Betreiber von Online-Marktplätzen sind unter bestimmten Umständen für datenschutzrechtswidrige Inhalte mitverantwortlich, die von Nutzenden eingestellt wurden. Das hat der Europäische Gerichtshof (EuGH) heute in Luxemburg entschieden. Demzufolge müssen die Betreiber prüfen, ob (Werbe-) Anzeigen auf ihren Plattformen sensible Daten enthalten und ob sie von der Person stammen, die die Anzeige aufgibt.

Im Ausgangsfall ging es um ein Inserat für sexuelle Dienstleistungen auf dem rumänischen Anzeigen-Portal Publi24. Die Plattform ist vergleichbar mit Ebay oder Amazon Marketplace. Eine unbekannte Person hatte dort im August 2018 die Anzeige im Namen einer Frau geschaltet, ohne deren Wissen oder Einverständis.

Die Anzeige enthielt Fotos der Betroffenen, die ohne ihre Einwilligung genutzt wurden, sowie ihre Telefonnummer. Die Frau forderte den Betreiber auf, die Anzeige zu löschen. Dieser sei dem zwar innerhalb einer Stunde nachgekommen, so der EuGH. Allerdings wurde die Anzeige bereits auf anderen Websites verbreitet und blieb dort weiterhin verfügbar.

Welche Verantwortung trägt die Plattform?

Die Betroffene sah nicht nur ihr Recht am eigenen Bild verletzt, sondern beanstandete vor Gericht auch einen Datenschutzverstoß durch das Unternehmen Russmedia Digital, den Betreiber von Publi24.

Während ein Gericht ihr in erster Instanz Recht gab und das Unternehmen zu 7.000 Euro Schadensersatz verurteilte, sah das die Berufungsinstanz anders. Dieses Gericht stufte Russmedia als einen bloßen Hosting-Anbieter ein und sprach ihn von seiner Verantwortung für den Inhalt der Nutzenden frei. Um den Streit zu klären, hatte das Berufungsgericht Cluj den EuGH um Auslegung von EU-Recht gebeten, bevor es dann später im konkreten Rechtsstreit endgültig entscheidet.

Im Kern ging es um die Frage, ob Hosting-Anbieter, die zunächst nur die technische Plattform bereitstellen, für darauf veröffentlichte Inhalte im Sinne der DSGVO verantwortlich sind oder ob sie von der Haftung befreit sind. Russmedia hatte sich nämlich auf das sogenannte Haftungsprivileg berufen, das die E-Commerce-Richtlinie und der Digital Services Act (DSA) Plattformen bei nutzergenerierten Inhalten gewähren.

Die EU-Richter*innen haben sich für die Haftung der Plattform entschieden. Zwar werde die Anzeige von eine*r Nutzer*in erstellt. Im Internet veröffentlicht und im Umlauf gebracht werde sie aber durch den Online-Marktplatz. Das bringe bestimmte grundlegende Pflichten für den Betreiber mit sich, die sich aus der DSGVO ableiten.

In der Pflicht sieht der EuGH Russmedia vor allem deshalb, weil sich das Unternehmen in den Allgemeinen Nutzungsbedingungen das Recht vorbehalten hatte, veröffentlichte Inhalte kommerziell zu eigenen Zwecken zu nutzen.

Anzeigen müssen vorab geprüft werden

Die Entscheidung des Europäischen Gerichtshofes hat weitreichende Konsequenzen.

So legten die Richter*innen fest, dass Online-Markplätze vor der Veröffentlichung einer Anzeige prüfen müssen, ob diese sensible Daten enthält und ob sie tatsächlich zu der Person gehören, die die Anzeige aufgeben will. Ist dies nicht der Fall, müssen sie prüfen, ob die eigentlich betroffene Person in die Veröffentlichung ausdrücklich eingewilligt hat oder ob eine andere Rechtsgrundlage gegeben ist. Sonst dürfe die Anzeige nicht online gehen, erklärte der Gerichtshof.

Außerdem müssten die Betreiber durch technische und organisatorische Maßnahmen sicherstellen, dass solche Anzeigen nicht kopiert und auf anderen Webseiten unrechtmäßig verbreitet werden. Schließlich betont der Gerichtshof explizit, dass sich Betreiber von Online-Marktplätzen diesen Verpflichtungen aus der DSGVO nicht unter Berufung auf die E-Commerce-Richtlinie entziehen können.

Entscheidung mit weitreichenden Folgen

Die unabhängigen Datenschutzbeauftragten von Berlin und Hamburg, Meike Kamp und Thomas Fuchs, sehen in der Entscheidung eine grundsätzliche Weichenstellung für die Verantwortlichkeit von Hosting-Anbietern. Damit sei klargestellt, dass deren Verantwortung nicht erst mit der Meldung eines Verstoßes beginne – wie es das DSA vorsieht – sondern bereits vor der Veröffentlichung der Daten.

„Der EuGH macht unmissverständlich deutlich, dass bestimmte Haftungsprivilegien für Unternehmen nicht gelten, wenn es um die Gewährleistung der Datenschutzrechte der europäischen Bürger*innen geht“, so Thomas Fuchs. Betreiber von Online-Plattformen sollten anhand der vom EuGH aufgestellten Kriterien prüfen, ob sie datenschutzrechtlich verantwortlich sind“, so Meike Kamp. „Wenn das der Fall ist, müssen sie fortlaufend sicherstellen, dass personenbezogene Daten rechtmäßig auf ihrer Plattform verarbeitet werden.“

Auch die Anwältin Elisabeth Niekrenz, Juristin für internationales Datenschutzrecht, betont gegenüber netzpolitik.org, dass das Urteil auch Konsequenzen für viele andere Plattformen haben könnte. „Die meisten kommerziellen Social-Media-Anbieter lassen sich in ihren Nutzungsbedingungen Inhalte von Usern lizenzieren und steuern mittels Empfehlungsalgorithmen die Verbreitung der Inhalte.“ Mit dem EuGH-Urteil könnten nun auch diese Plattformen zur Verantwortung gezogen werden, wenn Dritte datenschutzwidrige Inhalte verbreiten, so Niekrenz.

Zudem könne das Urteil Folgen für aktuell häufig vorkommende Fälle haben, bei denen in Werbeanzeigen mit den Namen Prominenter betrügerische „Anlagetipps“ gegeben werden. Auch hier könnten künftig die Plattformen selbst zur Verantwortung gezogen werden.