EuGH-Urteil: Plattformen haften für Nutzerdaten

Das oberste Gericht der EU hat die Spielregeln für Online-Marktplätze und soziale Netzwerke radikal verändert. Wer mit Nutzerbeiträgen Geld verdient, trägt ab sofort die volle Verantwortung für deren Datenschutz – auch ohne Meldung durch Betroffene.

Am Dienstag fällte der Europäische Gerichtshof (EuGH) in Luxemburg ein wegweisendes Urteil, das die digitale Wirtschaft in ihren Grundfesten erschütterte. Im Fall C-492/23 (X gegen Russmedia Digital) entschieden die Richter: Betreiber von Online-Kleinanzeigen gelten als „Verantwortliche” im Sinne der Datenschutz-Grundverordnung (DSGVO), sobald sie personenbezogene Daten in Anzeigen zu eigenen kommerziellen Zwecken verarbeiten.

Die Folgen sind dramatisch. Mit dieser Einstufung verlieren Plattformen faktisch den Haftungsschutz, den ihnen das Digital Services Act (DSA) und die frühere E-Commerce-Richtlinie gewährten. Experten sprechen bereits von einer „de facto Filterpflicht” für Nutzerdaten – noch bevor diese überhaupt online gehen.

Droht Ihrem Unternehmen ein Bußgeld wegen fehlender Datenschutz-Folgenabschätzung? Bei risikoreichen Verarbeitungen können Aufsichtsbehörden Strafen bis zu 2% des Jahresumsatzes verhängen. Unser kostenloses E-Book erklärt in klaren Schritten, wann eine DSFA erforderlich ist, liefert Muster-Vorlagen und praxiserprobte Checklisten zur sofortigen Umsetzung. Ideal für Datenschutzbeauftragte und Verantwortliche, die jetzt handeln müssen. Jetzt kostenlosen DSFA-Guide herunterladen

Falsche Sex-Anzeige mit echten Daten

Der Auslöser klingt wie ein Albtraum: Ein Unbekannter veröffentlichte auf dem rumänischen Kleinanzeigenportal „Publi24″ eine gefälschte Sex-Anzeige. Darin: Das echte Foto und die Telefonnummer einer Frau, die niemals zugestimmt hatte. Zwar löschte die Plattform den Beitrag binnen Stunden nach Beschwerde – doch das Opfer klagte auf Schadensersatz.

Während untere Gerichte noch diskutierten, ob die Plattform nur als neutraler „Host” agierte, zog der EuGH eine klare Grenze. Die Richter argumentierten: Wer Anzeigen optimiert, bewirbt und damit Geld verdient, der bestimmt „Zweck und Mittel” der Datenverarbeitung.

„Der Betreiber eines Online-Marktplatzes ist verantwortlich für die Verarbeitung personenbezogener Daten in auf seiner Plattform veröffentlichten Anzeigen”, heißt es in der offiziellen Pressemitteilung vom Dienstag. Diese Einstufung als „Verantwortlicher” löst die vollen DSGVO-Pflichten aus – unabhängig davon, dass ein Dritter den Inhalt erstellte.

Neutralität schützt nicht mehr vor Datenschutz

Das eigentlich Revolutionäre an diesem Urteil: Der EuGH erklärt den klassischen „Notice and Takedown”-Ansatz für datenschutzrechtlich unzureichend. Bislang galt das „Störerhaftungsprivileg” – Plattformen mussten erst nach Meldung reagieren.

Doch der Gerichtshof stellt unmissverständlich klar: Dieses Haftungsprivileg (Artikel 14 der E-Commerce-Richtlinie, heute Artikel 6 DSA) entbindet Unternehmen nicht von ihren direkten Pflichten als Datenverantwortliche nach der DSGVO.

Analysen großer Kanzleien wie Taylor Wessing und Grant Thornton, die seit Mittwoch kursieren, sprechen von einem „rigorosen neuen Standard”. Ist eine Plattform Verantwortlicher, darf sie nicht auf Beschwerden warten. Stattdessen muss sie „geeignete technische und organisatorische Maßnahmen” treffen – vor der Datenverarbeitung.

Besonders brisant: Bei „sensiblen Daten” (etwa zur sexuellen Orientierung, wie im Russmedia-Fall) muss die Plattform vorab prüfen, ob die betroffene Person ausdrücklich zugestimmt hat.

Upload-Filter für Datenschutz?

Was bedeutet das konkret für Betreiber? Rechtsexperten identifizierten am Donnerstag und Freitag folgende Kernpflichten:

• Proaktive Inhaltskontrollen: Systeme müssen sensible Personendaten (Gesundheitsinformationen, politische Ansichten, sexuelle Ausrichtung) in Nutzerinhalten automatisch erkennen.
• Identitätsprüfung: Plattformen müssen verifizieren, dass der Inserent tatsächlich die abgebildete Person ist oder deren Einwilligung besitzt.
• Re-Upload-Sperre: Einmal identifizierte Rechtsverletzungen dürfen nicht erneut veröffentlicht werden.

„Diese Entscheidung wirft die Rolle von Plattformen in völlig neuem Licht”, warnte Taylor Wessing in einer Klientenmitteilung vom Mittwoch. Viele Kleinanzeigen- und User-Generated-Content-Portale, die sich bisher als bloße „Auftragsverarbeiter” oder „Hosts” sahen, müssen ihren Status dringend überprüfen.

Deutscher BGH wartete auf dieses Signal

Das Urteil baut auf früheren Entscheidungen wie Fashion ID und Wirtschaftsakademie auf, die erstmals „gemeinsame Verantwortlichkeit” zwischen Plattformen und Seitenbetreibern etablierten. Doch Russmedia geht deutlich weiter: Es wendet diese Logik auf die Kerninhalte von Kleinanzeigen an und verweigert explizit den Haftungsschutz für DSGVO-Verstöße.

Die Brisanz zeigt sich in Deutschland besonders deutlich. Wie das Rechtsportal LTO am Mittwoch berichtete, hatte der Bundesgerichtshof (BGH) ein Verfahren zwischen der früheren Politikerin Renate Künast und Meta (Facebook) pausiert – um genau auf diese EuGH-Entscheidung zu warten. Mit der nun vorliegenden Richtungsweisung dürfte die Haftung für verleumderische Fake-Zitate oder Bilder deutlich verschärft werden.

Spannungsfeld mit dem DSA

Eine rechtliche Grauzone bleibt: Das Digital Services Act verbietet eigentlich generelle Überwachungspflichten. Der EuGH argumentiert jedoch, dass Datenschutz eine spezielle, höhere Sorgfaltspflicht auslöst – unabhängig von der allgemeinen Haftung für illegale Inhalte.

Diese Unterscheidung wird in den kommenden Wochen nationale Gerichte EU-weit beschäftigen. Beobachter erwarten eine Welle von AGB-Anpassungen auf großen europäischen Marktplätzen, inklusive strengerer Identitätsprüfungen für Nutzer.

Für die Tech-Branche steht fest: Die Ära der „passiven Plattform” ist endgültig vorbei. Wer mit Nutzerinhalten Geld verdient, muss die Verantwortung eines Datenverantwortlichen akzeptieren – einschließlich der technischen Last, diese Daten zu kontrollieren, bevor sie live gehen.

PS: Datenschutzbeauftragte aufgepasst — so erstellen Sie eine rechtssichere Datenschutz-Folgenabschätzung in wenigen Schritten. Das Gratis-E-Book enthält bearbeitbare Muster, praktische Checklisten und klare Anleitungen, damit Sie die neue EuGH-Praxis und erhöhte Prüfkriterien souverän abdecken. Schützen Sie Ihr Unternehmen vor Haftungsrisiken und setzen Sie technische sowie organisatorische Maßnahmen rechtskonform um. Jetzt DSFA-Muster & Anleitung sichern