Mit Urteil vom 2. Dezember 2025 (C-492/23 – Russmedia Digital und Inform Media Press) hat der EuGH die Haftung von Online-Marktplätzen im Datenschutzrecht erheblich konkretisiert. Der Gerichtshof stellt klar, dass Betreiber digitaler Plattformen unter bestimmten Voraussetzungen selbst datenschutzrechtlich verantwortlich sind, wenn Nutzer rechtswidrige Anzeigen mit personenbezogenen oder sensiblen Daten veröffentlichen.
Im Mittelpunkt des Verfahrens stand eine Anzeige auf einem rumänischen Online-Marktplatz, in der eine Frau ohne ihre Einwilligung als Anbieterin sexueller Dienstleistungen dargestellt wurde. Veröffentlicht wurden dabei unter anderem:
- Fotos der Betroffenen,
- ihre Telefonnummer,
- sensible personenbezogene Daten.
Besonders relevant: Der EuGH stuft den Plattformbetreiber nicht lediglich als neutralen Hosting-Dienst ein. Stattdessen kann der Betreiber gemeinsam mit dem inserierenden Nutzer als „Verantwortlicher“ im Sinne der DSGVO gelten. Dadurch entstehen weitreichende Prüf-, Kontroll- und Schutzpflichten für Online-Marktplätze.
Das Urteil dürfte erhebliche Auswirkungen auf:
- Kleinanzeigenportale,
- Marketplace-Plattformen,
- Hosting-Anbieter,
- soziale Netzwerke,
und generell auf die Plattformhaftung in Europa haben.
Warum der EuGH die Haftung von Online-Marktplätzen erweitert
Der EuGH verschärft mit seiner Entscheidung die datenschutzrechtlichen Anforderungen an Betreiber digitaler Plattformen erheblich. Bislang beriefen sich viele Online-Marktplätze auf die Haftungsprivilegien der E-Commerce-Richtlinie und betrachteten sich lediglich als technische Vermittler fremder Inhalte. Genau dieser Ansatz wird durch das Urteil nun deutlich eingeschränkt.
Der Gerichtshof argumentiert, dass Plattformbetreiber häufig aktiv an der Verarbeitung personenbezogener Daten mitwirken. Entscheidend sei insbesondere, dass Betreiber:
- Veröffentlichungsstrukturen vorgeben,
- Inhalte kategorisieren,
- Reichweite steuern,
- Anzeigen verbreiten,
- wirtschaftlich von den Inhalten profitieren.
Dadurch nehmen sie Einfluss auf Zweck und Mittel der Datenverarbeitung. Nach Auffassung des EuGH reicht dies aus, um eine Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO zu begründen.
Besonders relevant ist dabei, dass der EuGH keine vollständige Kontrolle über den Inhalt der Anzeige verlangt. Bereits die organisatorische und wirtschaftliche Einbindung des Plattformbetreibers genügt, um eine gemeinsame Verantwortlichkeit mit dem Nutzer anzunehmen.
Neue Risikobereiche
Für Betreiber bedeutet dies eine Steigerung von Risiken bezüglich:
- DSGVO-Schadensersatzansprüchen
- höherer Compliance-Anforderungen
- stärkerer Prüfpflichten
- technischer Schutzmaßnahmen
- möglicher Bußgelder
Damit entwickelt sich die Haftung von Online-Marktplätzen zunehmend weg vom reinen Hosting-Modell hin zu einer eigenständigen datenschutzrechtlichen Verantwortung.
Wann die Haftung von Online-Marktplätzen greift
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Ein zentraler Punkt des Urteils betrifft die Frage, wann Betreiber digitaler Plattformen selbst als „Verantwortliche“ im Sinne der DSGVO gelten. Der EuGH stellt klar, dass Online-Marktplätze nicht automatisch als neutrale technische Dienstleister einzustufen sind. Vielmehr kann eine gemeinsame Verantwortlichkeit mit dem inserierenden Nutzer vorliegen.
Nach Art. 26 DSGVO liegt eine gemeinsame Verantwortlichkeit vor, wenn mehrere Akteure gemeinsam über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Genau dies sieht der EuGH bei Online-Marktplätzen häufig als erfüllt an.
Der Gerichtshof nennt dabei mehrere Kriterien:
- Strukturierung der Anzeigen
- Festlegung von Kategorien
- Steuerung der Sichtbarkeit
- organisatorische Kontrolle der Inhalte
- kommerzielle Nutzung veröffentlichter Daten
- Möglichkeit zur Bearbeitung oder Löschung von Anzeigen
Einfluss auf Datenverarbeitung
Besonders kritisch bewertete der EuGH die Nutzungsbedingungen der Plattform. Dort behielt sich der Betreiber umfangreiche Rechte an veröffentlichten Inhalten vor, etwa zur:
- Verbreitung,
- Vervielfältigung,
- Weitergabe an Partner,
- Änderung von Anzeigen.
Dadurch verfolge der Betreiber eigene wirtschaftliche Interessen und beeinflusse aktiv die Datenverarbeitung.
Die Folge ist weitreichend: Plattformbetreiber können sich künftig deutlich schwerer darauf berufen, lediglich technische Infrastruktur bereitzustellen. Stattdessen entstehen eigene DSGVO-Pflichten mit unmittelbaren Haftungsrisiken.
Neue Prüfpflichten zur Haftung von Online-Marktplätzen
Besonders praxisrelevant sind die konkreten Prüfpflichten, die der EuGH Plattformbetreibern auferlegt. Nach der Entscheidung reicht es nicht mehr aus, rechtswidrige Inhalte erst nach einem Hinweis zu entfernen. Betreiber müssen vielmehr bereits vor der Veröffentlichung bestimmter Anzeigen aktiv werden.
Der Gerichtshof verpflichtet Online-Marktplätze dazu, geeignete technische und organisatorische Maßnahmen einzusetzen, um sensible personenbezogene Daten frühzeitig zu erkennen. Dabei geht es insbesondere um Daten nach Art. 9 DSGVO, etwa:
- Gesundheitsdaten,
- Angaben zur sexuellen Orientierung,
- intime persönliche Informationen,
- biometrische Daten.
Sobald eine Anzeige solche Informationen enthält, müssen Plattformen zusätzliche Prüfungen durchführen.
Konkret fordert der EuGH:
- Identifikation sensibler Inhalte vor Veröffentlichung
- Überprüfung der Identität des inserierenden Nutzers
- Kontrolle, ob der Nutzer selbst betroffene Person ist
- Nachweis einer ausdrücklichen Einwilligung
- Ablehnung rechtswidriger Anzeigen
Der EuGH betont ausdrücklich, dass diese Pflichten bereits bei der Gestaltung des Plattformdienstes berücksichtigt werden müssen. Betreiber sollen Datenschutz „by design“ umsetzen und Risiken schon im Vorfeld minimieren.
Damit steigt der technische und organisatorische Aufwand für Plattformanbieter erheblich. Besonders betroffen sind Marktplätze mit nutzergenerierten Inhalten und anonymen Veröffentlichungsmöglichkeiten.
Warum die Haftung von Online-Marktplätzen deutlich steigt
Eine der wichtigsten Aussagen des Urteils betrifft die Grenzen der bisherigen Haftungsprivilegien für Hosting-Anbieter. Viele Plattformbetreiber beriefen sich bislang auf die E-Commerce-Richtlinie und argumentierten, lediglich fremde Inhalte technisch zu speichern. Genau diese Argumentation weist der EuGH nun deutlich zurück.
Der Gerichtshof stellt klar:
Die Haftungsprivilegien der Art. 12 bis 15 der E-Commerce-Richtlinie schützen Plattformbetreiber nicht vor ihren eigenständigen Verpflichtungen aus der DSGVO.
Vorrang der DSGVO
Besonders relevant ist dabei:
- Datenschutzpflichten gelten unabhängig vom Hosting-Privileg
- Plattformen müssen DSGVO-Compliance aktiv sicherstellen
- technische Neutralität schützt nicht automatisch vor Haftung
- Datenschutzverstöße können eigene Verantwortlichkeit auslösen
Der EuGH begründet dies damit, dass Datenschutzfragen ausdrücklich nicht von den Haftungsprivilegien der Richtlinie erfasst werden. Betreiber können sich deshalb bei DSGVO-Verstößen nicht darauf zurückziehen, lediglich Vermittler fremder Inhalte zu sein.
Für die Praxis ist das ein Paradigmenwechsel. Betreiber digitaler Plattformen benötigen künftig:
- belastbare Prüfprozesse,
- dokumentierte Compliance-Strukturen,
- technische Schutzsysteme,
- klare Verantwortlichkeitsregelungen.
Das Urteil erhöht damit den regulatorischen Druck auf nahezu alle Anbieter nutzergenerierter Plattformmodelle innerhalb der EU erheblich.
Welche technischen Schutzmaßnahmen Plattformbetreiber jetzt umsetzen müssen
Neben den Prüfpflichten betont der EuGH auch die technische Verantwortung von Online-Marktplätzen. Betreiber müssen geeignete Schutzmaßnahmen implementieren, um die unrechtmäßige Verbreitung sensibler personenbezogener Daten möglichst zu verhindern. Hintergrund des Verfahrens war, dass die rechtswidrige Anzeige nach ihrer ursprünglichen Veröffentlichung auf weiteren Websites übernommen und dauerhaft verbreitet wurde.
Nach Auffassung des Gerichtshofs reicht eine spätere Löschung der Anzeige auf der ursprünglichen Plattform nicht aus, wenn personenbezogene Daten bereits unkontrolliert kopiert wurden. Gerade bei sensiblen Daten könne dies zu einem erheblichen Kontrollverlust der betroffenen Person führen und das Recht auf Löschung praktisch entwerten.
Der EuGH verlangt deshalb technische und organisatorische Maßnahmen, die ein angemessenes Schutzniveau gewährleisten. Dazu können insbesondere Mechanismen gehören, die:
- automatisiertes Kopieren erschweren,
- unzulässige Weiterverbreitung begrenzen,
- sensible Inhalte technisch markieren,
- missbräuchliche Veröffentlichungen frühzeitig erkennen.
Welche konkreten Maßnahmen erforderlich sind, hängt laut EuGH vom Risiko, von der Plattformstruktur und vom Stand der Technik ab. Betreiber müssen dabei nachweisen können, dass ihre Schutzmaßnahmen tatsächlich geeignet sind, Datenschutzverstöße möglichst effektiv zu verhindern.
Welche Folgen das Urteil für Unternehmen und Plattformbetreiber hat
Das Urteil dürfte die Compliance-Anforderungen für Betreiber digitaler Plattformen in Europa deutlich verschärfen. Unternehmen können sich künftig nicht mehr ohne Weiteres darauf berufen, lediglich technische Infrastruktur bereitzustellen. Sobald Plattformen Einfluss auf die Veröffentlichung, Strukturierung oder wirtschaftliche Nutzung von Inhalten nehmen, geraten sie stärker in den Anwendungsbereich der DSGVO.
Besonders relevant ist das für Plattformmodelle mit nutzergenerierten Inhalten, anonymen Inseraten oder automatisierter Reichweitensteuerung. Betreiber müssen ihre Prozesse künftig so ausgestalten, dass sensible personenbezogene Daten bereits vor der Veröffentlichung erkannt und rechtswidrige Inhalte möglichst verhindert werden können. Gleichzeitig steigen die Anforderungen an Dokumentation, Risikobewertung und technische Schutzmaßnahmen.
Auch wirtschaftlich kann das Urteil erhebliche Auswirkungen haben. Neben möglichen DSGVO-Bußgeldern drohen insbesondere Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO. Der EuGH macht deutlich, dass immaterielle Schäden wie Rufschädigungen, Kontrollverlust über persönliche Daten oder Eingriffe in das Privatleben ernst zu nehmen sind. Gerade Plattformen mit hoher Reichweite geraten dadurch in ein deutlich erhöhtes Haftungsrisiko.
Fazit: EuGH verschärft Plattformhaftung deutlich
Der EuGH stärkt mit dem Urteil C-492/23 den Datenschutz auf Online-Marktplätzen erheblich. Betreiber digitaler Plattformen können sich bei DSGVO-Verstößen nicht mehr pauschal auf Hosting-Privilegien berufen und tragen unter Umständen eine eigene datenschutzrechtliche Verantwortung.
Besonders bei sensiblen personenbezogenen Daten verlangt der Gerichtshof aktive Prüf- und Schutzmaßnahmen bereits vor der Veröffentlichung. Für Plattformbetreiber steigen damit sowohl die Compliance-Anforderungen als auch die Haftungsrisiken deutlich.
Fragen zur Haftung von Online-Marktplätzen?
Sie möchten prüfen, ob Ihr Plattformmodell von den neuen DSGVO-Pflichten betroffen ist oder welche Haftungsrisiken nach dem EuGH-Urteil bestehen? Unsere erfahrenen Rechtsanwälte unterstützen Sie bei Datenschutz-Compliance, Plattformhaftung und der Abwehr möglicher Bußgelder oder Schadensersatzansprüche. Vereinbaren Sie jetzt ein Teams-Meeting oder stellen Sie direkt Ihre Rechtsfrage.
❓FAQ zur Haftung von Online-Marktplätzen
Wann greift die Haftung von Online-Marktplätzen nach der DSGVO?
Die Haftung von Online-Marktplätzen greift nach der DSGVO, wenn Plattformbetreiber Einfluss auf die Verarbeitung personenbezogener Daten nehmen. Nach dem EuGH können Betreiber gemeinsam mit Nutzern als Verantwortliche haften und müssen Datenschutzpflichten aktiv erfüllen.
Wie verändert das EuGH-Urteil die Haftung von Online-Marktplätzen?
Der EuGH verschärft die Haftung von Online-Marktplätzen deutlich. Plattformbetreiber müssen sensible personenbezogene Daten künftig stärker kontrollieren und können sich bei DSGVO-Verstößen nicht mehr uneingeschränkt auf Hosting-Privilegien berufen.
Schützen Hosting-Privilegien vor der Haftung von Online-Marktplätzen?
Nein. Der EuGH stellt klar, dass Hosting-Privilegien Plattformbetreiber nicht automatisch vor der Haftung von Online-Marktplätzen schützen. Datenschutzpflichten aus der DSGVO gelten unabhängig von der technischen Rolle der Plattform.
Welche sensiblen Daten erhöhen die Haftung von Online-Marktplätzen?
Besonders sensible personenbezogene Daten nach Art. 9 DSGVO sind Gesundheitsdaten, biometrische Daten sowie Angaben zur sexuellen Orientierung oder zum Sexualleben. Für solche Daten gelten erhöhte Prüf- und Schutzpflichten.
Welche Folgen hat die Haftung von Online-Marktplätzen für Unternehmen?
Die Haftung von Online-Marktplätzen erhöht die Compliance-Anforderungen für Unternehmen erheblich. Plattformbetreiber müssen technische Schutzmaßnahmen umsetzen und mit höheren Risiken für Bußgelder und Schadensersatz rechnen.
