Am 2. Dezember 2025 hat der Europäische Gerichtshof (EuGH) im Fall C-492/23 („Russmedia“) entschieden, dass Betreiber von Online-Marktplätzen für personenbezogene Daten in Nutzeranzeigen datenschutzrechtlich verantwortlich sind. Dieses Urteil hat erhebliche Auswirkungen auf DSGVO-Pflichten, Plattformhaftung und die Rolle von Online-Marktplätzen im digitalen Raum.

Hintergrund: Der Fall Russmedia

Auf einem rumänischen Online-Marktplatz wurde von einem bislang unbekannten Nutzer eine Anzeige eingestellt, in der eine Frau mit Fotos und ihrer Telefonnummer dargestellt wurde. In der Anzeige wurde wahrheitswidrig behauptet, sie biete sexuelle Dienstleistungen an. Die Frau hatte weder von der Anzeige Kenntnis noch ihre Zustimmung zur Veröffentlichung der personenbezogenen Daten erteilt. Obwohl der Betreiber die Anzeige nach einer Beschwerde schnell löschen ließ, war sie bereits auf anderen Seiten verbreitet.

Die betroffene Frau klagte daraufhin auf Schadensersatz. Im Zentrum des Rechtsstreits stand die Frage, ob der Betreiber eines Online-Marktplatzes für die Veröffentlichung personenbezogener Daten haftbar gemacht werden kann, obwohl der Inhalt von einem Nutzer erstellt worden war.

Der Plattformbetreiber argumentierte, er sei lediglich ein technischer Dienstleister und habe auf den konkreten Inhalt der Anzeige keinen Einfluss genommen. Er habe zudem nach Kenntnisnahme sofort reagiert und die Anzeige gelöscht. Die Klägerin hingegen vertrat die Auffassung, dass der Betreiber durch den Betrieb und die Gestaltung der Plattform eine Mitverantwortung für die Verarbeitung ihrer personenbezogenen Daten trage.

Die Frage nach der datenschutzrechtlichen Verantwortlichkeit von Online-Plattformen war bislang umstritten und wurde nun durch das Urteil des EuGH grundlegend geklärt.

Online-Marktplatzbetreiber können als Verantwortliche gelten

Der EuGH entschied, dass Betreiber von Online-Marktplätzen – wie im Fall von Russmedia Digital – nicht nur technische Vermittler, sondern (Mit-)Verantwortliche im Sinne der DSGVO sind, wenn personenbezogene Daten durch Nutzer auf ihrer Plattform veröffentlicht werden. Zwar erstellt der Nutzer die Anzeige selbst, doch der Betreiber bestimmt durch Struktur, technische Ausgestaltung und Nutzungsbedingungen der Plattform die Rahmenbedingungen der Datenverarbeitung. Diese tatsächliche Einflussnahme reicht nach Auffassung des EuGH aus, um eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zu begründen.

Keine Berufung auf Haftungsprivilegien

Darüber hinaus hat der EuGH klargestellt, dass sich Plattformbetreiber nicht auf die Haftungsprivilegien für Host-Provider – etwa nach dem Digital Services Act oder der früheren E-Commerce-Richtlinie – berufen können, um sich ihrer datenschutzrechtlichen Verantwortlichkeit nach der DSGVO zu entziehen. Der Hinweis, man sei lediglich ein „technischer Host“, genügt nicht, um eine Verantwortung für die Verarbeitung personenbezogener Daten auszuschließen, insbesondere dann nicht, wenn der Plattformbetreiber die Datenverarbeitung entscheidend mitbestimmt.

Prüf- und Kontrollpflichten vor der Veröffentlichung

Zudem hat der EuGH nicht nur die Verantwortlichkeit der Plattformbetreiber bestätigt, sondern auch betont, dass Betreiber von Online-Marktplätzen aktive Pflichten haben.

Bevor eine Anzeige veröffentlicht wird, muss der Betreiber prüfen, ob personenbezogene Daten, und insbesondere sensible Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten, sexuelle Orientierung, politische Ansichten), in der Anzeige enthalten sind. Zudem muss er sicherstellen, dass der einstellende Nutzer tatsächlich die betroffene Person ist oder dass diese eine ausdrückliche Einwilligung zur Veröffentlichung gegeben hat. Liegt keine Einwilligung oder andere Rechtsgrundlage gemäß DSGVO vor, muss die Veröffentlichung verweigert werden. Des Weiteren muss der Online-Marktplatz geeignete technische und organisatorische Maßnahmen ergreifen, um rechtswidrige Veröffentlichungen zu verhindern und gegebenenfalls eine Weiterverbreitung auf anderen Seiten zu erschweren oder gar ganz zu unterbinden.

Warum das Urteil wichtig ist

Mit seiner Entscheidung setzt der Europäische Gerichtshof ein klares Signal für einen stärkeren präventiven Datenschutz. Plattformbetreiber dürfen sich künftig nicht darauf beschränken, erst nach Beschwerden tätig zu werden. Vielmehr sind sie gehalten, bereits im Vorfeld geeignete Maßnahmen zu ergreifen, um Datenschutzverstöße zu vermeiden.

Für Betreiber von Online-Marktplätzen, Kleinanzeigenportalen und vergleichbaren Plattformen, auf denen Nutzer Inhalte einstellen können, bedeutet dies einen erheblichen Anpassungsbedarf. Bestehende Compliance-Strukturen müssen überprüft und gegebenenfalls weiterentwickelt werden. Dazu zählen insbesondere die technische Ausgestaltung der Plattform, interne Moderations- und Prüfprozesse sowie die zugrunde liegenden Datenschutzkonzepte. Ziel ist es, den gestiegenen Anforderungen der Datenschutzbehörden und Gerichte gerecht zu werden.

Gerade kleinere Anbieter könnten dabei vor besonderen Herausforderungen stehen. Automatisierte Prüf- und Kontrollmechanismen sind häufig kostenintensiv und technisch anspruchsvoll. Gleichwohl macht das Urteil deutlich, dass wirtschaftliche oder organisatorische Schwierigkeiten nicht zulasten des Datenschutzes gehen dürfen.

Kernaussage: Die DSGVO gilt auch für Online-Marktplätze

Mit dem Urteil vom 2. Dezember 2025 (Rechtssache C-492/23 „Russmedia“) hat der EuGH daher unmissverständlich klargestellt, dass Betreiber von Online-Marktplätzen eine datenschutzrechtliche Verantwortung tragen, wenn in Nutzeranzeigen personenbezogene Daten verarbeitet werden. Sie sind verpflichtet, vor der Veröffentlichung geeignete Prüf- und Kontrollmaßnahmen zu ergreifen, um eine rechtmäßige Datenverarbeitung sicherzustellen. Auf Haftungsprivilegien für Host-Provider können sie sich dabei nicht berufen, um den Pflichten der DSGVO zu entgehen.

Lesen Sie auch: Der Digital Services Act (DSA) – Überblick und Pflichten für Plattformbetreiber | Urteil im Volltext: EuGH, 2. Dezember 2025 – C-492/23