Update Datenschutz Nr. 227
Mit Urteil vom 2. Dezember 2025 (Rs. C-492/23 – "Russmedia") hat der EuGH festgestellt, dass sich Hosting-Anbieter/Online-Marktplätze bei Datenschutzverstößen nicht auf das aus dem Hosting-Recht bekannte Provider-Privileg (E-Commerce-Richtlinie; fortgeführt in Art. 6 DSA) berufen können. Die Privilegierung, die wichtig für die Entstehung von Diensten mit Nutzerbeteiligung war und ist, reduziert nach Auffassung des EuGH nicht die Anforderungen der DSGVO. Für Betreiber nutzergenerierter Plattformen erhöht das den Druck, Datenschutz-Compliance präventiv zu organisieren.
Sachverhalt
Auf einer Kleinanzeigenplattform veröffentlichte eine unbekannte Person unter dem Namen der späteren Klägerin eine Anzeige. In der Anzeige wurden sexuelle Dienstleistungen angeboten. Dazu wurden Foto und Telefonnummer verwendet. Der Betreiber hat die Anzeige nach Erhalt eines entsprechenden Hinweises entfernt. Zu diesem Zeitpunkt war die Anzeige jedoch bereits kopiert und auf anderen Seiten im Internet weiterverbreitet worden. Die Betroffene nahm den Betreiber unter anderem wegen Verstößen gegen die DSGVO in Anspruch.
Kernaussagen des EuGH
- Plattformbetreiber können Verantwortliche für die von einem Nutzer hochgeladenen Daten sein.
Der EuGH stufte den Betreiber im konkreten Fall als Verantwortlichen ein. Ausschlaggebend waren insbesondere die vom Betreiber festgelegten Rahmenbedingungen der Veröffentlichung (u. a. Struktur und Darstellung) sowie weitreichende Rechte an den Inhalten. - Kein Provider-Privileg bei personenbezogenen Daten.
Das Hosting-Privileg schützt nach dem EuGH nicht vor datenschutzrechtlicher Verantwortlichkeit. Anders als im DSA-Konzept „Notice and Action“ genügt es daher nicht, erst nach Kenntnis zu reagieren. Datenschutzverstöße sollen präventiv verhindert werden. - Konkrete Präventionspflichten, besonders bei Art. 9 DSGVO.
Plattformen sollen bereits vor Veröffentlichung Inhalte erkennen, die sensible Daten enthalten, die Identität der einstellenden Person verifizieren und prüfen, ob eine Rechtsgrundlage (insbesondere Einwilligung) vorliegt. Außerdem sollen geeignete Maßnahmen verhindern oder begrenzen, dass solche Inhalte unrechtmäßig kopiert und weiterverbreitet werden.
Bedeutung für die Praxis
Das Urteil dürfte vor allem Plattformen treffen, bei denen Nutzer typischerweise Inhalte einstellen können, die Dritte betreffen, insbesondere in sensiblen Kontexten (Sexualbezug, Gesundheitsbezug, etc.). Entscheidend ist weniger das Label („Host-Provider“) als die Frage, ob der Betreiber durch Ausgestaltung und Rechte an Inhalten als Akteur erscheint, der Zwecke und Mittel der Verarbeitung mitbestimmt.
Was Unternehmen jetzt tun sollten
Rollen- und Modellprüfung: Entspricht das eigene Plattformdesign den EuGH-Kriterien (Rechte an Inhalten, Steuerung der Darstellung, Anonymität, Monetarisierung/Verwertungsinteresse)? Die Ergebnisse dieser müssen dokumentiert werden (Accountability).
Pre-Upload-Governance für sensible Inhalte: Erkennungs- und Eskalationsprozesse für Art. 9-Nähe (Text/Bild/Metadaten), inkl. „Stop/Review“-Mechanik.
Nutzerverifikation risikobasiert: Identitätsprüfung zumindest dort, wo Drittinhalte mit erhöhtem Risiko eingestellt werden können; klare Nachweise/Erklärungen zur Berechtigung.
Schutz gegen Weiterverbreitung: TOMs einsetzen, die das Kopieren und die Weiterverwendung technisch und organisatorisch begrenzen, insbesondere bei sensiblen Inhalten. Darüber hinaus sollten Monitoring und Reaktionspfade eingerichtet werden.
DSA-Prozesse sauber andocken: Das Notice-and-Action-Verfahren hat sich als zuverlässige Methode zur Problemlösung bewährt. Es ermöglicht eine schnelle Reaktion auf Meldungen und sollte als zusätzliche Verteidigungslinie zu präventiven DSGVO-Maßnahmen eingesetzt werden.
Fazit
„Russmedia“ stärkt Betroffenenrechte deutlich und verlagert Compliance bei Plattformen in die Phase vor Veröffentlichung, jedenfalls dort, wo sensible Drittinhalte im Raum stehen. Betreiber sollten ihr Plattformmodell und ihre Prozesse jetzt so ausrichten, dass sie Prävention und Nachweisfähigkeit nach der DSGVO tragfähig abbilden können.
