Bedeutung hatte dabei das Verhältnis zwischen den datenschutzrechtlichen Pflichten nach der DSGVO und den Haftungsprivilegien für Hosting-Anbieter nach der E-Commerce-Richtlinie.
Kernaussagen des EuGH
Der EuGH entschied, dass Betreiber von Online-Marktplätzen im Hinblick auf die Verarbeitung personenbezogener Daten in Nutzeranzeigen als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO anzusehen sind. Dies gilt auch dann, wenn der konkrete Inhalt der Anzeige von einem Dritten stammt und der Betreiber die Anzeige nicht selbst erstellt hat.
Nach Auffassung des Gerichtshofs beschränkt sich der Plattformbetreiber außerdem nicht auf eine rein technische Rolle. Die Anzeigen werden erst durch die Organisation, Speicherung, Strukturierung und öffentliche Zugänglichmachung über den Online-Marktplatz verbreitet. Der Betreiber wirkt damit maßgeblich an der Festlegung der Zwecke und Mittel der Datenverarbeitung mit und profitiert regelmäßig wirtschaftlich von der Veröffentlichung der Inhalte.
Insbesondere bei sensiblen personenbezogenen Daten nach Art. 9 DSGVO kann diese Rolle eine eigenständige datenschutzrechtliche Verantwortlichkeit des Plattformbetreibers begründen.
Neue Pflichten für Plattformbetreiber
Aus dieser Einordnung leitet der EuGH mehrere Pflichten für Betreiber von Online-Marktplätzen ab:
Verhältnis von DSGVO und Digital Services Act (DSA)
Das Urteil hat besondere Aufmerksamkeit erlangt, weil der EuGH dem Datenschutzrecht Vorrang vor dem seit Jahren etablierten „Notice-and-Take-Down“-Prinzip eingeräumt hat, das inzwischen im DSA verankert ist (Art. 16 DSA iVm Art. 6 DSA).
Der EuGH stellt jedoch klar, dass diese Vorrangstellung spezifisch für datenschutzrechtliche Pflichten gilt. Haftungsprivilegien für Hosting-Anbieter können für andere Rechtsgebiete weiterhin Bedeutung haben, schließen eine Verantwortlichkeit nach der DSGVO jedoch nicht aus.
Während Plattformbetreiber nach dem Digital Service Act grundsätzlich erst nach Kenntnis von rechtswidrigen Inhalten handeln müssen (Art. 6 DSA), verlangt der EuGH im Datenschutzkontext eine proaktive Kontrolle vor Veröffentlichung. Der EuGH interpretiert Art. 2 Abs. 4 DSGVO dahingehend, dass die Haftungsprivilegien des Digital Service Acts für andere Rechtsgebiete gelten können, nicht jedoch für datenschutzrechtliche Fragestellungen.
Mögliche Auswirkungen
Das Urteil hat weitreichende Folgen für Anbieter von „User Generated Content“. Insbesondere die Pflicht zur Identitätsprüfung bei sensiblen Daten schränkt anonyme oder pseudonyme Nutzungsformen erheblich ein. Plattformbetreiber könnten gezwungen sein, zusätzliche personenbezogene und sensible Daten zu erheben, um ihre Prüfpflichten zu erfüllen.
Datenschutzaufsichtsbehörden, unter anderem aus Hamburg und Berlin, sehen in der Entscheidung eine grundsätzliche Weichenstellung für die Verantwortlichkeit von Hosting-Anbietern. In welchem Umfang Plattformbetreiber ihre technischen und organisatorischen Prozesse anpassen müssen, wird sich durch die künftige Praxis der Aufsichtsbehörden sowie durch weitere Gerichtsentscheidungen zeigen.
Einordnung
Das Russmedia-Urteil des EuGH wird europaweit intensiv diskutiert. Es wirft grundlegende Fragen zur Rolle von Plattformbetreibern, zur Zukunft des Haftungsprivilegs für fremde Inhalte und zum Spannungsverhältnis zwischen der DSGVO und dem DSA auf.
Melden Sie sich gerne bei uns, wenn Sie sich unsicher sind, ob Ihre Webseite von dem Urteil des EuGH betroffen ist, oder Sie allgemeine Fragen zum Datenschutz haben.
RA Sebastian Schwiering
Wissenschaftliche Mitarbeiter Amal Albogha & Jamal Lale