EuGH: Online-Marktplätze müssen sensible Daten vor Veröffentlichung prüfen. Keine Haftungsprivilegierung bei DSGVO-Verstößen.

von | Dez. 3, 2025 | Datenschutzrecht, EU-Rechtsprechung, Internetrecht, Persönlichkeitsrechte | 0 Kommentare

EuGH-Urteil vom 2.12.2025, Rechtssache C‑492/23

 

Sachverhalt:

Im zugrunde liegenden Fall betrieb die rumänische Gesellschaft Russmedia Digital die Website www.publi24.ro, einen Online-Marktplatz, auf dem Nutzer kostenlos oder gegen Entgelt Werbeanzeigen veröffentlichen können. Auf dieser Plattform wurde eine Anzeige veröffentlicht, in der die Klägerin des Ausgangsverfahrens als Anbieterin sexueller Dienstleistungen dargestellt wurde. Die Anzeige enthielt Fotos der Klägerin sowie ihre Telefonnummer, ohne dass diese dem zugestimmt hatte. Die Anzeige wurde von einer nicht identifizierten dritten Person anonym eingestellt.

Nachdem die Klägerin Russmedia kontaktiert hatte, wurde die Anzeige innerhalb weniger als einer Stunde von der ursprünglichen Website entfernt. Allerdings war die Anzeige bereits auf andere Websites kopiert worden, wo sie unter Angabe der ursprünglichen Quelle weiterhin abrufbar blieb. Die Klägerin sah hierin eine Verletzung ihres Rechts am eigenen Bild, ihrer Ehre und ihres Privatlebens sowie einen Verstoß gegen die Datenschutz-Grundverordnung. Sie erhob Klage auf Schadenersatz wegen unrechtmäßiger Verarbeitung ihrer personenbezogenen Daten.

Das erstinstanzliche Gericht verurteilte Russmedia zur Zahlung von 7.000 Euro Schadenersatz. Das Berufungsgericht hob dieses Urteil jedoch auf und wies die Klage ab. Es vertrat die Auffassung, Russmedia habe lediglich einen Hostingdienst erbracht und könne sich auf die Haftungsbefreiung nach der E-Commerce-Richtlinie berufen, da das Unternehmen die Anzeige nach Kenntnis unverzüglich gelöscht habe.

Das Verfahren wurde schließlich dem EuGH zur Vorabentscheidung vorgelegt.

 

Entscheidung:

Der EuGH stellte zunächst fest, dass die in der Anzeige enthaltenen Informationen personenbezogene und wegen ihres Bezugs zum Sexualleben besonders sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO darstellen. Eine Verarbeitung liege bereits in der Veröffentlichung auf einer Website vor.

Maßgeblich sei zudem der weite Verantwortlichenbegriff des Art. 4 Nr. 7 DSGVO. Danach ist Verantwortlicher, wer über Zwecke und Mittel der Verarbeitung entscheidet; auch gemeinsam mit anderen. Der EuGH betonte, dass Plattformbetreiber diese Entscheidungsmacht regelmäßig mitprägen, wenn sie Anzeigen technisch bereitstellen, aufbereiten, verbreiten oder wirtschaftlich verwerten. Russmedia habe sich weitreichende Rechte zur Nutzung und Weiterverbreitung von Inhalten vorbehalten und ermögliche zudem anonyme Inserate, was die Veröffentlichung ohne Einwilligung der betroffenen Person erleichtere. Damit habe das Unternehmen sowohl die Zwecke als auch die Mittel der Datenverarbeitung in erheblichem Umfang mitbestimmt. Der Betreiber sei daher gemeinsam mit dem Inserenten Verantwortlicher nach Art. 26 DSGVO.

Aus der gemeinsamen Verantwortlichkeit folgen umfangreiche Pflichten. Nach Art. 5 Abs. 2 und Art. 24 DSGVO muss der Verantwortliche geeignete technische und organisatorische Maßnahmen vorhalten und deren Wirksamkeit nachweisen können. Art. 25 verpflichtet dazu, Datenschutzgrundsätze bereits bei der Systemgestaltung umzusetzen. Bei sensiblen Daten sind die damit verbundenen erheblichen Risiken für Grundrechte besonders zu berücksichtigen.

Der EuGH leitet hieraus eine Pflicht zur präventiven Identifikation sensibler Inhalte ab: Plattformbetreiber müssen Anzeigen, die sensible Daten enthalten, vor der Veröffentlichung erkennen und prüfen können, ob die Veröffentlichung rechtmäßig ist. Da Art. 9 Abs. 1 DSGVO die Verarbeitung sensibler Daten grundsätzlich verbietet, ist eine ausdrückliche Einwilligung erforderlich. Um diese bewerten zu können, muss der Betreiber die Identität des Inserierenden erheben und verifizieren. Stellt sich heraus, dass der Inserent nicht die betroffene Person ist und keine ausdrückliche Einwilligung nachweisbar ist, muss die Veröffentlichung verweigert werden.

Auch hinsichtlich der Weiterverbreitung setzt der Gerichtshof klare Maßstäbe. Art. 32 DSGVO verpflichtet den Verantwortlichen, ein dem Risiko angemessenes Sicherheitsniveau sicherzustellen. Bei sensiblen Daten umfasst dies Maßnahmen, die ein Kopieren oder unrechtmäßiges Wiederveröffentlichen so weit wie technisch möglich verhindern. Zwar führt eine spätere rechtswidrige Verbreitung nicht automatisch zur Annahme unzureichender Maßnahmen, der Betreiber muss aber belegen können, dass die von ihm gewählten Schutzmechanismen dem Risiko angemessen waren.

Schließlich befasst sich der EuGH mit dem Verhältnis von DSGVO und E-Commerce-Richtlinie. Die Richtlinie findet nach ihrem Art. 1 Abs. 5 lit. b keine Anwendung auf Angelegenheiten des Datenschutzes. Art. 2 Abs. 4 DSGVO bestätigt, dass die Haftungsprivilegierungen der Art. 12–15 der Richtlinie die Anwendung der DSGVO nicht einschränken. Daher kann sich ein Plattformbetreiber, der datenschutzrechtliche Pflichten verletzt, nicht auf die Hosting-Privilegierung berufen. Datenschutzrechtliche Verantwortung besteht unabhängig von der Rolle als Hosting-Dienstanbieter.

 

 

Link zur Entscheidung

Link zur Pressemitteilung

 

Weitere Blog-Beiträge zum Datenschutzrecht:

Absage in Gehaltsverhandlungen irrtümlich an Dritten versandt: EuGH zu Unterlassungs- und Schadenersatzansprüchen nach der DSGVO. Negative Gefühle können ausreichen.

Darf die Datenschutzbehörde (DSB) die Bearbeitung „exzessiver Beschwerden“ verweigern? EuGH: Anzahl ist nur Indiz für Missbrauchsabsicht.

Google-Bewertungen: OGH zur Anwendung des Herkunftslandsprinzips sowie datenschutzrechtlichen Fragestellungen.

Online-Apotheken und Datenschutz: EuGH stuft Kundendaten als Gesundheitsdaten ein. Klagebefugnis von Mitbewerbern bei Datenschutzverletzungen.

EuGH: Entschuldigung kann angemessener Ersatz eines immateriellen Schadens bei DSGVO-Verletzung sein.

EuGH: Meta (Facebook) muss Grundsatz der Datenminimierung einhalten. Keine zeitlich unbegrenzte und unterschiedslose Verarbeitung personenbezogener Daten für Werbung.

EuGH: Temporäre Veröffentlichung personenbezogener Daten im Handelsregister kann immateriellen Schaden auslösen.

Sparkassen-Mitarbeiter greift mehrmals unbefugt auf personenbezogene Daten eines Kunden zu. EuGH: Aufsichtsbehörde muss nicht bei jedem Verstoß Abhilfemaßnahme ergreifen oder Geldbuße verhängen.

EuGH: Verbandsklagen bei Datenschutzverstößen möglich, wenn bei Datenverarbeitung DSGVO-Informationspflichten verletzt wurden.

Videoüberwachung deckt versuchtes Erschleichen einer Versicherungsleistung auf: Kein DSGVO-Schadenersatz für (behauptete) Datenschutzverletzung.

EuGH zum immateriellen DSGVO-Schadenersatz: „Verlust der Kontrolle“ über personenbezogene Daten ist Schaden. Keine Straf- sondern Ausgleichsfunktion.

EuGH: Keine Bagatellgrenze für immateriellen Schaden infolge DSGVO-Verstoß. Jedoch Nachweis erforderlich, dass immaterieller Schaden tatsächlich entstanden ist.

EuGH: Datenschutzverletzung allein begründet nicht Unangemessenheit von Sicherheitsmaßnahmen. Befürchtung eines Datenmissbrauchs kann immateriellen Schaden darstellen.

Politische Partei veröffentlicht Stand-Bild von Live-Stream auf Facebook: DSGVO-Verstoß. Ansprüche auf Löschung, Unterlassung und Schadenersatz.

DSGVO-Schadenersatz für Schulwart, der irrtümlich in Lehrerbewertungs-App aufgenommen wurde.

Erfassen des Stromverbrauchs durch „Smart Meter“: Kein Anspruch auf Schadenersatz auf Grundlage der DSGVO aufgrund Sorgen allgemeiner Natur.

Immaterieller Schadenersatz bei Verstößen gegen die DSGVO? Verstoß allein genügt nicht. Schaden erforderlich. Aber: Keine „Erheblichkeitsschwelle“.

EuGH zu DSGVO-Geldbußen: Verstoß muss schuldhaft begangen worden sein. Höhe richtet sich nach weltweitem Jahresumsatz.