EuGH-Urteil in der Rechtssache Russmedia: Weichenstellung für die Verantwortlichkeit von Hosting-Anbietern

Veröffentlicht am:

Pressemitteilung der Datenschutzbeauftragten von Berlin und Hamburg vom 02.12.2025

Der Gerichtshof der Europäischen Union (EuGH) hat heute sein Urteil in der Rechtssache C-492/23 (Russmedia) verkündet. Die Entscheidung stellt klar, dass Hosting-Anbieter für rechtswidrige, von Nutzenden eingestellte Inhalte datenschutzrechtlich mitverantwortlich sein können Die unabhängigen Datenschutzbeauftragten von Berlin und Hamburg begrüßen die aus der Entscheidung folgende deutliche Stärkung der Rechte Betroffener und nehmen sie zum Anlass, auf die daraus folgenden Pflichten für Plattformbetreiber hinzuweisen, die Inhalte von Nutzenden veröffentlichen.

Im Ausgangsfall wurde ohne Kenntnis und Einwilligung einer Frau eine Anzeige auf einem Online-Marktplatz geschaltet, in der unter Verwendung ihres Fotos und ihrer Telefonnummer angebliche sexuelle Dienstleistungen angeboten wurden. Der Fall warf die Frage auf, ob ein Hosting-Anbieter, der zunächst nur die technische Plattform bereitstellt, für darauf veröffentlichte Inhalte datenschutzrechtlich verantwortlich ist.

Der EuGH entschied entgegen den Schlussanträgen des Generalanwalts und urteilte, dass ein Hosting-Anbieter auch ohne Einflussnahme auf die Inhalte einer Anzeige eine datenschutzrechtliche (Mit-)Verantwortlichkeit für die von Nutzenden auf dem Online-Marktplatz veröffentlichten Inhalte trägt. Die mit der Bereitstellung der Plattform verbundenen Entscheidungen über die Zwecke und Mittel der Verarbeitung der Daten reichten im konkreten Fall, über den der EuGH zu entscheiden hatte, aus, um grundlegende Pflichten aus der Datenschutz-Grundverordnung (DSGVO) auszulösen. Dies lag unter anderem daran, dass der Hosting-Anbieter sich in den Allgemeinen Nutzungsbedingungen das Recht vorbehalten hatte, die veröffentlichten Inhalte zu verwenden, zu verbreiten, zu übertragen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit ohne Angaben von „triftigen Gründen“ zu löschen.

Daher ist ein Hosting-Dienst als Verantwortlicher in der Pflicht, bereits vor der Veröffentlichung durch Nutzende die Inhalte zu identifizieren, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, und zu überprüfen, ob die Person, deren Daten in einer solchen Anzeige enthalten sind, die veröffentlichende Person ist. Ist das nicht der Fall, hat er zu überprüfen, ob eine Einwilligung der betroffenen Person vorliegt oder eine andere Rechtsgrundlage für die Veröffentlichung gegeben ist.

Der EuGH entschied zudem, dass Hosting-Dienste deshalb auch dafür Sorge zu tragen haben, dass nur solche Personen Inhalte veröffentlichen können, deren Identität der Hosting-Dienst vorab erfasst und überprüft hat.

Außerdem muss der Betreiber eines Online-Marktplatzes darauf hinwirken zu verhindern, dass Anzeigen mit sensiblen Daten, die auf seiner Website veröffentlicht werden, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden. Zu diesem Zweck muss er geeignete technische und organisatorische Schutzmaßnahmen treffen.

Damit ist klargestellt, dass die Verantwortung nicht erst mit der Meldung eines Verstoßes beginnt, sondern bereits vor der Veröffentlichung von Informationen, die Nutzende bereitstellen.

Praktische Konsequenzen für das Zusammenspiel von DSGVO und Digital Services Act (DSA)

Aus dem EuGH-Urteil folgt, dass die Haftungsprivilegierungen aus der E-Commerce-Richtlinie, die im DSA fortgeführt werden, eine Verantwortlichkeit nach der DSGVO nicht ausschließen. Nach dem im DSA (Art. 16) verankerten Melde- und Abhilfeverfahren („Notice and Action“) verliert ein Hosting-Anbieter seine Haftungsprivilegierung (Art. 6 DSA) erst, sobald er tatsächliche Kenntnis von einem rechtswidrigen Inhalt erlangt. Der EuGH betont in seinem Urteil, dass diese Haftungsprivilegierung aus der E-Commerce-Richtlinie die Rechte Betroffener aus der DSGVO nicht schmälern darf und ein Hosting-Dienst sich daher mit Bezug auf seine Pflichten aus der DSGVO nicht auf eine solche Haftungsprivilegierung berufen kann.

Hieraus leiten die Datenschutzbeauftragten eine klare Linie für die Verantwortlichkeit von Hosting-Diensten ab:

  • Entstehen der datenschutzrechtlichen Verantwortlichkeit: Für die datenschutzrechtliche Verantwortlichkeit des Hosting-Anbieters braucht es nicht erst die Kenntniserlangung von einem rechtswidrigen Inhalt. Vielmehr hat ein Hosting-Anbieter als Verantwortlicher bereits vor der Veröffentlichung von Inhalten durch Nutzende zu überprüfen, ob die Inhalte sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten und sicherzustellen, dass Nutzende, die sensible Daten über dritte Personen veröffentlichen, hierfür eine Rechtsgrundlage nach der DSGVO haben. Kommen datenschutzrechtlich verantwortliche Hosting-Anbieter ihrer Verpflichtung zur Vorab-Überprüfung von Inhalten nicht nach und veröffentlichen gleichwohl sensible Daten Dritter ohne Rechtsgrundlage, können die zuständigen Datenschutzbehörden aufsichtsrechtliche Maßnahmen ergreifen und die Einhaltung der DSGVO durchsetzen.
  • Pflichten nach der Veröffentlichung: Bemerken betroffene Personen, dass ihre personenbezogenen Daten gleichwohl unrechtmäßig veröffentlicht worden sind, hat der Plattformbetreiber, sobald er auf einen rechtswidrigen Inhalt hingewiesen worden ist, unverzüglich zu handeln. Hier sieht das im DSA (Art. 16) verankerte Melde- und Abhilfeverfahren („Notice and Action“) ein wirksames Notice-and-Takedown-Verfahren bei Datenschutzverstößen vor. Betroffene können sich daher weiterhin an Hosting-Anbieter wenden, um die Löschung ihrer unrechtmäßig verarbeiteten Daten zu verlangen. Erfolgt dies nicht zeitnah, können die Datenschutzbehörden eine Löschung anordnen.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die heutige Entscheidung des EuGH gibt wichtige Impulse. Für die Praxis ist klar: Betreiber von Online-Plattformen sollten anhand der vom EuGH aufgestellten Kriterien prüfen, ob sie datenschutzrechtlich verantwortlich sind. Wenn das der Fall ist, müssen sie fortlaufend sicherstellen, dass personenbezogene Daten rechtmäßig auf ihrer Plattform verarbeitet werden. Sie müssen zudem Schutzmaßnahmen ergreifen, um die Inhalte vor einer Weiterverwendung zu schützen. Die DSGVO und der DSA bilden insofern ein gemeinsames Schutznetz für die Rechte der Bürgerinnen und Bürger. Unsere Aufsichtsbehörden werden weiterhin entschieden dafür eintreten, dass Hosting-Anbieter die rechtlichen Vorgaben der DSGVO einhalten, um Betroffenen zu ihrem Recht zu verhelfen.“

Thomas Fuchs, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, ergänzt: „Das Urteil hat sehr weitgehende Konsequenzen für viele Plattformen. Der EuGH macht unmissverständlich deutlich, dass bestimmte Haftungsprivilegien für Unternehmen nicht gelten, wenn es um die Gewährleistung der Datenschutzrechte der europäischen Bürger:innen geht.“

Pressekontakt:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Tel.: +49 30 13889-900
E-Mail: presse@datenschutz-berlin.de

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
Tel.: +49 40 42854-4044
E-Mail: presse@datenschutz.hamburg.de