Sind Online-Plattformen für Inhalte ihrer Nutzer haftbar, wenn ein Verstoß gegen die DSGVO vorliegt? Mit dieser Frage beschäftigte sich der Europäische Gerichtshof (EuGH) in seinem mit Spannung erwarteten Urteil in der Rechtssache Russmedia (Urteil vom 2. Dezember 2025, Az.: C-492/23). Neben dem ersuchenden rumänischen Gericht hatte auch der Bundesgerichtshof (BGH) ein Verfahren ausgesetzt und auf die Entscheidung aus Luxemburg gewartet.
Der Sachverhalt
Die rumänische Gesellschaft Russmedia Digital betreibt einen Online-Marktplatz, auf dem Werbeanzeigen für den Verkauf von Waren und Dienstleistungen geschaltet werden können. Eine unbekannte dritte Person hatte auf der Plattform eine Anzeige veröffentlicht, die sexuelle Dienstleistungen der Klägerin anbot, wovon die Klägerin selbst jedoch nichts wusste. Es waren sowohl Fotos als auch die Telefonnummer der Betroffenen enthalten. Die Anzeige wurde daraufhin auf zahlreichen anderen Websites unter Angabe der ursprünglichen Quelle übernommen.
Daraufhin nahm die Betroffene Russmedia auf Schadensersatz nach Art. 82 DSGVO in Anspruch, der ihr in erster Instanz zugesprochen wurde. Russmedia legte dagegen erfolgreich Berufung ein. Zur Begründung führte das Fachgericht Cluj aus, Russmedia könne sich auf das Host-Provider-Privileg berufen, welches ursprünglich in Art. 14 Abs. 1 2000/31/EG (Richtlinie über den elektronischen Geschäftsverkehr) geregelt war und mittlerweile in Art. 6 Abs. 1 DSA (Digital Services Act) zu finden ist. Danach haftet ein Dienstleister für von Nutzern bereitgestellte Informationen nicht, wenn er keine tatsächliche Kenntnis von den rechtswidrigen Inhalten hat und zügig tätig wird, um den Zugang zu diesen Inhalten zu sperren oder sie zu entfernen, sobald er Kenntnis darüber erlangt.
Russmedia sei nicht verpflichtet gewesen, aktiv nach rechtswidrigen Inhalten zu suchen und habe die Anzeige auf Verlangen der Klägerin schnell gelöscht, so die Richter. Das Gericht ging dabei davon aus, dass das Haftungsprivileg in Art. 14 Abs. 1 2000/31/EG bzw. dem rumänischen Umsetzungsgesetz sich auch auf einen Schadensersatzanspruch aus Art. 82 DSGVO erstreckt.
Dagegen wiederum legte die Klägerin Rechtsmittel ein und trug vor, das Fachgericht habe Art. 14 Abs. 1 2000/31/EG fehlerhaft ausgelegt und die Vorschrift sei darüber hinaus nicht anwendbar, da Russmedia an der Verwaltung und Verbreitung der Inhalte unmittelbar beteiligt sei, indem deren Bereitstellung gegenüber der Öffentlichkeit einer bestimmten Analyse der Information durch Russmedia unterliege. Des Weiteren gelte das Haftungsprivileg nicht, wenn die Verantwortlichkeit für die Inhalte aufgrund anderer Rechtsakte wie der DSGVO gegeben sei. Daraufhin rief das Berufungsgericht den europäischen Gerichtshof (EuGH) um zu klären:
- Ob ein Hosting-Anbieter, speziell der Betreiber eines Online-Marktplatzes, gegen seine Pflichten nach der DSGVO verstößt, wenn er es Nutzern ermöglicht Anzeigen zu schalten, und dadurch personenbezogene Daten unrechtmäßig verarbeitet werden.
- Ob ein solcher Betreiber sich auf die Art. 12 bis 15 2000/31/EG bzw. das Host-Provider-Privileg berufen kann.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das EuGH-Urteil
Für die erste Frage stellt der EuGH fest, dass der Betreiber eines Online-Marktplatzes Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für personenbezogene Daten in den auf der Plattform veröffentlichten Anzeigen ist. Eine Verantwortlichkeit für einen Plattformbetreiber ist vor allem dann möglich, wenn er „relevante personenbezogene Daten zu [eigenen] kommerziellen Zwecken oder [eigenen] Werbezwecken veröffentlicht, die über die bloße Erbringung einer Dienstleistung, die er dem inserierenden Nutzer erbringt, hinausgehen“ und dann gegeben, wenn er die Erhebung und die Übermittlung der personenbezogenen Daten wesentlich beeinflusst oder deren Parameter festlegt. Als solcher hat er die die Pflicht vor der Veröffentlichung der Anzeigen
- zu identifizieren, ob besondere Kategorien von Daten bzw. sensible Daten im Sinne des 9 Abs. 1 DSGVO in der Anzeige enthalten sind;
- bei diesen Anzeigen zu prüfen, ob es sich um die sensiblen Daten der inserierenden Person handelt, und
- wenn das nicht der Fall ist, die Veröffentlichung der Anzeigen zu verweigern, es ei denn, der inserierende Nutzer kann nachweisen, dass eine der Ausnahmen aus Art. 9 Abs. 2 DSGVO vorliegen, wie z.B. eine ausdrückliche Einwilligung zur Veröffentlichung der sensiblen Daten in der Anzeige.
Diese Verpflichtungen ergeben sich aus den Grundsätzen der Verarbeitung (Art. 5 DSGVO) sowie der Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO) zusammen mit der Pflicht, die Grundsätze wirksam umzusetzen und dafür geeignete Maßnahmen zu ergreifen (Art. 24 bis 26 DSGVO) und den besonderen Bestimmungen zu sensiblen Daten aus Art. 9 DSGVO.
In Bezug auf die Identität der inserierenden Person verpflichtet die DSGVO den Verantwortlichen dazu, den Nachweis über die Rechtmäßigkeit der Veröffentlichung zu erbringen. Das bedeutet insbesondere für die im Fall betroffenen sensiblen Daten, dass einerseits eine ausdrückliche Einwilligung eingeholt und dokumentiert werden muss. Andererseits muss die Identität nach dem Grundsatz der Richtigkeit der Daten aus Art. 5 Abs. 1 lit. d DSGVO nachgewiesen werden. Die geeigneten Mittel dafür sind im Einzelfall konkret zu bestimmen und orientieren sich an Art, Umfang, Umstand und Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Person.
Da Russmedia klar sein musste, dass Anzeigen wie im konkreten Fall möglich sind, war sie verpflichtet, bereits bei Konzeption des Dienstes verpflichtet Maßnahmen einzurichten, um solche Anzeigen vor der Veröffentlichung zu identifizieren. Entsprechende Maßnahmen sind nach Art. 25 Abs. 1 DSGVO bereits zum Zeitpunkt der Festlegung der Mittel durchzuführen, um eine unrechtmäßige Verarbeitung zu verhindern.
Des Weiteren kann ein Betreiber eines Online-Marktplatzes allein durch die Veröffentlichung einer Anzeige nicht von einer Einwilligung der betroffenen Person in die Verarbeitung ihrer sensiblen Daten nach Art. 9 Abs. 2 lit. a DSGVO ausgehen, wenn die Identität der inserierenden Person unklar ist. Folglich ist für den Nachweis einer ausdrücklichen Einwilligung die Feststellung der Identität erforderlich. Ohne einen hinreichenden Nachweis der Identität oder eine andere Ausnahme für die Verarbeitung sensibler Daten aus Art. 9 Abs. 2 DSGVO muss die Veröffentlichung der Anzeige verweigert und dies durch technisch-organisatorische Maßnahmen sichergestellt werden.
Zudem ist der Betreiber eines Online-Marktplatzes als Verantwortlicher verpflichtet, technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu ergreifen, die verhindern, dass veröffentlichte Anzeigen, die sensible Daten enthalten, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden.
Aus Art. 32 DSGVO ergibt sich eine Schutzpflicht des Verantwortlichen für die personenbezogenen Daten. Er muss unter Berücksichtigung des Stands der Technik geeignete Maßnahmen treffen, um ein Schutzniveau zu gewährleisten, welches dem Risiko angemessen ist. Im konkreten Fall wurden sensible Daten verarbeitet. Dies kann zu einem besonders schweren Eingriff in die Grundrechte der Privatsphäre und auf Schutz personenbezogener Daten führen. Sobald eine Anzeige mit solchen Daten im Internet veröffentlicht wird, führt der Gerichtshof aus, besteht die Gefahr des Kontrollverlusts über die Daten, der insbesondere dem Recht der betroffenen Person auf Löschung ihrer Daten nach Art. 17 DSGVO jede Wirksamkeit nimmt.
Der Verantwortliche ist daher verpflichtet, Maßnahmen zu ergreifen, die Kopien oder Replikate verhindern. Der EuGH weist jedoch darauf hin, dass eine unkontrollierte Verbreitung nicht automatisch bedeutet, dass die ergriffenen Maßnahmen nicht geeignet waren.
Hinsichtlich der zweiten Frage entschied der Gerichtshof, dass sich der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne der DSGVO für personenbezogene Daten in veröffentlichten Anzeigen, bei einem Verstoß gegen
- die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO,
- die Pflichten des Verantwortlichen aus Art. 24 bis 26 DSGVO und
- die Pflicht zur Sicherheit der Verarbeitung aus Art. 32 DSGVO
nicht auf die Art. 12 bis 15 2000/31/EG und daher nicht auf das Host-Provider-Privileg berufen kann.
Die Abgrenzung zwischen der DSGVO und der Richtlinie über den elektronischen Geschäftsverkehr nimmt der EuGH dabei anhand von Art. 1 Abs. 5 lit. b 2000/31/EG und Art. 2 Abs. 4 DSGVO vor.
Der erste Artikel besagt, dass die Richtlinie keine Anwendung auf Fragen der Datenschutzrichtlinie 95/46/EG findet, an deren Stelle mittlerweile die DSGVO getreten ist. Die Regelung der DSGVO darf daher von der Richtlinie 2000/31/EG nicht beeinträchtigt werden, mit der Folge, dass sich der Betreiber eines Online-Marktplatzes nicht auf die Haftungsbefreiung berufen kann, insoweit er als datenschutzrechtlich Verantwortlicher Regelungen aus der DSGVO unterfällt. Die Pflichten aus der DSGVO gelten auch nicht als allgemeine Überwachungspflicht nach Art. 15 2000/31/EG.
Art. 2 Abs. 4 DSGVO legt fest, dass die Vorschriften der Art. 12 bis 15 der Richtlinie 2000/31 von der DSGVO unberührt bleiben. Nach Ausführungen des EuGH bedeutet das lediglich, dass ein datenschutzrechtlich Verantwortlicher sich auf die Vorschriften berufen kann, soweit es nicht um Fragen zum Schutz personenbezogener Daten geht.
Datenschutzrechtliche Einschätzung
Die Entscheidung des EuGHs ist (wieder einmal) richtungsweisend. Besonders große Plattformen haben sich bisher der großflächigen Löschung rechtswidriger Inhalte verwehrt und Schadensersatzansprüche mit Verweis auf das Host-Provider-Privileg abgelehnt.
Der EuGH stellt nun klar, dass die Vorschriften, die sich mittlerweile in Art. 6 DSA wiederfinden, eine Haftung nicht verhindern, soweit es um die Verarbeitung personenbezogener Daten geht.
Auswirkungen wird das auch auf die Entscheidung des BGH in der Rechtssache Künast gegen Meta haben (BGH VI ZR 64/24). Meta hatte ein Meme über Renate Künast zwar entfernt, wollte jedoch weder Kopien entfernen noch dessen weitere Verbreitung verhindern. Daraufhin nahm Künast Meta auf Unterlassung und Schadensersatz in Anspruch. Erst der BGH merkte an, dass der Sachverhalt datenschutzrechtliche Relevanz habe, woraufhin er das Verfahren bis zur Entscheidung im oben dargestellten Verfahren aussetzte. Nachdem ein Rückgriff auf das Host-Provider-Privileg für datenschutzrechtliche Verstöße nicht mehr möglich ist, stehen die Chancen gut, dass der BGH Künast neben dem Unterlassungsanspruch auch den Schadensersatz zugesteht, den das OLG Frankfurt ihr noch verwehrt hatte.
Leider nicht geäußert hat sich der EuGH mangels Vorlagefrage zu dem von der Klägerin vorgebrachten Einwand, Russmedia könne sich nicht auf die Haftungsbefreiung berufen, da es an der Verwaltung und Verbreitung der Inhalte unmittelbar beteiligt sei, indem deren Bereitstellung gegenüber der Öffentlichkeit einer bestimmten Analyse der Information durch Russmedia unterliege. Ob und inwiefern bereits ein z.B. logarithmisches Kuratieren von Nutzerinhalten den Rückgriff auf die Haftungsbefreiung des Art. 6 DSA in Anlehnung an die EuGH-Rechtsprechung zur elektronischen Fassung einer Zeitung (EuGH-Urteil vom 11. September 2014, C-291/13) verhindert, bleibt damit ungeklärt.