EuGH-Urteil 2025:
Plattformbetreiber aufgepasst!
EuGH-Urteil vom 2. Dezember 2025: Neue datenschutzrechtliche Verantwortlichkeiten für Betreiber digitaler Plattformen
Am 2. Dezember 2025 hat der Europäische Gerichtshof (EuGH) (Az.: C‑492/23) ein
Grundsatzurteil gefällt, das die Pflichten von Betreibern digitaler Plattformen –
insbesondere von Online-Marktplätzen, Foren und Community-Plattformen – deutlich
erweitert. Der Beschluss markiert eine wesentliche Weiterentwicklung der
datenschutzrechtlichen Verantwortlichkeit und greift tief in etablierte
Haftungsmechanismen ein, die bislang vor allem auf dem Digital Services Act (DSA)
und dem Prinzip des „Notice-and-Take-Down“ beruhten.
Sensible Daten ohne Einwilligung online gestellt.
Dem Urteil lag ein Fall aus Rumänien zugrunde: Eine Frau war in einer Anzeige auf
einem Online-Kleinanzeigenmarkt fälschlicherweise und ohne ihr Wissen als Anbieterin
sexueller Dienstleistungen dargestellt worden. Damit sind sensible Daten i.S.d. Art. 9
DSGVO (besondere Kategorien personenbezogener Daten) verarbeitet worden. Hierfür
ist eine Einwilligung laut DSGVO erforderlich.
Die Frage, die sich dann stellte: Haftet der Plattformbetreiber datenschutzrechtlich für
den Inhalt einer Nutzeranzeige, die personenbezogene Daten einer dritten Person
enthält? Der EuGH beantwortet diese Frage eindeutig – und mit weitreichenden Folgen.
Plattformbetreiber sind Verantwortliche im Sinne der DSGVO!
Der Gerichtshof stellt klar: Betreiber von Online-Marktplätzen sind datenschutzrechtlich
Verantwortliche (Art. 4 Nr. 7 DSGVO) für die Verarbeitung personenbezogener Daten,
die in Nutzeranzeigen veröffentlicht werden.
Damit wird nicht nur der Nutzer, der eine Anzeige einstellt, in die Pflicht genommen –
sondern auch die Plattform selbst, und zwar bereits im Zeitpunkt der Veröffentlichung.
Neue Prüf- und Schutzpflichten vor Veröffentlichung?
Das Urteil verpflichtet Plattformbetreiber dazu, vor Veröffentlichung von
Nutzeranzeigen bestimmte Prüfungen vorzunehmen. Die Betreiber müssen künftig:
a) Sensible Daten erkennen
Sie müssen geeignete technische und organisatorische Maßnahmen etablieren, um
Anzeigen zu identifizieren, die sensible Daten gemäß Art. 9 Abs. 1 DSGVO enthalten (z.B. Gesundheitsdaten, Daten zur sexuellen Orientierung, religiöse oder politische
Angaben).
b) Identität und Berechtigung prüfen
Wenn eine Anzeige sensible Daten einer Person enthält, müssen Plattformen prüfen,
ob die einstellende Person tatsächlich dieselbe ist, über die dort sensible Daten
veröffentlicht werden sollen.
c) Veröffentlichung verweigern, wenn keine Einwilligung nachgewiesen wird
Ist dies nicht der Fall, darf die Anzeige nicht veröffentlicht werden, es sei denn, der
Einsteller legt eine ausdrückliche Einwilligung oder eine gesetzliche Ausnahme vor.
Diese Vorab-Pflichten bedeuten einen tiefen Eingriff in bisherige Abläufe, in denen
Plattformen typischerweise erst nach Meldung reagiert haben.
Schutz vor unrechtmäßiger Weiterverbreitung
Zusätzlich verlangt der EuGH, dass Plattformbetreiber technische und
organisatorische Schutzmaßnahmen treffen, um zu verhindern, dass Anzeigen mit
sensiblen Daten kopiert und auf anderen Websites unrechtmäßig weiterverbreitet
werden. Welche Maßnahmen konkret erforderlich sind, ist noch offen und wird
erheblich von der Praxis der Datenschutzaufsichtsbehörden geprägt werden.
Spannungsfeld zwischen DSGVO und Digital Services Act
Bemerkenswert ist, dass das EuGH-Urteil datenschutzrechtliche Pflichten über die im
DSA verankerten Haftungsprivilegien stellt. Während der DSA vor allem auf Reaktionen
nach Kenntnis setzt („Notice and Take-Down“), verlangt der EuGH hier eine präventive
Kontrolle. Damit entsteht ein Spannungsverhältnis zwischen zwei
Regulierungsregimen, das Betreiber künftig berücksichtigen müssen.
Erste Reaktionen in der Fachwelt
Die Entscheidung hat europaweit breite Resonanz ausgelöst:
Datenschutzaufsichtsbehörden (u. a. Hamburg und Berlin) sprechen von einer
grundsätzlichen Weichenstellung für Hosting-Anbieter.
Fachmedien weisen auf eine faktische Abkehr von der Plattform-Neutralität hin.
Kritiker bemängeln, dass die neuen Anforderungen erhebliche technische und
organisatorische Herausforderungen mit sich bringen – insbesondere für kleinere
Betreiber.
Die Bewertung schwankt zwischen Stärkung der Betroffenenrechte und Sorge vor
einer Überlastung digitaler Dienste.
Praktische Folgen für Foren- und Plattformbetreiber
a) Aufbau von Mechanismen zur Erkennung sensibler Daten
Etwa KI-basierte Filter, manuelle Review-Prozesse oder Hybridlösungen.
b) Klärung von Identitäts- und Berechtigungsfragen
Zumindest für Inhalte mit sensiblen Daten müssen Plattformbetreiber künftig
Identitäts- oder Berechtigungsnachweise einholen.
c) Dokumentations- und Nachweispflichten
Alle Prüfprozesse müssen nachvollziehbar ausgestaltet und dokumentiert werden.
d) Neue technische Schutzmaßnahmen
z. B. Copy-Paste-Barrieren, Wasserzeichen, Monitoring-Mechanismen oder restriktivere
Zugriffskontrollen.
Welche Maßnahmen konkret angemessen sind, wird erst die Praxis zeigen. Sicher ist,
dass diese Maßnahmen mit Kosten verbunden sein werden.
Fazit
Das EuGH-Urteil vom 2. Dezember 2025 stellt Plattformbetreiber vor neue
Herausforderungen. Es stärkt die Rechte betroffener Personen erheblich und erweitert
zugleich die datenschutzrechtlichen Verantwortlichkeiten von Betreibern digitaler
Dienste. Für Foren, Community-Plattformen, Marktplätze und Hosting-Anbieter
bedeutet dies: Prozesse, Systeme und Schutzmechanismen müssen auf den
Prüfstand.
Während viele Details noch offen sind, ist die Richtung klar:
Die Anforderungen an präventive Kontroll- und Schutzmaßnahmen steigen – und mit
ihnen die Bedeutung eines strukturierten, rechtssicheren Plattformmanagements.
