Jetzt anrufen unter:

+49 711 410 190 30

  • wpml-ls-flag
  • wpml-ls-flag
Plattformen haften für sensible Daten in Nutzeranzeigen, Datenschutz, DSGVO, Rechtsanwalt

Plattformen,

haften für Anzeigen mit

sensible Daten.

von

Clemens Pfitzer

Wie viel Verantwortung tragen Online-Kleinanzeigenportale, wenn Fremde unberechtigt intime Bilder hochladen? Und müssen Betreiber künftig prüfen, ob die werbende Person tatsächlich die Person auf den Fotos ist?

Wenn eine Anzeige zum Kontrollverlust führt

Was als harmlose Kleinanzeigenplattform beginnt, kann sich – wie der Fall Russmedia zeigt – schnell zu einem drastischen Beispiel dafür entwickeln, wie Persönlichkeitsschutz und Datenschutz kollidieren können. Eine unbekannte Person lädt auf publik24.ro eine fingierte Anzeige hoch, in der eine Frau mit Fotos und ihrer echten Telefonnummer als Anbieterin sexueller Dienstleistungen dargestellt wird – ohne ihr Wissen und ohne ihre Einwilligung. Die Anzeige verbreitet sich rasend schnell, da sie von fremden Werbeseiten automatisiert übernommen wird. Die betroffene Frau verliert somit die Kontrolle über ihre eigenen Daten. Russmedia löscht die Anzeige zwar innerhalb einer Stunde nach einem Hinweis. Zu diesem Zeitpunkt lebt sie jedoch bereits ein Eigenleben auf anderen Portalen.

Die Betroffene fordert immateriellen Schadensersatz. Ein Gericht in Rumänien sprach ihr 7.000 Euro zu, die Berufungsinstanz hob das Urteil jedoch auf. Der Betreiber sei nur Host-Provider und damit privilegiert, so die Argumentation. Die Curtea de Apel Cluj ruft schließlich den Gerichtshof der Europäischen Union an – und der EuGH nutzt die Gelegenheit, um die Rolle von Plattformen im Datenschutzrecht grundlegend zu klären.

DSGVO und E-Commerce-Regime kollidieren – aber nicht auf Augenhöhe

Der Fall bewegt sich im Spannungsfeld zweier Regelungsbereiche, die im digitalen Alltag ständig zusammentreffen. Die E-Commerce-Richtlinie entlastet Anbieter, die fremde Inhalte hosten, von Kontrollpflichten. Die DSGVO setzt dagegen auf umfassende Verantwortlichkeit, insbesondere wenn sensible Daten im Spiel sind.

Während die E-Commerce-Richtlinie also besagt: „Du musst nicht alles überwachen”, lautet die Vorgabe der DSGVO: „Sobald du jedoch personenbezogene Daten für eigene Zwecke verarbeitest, trägst du umfassende Verantwortung.” Genau hier liegt der zentrale Konflikt, den der EuGH lösen muss.

EUGH: Plattformen sind Verantwortliche – und zwar mit weitreichenden Pflichten

Mit seinem Urteil vom 02.12.2025 – C-492/23 gibt der Europäische Gerichtshof deutlich.

Verantwortlichkeit trotz fremder Inhalte

Der EUGH stellt klar, Russmedia ist nicht nur eine technische Ablagefläche für Inhalte. Das Unternehmen strukturiert, kategorisiert, monetarisiert und nutzt Anzeigen selbst, beispielsweise durch die Möglichkeit, Inhalte zu kopieren, weiterzugeben oder zu verändern. Diese eigenen Zwecke geben den Ausschlag: Die Plattform bestimmt über Zwecke und wesentliche Mittel der Datenverarbeitung und wird damit zur Verantwortlichen im Sinne der Datenschutz-Grundverordnung.

Bemerkenswert ist die Klarheit des Gerichts: Allein die Tatsache, dass ein Nutzer die Anzeige einstellt, entlastet den Betreiber nicht. Beide können nebeneinander Verantwortliche sein. Die DSGVO möchte gerade nicht, dass sich Plattformen hinter ihrer technischen Rolle verstecken.

Umgang mit sensiblen Daten: Ein „Rote-Lampe“-Moment

Der Fall betrifft Daten zur Sexualität, die zu den besonders geschützten Kategorien zählen. Der EuGH stellt klar: Auch wenn die Angaben unwahr sind, bleibt ihr sensibler Charakter bestehen. Sensible Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, ein Ausnahmetatbestand greift. Die wichtigste Ausnahme ist die ausdrückliche Einwilligung, die hier offensichtlich nicht vorlag.

Daraus ergibt sich eine Pflicht, die die künftige Plattformpraxis prägen wird. Betreiber müssen vor der Veröffentlichung prüfen, ob eine Anzeige sensible Daten enthält. Wenn ja, dürfen sie diese nur veröffentlichen, wenn die betroffene Person mit dem Accountinhaber identisch ist oder ausdrücklich eingewilligt hat. Der EuGH fordert somit ein Risikomanagement, das über das heutige „Notice and Take Down“ hinausgeht. Für Plattformen bedeutet das, dass sie Prozesse entwickeln müssen, die Risiken vorab erkennen und verhindern, statt nur im Nachhinein zu reagieren.

Der Betreiber eines Online-Marktplatzes ist verpflichtet, vor der Veröffentlichung von Anzeigen solche
zu identifizieren, die sensible Daten enthalten, zu prüfen, ob die werbende Person mit der betroffenen Person identisch ist, und die Veröffentlichung zu verweigern, sofern keine ausdrückliche Einwilligung oder eine andere Ausnahme nach Artikel 9 Absatz 2 DSGVO vorliegt.

Sicherheitsmaßnahmen: Schutz auch vor Weiterverbreitung

Besonders brisant ist der Hinweis des EuGH, dass Plattformbetreiber technische und organisatorische Maßnahmen ergreifen müssen, um das Weiterkopieren und Scraping sensibler Anzeigen zu erschweren. Der Kontrollverlust der Betroffenen im Ausgangsfall ist für das Gericht direkter Ausdruck unzureichender Sicherheit. Das schnelle Löschen der Anzeige allein reicht nicht aus; die Plattform muss auch verhindern, dass Dritte Inhalte automatisiert übernehmen.

Der Betreiber eines Online-Marktplatzes muss technische und organisatorische Sicherheitsmaßnahmen implementieren, um zu verhindern, dass Anzeigen mit sensiblen Daten kopiert und unrechtmäßig auf andere Websites übertragen werden.

Das bedeutet nicht, dass Plattformen das Internet kontrollieren sollen, sie müssen jedoch ein „angemessenes Sicherheitsniveau“ schaffen, das es Bots, Scraping-Mechanismen und anderen automatisierten Verfahren zumindest erschwert, Inhalte zu übernehmen.

Provider-Privileg? Ja, aber nicht gegen die DSGVO.

Entscheidend ist auch die Abgrenzung zur E-Commerce-Richtlinie: Die Haftungsprivilegien greifen bei Datenschutzverstößen nicht. Der EuGH betont, dass die DSGVO unabhängig daneben steht. Wer personenbezogene Daten verarbeitet, unterliegt vollumfänglich dem Datenschutzrecht – ganz gleich, ob er daneben als Host-Provider privilegiert ist.

Für Plattformen bedeutet das: Sie können sich nicht mit dem Hinweis, man sei nur „neutraler Vermittler“, aus der Verantwortung ziehen.

Was Plattformen jetzt beachten müssen

Für Betreiber von Marktplätzen, Kleinanzeigenportalen und ähnlichen Diensten ist dieses Urteil ein Weckruf. Viele Geschäftsmodelle basieren auf der Annahme, dass sie nicht für die von Nutzern eingestellten Inhalte verantwortlich sind. Diese Annahme trägt im Datenschutzrecht jedoch nicht mehr. Pflichten, die jetzt ins Zentrum rücken, sind:

  • Eigene Verantwortlichkeit prüfen
    Wo immer Plattformen Anzeigen strukturieren, verwerten, darstellen oder in Reichweite umwandeln, werden sie selbst zum Verantwortlichen.
  • Erkennen sensibler Daten vor der Veröffentlichung
    Dies kann durch Stichwortfilter, KI-basierte Erkennung oder manuelle Prüfung erfolgen – wichtig ist ein nachweisbares, risikoorientiertes Verfahren.
  • Identitätsprüfung für Anzeigen mit hohem Risiko
    Ein „Vertrauensvorschuss” wird bei sensiblen Kategorien nicht mehr genügen. Es wird Modelle geben müssen, die die Identität oder Berechtigung prüfen.
  • Schutz vor Scraping und unerlaubter Weitergabe
    Botschutz, API-Limits, Watermarking und Partnerkontrolle: Maßnahmen, die bislang als „nice to have“ galten, werden zur Compliance-Pflicht.
  • Dokumentation und Rechenschaftspflicht
    Plattformen müssen nachweisen können, wie sie die Pflichten aus Artikel 5 Absatz 2 DSGVO in Technik und Organisation umgesetzt haben.

Insgesamt entwickelt sich die Rolle des Plattformbetreibers somit weg vom passiven Host und hin zum datenschutzrechtlich aktiven Akteur.

Fazit

Der EuGH hat hier eine klare Linie gezogen. Wer eine Plattform betreibt, ist nicht nur technischer Dienstleister, sondern datenschutzrechtlich gestaltender Akteur – insbesondere dann, wenn sensible Daten betroffen sind.

Der Gerichtshof verlangt ein proaktives, intelligentes Risikomanagement vor Veröffentlichung und nicht erst nach Beschwerden. Gleichzeitig macht er deutlich, dass die Provider-Privilegien der E-Commerce-Richtlinie in diesem Fall nicht weiter helfen.

Wir beraten

Sie gerne zum

Datenschutzrecht!

Kontaktformular
Jetzt anrufen!

Unsere Dienstleistungen

Beratung zu Online-Handelsplattformen

Wir beraten Unternehmen zu allen Rechtsfragen beim Handel auf Online-Handelsplattformen wie Amazon, eBay, Zalando, Otto, Kaufland, Etsy und andere.

Mehr erfahren

Alle Dienstleistungen

Relevante Beiträge

Verbraucherzentrale vs. Facebook

Gesundheitsdaten bei Amazon – Nicht ohne Einwilligung

Missbrauch personenbezogener Daten begründet Schadensersatz DSGVO Rechtsanwalt Datenleck

Missbrauch personenbezogener Daten begründet Schadensersatz

Standardvertragsklauseln interntai

Neue Standardvertragsklauseln für internationale Datentransfers

Berliner Beauftragte für den Datenschutz Deutsche Wohnen Bußgeldbescheid

Berliner Beauftragte für den Datenschutz scheitert vor Gericht

DSGVO Bußgeld 1&1 Datenschutzrecht Datenschutzbeauftragter

DSGVO Bußgeld gegen 1&1 auf 10% reduziert

Haben Sie Fragen?

Wir helfen Ihnen gerne weiter.

Kontaktanfrage

Maximale Dateigröße: 10MB