Die DSGVO-Verantwortung von Online-Marktplätzen steht seit dem Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache Russmedia (C-492/23) stärker im Fokus denn je. Plattformbetreiber sehen sich mit deutlich erweiterten Pflichten konfrontiert, insbesondere wenn es um die Verarbeitung sensibler personenbezogener Daten geht. Das Urteil markiert einen Wendepunkt im europäischen Datenschutzrecht und konkretisiert die Rolle von Online-Marktplätzen als Verantwortliche im Sinne der DSGVO.
Im Kern ging es um eine rechtswidrige Anzeige auf einem Online-Marktplatz, die personenbezogene Daten, darunter Fotos und eine Telefonnummer, ohne Einwilligung der betroffenen Person veröffentlichte. Obwohl die Plattform die Anzeige nach Hinweis schnell entfernte, verbreiteten sich die Inhalte weiter im Internet. Der EuGH macht deutlich, dass Plattformbetreiber datenschutzrechtliche Risiken nicht nur reaktiv behandeln dürfen, sondern ihnen bereits bei der Ausgestaltung und dem Betrieb der Plattform vorbeugen müssen.
Damit verschiebt sich das Verständnis der Plattformrolle deutlich. Plattformbetreiber sind nicht mehr nur neutrale Host-Provider, sondern aktiv verantwortliche Akteure im Datenschutzrecht.
EuGH-Urteil Russmedia: Warum sich die Plattformverantwortung verschärft
Das EuGH-Urteil „Russmedia“ führt zu einer grundlegenden Neubewertung der Datenschutzpflichten von Online-Plattformen. Plattformbetreiber können sich nicht mehr ohne Weiteres auf ihre Rolle als rein technische Vermittler berufen. Vielmehr rückt ihre aktive Beteiligung an der Datenverarbeitung in den Mittelpunkt der rechtlichen Bewertung.
Zentrale Kernaussagen des Urteils:
- Online-Marktplätze sind regelmäßig (mit-)verantwortliche Stellen im Sinne der DSGVO
- Die datenschutzrechtlichen Pflichten bestehen unabhängig von Haftungsprivilegierungen
- Plattformbetreiber müssen präventive Maßnahmen zur Vermeidung von Datenschutzverstößen ergreifen
Besonders bedeutsam ist das Zusammenspiel zwischen Datenschutzrecht und Plattformregulierung:
Die klassischen Haftungsprivilegien der E-Commerce-Richtlinie (RL 2000/31/EG), auf welchen das Urteil beruht, sind heute inhaltlich weitgehend im Digital Services Act (DSA) fortgeführt. Sie greifen im Bereich der jedoch DSGVO nicht durch. Dies führt im Umkehrschluss dazu, dass sich Plattformbetreiber zum einen nicht auf die Privilegierung berufen können. Zum anderen erlangt die DSGVO damit faktisch Vorrang vor dem DSA.
Vom neutralen Vermittler zum datenschutzrechtlich Verantwortlichen
Damit erfolgt eine klare Verschiebung im Rollenverständnis:
Online-Marktplätze sind nicht mehr nur passive Infrastruktur, sondern nehmen eine aktive Rolle bei der Verarbeitung personenbezogener Daten ein.
Diese aktive Rolle ergibt sich insbesondere aus:
- der Strukturierung und Darstellung von Anzeigen
- der Festlegung von Verbreitungsparametern
- sowie der kommerziellen Nutzung der Inhalte
Das Ergebnis:
Die Plattformverantwortung im Datenschutzrecht beginnt nicht erst nach einem Hinweis auf rechtswidrige Inhalte, sondern bereits bei der Gestaltung und dem Betrieb der Plattform selbst.
Wann Online-Marktplätze als Verantwortliche nach der DSGVO gelten
Der entscheidende dogmatische Schritt des EuGH liegt nicht in einer bloßen Verschärfung von Prüfpflichten, sondern in der Einordnung des Plattformbetreibers als Verantwortlichen nach Art. 4 Nr. 7 DSGVO. Nach dieser verankerten Definition ist ein „Verantwortlicher“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Maßgeblich ist dementsprechend, ob der Betreiber auf Zwecke und Mittel der Verarbeitung Einfluss nimmt. Genau das bejaht der Gerichtshof bei Online-Marktplätzen, wenn diese die Anzeige nicht nur technisch speichern, sondern ihre Veröffentlichung strukturieren, wirtschaftlich verwerten und in ihrer Reichweite steuern.
Der EuGH knüpft dabei an die weite Auslegung des Verantwortlichenbegriffs an. Verantwortlichkeit setzt gerade nicht voraus, dass der Plattformbetreiber den konkreten Inhalt selbst formuliert oder dessen Rechtswidrigkeit positiv kennt. Ausreichend ist, dass die Plattform den Rahmen der Verarbeitung vorgibt: Rubriken, Ranking, Sichtbarkeit, Veröffentlichungsdauer und Nutzungsbedingungen. Hinzu kommt das kommerzielle Eigeninteresse, etwa wenn Inhalte verbreitet, vervielfältigt oder an Partner weitergegeben werden dürfen.
Dogmatisch erinnert das Urteil an die aus dem Zivilrecht bekannte Figur des Zueigenmachens: Wer maßgeblichen Einfluss auf Darstellung und Verbreitung von Inhalten nimmt, wird nicht mehr als neutraler Vermittler behandelt. Diese Logik überträgt der EuGH nun auf das Datenschutzrecht.
Konkrete Pflichten: Was die DSGVO-Verantwortung von Online-Marktplätzen praktisch bedeutet
Der EuGH belässt es nicht bei der Einordnung der Plattformbetreiber als Verantwortliche, sondern konkretisiert auch die daraus folgenden Pflichten von Online-Marktplätzen nach der DSGVO. Im Zentrum steht dabei die Pflicht zu präventiven technischen und organisatorischen Maßnahmen nach Art. 24 und 25 DSGVO.
Prüfung sensibler Daten vor der Veröffentlichung
Online-Marktplätze müssen bereits vor der Veröffentlichung erkennen können, ob eine Anzeige sensible Daten im Sinne des Art. 9 DSGVO enthält. Dazu zählen insbesondere Angaben zur Gesundheit, zur Religion und zur sexuellen Orientierung, aber auch Informationen, die mittelbar solche Rückschlüsse zulassen.
Praktisch umgesetzt werden kann diese Anforderung beispielsweise durch:
- Einsatz automatisierter Erkennungssysteme (z. B. Content-Filter, KI-gestützte Analyse)
- risikobasierte Kategorisierung von Anzeigen
- verstärkte Prüfmechanismen bei bestimmten Inhaltstypen
Identitätsprüfung des Inserenten
Ein besonders weitgehender Aspekt des Urteils ist die Verpflichtung, zu prüfen, ob der inserierende Nutzer identisch mit der betroffenen Person ist. Anonyme Nutzungskonzepte geraten damit erheblich unter Druck.
Konkret verlangt der EuGH:
- Erhebung von Identitätsdaten vor Veröffentlichung sensibler Inhalte
- Verifikation dieser Daten (nicht nur formale Angabe)
- Nachweisfähigkeit gegenüber Aufsichtsbehörden
Veröffentlichung nur bei nachgewiesener Einwilligung
Liegt keine Identität vor, muss der Plattformbetreiber die Veröffentlichung verweigern. Eine Ausnahme besteht jedoch, wenn der Inserent eine ausdrückliche Einwilligung der betroffenen Person nachweisen kann.
Das führt zu einer Umkehr der Praxis:
- Nicht mehr „Veröffentlichung bis zum Widerspruch“
- Sondern: „Veröffentlichung nur bei rechtlicher Absicherung“
Diese Pflichten zeigen deutlich, dass die DSGVO-Verantwortung von Online-Marktplätzen nicht reaktiv, sondern strukturell-präventiv ausgestaltet ist. Plattformbetreiber müssen ihre Systeme so gestalten, dass Datenschutzverstöße bereits im Ansatz verhindert werden.
Art. 9 DSGVO: Warum sensible Daten den Prüfungsmaßstab verschärfen
Die eigentliche Sprengkraft der Entscheidung liegt in Art. 9 DSGVO. Der EuGH macht deutlich, dass sich die DSGVO-Verantwortung von Online-Marktplätzen nicht abstrakt, sondern risikoadäquat bestimmt. Sobald Anzeigen besondere Kategorien personenbezogener Daten enthalten, verschiebt sich der Maßstab erheblich. Im Fall Russmedia waren Fotos, Telefonnummer und die wahrheitswidrige Darstellung als Anbieterin sexueller Dienstleistungen betroffen. Gerade die Verbindung dieser Angaben führte dazu, dass nicht nur gewöhnliche personenbezogene Daten, sondern sensible Daten über das Sexualleben im Raum standen.
Der EuGH entwickelt hier keinen neuen Schutzmaßstab, sondern radikalisiert einen bekannten Grundsatz: Auch unwahre oder manipulierte Inhalte können sensible personenbezogene Daten sein. Neu ist jedoch die praktische Konsequenz für Plattformbetreiber. Sie müssen solche Risiken bereits im Vorfeld antizipieren und durch geeignete Maßnahmen begrenzen.
Technische und organisatorische Maßnahmen nach Art. 32 DSGVO: Grenzen und Reichweite der Plattformpflichten
Neben den präventiven Prüfpflichten macht der EuGH deutlich, dass die Anforderungen an technische und organisatorische Maßnahmen nach Art. 32 DSGVO im Kontext von Online-Marktplätzen besonders hoch anzusetzen sind. Im Zentrum steht die Frage, in welchem Umfang Plattformbetreiber dafür sorgen müssen, dass einmal veröffentlichte Inhalte nicht unkontrolliert weiterverbreitet werden.
Der Gerichtshof stellt klar, dass bereits die Veröffentlichung im Internet ein strukturelles Risiko begründet: Inhalte können kopiert, gespiegelt und auf Drittseiten verbreitet werden, ohne dass die betroffene Person effektiven Einfluss auf deren Löschung hat. Gerade bei sensiblen Daten führt dies zu einem nachhaltigen Kontrollverlust. Daraus folgt, dass Plattformbetreiber verpflichtet sind, diesem Risiko aktiv entgegenzuwirken.
Die Pflicht geht dabei über klassische IT-Sicherheitsmaßnahmen hinaus. Es genügt nicht, Systeme gegen externe Angriffe zu schützen. Vielmehr müssen auch Mechanismen implementiert werden, die eine unkontrollierte Replikation von Inhalten erschweren oder verhindern. Denkbar sind etwa technische Schutzmaßnahmen gegen automatisiertes Scraping, Einschränkungen bei der Weitergabe von Inhalten oder kontrollierte Schnittstellen zu Drittplattformen.
Gleichzeitig betont der EuGH die Grenzen: Die DSGVO verlangt kein absolut risikofreies System. Entscheidend ist ein angemessenes Schutzniveau, das sich am Stand der Technik, den Kosten und insbesondere am Risiko für die betroffenen Personen orientiert. Bei sensiblen Daten steigt dieser Maßstab jedoch deutlich an.
Warum Haftungsprivilegien aus dem DSA nicht helfen
Ein zentraler Punkt der Entscheidung betrifft das Zusammenspiel zwischen Datenschutzrecht und Plattformregulierung. Der EuGH stellt unmissverständlich klar, dass sich Plattformbetreiber bei Verstößen gegen ihre datenschutzrechtlichen Pflichten nach der DSGVO nicht auf Haftungsprivilegien berufen können, wie sie ursprünglich in der E-Commerce-Richtlinie vorgesehen waren und heute im Digital Services Act umgesetzt sind.
Dogmatisch basiert diese Trennung auf einem klaren Normzweck: Die Haftungsprivilegien betreffen die zivilrechtliche Verantwortlichkeit für fremde Inhalte, während die DSGVO eigenständige Pflichten für die Verarbeitung personenbezogener Daten begründet. Diese beiden Regelungskomplexe stehen nebeneinander, greifen aber nicht ineinander ein. Der Schutz personenbezogener Daten hat insoweit Vorrang.
Der EuGH argumentiert, dass die Privilegierungen, insbesondere das Fehlen einer allgemeinen Überwachungspflicht, nicht dazu führen dürfen, dass die materiellen Anforderungen der DSGVO unterlaufen werden. Die Verpflichtung, geeignete Maßnahmen zu ergreifen, ist keine „allgemeine Überwachung“, sondern Ausdruck der datenschutzrechtlichen Rechenschaftspflicht.
Für die Praxis bedeutet das eine klare Zäsur: Plattformbetreiber können sich nicht mehr darauf zurückziehen, lediglich auf Hinweise zu reagieren. Vielmehr müssen sie ihre Systeme so ausgestalten, dass Verstöße gegen die DSGVO möglichst gar nicht erst entstehen. Damit werden die Datenschutzpflichten von Online-Plattformen zu einem eigenständigen Compliance-Regime, das neben die Plattformregulierung tritt und diese in datenschutzrechtlichen Fragen überlagert.
Fazit: Die DSGVO-Verantwortung von Online-Marktplätzen als neues Leitbild
Das EuGH-Urteil „Russmedia“ markiert einen grundlegenden Entwicklungsschritt im Datenschutzrecht. Die DSGVO-Verantwortung von Online-Marktplätzen wird nicht mehr als nachgelagerte Reaktionspflicht verstanden, sondern als integraler Bestandteil der Plattformarchitektur. Verantwortlichkeit entsteht bereits durch die strukturelle Einbindung in die Datenverarbeitung. Und zwar unabhängig davon, wer den konkreten Inhalt erstellt hat.
In der Konsequenz verschiebt sich der Fokus von der Haftung hin zur präventiven Compliance. Plattformbetreiber müssen ihre Geschäftsmodelle und technischen Systeme darauf ausrichten, datenschutzrechtliche Risiken frühzeitig zu erkennen und zu minimieren. Besonders im Umgang mit sensiblen Daten führt dies zu deutlich strengeren Anforderungen an Identitätsprüfung, Einwilligungsmanagement und Inhaltskontrolle.
Gleichzeitig zeigt die Entscheidung, dass das Datenschutzrecht zunehmend mit anderen Regulierungsregimen, in diesem Fall insbesondere mit dem dem DSA, verzahnt wird, ohne dabei an Eigenständigkeit zu verlieren. Für Unternehmen bedeutet das eine steigende Komplexität, aber auch eine klarere dogmatische Linie.
Langfristig dürfte sich ein neues Leitbild etablieren:
Der Online-Marktplatz nicht mehr als neutraler Vermittler, sondern als verantwortlicher Akteur im digitalen Informationsraum.
Fragen zur DSGVO-Verantwortung von Online-Marktplätzen?
Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht beraten Sie dabei, die neuen Anforderungen an die DSGVO-Verantwortung von Online-Marktplätzen rechtssicher umzusetzen und Haftungsrisiken wirksam zu minimieren. Jetzt Beratung anfordern oder unverbindlich Kontakt mit uns aufnehmen!
FAQ zur DSGVO-Verantwortung von Online-Marktplätzen
Die DSGVO-Verantwortung von Online-Marktplätzen bedeutet, dass Plattformbetreiber datenschutzrechtlich selbst verantwortlich sein können. Sie müssen personenbezogene Daten rechtmäßig verarbeiten, Schutzmaßnahmen umsetzen und insbesondere bei sensiblen Daten bereits vor der Veröffentlichung Prüfungen vornehmen.
Ja, jedenfalls bei risikobehafteten Inhalten. Nach dem EuGH-Urteil Russmedia müssen Online-Marktplätze vor der Veröffentlichung prüfen, ob sensible personenbezogene Daten betroffen sind und ob eine rechtmäßige Grundlage, etwa eine Einwilligung, vorliegt.
Ja. Die DSGVO-Verantwortung von Online-Marktplätzen kann auch bei nutzergenerierten Inhalten bestehen, wenn der Betreiber deren Verarbeitung mitgestaltet, etwa durch Strukturierung, Ranking, Sichtbarkeit oder wirtschaftliche Verwertung der Inhalte.
Nein. Die DSGVO-Verantwortung von Online-Marktplätzen besteht unabhängig vom Digital Services Act. Haftungsprivilegien aus dem DSA entbinden nicht von datenschutzrechtlichen Pflichten. Beide Regelwerke gelten parallel und verfolgen unterschiedliche Ziele.
Nach dem EuGH-Urteil Russmedia müssen Online-Marktplätze risikobehaftete Inhalte vor der Veröffentlichung prüfen, sensible Daten erkennen, Einwilligungen absichern und technische sowie organisatorische Schutzmaßnahmen umsetzen.
Nein, nicht immer. Nach dem EuGH-Urteil Russmedia kann eine reine Reaktion auf Hinweise unzureichend sein. Plattformbetreiber müssen Datenschutzverstöße teils schon im Vorfeld durch präventive Maßnahmen verhindern.
Weiterführende Themen
EuGH: Arbeitgeber darf Gesundheitsdaten verarbeiten DSGVO
Der EuGH stellt klar: Arbeitgeber dürfen Gesundheitsdaten verarbeiten, wenn strenge Vorgaben der DSGVO eingehalten werden. Das Urteil zum MDK erklärt, wann Art. 9 und Art. 32 DSGVO greifen, welche Sicherheitsmaßnahmen erforderlich sind und wann kein Schadensersatz nach Art. 82 DSGVO besteht.
Digital Services Act 2024 – Pflichten, Chancen und Compliance für Unternehmen
Der Digital Services Act 2024 regelt Pflichten für Online-Dienste, Plattformen und Shops in der EU. Der Beitrag erklärt Anwendungsbereich, Bußgelder und DSA-Compliance für Unternehmen – verständlich, praxisnah und rechtssicher.
DSGVO-Verantwortung von Online-Marktplätzen: Neue Maßstäbe durch das EuGH-Urteil „Russmedia“
Die DSGVO-Verantwortung von Online-Marktplätzen wurde durch das EuGH-Urteil Russmedia neu definiert. Plattformbetreiber müssen Inhalte teils schon vor der Veröffentlichung prüfen und personenbezogene Daten wirksam schützen. Gerade bei sensiblen Daten steigen die rechtlichen Anforderungen deutlich.