Haftung von Online-Marktplätzen: Anzeigen von Dritten müssen die DSGVO beachten

Der Europäische Gerichtshof (EuGH) hat in einem richtungsweisenden Urteil den Spielraum bei der Haftung von Online-Marktplätzen eingeengt. Laut dem Beschluss vom Dienstag ist der Betreiber einer solchen Plattform für die Verarbeitung der personenbezogenen Daten verantwortlich, die in Anzeigen enthalten sind, die auf seinem Portal veröffentlicht werden. Diese grundsätzliche Haftung ergibt sich direkt aus der Datenschutz-Grundverordnung (DSGVO).

Die Verpflichtung des Betreibers als Verantwortlicher ist laut der Entscheidung in der Rechtssache C-492/23, in der es primär um die Webseite www.publi24.ro der rumänischen Verlagsgesellschaft Russmedia Digital geht, umfassend: Er muss geeignete technische und organisatorische Maßnahmen ergreifen, um insbesondere Anzeigen, die sensible Daten enthalten vor der Veröffentlichung zu identifizieren. Darunter fallen etwa Informationen zum Sexualleben, zur sexuellen Orientierung und zu politischen Einstellungen.

Dabei muss der Betreiber den Luxemburger Richtern zufolge überprüfen, ob der Inserent tatsächlich die Person ist, deren Daten in der Anzeige enthalten sind. Ist dies nicht der Fall, hat der Dienstleister zusätzlich zu prüfen, ob der oder die Betroffene ausdrücklich in die Publikation eingewilligt hat. Liegt eine solche Zustimmung nicht vor und fällt die Veröffentlichung auch nicht unter eine der anderen in der DSGVO vorgesehenen Ausnahmen wie die berechtigter Interessen, muss der Betreiber die Schaltung der Anzeige verweigern. Dies ist entscheidend, da die Verarbeitung von sensiblen Daten grundsätzlich verboten ist, sofern kein einschlägiges Privileg greift.

Präventionsmaßnahmen und Haftungsfragen

Zudem ist der Betreiber verpflichtet, Einschränkungen vorzunehmen, damit nicht Anzeigen mit sensiblen Daten, die auf seiner Plattform veröffentlicht wurden, kopiert und unrechtmäßig auf anderen Websites verbreitet werden. Dafür muss er geeignete technische und organisatorische Schutzmaßnahmen treffen.

Der EuGH hat zudem klargestellt, dass sich der Dienstleister diesen Auflagen nicht unter Berufung auf die E-Commerce-Richtlinie entziehen kann. Dieses EU-Gesetz enthält Klauseln, die unter bestimmten Umständen eine Haftungsfreistellung für Anbieter von Diensten der Informationsgesellschaft vorsehen. Der Gerichtshof betont jedoch, dass die Verantwortung gemäß der DSGVO Vorrang hat und durch die Haftungsfreistellung aus der E-Commerce-Richtlinie nicht ausgehebelt wird.

Irreführend Sexualdienste offeriert

Das Urteil geht auf einen Rechtsstreit in Rumänien zurück. Auf dem Portal publi24.ro hatte eine unbekannte Person eine irreführende Anzeige mit Fotos und der Telefonnummer einer Frau veröffentlicht, die angeblich sexuelle Dienstleistungen anbot. Obwohl Russmedia Digital die Anzeige nach Aufforderung innerhalb einer Stunde entfernte, war die Veröffentlichung bereits auf andere Websites kopiert worden und blieb dort verfügbar.

Die Betroffene klagte wegen Verletzung ihrer Rechte am eigenen Bild, auf Schutz der Ehre, des guten Rufs und des Privatlebens sowie wegen Verstoßes gegen die Datenschutzvorschriften. Nach unterschiedlichen Entscheidungen in den Vorinstanzen – in einer wurde das Unternehmen als bloßer Hosting-Anbieter von der Verantwortung freigesprochen – rief das Berufungsgericht Cluj den EuGH an, um die Verpflichtungen unter der DSGVO zu klären.

Dieser stellte nun fest, dass die Anzeige nur dank der Plattform im Internet veröffentlicht und zugänglich gemacht worden sei, weshalb der Betreiber als Verantwortlicher im Sinne der DSGVO anzusehen sei. Schon im Januar urteilte das höchste EU-Gericht: Google müsse als Betreiber von Google Ads von Dritten geschaltete Anzeigen überprüfen, um unzulässige, gemeldete Phishing-Versuche auch künftig zu unterbinden. Es greift die Störerhaftung.

(wpl)