- EuGH stuft Plattformbetreiber und inserierende Nutzer bei Veröffentlichung besonders sensibler Daten als gemeinsam Verantwortliche nach Art. 26 DSGVO ein.
- Plattformen müssen geeignete technische und organisatorische Maßnahmen treffen, um sensible Anzeigen vor Veröffentlichung zu identifizieren.
- Betreiber sind verpflichtet, Identität des inserierenden Nutzers zu prüfen und Veröffentlichung ohne nachgewiesene Einwilligung zu verweigern.
Im Urteil C‑492/23 vom 2. Dezember 2025 i.S. Russmedia hat sich der EuGH zur datenschutzrechtlichen Verantwortlichkeit der Anbieter von Online-Plattformen geäussert. Das Urteil wurde u.a. von Sarah Bischof (Vischer) besprochen.
Hintergrund war eine fingierte Anzeige auf einem Online-Marktplatz der Russmedia-Gruppe, die eine unbekannte Person geschaltet hatte und in der die Klägerin als Anbieterin sexueller Dienstleistungen dargestellt war.
Besondere Kategorien von Personendaten
Zunächst stellen solche Angaben besondere Kategorien von Personendaten i.S.v. Art. 9 DSGVO dar, auch wenn sie frei erfunden sind:
Im Rahmen dieses weiten Begriffsverständnisses können Daten, die das Sexualleben oder die sexuelle Orientierung einer natürlichen Person betreffen, nicht deshalb ihre Einstufung als „sensible Daten“ im Sinne von Art. 9 Abs. 1 DSGVO einbüßen, weil sie ihrer Art nach unwahr und schadensstiftend sind.
Gemeinsame Verantwortlichkeit des Plattformbetreibers mit dem Nutzer
Der Nutzer bestimmt über den Post und ist ein Verantwortlicher
Die Verantwortlichkeit für die Bearbeitung der Daten durch Veröffentlichung (d.h. den Post auf der Plattform) liegt zunächst beim Nutzer:
Im vorliegenden Fall steht fest, dass der inserierende Nutzer, der die irreführende, schadensstiftende und personenbezogene Daten der Klägerin des Ausgangsverfahrens enthaltende Anzeige auf dem von Russmedia betriebenen Online-Marktplatz platzierte, als derjenige anzusehen ist, der über die Zwecke und Mittel der Verarbeitung dieser Daten hauptsächlich entschieden hat, und daher unter den Begriff des „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 DSGVO fällt.
Der Plattformbetreiber ist ebenfalls verantwortlich, vom Inhalt des Posts unabhängig
Allerdings ist auch der Betreiber der Plattform ein Verantwortlicher, weil bzw. soweit er aus Eigeninteresse auf die Verarbeitung Einfluss nimmt:
Somit ist davon auszugehen, dass Russmedia aus Eigeninteresse auf die Veröffentlichung der personenbezogenen Daten der Klägerin des Ausgangsverfahrens im Internet Einfluss genommen und damit an der Festlegung der Zwecke dieser Veröffentlichung und somit der Zwecke der in Rede stehenden Verarbeitung mitgewirkt hat. (Rn. 68)
[…]Zwar ergibt sich aus der in Rn. 58 des vorliegenden Urteils angeführten Rechtsprechung, dass eine Person nur dann als „Verantwortlicher“ für die Verarbeitung personenbezogener Daten eingestuft werden kann, wenn sie diese Verarbeitung aus Eigeninteresse beeinflusst, doch ist festzustellen, dass dies u. a. dann der Fall sein kann, wenn der Betreiber eines Online-Marktplatzes relevante personenbezogene Daten zu kommerziellen Zwecken oder Werbezwecken veröffentlicht, die über die bloße Erbringung einer Dienstleistung, die er dem inserierenden Nutzer erbringt, hinausgehen.
Das war hier der Fall, weil (paraphrasiert) Russmedia bei der Veröffentlichung der Anzeige weder reiner Erfüllungsgehilfe des Nutzers noch reiner Infrastrukturanbieter war, sondern beim Umgang mit der Anzeige aus eigenen, letztlich kommerziellen Interessen eine gewisse Mitbestimmung hatte – dafür waren u.a. die AGB von Russmedia relevant:
[…] Insoweit werden Russmedia durch die allgemeinen Nutzungsbedingungen dieses Marktplatzes große Freiräume eingeräumt, um die auf diesem Marktplatz veröffentlichten Informationen zu nutzen. Insbesondere behält sich Russmedia nach den Angaben des vorlegenden Gerichts das Recht vor, veröffentlichte Inhalte zu nutzen, zu verbreiten, zu übermitteln, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines „triftigen Grundes“ bedürfte. Russmedia veröffentlicht daher die in den Anzeigen enthaltenen personenbezogenen Daten nicht oder nicht nur für die inserierenden Nutzer, sondern verarbeitet diese Daten und kann zu ihren eigenen Werbezwecken und aus kommerziellen Eigeninteressen Profit aus ihnen ziehen.
Keine Rolle spielte dabei, dass Russmedia im Gegensatz zum Nutzer keine Schädigungsabsicht hatte – relevant war nicht oder nicht nur dieses weitere Motiv, sondern alleine, dass Russmedia das Inserat aus Eigeninteresse veröffentlichen wollte, das genügte für die Mitbestimmung des Zwecks:
Diese Feststellung wird nicht dadurch in Frage gestellt, dass offensichtlich der irreführende und schadensstiftende Zweck, den der inserierende Nutzer mit der Veröffentlichung der im Ausgangsverfahren in Rede stehenden Anzeige verfolgt hat, ohne Mitwirkung von Russmedia festgelegt wurde. An der Festlegung desjenigen Zwecks der Verarbeitung, der darin bestand, den Internetnutzern die in der im Ausgangsverfahren fraglichen Anzeige enthaltenen personenbezogenen Daten zugänglich zu machen, um aus diesen Veröffentlichungen Profit zu ziehen, hat Russmedia nämlich mitgewirkt. Darüber hinaus hat Russmedia es erleichtert, dass solche Daten ohne Einwilligung der betroffenen Person veröffentlicht wurden, indem das Unternehmen es ermöglicht hat, anonym Anzeigen auf ihrem Online-Marktplatz zu platzieren.
[…] Außerdem hat Russmedia dadurch, dass das Unternehmen dem inserierenden Nutzer seinen Online-Marktplatz, der der Veröffentlichung der im Ausgangsverfahren in Rede stehenden Anzeige gedient hat, zur Verfügung gestellt hat, an der Festlegung der Mittel dieser Veröffentlichung mitgewirkt.
Nutzer und Betreiber als gemeinsam Verantwortliche
Daraus schliesst der EuGH, dass beide – Nutzer und Plattformbetreiber – gemeinsam Verantwortliche sind:
Was erstens die Frage betrifft, ob der Betreiber eines Online-Marktplatzes die Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, identifizieren muss, bevor er sie veröffentlicht, so ist darauf hinzuweisen, dass, wie sich aus den Rn. 64 und 75 des vorliegenden Urteils ergibt, dieser Betreiber und der inserierende Nutzer, der eine solche Anzeige auf diesem Online-Marktplatz platziert hat, als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO anzusehen sind, wenn die betreffende Anzeige dort veröffentlicht wird.
Prüfpflichten bei heiklen Daten
Entsprechend der Einstufung als gemeinsam Verantwortliche müssen Betreiber wie Nutzer die datenschutzrechtlichen Pflichten der Verantwortlichen erfüllen, besonders die nachweisliche Gewährleistung der Rechtmässigkeit. Auch müssen beide die Richtigkeit der bearbeiteten Daten sicherstellen.
Die Frage ist also, welche Massnahmen konkret zu treffen sind und – weil der Streit die Verantwortung des Plattformbetreibers betraf – was dieser konkret vorzukehren hat. Dies umschreibt der EuGH zunächst vage und in selbst für Verhältnisse des EuGH schwer lesbarer Sprache:
Zur Bestimmung, welches spezifisch die geeigneten technischen und organisatorischen Maßnahmen sind, die der Betreiber eines Online-Marktplatzes als gemeinsam für die Verarbeitung personenbezogener Daten Verantwortlicher […] zu treffen hat, um sich zu vergewissern und in der Lage zu sein, nachzuweisen, dass die Veröffentlichung der in einer Anzeige enthaltenen sensiblen Daten im Einklang mit dieser Verordnung erfolgt ist, muss darauf hingewiesen werden, dass diesen Bestimmungen zu entnehmen ist, dass die Geeignetheit solcher Maßnahmen konkret zu bewerten ist, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der fraglichen Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Person, die ihr eigen sind […].
Vorliegend war zu beachten, dass die strittige Anzeige besonders schützenswerte Daten enthielt (Informationen zum Sexualleben). Weil die DSGVO die Bearbeitung solcher Daten grundsätzlich verbietet, sieht der EuGH folgende Pflichten für Plattformbetreiber (soweit sie Mitverantwortliche sind):
Identifizierung sensibler Anzeigen vor der Veröffentlichung
Wenn ein Betreiber damit rechnen muss, dass Anzeigen besonders schützenswerte Personendaten enthalten können (was von Fall zu Fall zu beurteilen ist und für einen Kleinanzeigenmarkt nicht unbedingt zutreffen müsste), muss er Massnahmen treffen, um Anzeigen mit solchen Daten zu identifizieren:
Da der Betreiber eines Online-Marktplatzes wie des im Ausgangsverfahren in Rede stehenden weiß oder wissen müsste, dass Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, im Allgemeinen von inserierenden Nutzern auf seinem Online-Marktplatz veröffentlicht werden können, ist dieser Betreiber als Verantwortlicher daher verpflichtet, schon bei der Konzeption seines Dienstes geeignete technische und organisatorische Maßnahmen zu treffen, um solche Anzeigen vor ihrer Veröffentlichung zu identifizieren. (Rn. 97)
Identitätsprüfung des inserierenden Nutzers
Zudem muss der Plattformbetreiber prüfen, ob die in einer Anzeige enthaltenen besonders schützenswerten Personendaten den Nutzer selbst oder einen Dritten betreffen:
Um sich vergewissern und nachweisen zu können, dass die in Art. 9 Abs. 2 Buchst. a DSGVO vorgesehenen Anforderungen erfüllt sind, muss der Betreiber des Marktplatzes daher vor der Veröffentlichung einer solchen Anzeige prüfen, ob der inserierende Nutzer, der im Begriff ist, diese Anzeige zu platzieren, diejenige Person ist, deren sensible Daten in dieser Anzeige enthalten sind, was voraussetzt, dass die Identität dieses inserierenden Nutzers erhoben wird. (Rn. 99)
Verweigerung der Veröffentlichung ohne Einwilligung:
Ist der inserierende Nutzer nicht die betroffene Person und kann keine ausdrückliche Einwilligung nachgewiesen werden, darf die Anzeige nicht veröffentlicht werden.
Massnahmen gegen Weiterverbreitung
Plattformbetreiber seien weiter auch zu Schutzmassnahmen gegen das Kopieren von Anzeigen verpflichtet:
Zu diesem Zweck muss der Betreiber dieses Online-Marktplatzes technische Maßnahmen umsetzen, die, soweit technisch möglich und wirtschaftlich tragbar, ein Kopieren der Anzeigen und ihre Veröffentlichung auf anderen Websites verhindern oder zumindest erschweren können. (Rn. 112)
Allerdings folge aus dem Umstand, dass eine Anzeige auf anderen Websites reproduziert wurde, noch nicht, dass Antikopiermassnahmen versäumt worden sind.
Kein Haftungsprivileg bei DSGVO-Verstössen
Angesichts dieser weitreichenden MItverantwortung fragt sich natürlich, ob der Betreiber nicht von der Haftungsbefreiung nach der E‑Commerce-Richtlinie profitieren müsste. Art. 12 – 15 der RL gewähren Plattformbetreibern und anderen Vermittlern Haftungsfreistellungen: Bei reiner Durchleitung (Art. 12) und Caching (Art. 13) entfällt eine Verantwortlichkeit, soweit der Anbieter passiv bleibt und Inhalte nicht verändert; beim Hosting (Art. 14) greift ein Privileg, solange der Anbieter keine Kenntnis von rechtswidrigen Inhalten hat oder bei Kenntnis unverzüglich entfernt (Notice-and-Takedown). Art. 15 schliesst zudem allgemeine Überwachungspflichten aus.
Das nützt aber nicht gegen DSGVO-Verletzungen:
Die Richtlinie 2000/31 findet nach ihrem Art. 1 Abs. 5 Buchst. b keine Anwendung auf Angelegenheiten des Datenschutzes. Darüber hinaus bestätigt Art. 2 Abs. 4 DSGVO, dass die Haftungsprivilegierungen der Art. 12 bis 15 dieser Richtlinie die Anwendung der DSGVO nicht einschränken.
Der Digital Services Act DSA übernimmt die Privilegien der E‑Commerce-RL nahezu wortgleich, ergänzt sie aber um das “Gute-Samariter-Privileg” von Art. 7, wonach freiwillige Untersuchungen zu rechtswidrigen Inhalten nicht zum Verlust der Privilegierung führen. Auch beim DSA geht die DSGVO vor bzw. bleibt unberührt. Art. 2 Abs. 4 lit. g DSA stellt klar, dass der DSA die Vorschriften der DSGVO nicht berührt, und nach Art. 2 Abs. 4 Unterabs. 2 DSA schränken die Privilegien nach Art. 4 – 6 DSA die Anwendung der DSGVO nicht ein.
Konsequenzen
Nicht überraschend ist, dass der EuGH hier eine gemeinsame Verantwortung sieht. Russmedia geht aber weiter, indem daraus konkrete Prüfpflichten des nur sekundär mitverantwortlichen Betreibers statuiert werden. Das kann sich auf Betreiber von Online-Plattformen mit nutzergenerierten Inhalten erheblich auswirken. Betreiber werden sich mit Massnahmen auseinandersetzen müssen wie etwa :
- Erkennungssysteme für Anzeigen mit heiklen Daten (Gesundheit, sexuelle Orientierung, politische Meinungen etc.)
- Identitätsprüfung inserierender Nutzer vor der Freischaltung entsprechender Inhalte
- technische Vorkehrungen gegen Kopieren und Scraping von Anzeigen
Auch vertragliche Anpassungen können sich aufdrüngen, etwa:
- Überprüfung der AGB auf zu weitreichende Nutzungsrechte, die eine Mitverantwortlichkeit begründen könnten, ohne dass ihnen ein entsprechender kommerzieller Nutzen gegenüber steht
- Joint-Controller-Vereinbarungen mit Nutzern
In der Schweiz
Die Schweiz kennt kein Haftungsprivileg für Hosting-Provider. Die Verantwortlichkeit richtet sich nach Art. 41 ff. OR, Art. 28 ff. ZGB und nach dem DSG. Beseitigungsansprüche bestehen verschuldensunabhängig gegen jeden, der an einer Persönlichkeitsverletzung mitwirkt. Schadenersatz setzt Verschulden voraus.
Der Vorentwurf des KomPG ändert daran nichts. Er orientiert sich am DSA, beschränkt sich aber auf sehr grosse Kommunikationsplattformen und Suchmaschinen und regelt primär Meldeverfahren, Transparenzpflichten und Nutzerrechte bei Inhaltsentfernungen. Haftungsprivilegien sieht er nicht vor.