EuGH kippt Haftungsschutz für Online-Marktplätze

Der Europäische Gerichtshof (EuGH) stellt Plattformen für Nutzerdatenverstöße haftbar – ein Paradigmenwechsel für die digitale Wirtschaft. Das Urteil beendet den Schutz als bloßer “Dienstleister” nach der E-Commerce-Richtlinie.

Die Entscheidung vom 2. Dezember in der Rechtssache C-492/23 (Russmedia Digital) wirkt wie ein Paukenschlag. Der EuGH hat klargestellt: Betreiber von Online-Marktplätzen wie eBay Kleinanzeigen oder ähnlichen Portalen gelten als gemeinsame Verantwortliche („Joint Controller“) für personenbezogene Daten in Nutzeranzeigen. Diese Einordnung gilt selbst dann, wenn die Plattform den Inhalt nicht erstellt hat.

Ausschlaggebend ist der „entscheidende Einfluss“ der Plattform. Durch die Gestaltung der Nutzungsbedingungen, die Funktionalität des Systems und den kommerziellen Vorteil aus den Anzeigen steuert der Betreiber die Datenverarbeitung wesentlich mit. Der bisherige Haftungsschutz als „Host-Provider“ greift hier nicht mehr. Das gilt auch unter der neuen Digital Services Act (DSA).

Viele Plattformbetreiber unterschätzen die Dokumentationspflichten, die mit der Rolle als gemeinsame Verantwortliche einhergehen — lückenhafte Verzeichnisse der Verarbeitungstätigkeiten können zu empfindlichen Bußgeldern führen. Mit der kostenlosen Excel‑Vorlage für das Verzeichnis nach Art. 30 DSGVO erstellen Sie in kurzer Zeit eine prüfbare Dokumentation inklusive klarer Schritt‑für‑Schritt‑Anleitung. Ideal für Marktplatzbetreiber, die ihre Prozesse schnell rechtskonform nachweisen müssen. Verarbeitungsverzeichnis jetzt kostenlos herunterladen

„Das Urteil schließt eine lange bestehende Lücke“, kommentiert die Legal Tribune Online (LTO). Bislang konnten sich Plattformen auf das „Notice-and-Takedown“-Prinzip berufen und waren erst nach Hinweis aktiv. Der EuGH stellt nun klar: Die proaktiven Sorgfaltspflichten der Datenschutz-Grundverordnung (DSGVO) haben Vorrang vor diesem Privileg.

Der Präzedenzfall: Wie eine falsche Anzeige zum Grundsatzurteil führte

Auslöser war ein Fall in Rumänien. Auf dem Marktplatz publi24.ro hatte ein anonymer Nutzer 2018 eine bösartige Anzeige geschaltet. Er bot sexuelle Dienstleistungen unter dem echten Namen, mit Telefonnummer und Fotos einer Frau an – alles ohne deren Einwilligung. Die Plattform löschte den Eintrag zwar binnen Stunden nach Beschwerde, doch die Daten waren bereits von anderen Seiten kopiert worden.

Das Opfer verklagte den Plattformbetreiber Russmedia Digital auf Schadensersatz. Nachdem nationale Gerichte den Fall zunächst abgewiesen hatten, legte das Berufungsgericht Cluj ihn dem EuGH vor. Die Luxemburger Richter sahen die Rolle der Plattform als entscheidend an: Durch das Organisieren, Kategorisieren und öffentliche Zugänglichmachen der Anzeigen handele der Betreiber nicht mehr passiv, sondern wird zum Mittäter der Datenschutzverletzung.

Neue Compliance-Pflichten ab 2026

Für Unternehmen bedeutet das Urteil einen strikten Kurswechsel. Ab dem kommenden Jahr müssen Online-Marktplätze bereits vor der Veröffentlichung technische und organisatorische Maßnahmen ergreifen, um DSGVO-Verstöße zu verhindern. Juristen identifizieren drei Kernpflichten:

• Proaktive Identitätsprüfung: Vollständig anonymes Einstellen von Anzeigen mit personenbezogenen Daten ist nicht mehr zulässig. Plattformen müssen prüfen, ob der Anzeigende auch tatsächlich die betroffene Person ist oder deren ausdrückliche Einwilligung vorliegt.
• Screening sensibler Daten: Die Plattform trägt die Verantwortung, besondere Kategorien personenbezogener Daten (z.B. zu Gesundheit oder sexueller Orientierung) zu erkennen. Findet sie solche Daten, muss sie sicherstellen, dass eine spezifische Rechtsgrundlage für deren Veröffentlichung existiert.
• Schutz vor Datensammlung (Scraping): Der EuGH verwies explizit auf das Risiko, dass Daten auf andere Seiten kopiert werden. Daher müssen Plattformen technische Vorkehrungen treffen, um das automatisierte Auslesen und Weiterverbreiten von Nutzerdaten zu erschweren.

Kritiker warnen vor einer „Cleannet“-Entwicklung. Der technische Aufwand, jede Nutzeranzeige zu prüfen, könnte kleinere Plattformen überfordern und zu aggressiven Upload-Filtern oder der Einstellung offener Marktplatz-Dienste führen.

Ausblick: Doppelter Compliance-Druck und klare Hierarchie

Das Urteil wird für Anfang 2026 eine Welle von aktualisierten Nutzungsbedingungen in der EU auslösen. Vor allem kleinere Anbieter könnten mit den Kosten für Identitätsprüfung und Content-Screening kämpfen.

Zudem schafft der EuGH Klarheit im Spannungsfeld zwischen DSA und DSGVO. Während der DSA grundsätzlich Haftungsausnahmen für illegale Inhalte vorsieht, können diese nicht genutzt werden, um die strengeren Standards des Datenschutzrechts zu umgehen. Die DSGVO hat hier Vorrang.

Die Botschaft an die Plattformwirtschaft ist eindeutig: Die Ära des passiven Vermittlers ist beim Umgang mit personenbezogenen Daten beendet. Wer nutzergenerierte Inhalte hostet, muss nun aktiv Verantwortung für die Daten übernehmen – andernfalls drohen die hohen Bußgelder der DSGVO.

PS: Stehen Sie vor der Umstellung Ihrer Nutzungsbedingungen und neuen Identitätsprüfungen? Die Gratis‑Excel‑Vorlage für das Verzeichnis der Verarbeitungstätigkeiten hilft Plattformen, alle Verarbeitungsschritte sauber zu dokumentieren — inklusive praxisnaher Felder, die Prüfer erwarten, und einer verständlichen Anleitung zur schnellen Umsetzung. So erfüllen Sie die DSGVO‑Dokumentationspflicht effizient. Gratis‑Vorlage für Ihr Verzeichnis herunterladen