Network/Timeout-Fehler in deepl_api_aufruf
Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil in der Rechtssache C-492/23 – Russmedia Digital und Inform Media Press vom 2. Dezember 2025 eine scheinbar weitreichende datenschutzrechtliche Weichenstellung für Betreiber von Online-Marktplätzen getroffen. Im Kern ging es um die Frage, ob der Betreiber eines solchen Marktplatzes für die personenbezogenen Daten verantwortlich ist, die in von Nutzern auf seiner Plattform veröffentlichten Anzeigen enthalten sind, und ob er sich dabei auf Haftungsprivilegien stützen kann, die in der früheren Richtlinie über den elektronischen Geschäftsverkehr (E-Commerce-Richtlinie) vorgesehen waren. Dabei ist zu berücksichtigen, dass der Rechtsstreit in seiner Ausgangssituation aus dem Jahr 2018 stammt, also vor dem Inkrafttreten des Digital Services Act (DSA), weshalb der EuGH in seinem Urteil auch die damals noch anzuwendenden Regelungen der E-Commerce-Richtlinie mit auslegte. Gleichzeitig ist die Entscheidung im Kontext einer inzwischen stark weiterentwickelten europäischen Rechtslage zu sehen, in der der DSA seit 2024 Anwendung findet und die ebenfalls erhebliche Relevanz für die Verantwortlichkeit und Haftung digitaler Plattformen besitzt.
Die Entscheidung des EuGH zeigt deutlich, dass der Schutz personenbezogener Daten – insbesondere sensibler Daten – im digitalen Raum nicht länger dem alleinigen Privileg technischer Vermittlungsleistungen unterliegt, sondern zentrale Pflichten für Plattformbetreiber begründet. Diese Anforderungen bleiben auch im Kontext des DSA bestehen und gehen über traditionelle Haftungsprivilegien hinaus.
Der Sachverhalt
Im zugrunde liegenden Fall hatte eine unbekannte Person auf einem rumänischen Online-Marktplatz am 01.08.2018 eine Anzeige veröffentlicht, die eine Frau ohne deren Einwilligung mit dem Angebot sexueller Dienstleistungen darstellte und personenbezogene Daten wie Fotos und Telefonnummer enthielt. Obwohl der Betreiber die Anzeige nach Hinweis schnell entfernte, war sie bereits auf anderen Websites weiterverbreitet worden.
In der Berichterstattung über das Urteil vermissen wir bislang allerdings häufig einen wahrscheinlich wichtigen Sachverhaltshinweis. Der Betreiber dieses Online-Marktplatzes hatte sich durch seine allgemeinen Nutzungsbedingungen große Freiräume eingeräumt, um die auf diesem Marktplatz veröffentlichte Informationen zu nutzen. Insbesondere behielt sich der Betreiber nach den Angaben des vorlegenden Gerichts das Recht vor, veröffentlichte Inhalte zu nutzen, zu verbreiten, zu übermitteln, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines „triftigen Grundes“ bedürfte. Insofern veröffentlichte der Betreiber die in den Anzeigen enthaltenen personenbezogenen Daten nicht oder nicht nur für die inserierenden Nutzer, sondern verarbeitet diese Daten und kann zu ihren eigenen Werbezwecken und aus kommerziellen Eigeninteressen Profit aus ihnen ziehen.
Vor dem Hintergrund dieser Verbreitung und der dadurch erlittenen Persönlichkeits- und Datenschutzverletzungen stellte sich die Frage, ob der Betreiber des Marktplatzes für die datenschutzrechtliche Verarbeitung dieser Daten verantwortlich ist und ob er sich auf Haftungsprivilegien berufen kann, wie sie etwa in der Richtlinie über den elektronischen Geschäftsverkehr vorgesehen waren.
Der EuGH
In seiner Entscheidung hat der EuGH zunächst festgestellt, dass der Betreiber eines Online-Marktplatzes als „Verantwortlicher“ im Sinne der Art. 4 Nr. 7 der DSGVO für die Verarbeitung personenbezogener Daten in den auf seiner Plattform veröffentlichten Anzeigen angesehen werden kann. Diese Verantwortlichkeit ergibt sich in dem Fall daraus, dass der Betreiber durch die Struktur und die technischen Mittel seiner Plattform maßgeblich dazu beiträgt, diese Daten für die Öffentlichkeit zugänglich zu machen. Der Betreiber legt die Parameter für die Verbreitung der Anzeigen, die personenbezogene Daten enthalten können, nach Maßgabe des Zielpublikums fest, bestimmt die Darstellung, die Dauer dieser Verbreitung oder die Rubriken, in denen die veröffentlichten Informationen strukturiert werden. Er organisiert das Ranking, von dem die Einzelheiten einer solchen Verbreitung abhängen und wirkt an der Festlegung der wesentlichen Mittel zur Veröffentlichung der betreffenden personenbezogenen Daten mit. Insgesamt nimmt er damit maßgeblich auf die weltweite Verbreitung dieser Daten Einfluss. Der EuGH hebt dabei hervor, dass Werbung oder Inhalte, die persönliche Daten enthalten und über den Marktplatz verbreitet werden, gerade nicht allein dem Inserenten zugerechnet werden können, weil die Veröffentlichung sowie der Zugang dazu durch das System der Plattform erst ermöglicht werden. Damit ist der Betreiber nicht lediglich technischer Mittler; im Sinne der DSGVO entscheidet er gemeinsam über Zwecke und Mittel der Verarbeitung dieser Daten.
Der EuGH stellte in diesem Zusammenhang heraus, dass bereits aus Art. 2 Abs. 4 DSGVO folgt, dass die Anwendung der DSGVO „unberührt“ bleibt von der ehemaligen E-Commerce-Richtlinie und damit natürlich auch dem heutigen DSA. Diese Vorschrift sollte nicht als Möglichkeit verstanden werden, sich hinter deren Haftungsprivilegien zu verstecken; vielmehr dient sie dazu, klarzustellen, dass datenschutzrechtliche Verantwortlichkeiten unabhängig von anderen Haftungsregimen gelten.
Besondere Bedeutung kommt der Entscheidung des EuGH zu, wenn es um die sogenannten besonderen Kategorien personenbezogener Daten (sensitive Daten) geht, die gemäß Art. 9 DSGVO grundsätzlich besonders geschützt sind. Dazu gehören Informationen, die Rückschlüsse auf die Gesundheit, Straftaten, das Sexualleben und ähnliche hochsensible Belange einer Person zulassen. Der EuGH stellt ausdrücklich klar, dass solche Daten nicht ohne ausdrückliche Einwilligung oder eine andere enge gesetzliche Rechtfertigung verarbeitet werden dürfen. Dies gilt unabhängig davon, ob sie wahr oder unwahr sind; die bloße Zugehörigkeit zu einer sensiblen Kategorie genügt. Im vorliegenden Fall war die Anzeige so beschaffen, dass sie als sensible personenbezogene Daten im Sinne von Art. 9 DSGVO qualifiziert wurde.
Aus diesem datenschutzrechtlichen Verständnis folgt nach dem EuGH, dass der Betreiber eines Online-Marktplatzes nicht nur dafür verantwortlich ist, dass bei der Veröffentlichung von Anzeigen die DSGVO-Grundsätze eingehalten werden, sondern er muss bereits vor der Veröffentlichung geeignete technische und organisatorische Maßnahmen treffen, um Inhalte zu identifizieren, die sensible Daten enthalten. Er muss ferner prüfen, ob der Inserent tatsächlich die Person ist, deren Daten in der Anzeige erscheinen, oder ob die betroffene Person ausdrücklich in die Veröffentlichung eingewilligt hat. Diese Prüfpflichten gehen erheblich über ein bloß reaktives Entfernen nach Kenntniserlangung hinaus und stellen eine erhebliche Ausweitung der Mitverantwortung dar.
Ein weiterer zentraler Punkt des Urteils besteht in der Feststellung, dass der Betreiber auch verpflichtet ist, Maßnahmen zu ergreifen, durch die verhindert wird, dass einmal veröffentlichte Anzeigen mit sensiblen Daten von anderen Websites kopiert und dort ohne Zustimmung weiterverbreitet werden. Diese Schutzpflicht leitet sich aus Art. 32 DSGVO ab, der angemessene technische und organisatorische Maßnahmen fordert, die auf ein dem Risiko angemessenes Schutzniveau abzielen. Das Gericht stellt damit klar, dass der Datenverantwortliche nicht nur innerhalb seiner Plattform Verantwortung trägt, sondern auch in Bezug auf die Risiken der Datenverbreitung im gesamten Internet.
Im Hinblick auf die Richtlinie über den elektronischen Geschäftsverkehr (E-Commerce-Richtlinie) betont der EuGH in seinem Urteil, dass die dort vorgesehenen Haftungsprivilegien nicht dazu dienen können, die datenschutzrechtlichen Pflichten nach der DSGVO auszuhöhlen. Die E-Commerce-Richtlinie sah traditionelle Haftungsprivilegien für reine Vermittlungs-, Durchleitungs- und Hosting-Dienstleistungen vor, bei denen ein Anbieter nur für rechtswidrige Inhalte haftbar gemacht werden kann, wenn er von diesen Kenntnis erhält und nicht unverzüglich handelt. Der Gerichtshof stellt aber klar, dass diese Privilegien im Bereich des Datenschutzes keine eigenständige Entlastung schaffen, wenn der Betreiber als Verantwortlicher im Sinne der DSGVO einzustufen ist.
E-Commerce-Richtlinie - Digital Service Act
Während die Entscheidung des EuGH sich explizit auf die E-Commerce-Richtlinie bezieht, weil der zugrunde liegende Fall sich auf Inhalte aus dem Jahr 2018 bezieht, ist die Rechtslage heute durch den Digital Services Act (DSA) formal weiterentwickelt worden. Der DSA ist eine EU-Verordnung, die seit 17. Februar 2024 vollständig in Kraft ist und die E-Commerce-Richtlinie im Digitalbereich weitgehend ersetzt hat.
Im Kern hält der DSA an einem prinzipiell ähnlichen Haftungskonzept wie die E-Commerce-Richtlinie fest, nämlich dass interne Vermittler und Hosting-Dienste unter bestimmten Bedingungen von einer direkten Haftung für Inhalte Dritter freigestellt sind, solange sie keine Kenntnis von Rechtsverletzungen haben und angemessen reagieren, wenn sie davon erfahren. Aber der DSA geht über die E-Commerce-Privilegien hinaus, indem er zusätzliche proaktive Anforderungen einführt, die je nach Größe der Plattform variieren: Große, sehr große oder systemrelevante Plattformen müssen Risiken für Nutzer systematisch analysieren, Maßnahmen zu deren Minderung treffen und darüber Bericht erstatten, während alle Dienste verpflichtet sind, effektive und transparente Notice-and-Action-Verfahren anzubieten.
Datenschutzrechtliche Pflichten nach der DSGVO gelten unabhängig von den allgemeinen Haftungsregimen des DSA
Gerade vor diesem Hintergrund ist das EuGH-Urteil von 2025 von besonderer Bedeutung, weil es klarmacht, dass die datenschutzrechtlichen Pflichten nach der DSGVO unabhängig von den allgemeinen Haftungsregimen des DSA gelten. Während der DSA fokussiert, unter welchen Bedingungen Plattformen von einer unmittelbaren haftungsrechtlichen Verantwortung für Inhalte Dritter ausgenommen sind und welche organisatorischen Anforderungen an die Moderation und Risikoabwägung gelten, adressiert die DSGVO den Schutz personenbezogener Daten und verpflichtet Plattformbetreiber, die Rolle eines Verantwortlichen ernst zu nehmen, wenn sie personenbezogene Daten verarbeiten oder zugänglich machen – insbesondere, wenn es um sensible Daten geht. Diese Pflichten können nicht durch DSA-Haftungsprivilegien neutralisiert werden.
Juristisch lässt sich damit sagen, dass der europäische Rechtsrahmen heute ein differenziertes Nebeneinander von DSGVO und DSA kennt, in dem die DSGVO weiterhin unabhängig und primär für den Schutz personenbezogener Daten gilt, und in dem der DSA spezifische Fragen der Plattformverantwortung, Transparenz und Risikosteuerung adressiert. Betriebs- und Geschäftsmodelle digitaler Plattformen müssen daher beide Rechtsregime synchron berücksichtigen, wenn sie Inhalte bereitstellen, verwalten oder verbreiten, um sowohl datenschutzkonform als auch im Sinne der neuen Anforderungen an digitale Dienste aufgestellt zu sein.
Auswirkungen
Die Auswirkungen dieser Entscheidung wurden schon in der Literatur als weitreichend beschrieben, gehen aber nach unserer Ansicht nicht so weit, dass die Auswirkungen grundsätzlich alle Plattformen mit nutzergenerierten Inhalten betreffen, auf denen personenbezogene Daten verarbeitet oder verbreitet werden. Bei solchen Aussagen wird aus unserer Sicht übersehen, dass der EuGH zu seiner Entscheidung gekommen ist, weil der Plattformbetreiber ein erhebliches Eigeninteresse an den veröffentlichen Inhalten durch seine Nutzungsbedingungen dokumentierte. Zudem legte er Parameter für die Veröffentlichung fest. Gegenständlich waren dort Anzeigen. Auf dieser Basis kam der EuGH dazu, dass eine sog. gemeinsame Verantwortung nach Art. 26 DSGVO vorlag. Nur nebenbei sei erwähnt, dass dies dann auch bedeutet, dass Online-Plattform-Betreiber und Inserent eine Vereinbarung zur gemeinsamen Verantwortung nach Art. 26 DSGVO schließen müssen und die Betroffenen nach Art. 26 Abs. 2 S. 2 DSGVO über die wesentlichen Inhalte dieser Vereinbarung informieren müssen. Die Einordnung führt somit nicht nur zu Haftungskonsequenzen, sondern auch zu formellen Pflichten.
Jedenfalls müssen Betreiber solcher Dienste künftig organisatorische und technische Maßnahmen etablieren, die über eine rein reaktive Moderation hinausgehen und eine proaktive Erkennung sensibler Daten, Identitätsverifikation und Risikobewertung ermöglichen. Diese Anforderungen stellen in der rechtlichen Praxis eine tief greifende Neuerung dar, weil sie die traditionell auf Meldungen und Reaktionen ausgerichtete Rolle der Plattformbetreiber grundlegend umkehren – hin zu einer präventiven Verantwortung, die bereits vor der Veröffentlichung einsetzt.
Zugleich kann man nicht annehmen, dass durch das Urteil sämtliche Plattformen und Foren diese Anforderungen einhalten müssen. Wenn es nicht um Anzeigen geht, wenn man sich keine frei nutzbaren Rechte an den Inhalten einräumen lässt (sondern sich ggfs. auf die Rechte beschränkt, die zur Veröffentlichung notwendig sind), oder man keinen Einfluss auf die Darstellungsdauer oder Rubriken o.ä. nimmt, mag das Urteil häufig auch keien Anwendung auf die Plattform oder das Forum finden.
Wenn dies aber nicht argumentiert werden kann, dann ist das Urteil potenziell problematisch in seiner praktischen Umsetzung, weil die Pflicht zur Vorabprüfung von Inhalten und zur Identitätsverifikation erhebliche technische und organisatorische Herausforderungen mit sich bringt. Ohne eine solche Vorab-Prüfung kann der Betreiber eben nicht wissen und prüfen, ob sich in der Veröffentlichung besonders sensible Daten anch Art. 9 DSGVO finden. Dabei geht der EUGH in diesem Bereich sogar so weit, dass der Betreiber einen Identitätsabgleich vornehmen muss, ob der Inserierende die Person ist, die in der Anzeige gezeigt ist und wenn nicht, er sich dann die Einwilligung der gezeigten Person nachweisen lassen muss. Zugleich lässt eine Vorab-Kenntnisnahme die Haftungsprivilegierungen für Ansprüche aus anderen Rechtsbereichen als dem Datenschutzrecht gegebenenfalls entfallen. Es muss insbesondere für kleinere Plattformen als schwierig angesehen werden, dies umzusetzen, da sie möglicherweise nicht über die Ressourcen verfügen, aufwändige Prüfprozesse zu etablieren, ohne in Konflikt mit anderen gesetzlichen Prinzipien zu geraten.
Gleichzeitig hat das EuGH-Urteil auch eine wichtige rechtspolitische Dimension: Es signalisiert, dass die Priorität des europäischen Rechts im digitalen Kontext beim Schutz der Grundrechte natürlicher Personen liegt. Der EuGH betont, dass der Schutz personenbezogener Daten und der Persönlichkeitsrechte nicht hinter allgemeinen Haftungsprivilegien zurücktreten darf. Dies bedeutet, dass technische Vermittler auch dann nicht neutral im Sinne der DSGVO bleiben können, wenn sie es nach den allgemeinen digitalen Haftungsregimen des DSA sein könnten.
Fazit
Zusammenfassend lässt sich festhalten, dass das Urteil des EuGH vom 2. Dezember 2025 einen Meilenstein in der europäischen Datenschutz- und Plattformregulierung darstellt. Es untermauert die Auffassung, dass Betreiber digitaler Marktplätze und Plattformen mitverantwortlich für die Verarbeitung personenbezogener Daten sein können, die über ihre Systeme verbreitet werden, und dass sie vor Veröffentlichung geeignete Maßnahmen treffen müssen, um den Schutz dieser Daten zu gewährleisten. Gleichzeitig bleibt klar, dass die datenschutzrechtlichen Pflichten der DSGVO bestehen und nicht durch allgemeine Haftungsregime wie DSA-Privilegien aufgehoben werden können. Dieses Zusammenspiel der Rechtsakte fordert von digitalen Diensteanbietern eine sorgfältige, risikobasierte und rechtskonforme Gestaltung ihrer Angebote, die den Schutz personenbezogener Daten und die technische sowie organisatorische Verantwortung in den Mittelpunkt stellt.
The statements represent initial information that was current for the law applicable in Germany at the time of initial publication. The legal situation may have changed since then. Furthermore, the information provided cannot replace individual advice on a specific matter. Please contact us for this purpose.