EuGH-Urteil, Plattformen

EuGH-Urteil: Plattformen müssen für Nutzerdaten haften

09.12.2025 - 19:40:12

EuGH-Urteil: Plattformen müssen für Nutzerdaten haften - Foto: über boerse-global.de
EuGH-Urteil: Plattformen müssen für Nutzerdaten haften - Foto: über boerse-global.de

Der Europäische Gerichtshof (EuGH) hat die digitale Wirtschaft in ihren Grundfesten erschüttert. Mit einem wegweisenden Urteil dieser Woche endet die Ära des „neutralen Vermittlers” für Online-Marktplätze und Plattformen – sie gelten nun als vollständig haftende Datenverantwortliche.

Das Urteil im Fall C-492/23 („Russmedia”) markiert einen Paradigmenwechsel: Plattformbetreiber können sich nicht länger darauf berufen, lediglich technische Infrastruktur bereitzustellen. Wer Inhalte organisiert, indexiert und zur Reichweitensteigerung optimiert, trägt die volle datenschutzrechtliche Verantwortung. Rechtsexperten sprechen bereits von einem „explosiven” Urteil, dessen Tragweite die gesamte Branche zum Handeln zwingt.

Die Ausgangslage klingt nach einem typischen Fall von Identitätsmissbrauch im Netz: Auf der rumänischen Kleinanzeigenplattform Publi24.ro des Medienunternehmens Russmedia Digital veröffentlichte ein Nutzer eine gefälschte Anzeige. Sie enthielt persönliche Daten und intime Fotos einer Frau – ohne deren Einwilligung. Die Plattform entfernte den Inhalt zwar nach einem Hinweis, doch die juristische Auseinandersetzung eskalierte bis vor den EuGH.

Die zentrale Frage: Haftet die Plattform selbst für die Verarbeitung dieser Daten? Die Antwort des Gerichts fällt eindeutig aus: Ja. Durch das Organisieren, Indexieren und gezielte Bewerben von Anzeigen übt die Plattform einen „entscheidenden Einfluss” auf die Datenverarbeitung aus. Damit greift die Definition eines Verantwortlichen gemäß Artikel 4 Absatz 7 der DSGVO.

Anzeige

Datenschutzbeauftragte und Compliance-Verantwortliche stehen jetzt unter massivem Druck: Eine fehlende oder mangelhafte Datenschutz-Folgenabschätzung kann Bußgelder bis zu 2% des Jahresumsatzes nach sich ziehen. Unser kostenloses E‑Book erklärt in klaren Schritten, wann eine DSFA Pflicht ist, liefert bearbeitbare Muster‑Vorlagen und eine praktische Checkliste für die Vorabprüfung von Nutzerinhalten — ideal für Plattformbetreiber, die KI‑gestützte Vorabprüfungen planen. DSFA‑Muster & Checkliste jetzt kostenlos herunterladen

Das Urteil hebelt faktisch die Haftungsprivilegien aus, auf die sich Plattformen bislang berufen konnten – etwa das „Hosting-Privileg” der E-Commerce-Richtlinie oder Schutzklauseln des Digital Services Act (DSA).

Verträge plötzlich ungültig: Vom Auftragsverarbeiter zum gemeinsamen Verantwortlichen

Die wohl gravierendste praktische Konsequenz betrifft die vertragliche Grundlage zwischen Plattformen und ihren gewerblichen Nutzern. Viele Betreiber gingen bislang davon aus, als neutrale Dienstleister oder höchstens als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO zu agieren. Entsprechend setzten sie auf Auftragsverarbeitungsverträge (AVV).

Das Russmedia-Urteil macht dieses Modell obsolet. Wird die Plattform zum Verantwortlichen, entsteht mit dem Nutzer (der den Anzeigeninhalt bestimmt) eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO.

„Das ist eine fundamentale Verschiebung in der Architektur datenschutzrechtlicher Verträge”, konstatierte der Händlerbund gestern in einer Stellungnahme. Unternehmen, die mit Standard-AVV-Vorlagen arbeiten, könnten de facto mit ungültigen Verträgen operieren. Der Wechsel zu Vereinbarungen über gemeinsame Verantwortlichkeit bringt deutlich höhere Haftungsrisiken und Transparenzpflichten mit sich.

Anders als ein Auftragsverarbeiter, der nur für Verstöße gegen Weisungen haftet, trägt ein gemeinsam Verantwortlicher die volle Last der DSGVO-Compliance – einschließlich der Rechtmäßigkeit der Datenerhebung selbst.

Präventivpflicht statt Reaktion: Das Ende von „Notice-and-Takedown”

Besonders kontrovers diskutiert die Branche seit 48 Stunden die implizierte Pflicht zur proaktiven Überwachung. Der EuGH deutet an: Wo besonders schützenswerte Daten nach Artikel 9 DSGVO im Spiel sind, reicht ein „Hinweis-und-Löschung”-Mechanismus nicht mehr aus.

Stattdessen müssen Plattformen bereits vor der Veröffentlichung Maßnahmen ergreifen, um die Rechtmäßigkeit zu prüfen. Für die digitale Wirtschaft bedeutet das:

  • Automatische Vorabprüfung: Plattformen könnten gezwungen sein, KI-Systeme oder manuelle Prüfteams einzusetzen, um personenbezogene Daten in Nutzerinhalten zu erkennen.
  • Identitätsverifikation: Die Pflicht zur Überprüfung der Nutzeridentität steigt – was wiederum mit dem Grundsatz der Datenminimierung kollidiert.
  • Widerspruch zum DSA: Juristen weisen auf eine scharfe Diskrepanz zum Digital Services Act hin, der allgemeine Überwachungspflichten eigentlich untersagt. Der EuGH stellt jedoch klar: Die DSGVO-Anforderungen an Verantwortliche gelten unabhängig von DSA-Haftungsausschlüssen.

Kann ein Plattformbetreiber überhaupt noch neutral sein, wenn er zum Datenschutzpolizisten werden muss?

Historischer Kontext: „Fashion ID” war erst der Anfang

Das Urteil reiht sich in eine Entwicklung ein, die 2018 mit dem „Fashion ID”-Fall begann. Damals entschied der EuGH, dass Website-Betreiber durch die bloße Einbindung eines Facebook-Like-Buttons zur gemeinsamen Verantwortung für die Datenerhebung werden.

Russmedia geht jedoch erheblich weiter: Während Fashion ID die Sammelphase durch ein Plugin betraf, erstreckt sich die Kontrolle nun auf die Inhalte selbst, die auf der Plattform gehostet werden.

„Das Providerprivileg ist mittlerweile so löchrig wie Schweizer Käse”, kommentierte Rechtsanwalt Niko Härting gestern gegenüber Beck-aktuell. Die Trennung zwischen technischer Infrastruktur und inhaltlicher Verantwortung ist faktisch aufgehoben – für alle Plattformen, die Nutzerinhalte sortieren, indexieren oder kommerziell optimieren.

Das Timing könnte kaum ungünstiger sein: Erst am 3. Dezember veröffentlichte der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zur Rechtsgrundlage für Nutzerkonten. E-Commerce und Plattformwirtschaft stehen damit vor einer doppelten Compliance-Belastung.

Sofortmaßnahmen: Was Unternehmen jetzt tun müssen

Während sich der Staub über dieser Entscheidung langsam legt, zeichnet sich ein klarer Handlungsplan für Compliance-Verantwortliche ab:

1. Status-Neubewertung: Plattformen müssen prüfen, ob ihre Indexierungs- und Promotion-Algorithmen einen „entscheidenden Einfluss” auf Nutzerdaten ausüben. Falls ja: Sie sind Verantwortliche, keine Auftragsverarbeiter.

2. Vertragsrevision: Bestehende Auftragsverarbeitungsverträge mit Geschäftskunden müssen auf den Prüfstand. Liegt eine gemeinsame Verantwortlichkeit vor, ist eine Vereinbarung nach Artikel 26 DSGVO zwingend erforderlich. Das „Wesentliche” dieser Vereinbarung muss zudem für betroffene Personen zugänglich sein.

3. Risikoanalyse für sensible Daten: Plattformen, die Kategorien mit wahrscheinlich sensiblen Daten hosten (Dating, Gesundheit, Kleinanzeigen), müssen umgehend strengere Vorabprüfungen implementieren. Das Risiko direkter Haftung für DSGVO-Verstöße ist sonst kaum kalkulierbar.

Die Branche erwartet konkretisierende Stellungnahmen der nationalen Datenschutzbehörden – etwa der deutschen Datenschutzkonferenz (DSK) oder der französischen CNIL – im ersten Quartal 2026. Bis dahin schwebt das Damoklesschwert falscher Rollenklassifizierung über zahlreichen Geschäftsmodellen. Das Risiko für Bußgelder und Klagen hat einen historischen Höchststand erreicht.

Anzeige

PS: Droht Ihrem Unternehmen ein Bußgeld wegen fehlender Datenschutz-Folgenabschätzung? Viele Plattformbetreiber unterschätzen die Pflicht zur DSFA bei automatisierten Vorabprüfungen. Unser Gratis‑Leitfaden erklärt praxisnah, wann eine DSFA erforderlich ist, welche Risiken besonders zu bewerten sind und liefert sofort einsetzbare Vorlagen für Dokumentation und Nachweis gegenüber Aufsichtsbehörden. Sichern Sie sich jetzt die Checkliste und Muster‑Dokumente. Jetzt kostenlosen DSFA‑Leitfaden sichern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler