EuGH-Urteil vom 2.12.2025, Rechtssache C\u2011492\/23<\/p>\n
<\/p>\n
Sachverhalt:<\/strong><\/p>\n Im zugrunde liegenden Fall betrieb die rum\u00e4nische Gesellschaft Russmedia Digital die Website www.publi24.ro, einen Online-Marktplatz, auf dem Nutzer kostenlos oder gegen Entgelt Werbeanzeigen ver\u00f6ffentlichen k\u00f6nnen. Auf dieser Plattform wurde eine Anzeige ver\u00f6ffentlicht, in der die Kl\u00e4gerin des Ausgangsverfahrens als Anbieterin sexueller Dienstleistungen dargestellt wurde. Die Anzeige enthielt Fotos der Kl\u00e4gerin sowie ihre Telefonnummer, ohne dass diese dem zugestimmt hatte. Die Anzeige wurde von einer nicht identifizierten dritten Person anonym eingestellt.<\/p>\n Nachdem die Kl\u00e4gerin Russmedia kontaktiert hatte, wurde die Anzeige innerhalb weniger als einer Stunde von der urspr\u00fcnglichen Website entfernt. Allerdings war die Anzeige bereits auf andere Websites kopiert worden, wo sie unter Angabe der urspr\u00fcnglichen Quelle weiterhin abrufbar blieb. Die Kl\u00e4gerin sah hierin eine Verletzung ihres Rechts am eigenen Bild, ihrer Ehre und ihres Privatlebens sowie einen Versto\u00df gegen die Datenschutz-Grundverordnung. Sie erhob Klage auf Schadenersatz wegen unrechtm\u00e4\u00dfiger Verarbeitung ihrer personenbezogenen Daten.<\/p>\n Das erstinstanzliche Gericht verurteilte Russmedia zur Zahlung von 7.000 Euro Schadenersatz. Das Berufungsgericht hob dieses Urteil jedoch auf und wies die Klage ab. Es vertrat die Auffassung, Russmedia habe lediglich einen Hostingdienst erbracht und k\u00f6nne sich auf die Haftungsbefreiung nach der E-Commerce-Richtlinie berufen, da das Unternehmen die Anzeige nach Kenntnis unverz\u00fcglich gel\u00f6scht habe.<\/p>\n Das Verfahren wurde schlie\u00dflich dem EuGH zur Vorabentscheidung vorgelegt.<\/p>\n <\/p>\n Entscheidung:<\/strong><\/p>\n Der EuGH stellte zun\u00e4chst fest, dass die in der Anzeige enthaltenen Informationen personenbezogene<\/strong> und wegen ihres Bezugs zum Sexualleben besonders sensible Daten<\/strong> im Sinne von Art. 9 Abs. 1 DSGVO darstellen. Eine Verarbeitung liege bereits in der Ver\u00f6ffentlichung auf einer Website vor.<\/p>\n Ma\u00dfgeblich sei zudem der weite Verantwortlichenbegriff des Art. 4 Nr. 7 DSGVO. Danach ist Verantwortlicher, wer \u00fcber Zwecke und Mittel der Verarbeitung entscheidet; auch gemeinsam mit anderen. Der EuGH betonte, dass Plattformbetreiber diese Entscheidungsmacht regelm\u00e4\u00dfig mitpr\u00e4gen, wenn sie Anzeigen technisch bereitstellen, aufbereiten, verbreiten oder wirtschaftlich verwerten. Russmedia habe sich weitreichende Rechte zur Nutzung und Weiterverbreitung von Inhalten vorbehalten und erm\u00f6gliche zudem anonyme Inserate, was die Ver\u00f6ffentlichung ohne Einwilligung der betroffenen Person erleichtere. Damit habe das Unternehmen sowohl die Zwecke als auch die Mittel der Datenverarbeitung in erheblichem Umfang mitbestimmt. Der Betreiber sei daher gemeinsam mit dem Inserenten Verantwortlicher<\/strong> nach Art. 26 DSGVO.<\/p>\n Aus der gemeinsamen Verantwortlichkeit folgen umfangreiche Pflichten<\/strong>. Nach Art. 5 Abs. 2 und Art. 24 DSGVO muss der Verantwortliche geeignete technische und organisatorische Ma\u00dfnahmen<\/strong> vorhalten und deren Wirksamkeit nachweisen k\u00f6nnen. Art. 25 verpflichtet dazu, Datenschutzgrunds\u00e4tze bereits bei der Systemgestaltung<\/strong> umzusetzen. Bei sensiblen Daten sind die damit verbundenen erheblichen Risiken f\u00fcr Grundrechte besonders zu ber\u00fccksichtigen<\/strong>.<\/p>\n Der EuGH leitet hieraus eine Pflicht zur pr\u00e4ventiven Identifikation sensibler Inhalte<\/strong> ab: Plattformbetreiber m\u00fcssen Anzeigen, die sensible Daten enthalten, vor der Ver\u00f6ffentlichung erkennen und pr\u00fcfen k\u00f6nnen, ob die Ver\u00f6ffentlichung rechtm\u00e4\u00dfig ist. Da Art. 9 Abs. 1 DSGVO die Verarbeitung sensibler Daten grunds\u00e4tzlich verbietet, ist eine ausdr\u00fcckliche Einwilligung erforderlich<\/strong>. Um diese bewerten zu k\u00f6nnen, muss der Betreiber die Identit\u00e4t des Inserierenden erheben und verifizieren<\/strong>. Stellt sich heraus, dass der Inserent nicht die betroffene Person ist und keine ausdr\u00fcckliche Einwilligung nachweisbar ist, muss die Ver\u00f6ffentlichung verweigert werden.<\/p>\n Auch hinsichtlich der Weiterverbreitung<\/strong> setzt der Gerichtshof klare Ma\u00dfst\u00e4be. Art. 32 DSGVO verpflichtet den Verantwortlichen, ein dem Risiko angemessenes Sicherheitsniveau <\/strong>sicherzustellen. Bei sensiblen Daten umfasst dies Ma\u00dfnahmen, die ein Kopieren oder unrechtm\u00e4\u00dfiges Wiederver\u00f6ffentlichen so weit wie technisch m\u00f6glich verhindern. Zwar f\u00fchrt eine sp\u00e4tere rechtswidrige Verbreitung nicht automatisch zur Annahme unzureichender Ma\u00dfnahmen, der Betreiber muss aber belegen k\u00f6nnen, dass die von ihm gew\u00e4hlten Schutzmechanismen dem Risiko angemessen waren.<\/p>\n Schlie\u00dflich befasst sich der EuGH mit dem Verh\u00e4ltnis von DSGVO und E-Commerce-Richtlinie<\/strong>. Die Richtlinie findet nach ihrem Art. 1 Abs. 5 lit. b keine Anwendung auf Angelegenheiten des Datenschutzes. Art. 2 Abs. 4 DSGVO best\u00e4tigt, dass die Haftungsprivilegierungen der Art. 12\u201315 der Richtlinie die Anwendung der DSGVO nicht einschr\u00e4nken<\/strong>. Daher kann sich ein Plattformbetreiber, der datenschutzrechtliche Pflichten verletzt, nicht auf die Hosting-Privilegierung berufen<\/strong>. Datenschutzrechtliche Verantwortung besteht unabh\u00e4ngig von der Rolle als Hosting-Dienstanbieter.<\/p>\n <\/p>\n <\/p>\n Link zur Entscheidung<\/a><\/p>\n Link zur Pressemitteilung<\/a><\/p>\n <\/p>\n Weitere Blog-Beitr\u00e4ge zum Datenschutzrecht:<\/strong><\/p>\n Absage in Gehaltsverhandlungen irrt\u00fcmlich an Dritten versandt: EuGH zu Unterlassungs- und Schadenersatzanspr\u00fcchen nach der DSGVO. Negative Gef\u00fchle k\u00f6nnen ausreichen.<\/a><\/p>\n Darf die Datenschutzbeh\u00f6rde (DSB) die Bearbeitung \u201eexzessiver Beschwerden\u201c verweigern? EuGH: Anzahl ist nur Indiz f\u00fcr Missbrauchsabsicht.<\/a><\/p>\n Google-Bewertungen: OGH zur Anwendung des Herkunftslandsprinzips sowie datenschutzrechtlichen Fragestellungen.<\/a><\/p>\n Online-Apotheken und Datenschutz: EuGH stuft Kundendaten als Gesundheitsdaten ein. Klagebefugnis von Mitbewerbern bei Datenschutzverletzungen.<\/a><\/p>\n EuGH: Entschuldigung kann angemessener Ersatz eines immateriellen Schadens bei DSGVO-Verletzung sein.<\/a><\/p>\n EuGH: Meta (Facebook) muss Grundsatz der Datenminimierung einhalten. Keine zeitlich unbegrenzte und unterschiedslose Verarbeitung personenbezogener Daten f\u00fcr Werbung.<\/a><\/p>\n EuGH: Tempor\u00e4re Ver\u00f6ffentlichung personenbezogener Daten im Handelsregister kann immateriellen Schaden ausl\u00f6sen.<\/a><\/p>\n Sparkassen-Mitarbeiter greift mehrmals unbefugt auf personenbezogene Daten eines Kunden zu. EuGH: Aufsichtsbeh\u00f6rde muss nicht bei jedem Versto\u00df Abhilfema\u00dfnahme ergreifen oder Geldbu\u00dfe verh\u00e4ngen.<\/a><\/p>\n EuGH: Verbandsklagen bei Datenschutzverst\u00f6\u00dfen m\u00f6glich, wenn bei Datenverarbeitung DSGVO-Informationspflichten verletzt wurden.<\/a><\/p>\n Video\u00fcberwachung deckt versuchtes Erschleichen einer Versicherungsleistung auf: Kein DSGVO-Schadenersatz f\u00fcr (behauptete) Datenschutzverletzung.<\/a><\/p>\n EuGH zum immateriellen DSGVO-Schadenersatz: \u201eVerlust der Kontrolle\u201c \u00fcber personenbezogene Daten ist Schaden. Keine Straf- sondern Ausgleichsfunktion.<\/a><\/p>\n EuGH: Keine Bagatellgrenze f\u00fcr immateriellen Schaden infolge DSGVO-Versto\u00df. Jedoch Nachweis erforderlich, dass immaterieller Schaden tats\u00e4chlich entstanden ist.<\/a><\/p>\n EuGH: Datenschutzverletzung allein begr\u00fcndet nicht Unangemessenheit von Sicherheitsma\u00dfnahmen. Bef\u00fcrchtung eines Datenmissbrauchs kann immateriellen Schaden darstellen.<\/a><\/p>\n Politische Partei ver\u00f6ffentlicht Stand-Bild von Live-Stream auf Facebook: DSGVO-Versto\u00df. Anspr\u00fcche auf L\u00f6schung, Unterlassung und Schadenersatz.<\/a><\/p>\n DSGVO-Schadenersatz f\u00fcr Schulwart, der irrt\u00fcmlich in Lehrerbewertungs-App aufgenommen wurde.<\/a><\/p>\n Erfassen des Stromverbrauchs durch \u201eSmart Meter\u201c: Kein Anspruch auf Schadenersatz auf Grundlage der DSGVO aufgrund Sorgen allgemeiner Natur.<\/a><\/p>\n