EuGH nimmt Hosting‑Anbieter stärker in die Pflicht
Der EuGH hat mit Urteil vom 2. Dezember 2025 in der Rechtssache Russmedia (C-492/23) entschieden, dass Betreiber von Online‑Marktplätzen datenschutzrechtlich als „Verantwortliche“ für personenbezogene Daten gelten, die Nutzer*innen über ihre Plattform veröffentlichen – selbst dann, wenn sie selbst den Inhalt nicht erstellt haben. Damit wird klargestellt, dass das bisher oft herangezogene Haftungsprivileg für Hosting‑Anbieter nach Unionsrecht der Verantwortlichkeit unter der Datenschutz‑Grundverordnung (DS-GVO) nicht entgegensteht.
Kernpunkte der Entscheidung
- Plattformbetreiber müssen vor Veröffentlichung von Nutzerinhalten prüfen, ob diese sensible personenbezogene Daten enthalten – etwa Fotos, Telefonnummern oder Angaben zum Sexualleben.
- Werden solche Inhalte ohne nachgewiesene Einwilligung der betroffenen Person hochgeladen, darf die Plattform die Veröffentlichung nicht zulassen.
- Anonyme Veröffentlichungen oder das bloße Bereitstellen von Speicherplatz genügen nicht: Plattformen müssen Identität und Berechtigung der inserierenden Person vorab prüfen und dokumentieren.
- Nachträgliche Verantwortlichkeit beginnt nicht erst bei Kenntnis eines Verstoßes: Pflicht zur Vorab‑Prüfung entsteht bereits vor dem Upload.
Bedeutung für Datenschutzverantwortliche
Für Betreiber von Online‑Marktplätzen, Foren oder Hostern bedeutet das Urteil mehr Aufwand und Risiko: Der Status als „reiner“ Hosting‑Provider entbindet nicht automatisch von den Pflichten der DS-GVO. Bereits bei der Bereitstellung einer Plattform und dem Betrieb eines Dienstes mit Nutzerbeiträgen müssen technische und organisatorische Maßnahmen zur Vorab‑Prüfung, Identitätsprüfung und Verhinderung einer Weiterverbreitung sensibler Daten umgesetzt werden. Für Datenschutzbeauftragte heißt das: Bei der Risiko‑ und Rechtskonformitätsprüfung von Plattformen sind diese Anforderungen künftig zwingend zu berücksichtigen.
Auch vor dem Hintergrund paralleler Regulierung durch den Digital Services Act (DSA) ergibt sich eine klare Schnittstelle: Datenschutzpflichten nach der DS-GVO bleiben bestehen und können nicht durch Entlastungsmechanismen der DSA relativiert werden.
(magele-picture – stock.adobe.com)
Letztes Update:06.12.25
Das könnte Sie auch interessieren
-
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren -
Datenschutzverstoß beim Online-Recruiting
Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck
Mehr erfahren

