Online-Marktplatz haftet für Nutzeranzeigen

Viele Betreiber von Online-Marktplätzen gehen davon aus, für Inhalte ihrer Nutzer datenschutzrechtlich nur eingeschränkt verantwortlich zu sein. Anzeigen würden schließlich von Dritten eingestellt, der Plattformbetreiber stelle lediglich die technische Infrastruktur zur Verfügung. Diese Annahme greift jedoch häufig zu kurz.

Der Gerichtshof der Europäischen Union hat mit seinem Urteil in der Rechtssache C-492/23 klargestellt, dass Betreiber von Online-Marktplätzen datenschutzrechtlich deutlich stärker in der Verantwortung stehen, als es in der Praxis bislang oft angenommen wurde. Die Entscheidung hat erhebliche Auswirkungen auf Plattformbetreiber, aber auch auf Betroffene, deren personenbezogene Daten ohne Einwilligung in Online-Anzeigen auftauchen.

Ausgangspunkt der Entscheidung: Schutz personenbezogener Daten auf Online-Marktplätzen

Online-Marktplätze sind aus dem digitalen Alltag kaum wegzudenken. Sie ermöglichen es Nutzern, Waren oder Dienstleistungen anzubieten, häufig unter Angabe persönlicher Informationen. Gerade hier entstehen datenschutzrechtliche Risiken, wenn Anzeigen sensible personenbezogene Daten enthalten oder sogar ohne Wissen der betroffenen Person veröffentlicht werden.

Der Gerichtshof musste sich mit der Frage befassen, ob und in welchem Umfang ein Online-Marktplatz für die Verarbeitung personenbezogener Daten in Nutzeranzeigen verantwortlich ist, obwohl er die Inhalte nicht selbst erstellt.

Der konkrete Sachverhalt bei Russmedia Digital

Im Mittelpunkt der Entscheidung stand ein rumänischer Online-Marktplatz, auf dem private und gewerbliche Anzeigen veröffentlicht werden konnten. Eine nicht identifizierte Person stellte dort eine Anzeige ein, in der einer Frau sexuelle Dienstleistungen zugeschrieben wurden.

Besonders problematisch war dabei, dass die Anzeige folgende Inhalte enthielt:

• Fotos der betroffenen Frau
• Eine Telefonnummer, die ihr zugeordnet werden konnte
• Aussagen, die ihren Ruf erheblich beeinträchtigten

Die betroffene Frau hatte weder die Anzeige selbst erstellt noch ihre Einwilligung zur Veröffentlichung erteilt. Zwar entfernte der Plattformbetreiber die Anzeige nach entsprechender Aufforderung relativ schnell, dennoch war der Schaden bereits eingetreten. Die Anzeige wurde von Dritten kopiert und auf anderen Webseiten weiterverbreitet.

Unterschiedliche Bewertungen durch nationale Gerichte

Die nationalen Gerichte kamen zunächst zu unterschiedlichen Ergebnissen. Während die erste Instanz den Betreiber zur Zahlung eines immateriellen Schadensersatzes verurteilte, stellte das Berufungsgericht maßgeblich auf die Rolle als Hosting-Anbieter ab und verneinte eine Verantwortlichkeit.

Diese Divergenz führte dazu, dass das Berufungsgericht den Gerichtshof anrief, um klären zu lassen, welche datenschutzrechtlichen Pflichten Betreiber von Online-Marktplätzen nach der DSGVO tatsächlich treffen und ob sie sich auf Haftungsprivilegierungen berufen können.

Zentrale Aussage des Gerichtshofs

Der Gerichtshof stellte klar, dass der Betreiber eines Online-Marktplatzes hinsichtlich der Verarbeitung personenbezogener Daten in den auf seiner Plattform veröffentlichten Anzeigen grundsätzlich Verantwortlicher im Sinne der DSGVO ist. Bei der Veröffentlichung einer konkreten Nutzeranzeige ist der Betreiber dabei regelmäßig nicht allein verantwortlich, sondern kann zusammen mit dem inserierenden Nutzer als gemeinsam Verantwortlicher im Sinne von Art. 26 DSGVO einzuordnen sein.

Entscheidend war dabei nicht, wer den Inhalt erstellt hat, sondern dass:

• die Anzeige erst durch den Online-Marktplatz im Internet veröffentlicht wird
• der Betreiber den technischen Rahmen für Veröffentlichung und Verbreitung bereitstellt
• ohne die Plattform die Daten nicht öffentlich zugänglich wären

Damit ist der Plattformbetreiber nicht lediglich ein neutraler Vermittler, sondern aktiv an der Datenverarbeitung beteiligt.

Keine Beschränkung auf eine rein technische Rolle

Der Gerichtshof hat deutlich gemacht, dass sich ein Online-Marktplatz nicht darauf zurückziehen kann, lediglich Speicherplatz bereitzustellen. Die Veröffentlichung personenbezogener Daten erfolgt bewusst im Rahmen eines strukturierten Angebots, das der Betreiber kontrolliert und organisiert.

Dies gilt insbesondere dann, wenn:

• Anzeigen vor Veröffentlichung geprüft oder kategorisiert werden
• bestimmte Inhalte technisch ermöglicht oder hervorgehoben werden
• der Betreiber wirtschaftlich von der Nutzung der Plattform profitiert

In solchen Konstellationen trägt der Betreiber eine eigenständige datenschutzrechtliche Verantwortung.

Besondere Bedeutung sensibler personenbezogener Daten

Von zentraler Bedeutung in der Entscheidung ist der Umgang mit sensiblen personenbezogenen Daten. Dazu zählen insbesondere Informationen, die Rückschlüsse auf das Sexualleben, die Gesundheit oder andere besonders geschützte Bereiche der Privatsphäre zulassen.

Der Gerichtshof betont, dass bei solchen Daten besonders strenge Anforderungen gelten. Der Betreiber eines Online-Marktplatzes muss daher bereits vor der Veröffentlichung tätig werden.

Pflicht zur Identifizierung problematischer Anzeigen vor Veröffentlichung

Nach der Entscheidung des Gerichtshofs kann es – jedenfalls bei sensiblen personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO – nicht genügen, erst nach einer Beschwerde zu reagieren. Trifft den Betreiber die Kenntnis oder hätte er wissen müssen, dass auf seinem Marktplatz typischerweise Anzeigen mit sensiblen Daten veröffentlicht werden können, muss er bereits bei der Ausgestaltung des Dienstes geeignete technische und organisatorische Maßnahmen vorsehen, um solche Anzeigen vor Veröffentlichung zu identifizieren und die Veröffentlichung sensibler Daten am Maßstab der DSGVO zu überprüfen.

Dabei kommt es nicht darauf an, dass jede einzelne Anzeige manuell kontrolliert wird. Entscheidend ist, dass das eingesetzte System insgesamt geeignet ist, Datenschutzverstöße frühzeitig zu identifizieren.

Überprüfung der Identität des Inserenten

Enthält eine Anzeige sensible personenbezogene Daten, muss der Betreiber zusätzlich prüfen, ob der Inserent tatsächlich die betroffene Person ist.

Ist dies nicht der Fall, besteht eine weitere Prüfpflicht:

• Liegt eine ausdrückliche Einwilligung der betroffenen Person vor
• Kann der Inserent diese Einwilligung plausibel nachweisen

Ohne einen solchen Nachweis darf die Anzeige grundsätzlich nicht veröffentlicht werden, es sei denn, der Inserent kann darlegen, dass entweder eine ausdrückliche Einwilligung im Sinne von Art. 9 Abs. 2 lit. a DSGVO vorliegt oder ausnahmsweise ein anderer Erlaubnistatbestand nach Art. 9 Abs. 2 lit. b–j DSGVO einschlägig ist.

Verweigerung der Veröffentlichung als notwendige Konsequenz

Der Gerichtshof macht klar, dass der Betreiber die Veröffentlichung einer Anzeige verweigern muss, wenn sensible personenbezogene Daten enthalten sind und der Inserent nicht als die betroffene Person verifiziert werden kann, es sei denn, der Inserent kann nachweisen, dass entweder eine ausdrückliche Einwilligung der betroffenen Person vorliegt oder ausnahmsweise ein anderer Erlaubnistatbestand nach Art. 9 Abs. 2 DSGVO greift.

Damit wird die Verantwortung des Plattformbetreibers deutlich verschärft. Ein bloßes Abwarten oder Reagieren auf Beschwerden genügt nicht.

Pflicht zum Schutz vor unkontrollierter Weiterverbreitung

Besonders praxisrelevant ist auch die Verpflichtung, die unrechtmäßige Weiterverbreitung solcher Anzeigen möglichst zu verhindern. Der Gerichtshof verlangt, dass der Betreiber Maßnahmen ergreift, um ein einfaches Kopieren sensibler Inhalte zu erschweren.

Dazu können beispielsweise gehören:

• technische Sperren gegen automatisches Auslesen
• Schutzmechanismen gegen systematisches Kopieren
• organisatorische Maßnahmen zur schnellen Reaktion auf Missbrauch

Auch hier kommt es nicht auf absolute Sicherheit an, sondern darauf, dass der Betreiber ernsthafte und angemessene Schutzmaßnahmen ergreift.

Keine Berufung auf Haftungsprivilegien nach der E-Commerce-Richtlinie

Ein zentraler Punkt der Entscheidung ist die klare Absage an eine Berufung auf Haftungsprivilegierungen. Der Gerichtshof stellt ausdrücklich klar, dass sich der Betreiber eines Online-Marktplatzes nicht auf die Haftungsregeln der Richtlinie 2000/31/EG berufen kann, um eine Verletzung von Pflichten aus der DSGVO (insbesondere aus Art. 5 Abs. 2 sowie Art. 24–26 und Art. 32 DSGVO) abzuwehren.

Datenschutzrechtliche Verantwortlichkeiten bestehen unabhängig davon, ob ein Anbieter im haftungsrechtlichen Sinne als Hosting-Anbieter einzustufen ist.

Praktische Folgen für Betreiber von Online-Marktplätzen

Die Entscheidung hat weitreichende Konsequenzen für Betreiber digitaler Plattformen. Sie müssen ihre internen Abläufe und technischen Systeme kritisch überprüfen und gegebenenfalls anpassen.

In der Praxis bedeutet dies häufig:

• Anpassung der Prüfmechanismen vor Veröffentlichung
• Einführung zusätzlicher Kontrollstufen bei sensiblen Inhalten
• Schulung von Mitarbeitern im Datenschutzrecht
• Dokumentation der getroffenen Maßnahmen

Unterlassen Betreiber diese Anpassungen, drohen nicht nur Schadensersatzansprüche, sondern auch aufsichtsbehördliche Maßnahmen.

Bedeutung für betroffene Personen

Für Betroffene ist das Urteil eine deutliche Stärkung ihrer Rechte. Es verdeutlicht, dass sie sich nicht allein an den anonymen Inserenten wenden müssen, sondern auch den Plattformbetreiber in die Verantwortung nehmen können.

Gerade bei schwerwiegenden Persönlichkeitsrechtsverletzungen kann dies entscheidend sein, da:

• der Inserent häufig nicht identifizierbar ist
• der Plattformbetreiber effektiver handeln kann
• Ansprüche realistisch durchsetzbar werden

Einordnung und Ausblick

Das Urteil fügt sich in eine Linie der Rechtsprechung ein, die die Verantwortung großer Plattformen zunehmend betont. Online-Marktplätze können sich datenschutzrechtlich nicht mehr als bloße Durchleiter fremder Inhalte verstehen.

Gleichzeitig bleibt Raum für eine differenzierte Betrachtung im Einzelfall. Der Gerichtshof verlangt keine lückenlose Kontrolle, sondern angemessene, verhältnismäßige und wirksame Maßnahmen. Dennoch zeigt die Entscheidung klar, dass Untätigkeit oder rein reaktive Strategien regelmäßig nicht ausreichen.

Fazit

Der Gerichtshof stellt mit seiner Entscheidung klar, dass Betreiber von Online-Marktplätzen für personenbezogene Daten in Nutzeranzeigen datenschutzrechtlich mitverantwortlich sind. Wer Anzeigen veröffentlicht, ermöglicht aktiv die Datenverarbeitung und muss dafür Verantwortung übernehmen.

Für Plattformbetreiber bedeutet dies einen erheblichen organisatorischen und technischen Anpassungsbedarf. Für Betroffene eröffnet das Urteil neue und realistische Möglichkeiten, sich gegen Datenschutzverstöße effektiv zur Wehr zu setzen.