Grundsätzlich haften Online-Plattformen, darunter auch Online-Marktplätze, nicht für rechtswidrige Inhalte ihrer Nutzer, solange sie keine Kenntnis davon haben und nach Kenntniserlangung zügig handeln. Der EuGH hat diesen Grundsatz nun eingeschränkt: Wenn personenbezogene Daten betroffen sind, kann der Betreiber datenschutzrechtlich verantwortlich sein – auch ohne Kenntnis vom konkreten Inhalt. Die Entscheidung stellt neue Anforderungen an Betreiber von Online-Plattformen und dürfte Auswirkungen auf die ausstehende BGH-Entscheidung im Fall Künast gegen Meta haben.
Das Provider-Privileg: Haftungsfreistellung mit Grenzen
Das sog. Provider-Privileg schützt Plattformbetreiber grundsätzlich vor der Haftung für nutzergenerierte Inhalte (verankert in den Art. 12 bis 15 der E-Commerce-Richtlinie 2000/31/EG, deren Grundlogik in Art. 6 des Digital Services Act (DSA) fortgeführt wird). Wer keinen Einfluss auf Inhalte nimmt und von deren Rechtswidrigkeit keine Kenntnis hat, muss nicht aktiv nach rechtswidrigen Inhalten suchen. Erst nach einer Meldung oder Kennenmüssen muss der Betreiber tätig werden („Notice and Takedown”). Der EuGH hat diesem Grundsatz nun eine wesentliche Grenze gezogen.
Der Ausgangsfall: Gefälschte Anzeige mit realen Daten
Auf einem Online-Marktplatz der rumänischen Russmedia Digital SRL wurde – ohne Wissen und Einwilligung der Betroffenen – unter Verwendung ihrer Fotos und Telefonnummer eine Anzeige für sexuelle Dienstleistungen veröffentlicht. Die Betroffene hatte mit solchen Dienstleistungen jedoch nichts zu tun. Russmedia entfernte das Inserat nach einem Hinweis, doch die Inhalte hatten sich bereits im Internet verbreitet. Die Betroffene klagte gegen Russmedia.
Die Grundsatzfrage war demnach, ob der Betreiber einer Online-Plattform, der lediglich die technische Infrastruktur bereitstellt, für von Nutzern hochgeladene Inhalte datenschutzrechtlich verantwortlich sein kann – obwohl das Provider-Privileg grundsätzlich eine Haftungsfreistellung vorsieht.
Die Entscheidung des EuGH: Datenschutzrechtliche Verantwortlichkeit trotz Provider-Privileg
Der EuGH bejahte die datenschutzrechtliche Verantwortlichkeit von Russmedia in seinem Urteil vom 2. Dezember 2025, C-492/23. Der Gerichtshof stufte Russmedia und den inserierenden Nutzer als gemeinsam Verantwortliche i.S.v. Art. 26 DSGVO ein. Dabei betonte er, dass gemeinsame Verantwortlichkeit keine gleichwertige Verantwortung voraussetzt – der Grad der Verantwortlichkeit jedes Akteurs ist individuell zu beurteilen. Entscheidend für die Verantwortlichkeit von Russmedia waren mehrere Umstände:
- Kommerzielles Eigeninteresse: Russmedia veröffentlichte Anzeigen aus eigenem wirtschaftlichem Interesse und zog aus den darin enthaltenen personenbezogenen Daten Profit. Der EuGH knüpft an seine Rechtsprechung an, wonach eine Einflussnahme aus Eigeninteresse für die Verantwortlichkeit ausreichen kann (EuGH, Urteil vom 05.06.2018, C-210/16 und EuGH, Urteil vom 29.07.2019, C-40/17).
- AGB-Gestaltung: Russmedia hatte sich in den Nutzungsbedingungen weitreichende Rechte an den Inseraten vorbehalten – insbesondere das Recht, Inhalte zu verbreiten, zu übermitteln, zu vervielfältigen, zu ändern und an Partner weiterzugeben. Der EuGH folgerte daraus, dass das Unternehmen an der Festlegung der Mittel der Datenverarbeitung mitwirkte.
- Anonyme Anzeigen: Die Plattform ließ das Einstellen von Anzeigen ohne Identitätsprüfung zu und erleichterte damit den Rechtsverstoß.
Der EuGH knüpfte damit an seine bisherige Linie an, die datenschutzrechtliche Verantwortlichkeit weit auszulegen. Bereits 2018 hatte der Gerichtshof entschieden, dass eine Mitwirkung aus Eigeninteresse für die Verantwortlichkeit ausreichen kann (EuGH, Urteil vom 18.07.2018, C-25/17).
Pflichten vor der Veröffentlichung
Ist der Plattformbetreiber datenschutzrechtlich verantwortlich, beginnt seine Verantwortung nicht erst mit einer Meldung – sondern bereits vor der Veröffentlichung. Der EuGH leitet daraus konkrete Pflichten ab, die sich auf Anzeigen mit sensiblen Daten i.S.v. Art. 9 Abs. 1 DSGVO beziehen – also etwa Daten zur Gesundheit oder biometrische Daten.
- Inhaltliche Vorprüfung: Der Betreiber muss vor Veröffentlichung mittels geeigneter technischer und organisatorischer Maßnahmen prüfen, ob hochgeladene Anzeigen sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten.
- Einwilligungskontrolle: Enthält ein Inhalt solche Daten, muss der Betreiber sicherstellen, dass die betroffene Person die Veröffentlichung selbst veranlasst hat oder eine ausdrückliche Einwilligung bzw. andere Rechtsgrundlage vorliegt. Kann dies nicht nachgewiesen werden, muss der Betreiber die Veröffentlichung verweigern.
- Identitätsprüfung: Der Betreiber muss die Identität des inserierenden Nutzers erheben und prüfen, ob dieser die Person ist, deren sensible Daten in der Anzeige enthalten sind.
- Weiterverbreitungsschutz: Gesondert aus Art. 32 DSGVO leitet der EuGH ab, dass der Betreiber bei Anzeigen mit sensiblen Daten geeignete technische und organisatorische Schutzmaßnahmen treffen muss, die verhindern, dass diese auf anderen Websites kopiert und unrechtmäßig veröffentlicht werden.
In der Praxis dürfte die Erfüllung dieser Pflichten häufig den Einsatz automatisierter Upload-Filter erfordern – ein Punkt, der bereits kritisch diskutiert wird.
Kein Provider-Privileg bei datenschutzrechtlicher Verantwortlichkeit
Der EuGH stellt klar: Ist ein Betreiber eines Online-Marktplatzes als datenschutzrechtlich Verantwortlicher einzustufen, kann er sich nicht auf das Provider-Privileg der E-Commerce-Richtlinie berufen. Denn die Richtlinie findet keine Anwendung auf Fragen des Schutzes personenbezogener Daten (Art. 1 Abs. 5 lit. b RL 2000/31/EG). Umgekehrt stellt die DSGVO klar, dass die Verordnung die E-Commerce-Richtlinie „unberührt” lässt – was der EuGH dahin auslegt, dass die E-Commerce-Richtlinie nicht in die Regelung der DSGVO eingreifen kann (Art. 2 Abs. 4 DSGVO). Die Haftungsfreistellung greift daher nicht für Pflichten, die sich aus der DSGVO ergeben.
Dasselbe dürfte für Art. 6 DSA gelten, der die Nachfolgeregelung zu Art. 14 der E-Commerce-Richtlinie darstellt und den Vorrang der DSGVO in Art. 2 Abs. 4 lit. g DSA ebenfalls vorsieht.
Ausblick: Der Fall Künast gegen Meta vor dem BGH
Die Entscheidung dürfte unmittelbare Auswirkungen auf den anhängigen Rechtsstreit zwischen Renate Künast und dem Facebook-Mutterkonzern Meta vor dem BGH haben. Gegenstand ist die Verbreitung eines manipulierten Memes mit dem Bild und einem falschen Zitat von Künast. Meta hatte das Meme nach Meldung entfernt, weigerte sich jedoch, die Verbreitung ähnlicher Inhalte künftig zu unterbinden.
In den Vorinstanzen war Künast mit einem Unterlassungsanspruch erfolgreich. Der BGH hatte das Verfahren ausgesetzt, um die EuGH-Entscheidung im Fall Russmedia abzuwarten – weil sich dieselbe Grundsatzfrage stellt: Ist Meta als datenschutzrechtlich Verantwortlicher einzustufen, und entfällt damit das Provider-Privileg?
Nach der Russmedia-Entscheidung spricht viel dafür, dass der BGH eine datenschutzrechtliche Verantwortlichkeit von Meta zumindest in Betracht ziehen wird. Allerdings unterscheidet sich die Konstellation: Russmedia betrieb einen Online-Marktplatz für Anzeigen mit weitreichenden AGB-Rechten und anonymem Inserieren; bei Facebook/Meta geht es um nutzergenerierte Posts auf einer Social-Media-Plattform. Die Übertragbarkeit der Maßstäbe ist daher nicht zwingend. Wie weit die Pflichten im konkreten Fall reichen, bleibt abzuwarten.
Für alle weiteren Fragen rund um das Datenschutzrecht stehen wir Ihnen gerne zur Verfügung:
Dr. Kristina Schreiber +49 221 65065-337 | kristina.schreiber@loschelder.de