EuGH, Urt. 2.12.2025 - C-492/23
Plattformhaftung für Datenschutz
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 01/2026
Aus: IT-Rechtsberater, Heft 01/2026
Nach Artt. 5 Abs. 2, 24–26 DSGVO ist der Betreiber eines Online-Marktplatzes verpflichtet, mittels geeigneter technischer und organisatorische Maßnahmen (TOM) Inserate mit sensiblen Daten zu identifizieren, die Übereinstimmung des Inserenten mit dem Betroffenen zu prüfen und bei mangelndem Nachweis der Ausnahmen des Art. 9 Abs. 2 lit. a-j DSGVO die Veröffentlichung zu verweigern. Nach Art. 32 DSGVO müssen geeignete TOM ein Kopieren und unrechtmäßiges anderweitiges Veröffentlichen solcher Inserate möglichst verhindern.
VO (EU) 2016/679 Artt. 4, 5 Abs. 2, 9 Abs. 1, Abs. 2 lit. a, 24, 25, 26, 32; RL 2000/31/EG Artt. 1 Abs. 5 lit. b, 12–15
Gemeinsame Verantwortlichkeit durch Mitwirkung:Nach Artt. 4 Nr. 7, 26 DSGVO sei „Verantwortlicher“ jeder, der allein oder gemeinsam mit anderen über Zwecke und Mittel der Datenverarbeitung entscheide oder daran aus Eigeninteresse mitwirke. Eine gemeinsame Verantwortlichkeit könne sich auch aus komplementären Entscheidungen und ohne gemeinsamer Datenzugang ergeben. Eine gleichwertige Verantwortlichkeit aller Beteiligten sei wegen Zugrundelegung unterschiedlichen Verantwortlichkeitsgrads aus jeweiliger Verarbeitungsbeteiligung nicht notwendig (Rz. 56–65 m.w.N.).
Gefahrerhöhung bei Zweckfestlegung:Das Eigeninteresse der Marktplatzbetreiberin könne sich aus der über die Dienstleistungserbringung hinausgehenden Datenveröffentlichung zu kommerziellen oder Werbezwecken ergeben. Sie behalte sich nach ihren AGB vor, veröffentlichte Inhalte umfassend zu nutzen, insb. an Partner weiterzugeben und jederzeit ohne Begründung zu entfernen. Aufgrund potentieller Verfolgung kommerzieller Eigeninteressen wirke sie auch ohne Kenntnis vom schadensstiftenden Zweck an der Festlegung der Veröffentlichungszwecke mit. Zudem habe sie die Schädigung durch Ermöglichung anonymer Inserate erleichtert (Rz. 66–69).
Mitwirkung an Festlegung der Verarbeitungsmittel:An der Mittelfestlegung sei beteiligt, wer Datenerhebung und -übermittlung maßgeblich beeinflusse oder Verarbeitungseinfluss durch Parametrierung zur Steuerung oder Förderung von Nutzertätigkeiten nehme. Gleiches gelte für weltweite Suchmaschinen beim aggregierten öffentlichen Zugänglichmachen von Daten. Erfasst sei ein Marktplatzbetreiber, wenn er Verbreitungsparameter nach Zielpublikum, Darstellung, Dauer, informationsstrukturierenden Rubriken oder Ranking festlege. Indiziell sei auch hier eine umfassende Rechteübertragung (Rz. 71–74 m.w.N.).
Nachweispflichten der gemeinsam Verantwortlichen:Marktplatzbetreiberin und Inserent seien verpflichtet, für die Einhaltung von Artt. 5 Abs. 2, 6 Abs. 1, 24, 25 DSGVO zu sorgen, also ggf. die Ausdrücklichkeit einer Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) und Datenrichtigkeit (Art. 5 Abs. 1 lit. d DSGVO) nachzuweisen. Die Geeignetheit der TOM sei nach Artt. 24, 25 DSGVO konkret nach Art, Umfang, Umständen und Zwecken der Verarbeitung und unterschiedlicher Verwirklichungswahrscheinlichkeit und Schwere der Grundrechtsgefährdung zu bewerten (Rz. 93 f. m.w.N.).
Pflicht zur Identifizierung sensibler Inserate:Die Marktplatzveröffentlichung trage aufgrund Zugänglichmachung gegenüber jedermann sowie – weitere Löschung erschwerender – Ermöglichung des Kopierens und Verbreitens zu erheblichen Grundrechtsrisiken bei, welche bei sensiblen Daten schwerwiegender seien und durch Anonymität erhöht würden. Da der Marktplatzbetreiber von der Inserierungsmöglichkeit sensibler Daten im Allgemeinen zumindest wissen müsse, habe er schon vor Veröffentlichung zur Erfüllung der Pflichten aus Kap. II der DSGVO durch TOM zu gewährleisten, dass Inserate mit sensiblen Daten identifiziert würden (Rz. 95 ff. m.w.N.; vgl. Erwgrd. 51 der DSGVO).
Pflicht zur Identifizierung des Inserenten durch TOM:Zum Nachweis der Erfüllung von Art. 9 Abs. 2 lit. a-j DSGVO müsse vor Veröffentlichung die Identität des Inserenten erhoben werden. Nach Artt. 13 Abs. 1 lit. a, 14 Abs. 1 lit. a DSGVO müssten die Verantwortlichen dem Betroffenen stets ihre Namen und Kontaktdaten mitteilen. Gemäß Art. 26 DSGVO hätten die gemeinsam Verantwortlichen ihre jeweiligen DSGVO-Verpflichtungen transparent festzulegen, so dass Anonymität ausgeschlossen sei. Daher müsse die Übereinstimmung des Inserenten mit dem Betroffenen überprüft werden, um Identitätsmissbrauch (vgl. Erwgrd. 75 der DSGVO) vorzubeugen. Zur Identifizierung sensibler Daten und Inserenten sowie zur Übereinstimmungsprüfung seien geeignete TOM vorsehen, die u.a. das Risiko strafbarer oder datenschutzwidriger Verarbeitung begrenzten und die unerlaubte Veröffentlichung sensibler Daten verweigerten (Rz. 98–106; Ls. 1).
Schutzpflichten bei ungenehmigten Kopien:Nach Art. 32 DSGVO müssten geeignete TOM Verstöße so weit wie irgend möglich verhindern. Die Geeignetheit sei unter Berücksichtigung der verschiedenen Kriterien der Artt. 24, 32 DSGVO und konkreter Datenschutzbedürfnisse, insb. von besonders gefährdeten sensiblen Daten (vgl. Rz. 51, 90), zu beurteilen. Aus der weltweiten Zugänglichkeit eines Inserats mit personenbezogenen Daten könne sich ein Datenkontrollverlust ohne praktische Wirksamkeit von Art. 17 DSGVO ergeben. Daher müssten nachweisbar u.a. alle nach dem Stand der Technik verfügbaren technischen Maßnahmen zum Kopierschutz in Betracht gezogen werden (Rz. 115–123 m.w.N.; Ls. 2).
Subsidiarität der ECRL gegenüber der DSGVO:Nach Art. 1 Abs. 5 lit. b ECRL könnten Art. 14 Abs. 1 ECRL a.F. oder der – von der Verpflichtung zu TOM bzgl. Identifizierung sowie Kopierschutz (vgl. Rz. 106, 126) per se nicht betroffene – Art. 15 ECRL a.F. nicht in die DSGVO eingreifen (Rz. 130–135 m.w.N.; Ls. 3).
VO (EU) 2016/679 Artt. 4, 5 Abs. 2, 9 Abs. 1, Abs. 2 lit. a, 24, 25, 26, 32; RL 2000/31/EG Artt. 1 Abs. 5 lit. b, 12–15
Das Problem
Am 1.8.2018 wurde von einem Unbekannten auf einem rumänischen Online-Marktplatz ein Inserat veröffentlicht, in dem eine Betroffene samt Fotos und Telefonnummer fälschlich als Anbieterin sexueller Dienstleistungen dargestellt wurde. Es wurde unverändert von weiteren Werbewebsites unter Quellenangabe des Marktplatzes veröffentlicht. Trotz dessen Entfernung eine Stunde nach dem Löschverlangen blieb es auf den anderen Websites weiterhin abrufbar. Das Fachgericht lehnte den wegen Verletzung insb. von Ehre, Recht am eigenen Bild und Datenschutz erstinstanzlich zugesprochenen immateriellen Schadensersatz i.H.v. 7.000 € aufgrund der Haftungsprivilegierung von Online-Plattformen ab.Die Entscheidung des Gerichts
Grundrechtskonform weiter Begriff sensibler Daten:Der erhöhte Schutz besonders sensibler Daten i.S.v. Art. 9 Abs. 1 DSGVO (z.B. zum Sexualleben) beruhe auf der mit ihnen verbundenen Gefahr besonders schwerer Eingriffe in Rechte aus Artt. 7, 8 GRC. Daher gelte das Verbot über den Wortlaut hinaus „zwangsläufig“ auch für Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben (Rz. 49–54, 90, 96, 119 m.w.N.).Gemeinsame Verantwortlichkeit durch Mitwirkung:Nach Artt. 4 Nr. 7, 26 DSGVO sei „Verantwortlicher“ jeder, der allein oder gemeinsam mit anderen über Zwecke und Mittel der Datenverarbeitung entscheide oder daran aus Eigeninteresse mitwirke. Eine gemeinsame Verantwortlichkeit könne sich auch aus komplementären Entscheidungen und ohne gemeinsamer Datenzugang ergeben. Eine gleichwertige Verantwortlichkeit aller Beteiligten sei wegen Zugrundelegung unterschiedlichen Verantwortlichkeitsgrads aus jeweiliger Verarbeitungsbeteiligung nicht notwendig (Rz. 56–65 m.w.N.).
Gefahrerhöhung bei Zweckfestlegung:Das Eigeninteresse der Marktplatzbetreiberin könne sich aus der über die Dienstleistungserbringung hinausgehenden Datenveröffentlichung zu kommerziellen oder Werbezwecken ergeben. Sie behalte sich nach ihren AGB vor, veröffentlichte Inhalte umfassend zu nutzen, insb. an Partner weiterzugeben und jederzeit ohne Begründung zu entfernen. Aufgrund potentieller Verfolgung kommerzieller Eigeninteressen wirke sie auch ohne Kenntnis vom schadensstiftenden Zweck an der Festlegung der Veröffentlichungszwecke mit. Zudem habe sie die Schädigung durch Ermöglichung anonymer Inserate erleichtert (Rz. 66–69).
Mitwirkung an Festlegung der Verarbeitungsmittel:An der Mittelfestlegung sei beteiligt, wer Datenerhebung und -übermittlung maßgeblich beeinflusse oder Verarbeitungseinfluss durch Parametrierung zur Steuerung oder Förderung von Nutzertätigkeiten nehme. Gleiches gelte für weltweite Suchmaschinen beim aggregierten öffentlichen Zugänglichmachen von Daten. Erfasst sei ein Marktplatzbetreiber, wenn er Verbreitungsparameter nach Zielpublikum, Darstellung, Dauer, informationsstrukturierenden Rubriken oder Ranking festlege. Indiziell sei auch hier eine umfassende Rechteübertragung (Rz. 71–74 m.w.N.).
Nachweispflichten der gemeinsam Verantwortlichen:Marktplatzbetreiberin und Inserent seien verpflichtet, für die Einhaltung von Artt. 5 Abs. 2, 6 Abs. 1, 24, 25 DSGVO zu sorgen, also ggf. die Ausdrücklichkeit einer Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) und Datenrichtigkeit (Art. 5 Abs. 1 lit. d DSGVO) nachzuweisen. Die Geeignetheit der TOM sei nach Artt. 24, 25 DSGVO konkret nach Art, Umfang, Umständen und Zwecken der Verarbeitung und unterschiedlicher Verwirklichungswahrscheinlichkeit und Schwere der Grundrechtsgefährdung zu bewerten (Rz. 93 f. m.w.N.).
Pflicht zur Identifizierung sensibler Inserate:Die Marktplatzveröffentlichung trage aufgrund Zugänglichmachung gegenüber jedermann sowie – weitere Löschung erschwerender – Ermöglichung des Kopierens und Verbreitens zu erheblichen Grundrechtsrisiken bei, welche bei sensiblen Daten schwerwiegender seien und durch Anonymität erhöht würden. Da der Marktplatzbetreiber von der Inserierungsmöglichkeit sensibler Daten im Allgemeinen zumindest wissen müsse, habe er schon vor Veröffentlichung zur Erfüllung der Pflichten aus Kap. II der DSGVO durch TOM zu gewährleisten, dass Inserate mit sensiblen Daten identifiziert würden (Rz. 95 ff. m.w.N.; vgl. Erwgrd. 51 der DSGVO).
Pflicht zur Identifizierung des Inserenten durch TOM:Zum Nachweis der Erfüllung von Art. 9 Abs. 2 lit. a-j DSGVO müsse vor Veröffentlichung die Identität des Inserenten erhoben werden. Nach Artt. 13 Abs. 1 lit. a, 14 Abs. 1 lit. a DSGVO müssten die Verantwortlichen dem Betroffenen stets ihre Namen und Kontaktdaten mitteilen. Gemäß Art. 26 DSGVO hätten die gemeinsam Verantwortlichen ihre jeweiligen DSGVO-Verpflichtungen transparent festzulegen, so dass Anonymität ausgeschlossen sei. Daher müsse die Übereinstimmung des Inserenten mit dem Betroffenen überprüft werden, um Identitätsmissbrauch (vgl. Erwgrd. 75 der DSGVO) vorzubeugen. Zur Identifizierung sensibler Daten und Inserenten sowie zur Übereinstimmungsprüfung seien geeignete TOM vorsehen, die u.a. das Risiko strafbarer oder datenschutzwidriger Verarbeitung begrenzten und die unerlaubte Veröffentlichung sensibler Daten verweigerten (Rz. 98–106; Ls. 1).
Schutzpflichten bei ungenehmigten Kopien:Nach Art. 32 DSGVO müssten geeignete TOM Verstöße so weit wie irgend möglich verhindern. Die Geeignetheit sei unter Berücksichtigung der verschiedenen Kriterien der Artt. 24, 32 DSGVO und konkreter Datenschutzbedürfnisse, insb. von besonders gefährdeten sensiblen Daten (vgl. Rz. 51, 90), zu beurteilen. Aus der weltweiten Zugänglichkeit eines Inserats mit personenbezogenen Daten könne sich ein Datenkontrollverlust ohne praktische Wirksamkeit von Art. 17 DSGVO ergeben. Daher müssten nachweisbar u.a. alle nach dem Stand der Technik verfügbaren technischen Maßnahmen zum Kopierschutz in Betracht gezogen werden (Rz. 115–123 m.w.N.; Ls. 2).
Subsidiarität der ECRL gegenüber der DSGVO:Nach Art. 1 Abs. 5 lit. b ECRL könnten Art. 14 Abs. 1 ECRL a.F. oder der – von der Verpflichtung zu TOM bzgl. Identifizierung sowie Kopierschutz (vgl. Rz. 106, 126) per se nicht betroffene – Art. 15 ECRL a.F. nicht in die DSGVO eingreifen (Rz. 130–135 m.w.N.; Ls. 3).