Kommentar: Was Publisher jetzt über Datenschutz in Online-Plattformen wissen müssen

Während Österreich erste Schritte in der Deregulierung und Entbürokratisierung geht, stellt der EuGH Publisher und deren Vermarkter vor neue Anforderungen

Kommentar von AI- und Datenschutzexpertin Katja Wyrobek

Das Urteil des Europäischen Gerichtshofs (EuGH) vom 2. Dezember 2025 in der Rechtssache C-492/23 (Russmedia Digital) markiert einen Wendepunkt für die Haftung von Betreibern von Online-Plattformen, Foren und Kleinanzeigenmärkten, insbesondere im Hinblick auf den Schutz personenbezogener Daten. Die Entscheidung verdeutlicht, dass die traditionelle Haftungsbefreiung für Host-Provider dann nicht mehr greift, wenn es um Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) geht. Damit rücken Pflichten in den Fokus, die bisher vor allem großen Plattformen zugeschrieben wurden, nun aber auch klassische Medienhäuser unmittelbar betreffen können.

Die bloße Reaktion auf eine Meldung (Notice and take down) reicht vor allem bei sensiblen personenbezogenen Daten (u.a. Sexualität, Gesundheit, Politik, Religion) nicht mehr aus. Dies hat weitreichende Konsequenzen für die Medienbranche und alle Publisher, die nutzergenerierte Inhalte veröffentlichen.

Für Publisher bedeutet dieses Urteil, dass sie ihre technischen Systeme und internen Prozesse überprüfen müssen, um sensible Daten in Anzeigen proaktiv zu erkennen, die Identität von Inserenten zu prüfen und technische Schutzmechanismen gegen unbefugtes Kopieren und Weiterleiten zu implementieren.

Publisher, die personenbezogene Daten veröffentlichen, werden künftig nicht nur als technische Dienstleister betrachtet, sondern als aktive Mitgestalter der Datenverarbeitung und damit als Mitverantwortliche. Ein undankbare Erweiterung des Pflichtenkatalogs in ohnehin bereits stark überregulierten Zeiten.

DSGVO bricht Host-Provider-Privileg

Entscheidend ist, dass der EuGH feststellte, dass sich Betreiber von Online-Marktplätzen, die personenbezogene Daten verarbeiten, nicht auf die Haftungsbeschränkungen der Art. 12 bis 15 der E-Commerce-Richtlinie (oder des Digital Services Act, DSA) berufen können, soweit es um Pflichten oder Verstöße aus der DSGVO geht.

Liegt wie im vorliegenden Fall ein DSGVO-Verstoß vor, können sich Host-Provider, also jene Online-Plattformen, die in der Regel nur die Infrastruktur (z.B. Server, Speicherplatz, Websites) für Content bereitstellen, nicht mehr auf die Haftungsbefreiung nach E-Commerce-RL berufen. Dies hat maßgebliche Auswirkungen auf unterschiedliche Prüfpflichten und technische Sicherheitsmaßnahmen, die Plattformen als Verantwortliche im Sinne der DSGVO nun stärker ins Auge fassen müssen.

Wichtig: Das Urteil beschränkt sich inhaltlich auf die Verarbeitung (sensibler) personenbezogener Daten. Es betrifft nicht allgemein die Haftung von Plattformen, Foren oder Marktplätzen für rechtswidrige Inhalte ohne Personenbezug.

Prüfung der Nutzungsbedingungen und Geschäftsmodell

Der Betreiber eines Online-Marktplatzes wie Russmedia, der Anzeigen aus kommerziellem Eigeninteresse veröffentlicht und sich weitreichende Nutzungsrechte (u.a. Kopieren, Verbreiten, Löschen) an den generierten Inhalten vorbehält, wird als Verantwortlicher im Sinne der DSGVO eingestuft. Damit unterliegt er der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und den umfassenden Pflichten aus den Art. 24, 25 und 32 DSGVO.

Der EuGH macht den Betreiber eines Online-Marktplatzes mit dem Inserenten, die wiederum ein Eigeninteresse an der Veröffentlichung der Anzeige verfolgt, zu gemeinsamen Verantwortlichen im Sinne des Art. 26 DSGVO. Das hat weitereichende Folgen für die Transparenz- und Rechtmäßigkeitsanforderungen bei der Veröffentlichung von Inhalten mit Personenbezug.

Besondere Sorgfaltspflichten gelten, wenn Anzeigen und Inhate, sog. sensible Daten enthalten, wie etwa Daten zum Sexualleben oder Religion/Weltanschauung einer natürlichen Person (Art. 9 Abs. 1 DSGVO).

Zudem werden Online-Plattformen in die Pflicht genommen, Kleinanzeigen inhaltlich zu kontrollieren, im Anlassfall und risikobasiert. Enthalten Anzeigen personenbezogene Daten Dritter, müssen Publisher sicherstellen, dass deren Veröffentlichung rechtmäßig ist und Inserat und Inserent miteinander korrespondieren oder eine gültige Einwilligung der betroffenen Person vorliegt.

Anonyme Anzeigenaufgabe ist nicht mehr möglich und kann nun zu erheblichen Haftungsrisiken führen. Mindestens grundlegende Identitäts- oder Plausibilitätsprüfungen müssen etabliert werden, um Missbrauch zu verhindern. Damit verlagert sich ein Teil der redaktionellen Verantwortung auf Anzeigenbereiche, die historisch oft ohne tiefgehende Prüfung betrieben wurden und das Sales-Geschäft weiter erschweren.

Renaissance des Datenschutzes durch Technikgestaltung (Privacy by Design)

Betreiber von Online-Plattformen sind nunmehr verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, und zwar schon bei der Konzeption ihrer Dienste (Datenschutz durch Technikgestaltung, Art. 25 Abs. 1 DSGVO).

Publisher müssen ihre Systeme so bauen, dass die unkontrollierte Weiterverbreitung personenbezogener Daten, z.B. automatisiertes Kopieren, Scraping oder ungeschützte API-Zugriffe, verhindert oder deutlich erschwert werden. Dazu gehören technische Schutzmaßnahmen wie Rate-Limiting, Download-Beschränkungen, Wasserzeichen, Zugriffskonzepte oder differenzierte Rollen- und Rechteverwaltung. Maßnahmen, die zwar nicht gänzlich neu sind, allerdings eher exklusiv im redaktionellen Bereich verortet waren.

Schutz vor Weiterverbreitung und Kontrollverlust

Der EuGH verändert nicht nur das Haftungsregime von Online-Plattformen signifikant, er fordert auch die Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen. Ob das bereits Upload-Filter für sensibel erscheinende Inhalte umfasst, ist in Frage zu stellen, es wird jedoch eine automatisierte Vorstufe notwendig sein, um keine unnötige Ressourcenbindung im Sales zu verursachen.

Als Compliance-Maßnahme sind jedoch Warnmechanismen für auffällige Anzeigen, Meldewege für Betroffene, sowie schnelle und klare Prozesse für Löschanfragen und Beschwerden essenziell.

Zusammengefasst legt der EuGH für Online-Publisher bei sensiblen Inhalten folgende Pflichten fest:

1. Inhaltliche Vorprüfung und Identifizierung: Der Publisher muss Anzeigen, die sensible personenbezogene Daten enthalten, identifizieren und prüfen, ob diese rechtmäßig veröffentlicht werden können.

2. Überprüfung der Inserenten-Identität: Er muss die Identität des inserierenden Nutzers erheben und überprüfen. Dies ist notwendig, um festzustellen, ob der Inserent tatsächlich die Person ist, deren sensible Daten veröffentlicht werden, und somit Betrug oder eine unrechtmäßige Verwendung der Identität zu verhindern.

3. Veröffentlichung verweigern: Stellt sich heraus, dass der Inserent nicht die betroffene Person ist, muss der Betreiber die Veröffentlichung ablehnen. Eine Veröffentlichung ist nur zulässig, wenn der Inserent die ausdrückliche Einwilligung der betroffenen Person nachweisen kann.