EuGH-Urteil zur Haftung von Plattform-Betreibern

Der Europäische Gerichtshof (EuGH) hat mit dem Urteil vom 2. Dezember 2025 (C-492/23 – „Russmedia“) eine offenkundig weitreichende Entscheidung über Fragen zur Haftung aus der gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO getroffen.

Wir wollen die Gelegenheit nutzen, um zum einen die wesentlichen Inhalte des Urteils und seine Auswirkungen zu beleuchten. Zum anderen sollen Ausschnitte aus den bisher zu der Entscheidung ergangenen Meinungen und Stimmungen einsortiert werden.

Was war passiert?

Seinen Anfang nahm der Fall vor gut sieben Jahren in Rumänien auf einem Online-Marktplatz, auf dem die Nutzer*innen Werbeanzeigen kostenlos oder kostenpflichtig veröffentlichen können. Die Plattform dient dem Verkauf von Waren bzw. der Erbringung von Dienstleistungen. Insofern ähnelt das Konzept bspw. Ebay, Amazon Marketplace oder Kleinanzeigen-Portalen.

Auf dieser Plattform war im August 2018 eine Anzeige geschaltet worden, in welcher eine Frau vermeintlich sexuelle Dienstleistungen anbot. Zu sehen waren in der Anzeige u. a. Fotos der Frau sowie ihre Telefonnummer, allerdings ohne, dass sie davon wusste, geschweige denn, dass sie der Veröffentlichung zugestimmt hätte. Während die Betroffene gegenüber der Plattform-Betreiberin „Russmedia Digital“ durch Löschung der Anzeige versuchte, weiteres Unheil abzuwenden, hatte der darin feilgebotene Inhalt sich bereits ruckzuck auf anderen Seiten dupliziert und so weiterverbreitet. Die betroffene Frau wandte sich daraufhin an das zuständige Gericht in Rumänien. In erster Instanz bekam die Klägerin Recht und die Eigentümerin der Website wurde zu einer Zahlung von Schadensersatz in Höhe von 7.000 Euro verurteilt. Das Fachgericht in der Berufungsinstanz sprach die Beklagte jedoch von ihrer Verantwortlichkeit frei, da sie als Hosting-Anbieterin nicht für die von den Nutzer*innen veröffentlichten Inhalte verantwortlich sei. Die Klägerin legte sodann Rechtsmittel beim Berufsgericht ein, das sich wiederum mit einem Vorabentscheidungsersuchen (vier Vorlagefragen) an den EuGH wandte (vgl. auch die Pressemitteilung des EuGH).

Was ist neu?

In Anlehnung an frühere Urteile zur gleichen Thematik – so etwa im Falle der „Zeugen Jehovas“ (Rechtssache C-25/17, wir berichteten) und von „Fashion ID“ (Rechtssache C-40/17; Facebook-Plugin, wir berichteten) – hat der EuGH aktuell festgehalten:

Der Betreiber eines Online-Marktplatzes gilt als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Als solcher trägt er mit auch die inhaltliche Verantwortung für die auf seiner Plattform veröffentlichten Anzeigen.
Um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen, trifft den Anbieter wiederum eine spezielle Pflicht zur Prüfung, ob eine inserierende Person wirklich die ist, für die sie sich ausgibt. Es muss also – zumindest, wenn besondere bzw. sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO betroffen sind – die Identität der Nutzer*innen geklärt sein, bevor etwaige persönliche Informationen veröffentlicht werden.
Betreiber eines Online-Marktplatzes müssen geeignete technische und organisatorische Schutzmaßnahmen im Sinne von Art. 32 DSGVO treffen, um zu verhindern, dass dort veröffentlichte Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden.
In diesem Zusammenhang können sich die Betreiber nicht auf das Haftungsprivileg berufen, welches die zugrunde liegende E-Commerce-Richtlinie (2000/31/EG) und der sog. Digital Services Act (DSA; Verordnung (EU) 2022/2065) Plattformen bei nutzergenerierten Inhalten vorsehen.

Hinweis: Art. 9 Abs. 1 DSGVO sieht spezielle Schutzregelungen für besondere Datenkategorien vor, darunter auch Daten zum Sexualleben und zur sexuellen Orientierung. Im vorliegenden Fall waren in der Anzeige sexuelle Dienstleistungen angeboten worden.

Zur Einordnung, speziell in Bezug auf die Nummer 4: Bisher galt in Bezug auf die Bereitstellung von Inhalten im Internet eine Unterscheidung zwischen Host- und Content-Providern.

Hosting-Anbieter sind solche, die zunächst nur die technische Plattform bereitstellen, also gewissermaßen das technische Werkzeug. Auf eben dieser Plattform können dann die Anbieter etwa von Foren, Onlineshops oder Nachrichtenmagazinen eigene Inhalte einstellen und verwalten – das sind die Content-Provider.

In dieser Konstellation wurde bislang davon ausgegangen, dass nur die Content-Provider – daher die Bezeichnung – für die eingestellten Inhalte, also etwa Forenbeiträge oder aufgegebene Inserate, vollumfänglich verantwortlich sind. Derjenige, der rein das technische Instrument im Rahmen des Hostings (im Sinne von primär dem Bereitstellen von Speicherplatz und nötiger Rechenleistung) vorhält, sollte von inhaltlichen Auseinandersetzungen zwischen den einzelnen Nutzer*innen weitgehend unbehelligt bleiben, solange er sich die gehosteten Inhalte nicht selbst zu eigen macht. Zu diesem Zweck war das benannte Haftungsprivileg anerkannt, d. h. der Hosting-Anbieter konnte sich – etwas flapsig formuliert – darauf berufen: „Ich weiß von nichts, also muss ich mich auch nicht kümmern.“

Wiewohl diese Grundregel auch weiterhin in Art. 6 Abs. 1 DSA kodifiziert ist, scheint es nun so, dass sie dennoch weitgehend aufgeweicht, wenn nicht gar aufgebrochen, ist. Für den konkreten Fall – wir erinnern uns zurück an die Anzeige auf dem Marktplatz – bedeutet es: Der betroffenen Frau wird wohl ihr beanspruchter Schadensersatz zugesprochen werden. Darüber hinaus werden aber voraussichtlich weitreichende Folgen von dem aktuellen Urteil ausgehen.

Dazu möchten wir auch – betont in Kürze – aufgreifen, welche gesellschaftlichen Aspekte mit der aktuellen Entscheidung verknüpft sind. Zuvor jedoch soll darauf eingegangen werden, was es für die Betreiber von Websites und sonstigen digitalen Diensten an konkreten Auswirkungen möglicherweise mit sich bringt.

Was ändert sich, was ist zu tun?

Wer einen Dienst mit moderierten Inhalten, z. B. einen Blog, ein Forum oder eine Anzeigen-Plattform bereitstellt, muss (noch) besser strukturierte Prozesse zur Überprüfung und Freigabe von nutzergenerierten Inhalten beherzigen. Unterm Strich lautet das vom EuGH ausgegebene Ziel: Besserer Schutz vor Missbrauch und Persönlichkeitsrechtsverletzungen. Dazu wird im Wesentlichen gehören, die Identität der registrierten Nutzer*innen zu verifizieren und gepostete Inhalte insgesamt besser zu kontrollieren. Als „Beiwerk“ könnten in der Folge auch dubiose Anlagetipps, die vermeintlich im Namen bestimmter Prominenter im Internet kursieren, deutlich abnehmen.

Des Weiteren wird es vermehrt darauf ankommen, technische Systeme einzurichten und zu pflegen, welche darauf ausgerichtet sind, die Ausbreitung von einzelnen Inhalten im Netz zu erkennen. Wie auch im vorliegenden Ausgangsfall träten rechtsverletzende Äußerungen zwar häufig in gewissen Variationen auf, seien aber dennoch typisch von ganz „ähnlichen oder kerngleichen Inhalten“ geprägt (vgl. hier). Die Weiterverbreitung rechtswidriger Text- oder Bild-Beiträge stellt in dem Zusammenhang sicherlich einen mindestens vergleichbar schweren Eingriff ins Persönlichkeitsrecht dar wie die ursprüngliche, initiale Äußerung selbst.

Kleine Presseschau zu großer Medienwirkung

Vereinzelt wird darauf hingewiesen, „dass – gewissermaßen durch die Hintertür der DSGVO – das traditionelle Konzept der Haftungsprivilegierung in seinen Grundfesten erschüttert werde“, so RA Michael Terhaag. Gleichwohl in Anerkennung dieses juristischen Standpunktes könnte man augenzwinkernd entgegnen (oder besser: ergänzen), dass die europäische Justiz dafür noch nicht mal „verstohlen“ durch die Hintertür hineinschleicht, sondern gänzlich ungeniert durch die Vordertür eintritt.

Dazu passt eine Äußerung von RA Prof. Niko Härting in einem kurzen Interview mit beck-aktuell, wenn er davon spricht, „das Provider-Privileg sei schon längst löchrig wie ein Schweizer Käse“, und auch für den EuGH sei das im Prinzip keine Neuerung. Liest man sich das Urteil durch, so darf man wahrlich erkennen, dass der EuGH selbst mit diesem vermeintlichen Wertungswiderspruch offensichtlich kein Problem hat. Immerhin fallen die Schlussfolgerungen aus dem Konkurrenzverhältnis zwischen Provider-Haftung auf der einen Seite und datenschutzrechtlicher Verantwortlichkeit auf der anderen vergleichsweise übersichtlich aus. So wird in Rn. 130 klargestellt, dass „der Schutz, den die Richtlinie 2000/31 [die mittlerweile im DSA aufgegangen ist] gewährleisten soll, auf keinen Fall die Anforderungen, die sich aus der DSGVO und der Richtlinie 2002/58 ergeben, beeinträchtigen darf“. Auf keinen Fall – das klingt recht eindeutig.

In einer gemeinsamen Pressemitteilung der Datenschutzbeauftragten von Berlin und Hamburg stufen die deutschen Aufsichtsbehörden die Entscheidung insofern als eine Stärkung der Rechte der Bürger*innen ein, als nach deren Verständnis „die DSGVO und der DSA insofern ein gemeinsames Schutznetz bildeten“. Sie weisen in diesem Zusammenhang darauf hin, dass die Datenschutzbehörden im Zweifel befugt seien, eine Löschung von unrechtmäßig verarbeiteten Daten anzuordnen, um Betroffenen zu ihrem Recht zu verhelfen, sollten Unternehmen nicht von sich aus auf entsprechende Eingaben reagieren.

Vereinzelt wird bereits der weitgehende Wegfall von Anonymität im Netz als „Wert an sich“ beklagt – so jedenfalls liest sich eine entsprechende Meinung bei heise. Als Beispiel wird dafür die Benutzung eines anonymen Forums für psychische Krankheiten benannt. Wenn also jemand, laut dieses Artikels, etwa seine Erlebnisse mit Depressionen schildern möchte, so könne er dazu verpflichtet werden, nicht nur seine Identität preiszugeben, sondern zusätzlich auch offenzulegen, ob er wirklich von dieser Krankheit betroffen sei.

In meinen Augen greift diese Schilderung zu kurz. Schreibe ich in einem Forum unter Verwendung eines Nicknames bzw. Pseudonyms über bestimmte Empfindungen oder persönliche Erlebnisse, ohne dabei personenbezogene Daten – geschweige denn solche von anderen – einzubringen, dann fällt es schwer, nachzuvollziehen, wie und in welcher Art dort die Rechte Dritter verletzt werden könnten. Die Situation im Fall „Russmedia“ war eine gänzlich andere: Der Zweck des aufgegebenen Inserats bestand ja gerade darin, eine einzelne Person explizit erkennbar und identifizierbar zu machen. Insofern sind diese beiden Sachverhalte von der rechtlichen Interessenlage und der persönlichen Motivation nicht miteinander vergleichbar.

Vorzugswürdig erscheint in diesem Zusammenhang ein weitergehender, differenzierter Blick auf die Folgen in der globalen Medienlandschaft insgesamt, soweit ein „Zerbröckeln“ derselben bzw. eine Fragmentierung des freien Internets als Zeichen am Horizont ausgemacht wird. Über die Tragweite von möglichen Auswirkungen mag die geschätzte Leserschaft daher selbst urteilen.

Ferner wird angeführt, es sei paradox, wenn zur Stärkung des Datenschutzes im Vorhinein erst einmal ein Mehr an Daten erhoben werden müsse. Dass dies eine sachlich begründete, zwangsläufige Folge sein wird, sieht im Übrigen auch der EuGH so, wie es ausdrücklich in Rn. 102 des Urteils angeführt wird. Es scheint sich dabei nach Auffassung des Gerichtshofs also auch nicht um ein Versehen oder eine Fehlentwicklung als Nebeneffekt zu handeln, sondern wird offensichtlich als planvolle Konsequenz der aktuellen Gesetzeslage angesehen.

Urteil mit Signalwirkung: Rot, Gelb oder Grün?

Unterstrichen wird im Rahmen der Entscheidungsfindung ferner der risikobasierte Ansatz, den die DSGVO verfolgt, auch und gerade, was die Einhaltung von geeigneten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO angeht. Dazu findet sich ein ebenso kurzer wie bemerkenswerter Satz (Hervorhebung durch den Autor) in Rn. 122 des Urteils: Danach „muss der Verantwortliche u. a. alle nach dem Stand der Technik verfügbaren technischen Maßnahmen in Betracht ziehen, die die Kopie und Replikation des Online-Inhalts blockieren können.“ Das gilt zumindest, wenn – wie hier – besondere Art. 9-Daten betroffen sind.

Der Art. 32 DSGVO kommt ohnehin relativ schlicht und zugleich sprachlich dicht gespickt daher. Aus der eigenen Beratungspraxis erwächst gelegentlich der Eindruck, dass diese Vorschrift in ihrer Tragweite für effektiven Datenschutz häufig unterschätzt oder missverstanden wird. Deshalb sei auch hierzu eine kleine Anmerkung ergänzt: Mit der zuvor zitierten Feststellung bringt das Gericht klar zum Ausdruck, dass es nicht (einfach) darum geht, einen irgendwie gearteten Mindeststandard in einem einmaligen Workflow formell „abzunicken“. Vielmehr hat der Verantwortliche dafür Sorge zu tragen, dass den individuellen Rechten maximal zur Durchsetzung verholfen wird.

Die Aussage, dass „alle […] verfügbaren“ Mittel ausgeschöpft werden müssen, um eine Weiterverbreitung der fraglichen veröffentlichten Informationen zu unterbinden, hat tiefgreifende Bedeutung für die Auswahl- und Gestaltungsprozesse im Rahmen der Sicherheitsarchitektur jeweiligen Plattform. Ob diese Maßgabe auch für andere Anwendungsfälle mit lediglich „normalen“ personenbezogenen Daten gelten wird, lässt die Entscheidung offen. In jedem Fall aber hat auch dann eine sorgfältige Risikobewertung zu erfolgen, und die Maßnahmen müssen von vornherein bei der Konzeption der jeweiligen Umgebung berücksichtigt werden; das ergebe sich – folgerichtig – aus dem in Art. 25 DSGVO verankerten Grundsatz datenschutzfreundlicher Voreinstellung („privacy by design“ bzw. „privacy by default“), so das Gericht weiter.

Fazit

Die Betreiber von Online-Marktplätzen, Anzeigen-Plattformen oder sonstigen digitalen Diensten mit nutzergenerierten Inhalten sehen sich neuen Pflichten gegenüber, ihre eigenen Prozesse zur Überprüfung und Freigabe von geposteten Inhalten (noch) besser zu strukturieren, um die Gefahren von Missbrauch durch Persönlichkeitsverletzungen einzudämmen.

Dafür wird es zum einen erforderlich sein, die Identität von registrierten Nutzer*innen zu verifizieren und auch die Echtheit von Inhalten zu überprüfen, um so die Weiterverbreitung rechtswidriger Text- oder Bild-Beiträge besser zu kontrollieren. Zu diesem Zweck müssen auch auf technischer Seite – jedenfalls sofern dabei besondere Daten im Sinne des Art. 9 DSGVO tangiert sind – alle verfügbaren „Register gezogen“ werden, um entsprechende Rechtsverletzungen seitens der jeweiligen Plattformen zu verhindern.

Diese Prüf- und Kontrollmechanismen werden Ressourcen binden, seien es menschliche oder technische, in jedem Fall also finanzielle. Ob diese Entwicklung langfristig (auch im Sinne des Datenschutzes) Erfolg verspricht, wird strittig diskutiert: Angesichts der unterschiedlichen Anforderungen an Mechanismen zur Inhaltskontrolle im Internet durch die jeweiligen regionalen Rechtsordnungen sind schon jetzt allenthalben Wandlungen in der Medienlandschaft wahrnehmbar – Beiträge, die innerhalb des EU-Raums als zulässig veröffentlicht angesehen werden, können anderswo auf dem Globus gesperrt sein, und umgekehrt.

Während Aufsichtsbehörden eine Signalwirkung zur eindeutigen Stärkung der individuellen Betroffenenrechte konstatieren, wird andernorts die weitgehende Aufhebung der Anonymität im Internet beklagt. Begrüßenswert erscheint dabei zunächst einmal die Steigerung von Rechtssicherheit für alle Beteiligten. Dazu zählt auch die besser greifbare Ausformung des Grundsatzes datenschutzfreundlicher Voreinstellung („privacy by design“ bzw. „privacy by default“) durch den EuGH. Und wer selbst schon einmal versucht hat, Falschaussagen über die eigene Person „auf eigene Faust“ im Internet wieder „einzusammeln“ bzw. dies durch Strafverfolgungsbehörden zu veranlassen, wird sich darüber freuen, von anderer Seite geregelt, und ohne selbst aktiv werden zu müssen, Unterstützung zu erfahren.

Stefan R. Seiter | 22. Dezember 2025 | Allgemein | Art. 9-Daten, Betrieber, C-492/23, Content-Provider, Datenlöschung, Datenverarbeitung, DSA, DSGVO, EuGH, Fotos, Gemeinsame Verantwortlichkeit, Haftungsprivileg, Hosting-Anbieter, Online-Marktplatz, Privacy by Default, Privacy by Design, Rechenschaftspflicht, Rumänien, Russmedia, Schadensersatz, sensible Daten, technische und organisatorische Maßnahmen, Websites