EuGH nimmt Hosting‑Anbieter stärker in die Pflicht
Der EuGH hat mit Urteil vom 2. Dezember 2025 in der Rechtssache Russmedia (C-492/23) entschieden, dass Betreiber von Online‑Marktplätzen datenschutzrechtlich als „Verantwortliche“ für personenbezogene Daten gelten, die Nutzer*innen über ihre Plattform veröffentlichen – selbst dann, wenn sie selbst den Inhalt nicht erstellt haben. Damit wird klargestellt, dass das bisher oft herangezogene Haftungsprivileg für Hosting‑Anbieter nach Unionsrecht der Verantwortlichkeit unter der Datenschutz‑Grundverordnung (DS-GVO) nicht entgegensteht.
Kernpunkte der Entscheidung
- Plattformbetreiber müssen vor Veröffentlichung von Nutzerinhalten prüfen, ob diese sensible personenbezogene Daten enthalten – etwa Fotos, Telefonnummern oder Angaben zum Sexualleben.
- Werden solche Inhalte ohne nachgewiesene Einwilligung der betroffenen Person hochgeladen, darf die Plattform die Veröffentlichung nicht zulassen.
- Anonyme Veröffentlichungen oder das bloße Bereitstellen von Speicherplatz genügen nicht: Plattformen müssen Identität und Berechtigung der inserierenden Person vorab prüfen und dokumentieren.
- Nachträgliche Verantwortlichkeit beginnt nicht erst bei Kenntnis eines Verstoßes: Pflicht zur Vorab‑Prüfung entsteht bereits vor dem Upload.
Bedeutung für Datenschutzverantwortliche
Für Betreiber von Online‑Marktplätzen, Foren oder Hostern bedeutet das Urteil mehr Aufwand und Risiko: Der Status als „reiner“ Hosting‑Provider entbindet nicht automatisch von den Pflichten der DS-GVO. Bereits bei der Bereitstellung einer Plattform und dem Betrieb eines Dienstes mit Nutzerbeiträgen müssen technische und organisatorische Maßnahmen zur Vorab‑Prüfung, Identitätsprüfung und Verhinderung einer Weiterverbreitung sensibler Daten umgesetzt werden. Für Datenschutzbeauftragte heißt das: Bei der Risiko‑ und Rechtskonformitätsprüfung von Plattformen sind diese Anforderungen künftig zwingend zu berücksichtigen.
Auch vor dem Hintergrund paralleler Regulierung durch den Digital Services Act (DSA) ergibt sich eine klare Schnittstelle: Datenschutzpflichten nach der DS-GVO bleiben bestehen und können nicht durch Entlastungsmechanismen der DSA relativiert werden.
(magele-picture – stock.adobe.com)
Das könnte Sie auch interessieren
-
LLM-gestützte Chatbots in der öffentlichen Verwaltung
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung. Beschaffung: Vorabprüfung als Pflichtprogramm Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob
Mehr erfahren -
Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen
Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand
Mehr erfahren -
Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde
Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden. Der Vorfall Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag
Mehr erfahren
