EuGH: Kein Hosting-Privileg bei Verstößen gegen die DSGVO
EuGH-Urteil vom 2. Dezember 2026 – C-492/23
Mit Urteil vom 2. Dezember 2026 (C-492/23) hat der Gerichtshof der Europäischen Union (EuGH) entschieden, dass sich Betreiber von Online‑Plattformen bei Datenschutzverstößen nicht auf das Haftungsprivileg für Hosting‑Dienste berufen können. Die Entscheidung ist besonders relevant für Plattformen, auf denen Nutzer Inhalte einstellen können, die personenbezogene Daten enthalten (z. B. Kleinanzeigenportale, Marktplätze, Foren oder Community‑Plattformen).
Nach den Haftungsregeln für Vermittlungsdienste – heute insbesondere in Art. 6 Digital Services Act (DSA) geregelt – gilt grundsätzlich: Ein Hosting‑Dienst haftet für rechtswidrige Nutzerinhalte regelmäßig nicht, solange er keine tatsächliche Kenntnis von der Rechtswidrigkeit hat und nach Hinweis zügig handelt (sog. „notice and action“). Dieses Konzept basiert auf der Annahme, dass der Dienst primär technische Infrastruktur bereitstellt und Inhalte nicht verantwortlich steuert.
Der EuGH stellt nun klar: Dieses Plattform‑Haftungsprivileg darf nicht dazu führen, dass Pflichten aus der Datenschutz‑Grundverordnung (DSGVO) leer laufen.
Worum ging es konkret?
Ausgangspunkt war eine rumänische Online‑Kleinanzeigenplattform. Dort veröffentlichte eine unbekannte Person eine Anzeige unter Verwendung des Namens, eines Fotos und der Telefonnummer einer Betroffenen. In der Anzeige wurde wahrheitswidrig behauptet, die Betroffene biete sexuelle Dienstleistungen an. Die Veröffentlichung erfolgte ohne Wissen und ohne Einwilligung der Betroffenen.
Nachdem die Betroffene den Plattformbetreiber informiert hatte, wurde die Anzeige entfernt. Zu diesem Zeitpunkt waren die Angaben jedoch bereits auf anderen Internetseiten weiterverbreitet worden. Die Betroffene machte deshalb weitere Ansprüche gegen den Plattformbetreiber geltend und berief sich darauf, dass bereits die Veröffentlichung der Anzeige datenschutzwidrig gewesen sei.
Der Plattformbetreiber argumentierte, er habe nach Hinweis reagiert und damit seine Pflichten als Host‑Provider nach Art. 6 DSA erfüllt. Das nationale Gericht legte dem EuGH Fragen zur Auslegung vor – insbesondere dazu, ob der Plattformbetreiber datenschutzrechtlich als „Verantwortlicher“ (oder gemeinsam Verantwortlicher) einzustufen ist und ob das Hosting‑Privileg auch gegenüber DSGVO‑Ansprüchen greift.
Kernaussagen des EuGH: DSGVO‑Pflichten gehen vor
1) Plattformbetreiber können „Verantwortliche“ im Sinne der DSGVO sein
Der EuGH führt aus, dass Betreiber eines Online‑Marktplatzes hinsichtlich der Verarbeitung personenbezogener Daten in Nutzeranzeigen unter Umständen als Verantwortliche (Art. 4 Nr. 7 DSGVO) oder sogar als gemeinsam Verantwortliche (Art. 26 DSGVO) einzustufen sind.
Maßgeblich ist nicht, wer den Inhalt „verfasst“, sondern ob und in welcher Weise die Plattform die Verarbeitung personenbezogener Daten organisatorisch und technisch ermöglicht und dadurch Einfluss auf Zwecke und Mittel der Verarbeitung nimmt. Relevant können etwa sein:
- Vorgaben durch Eingabemasken und Pflichtfelder (z. B. Telefonnummer, Standort),
- Strukturierung, Kategorisierung, Indexierung und algorithmische Ausspielung von Anzeigen,
- Standard‑Voreinstellungen zur Sichtbarkeit oder Weiterverbreitung,
- Moderations‑ und Freischaltprozesse.
2) Das Hosting‑Privileg schützt nicht vor DSGVO‑Haftung
Der EuGH stellt klar, dass die Haftungsprivilegien des DSA die Verantwortlichkeit von Vermittlungsdiensten für fremde Inhalte regeln. Die DSGVO hingegen enthält ein eigenständiges und umfassendes Pflichtenprogramm zum Schutz personenbezogener Daten. Deshalb kann ein Plattformbetreiber, der datenschutzrechtlich als Verantwortlicher einzustufen ist, DSGVO‑Pflichten nicht mit dem Hinweis auf fehlende Kenntnis abwehren.
Mit anderen Worten: Selbst wenn die Plattform im klassischen „Inhalte‑Haftungsrecht“ von einem Privileg profitieren kann, bleibt sie bei personenbezogenen Daten an die DSGVO gebunden. Das betrifft insbesondere:
- die Pflicht zu einer Rechtsgrundlage für die Verarbeitung (Art. 6 DSGVO),
- Informationspflichten (Art. 13/14 DSGVO),
- Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO),
- angemessene technische und organisatorische Maßnahmen zur Sicherheit (Art. 32 DSGVO),
- Reaktions‑ und Dokumentationspflichten (u. a. Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht).
3) Prävention statt nur Reaktion
Der EuGH betont zudem, dass Plattformen geeignete technische und organisatorische Schutzmaßnahmen treffen müssen, um Datenschutzverletzungen möglichst bereits im Vorfeld zu verhindern – nicht erst nach einem Hinweis. Welche Maßnahmen „geeignet“ sind, hängt vom Risiko, von der Art der Plattform und der Art der Daten ab (risikobasierter Ansatz der DSGVO).
In der Praxis können – je nach Dienst – etwa folgende Maßnahmen relevant sein:
- Hinweise und Sperren in Eingabeformularen (z. B. Warnung bei Veröffentlichung fremder Kontaktdaten),
- Mechanismen zur Meldung und schnellen Identifikation von Persönlichkeits‑ und Datenschutzverletzungen,
- zusätzliche Prüfungen bei sensiblen Konstellationen (z. B. rufschädigende Behauptungen, intime Kontexte),
- Beschränkung der Sichtbarkeit bestimmter Felder durch datenschutzfreundliche Standardeinstellungen,
- Protokollierung und klare Löschkonzepte.
Rechtliche Einordnung: DSA und DSGVO verfolgen unterschiedliche Ziele
Wesentlich an der Entscheidung ist die Abgrenzung der Regelungssysteme:
- DSA (Art. 6): regelt, unter welchen Voraussetzungen ein Hosting‑Dienst für fremde Inhalte nicht haftet und wie das Verfahren nach Hinweis auszusehen hat.
- DSGVO: regelt, wann und wie personenbezogene Daten verarbeitet werden dürfen – inklusive Pflichten, Betroffenenrechten und Durchsetzungsmechanismen.
Nach Auffassung des EuGH dürfen die Haftungsprivilegien des Plattformrechts nicht als „Schutzschild“ dienen, um Anforderungen der DSGVO abzusenken. Entscheidend bleibt daher die Frage, ob der Plattformbetreiber im konkreten Verarbeitungsvorgang (mit) über Zwecke und Mittel entscheidet.
Was bedeutet das für Plattformbetreiber?
Die Entscheidung schafft keinen „Wegfall“ des Hosting‑Privilegs insgesamt. Für viele klassische zivilrechtliche oder medienrechtliche Konstellationen kann das Prinzip „Kenntnis und Entfernung“ weiterhin bedeutsam sein. Der EuGH grenzt aber deutlich ab: Wo personenbezogene Daten verarbeitet werden und die Plattform (mit)verantwortlich ist, greifen die DSGVO‑Pflichten unabhängig vom Hosting‑Privileg.
Praktische Konsequenzen können u. a. sein:
- Überprüfung, ob und in welchen Schritten die Plattform als (gemeinsam) Verantwortlicher handelt,
- Überarbeitung von Datenschutzinformationen und Rollenmodellen (ggf. Art. 26/28 DSGVO),
- Anpassung von Melde‑ und Löschprozessen (inkl. Dokumentation),
- Überprüfung von Voreinstellungen, Formularen und Veröffentlichungskonzepten (Art. 25 DSGVO),
- Risikobewertung und technische Schutzmaßnahmen (Art. 32 DSGVO),
- Prozesse zur Bearbeitung von Betroffenenrechten (Art. 15 ff. DSGVO).
Fazit: Haftungsprivileg endet, wo DSGVO‑Pflichten greifen
Der EuGH macht deutlich, dass Plattformbetreiber sich bei Datenschutzverstößen nicht damit entlasten können, sie hätten von der Rechtswidrigkeit eines Nutzerinhalts keine Kenntnis gehabt. Sobald die Plattform im konkreten Zusammenhang als (gemeinsam) Verantwortlicher einzuordnen ist, muss sie die DSGVO‑Vorgaben vollständig erfüllen – einschließlich präventiver Schutzmaßnahmen. Für Betreiber nutzergenerierter Plattformen ist das eine zentrale Weichenstellung: Datenschutz‑Compliance muss stärker „by design“ und „by default“ umgesetzt werden, nicht nur reaktiv nach Beschwerden.
Hinweis zur Veröffentlichung: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Sachverhalte und rechtliche Bewertungen können je nach Ausgestaltung der Plattform und Prozessgestaltung abweichen.
from MTR Legal Rechtsanwälte https://www.mtrlegal.com/eugh-hosting-privileg-gilt-nicht-bei-dsgvo-verstoessen/
No comments:
Post a Comment