Bisher galt bezüglich der Bereitstellung von Inhalten im Internet eine Unterscheidung zwischen Host- und Content-Providern. Hosting-Anbieter, die zunächst nur die technische Plattform zur Veröffentlichung von Content bereitstellen, konnten grundsätzlich nicht für nutzergenierte Inhalte haftbar gemacht werden, sofern sie keine tatsächliche Kenntnis von rechtswidrigen Inhalten haben oder nach Kenntnis zügig tätig werden. So steht es im Digital Services Act (Art. 6) und in der E-Commerce-Richtlinie (Art. 14). Bislang war jedoch ungeklärt, ob das sogenannte Provider-Privileg auch die Verarbeitung personenbezogener Daten erfasst, da die DSGVO wiederum kein Privileg für Host-Provider kennt.
Am 2. Dezember 2025 hat der Europäische Gerichtshof (EuGH) daher ein Grundsatzurteil über die datenschutzrechtliche Verantwortung von Betreibern von Online-Marktplätzen gefällt: Diese sind demnach hinsichtlich der Verarbeitung personenbezogener Daten, die in den Anzeigen auf dem Online-Marktplatz enthalten sind, als (Mit-)Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO anzusehen. Daraus hat der EuGH zahlreiche Pflichten für die Betreiber abgeleitet.
Der Reihe nach: Es ging konkret um einen Fall aus Rumänien, wo im Jahr 2018 eine unbekannte Person unter dem Namen der Klägerin sexuelle Dienstleistungen auf einem Online-Marktplatz angeboten und u.a. auch ihre Telefonnummer angegeben hatte. Nach einem Hinweis entfernte die Plattform das Inserat zwar nach etwa einer Stunde. Doch der Schaden war bereits eingetreten: Die Anzeige wurde mitsamt Foto und Telefonnummer von anderen Internetseiten weiterverbreitet – die rumänische Plattform hatte sich dafür in den AGB weitreichende Rechte an den Inseraten vorbehalten, nämlich die veröffentlichten Inhalte zu verwenden, zu verbreiten, zu übertragen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit ohne Angabe „triftiger Gründe“ zu löschen. Daraus schlussfolgerte der EuGH, dass die Anzeigen nicht nur im Auftrag des Nutzers verarbeitet werden, sondern der Plattformbetreiber mit den Anzeigen (potenziell) auch Profit macht. Schließlich organisiert er auch die Verbreitung der Anzeigen und legt wesentliche Parameter wie die Darstellung der Anzeigen, die Dauer der Veröffentlichung sowie die Struktur der Rubriken fest.
Da in der Anzeige sexuelle Dienstleistungen angeboten worden, erachtete der EuGH auch Art. 9 Abs. 1 DSGVO für einschlägig, die speziellen Schutzregelungen für besondere Datenkategorien etwa zum Sexualleben und zur sexuellen Orientierung. Schließlich befanden die Richter, dass Art. 5 Abs. 2 und Art. 24-26 der DSGVO so auszulegen sind, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten verantwortlich ist, welche in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden. Er ist verpflichtet, Anzeigen durch geeignete technische und organisatorische Maßnahmen vor deren Veröffentlichung daraufhin zu prüfen, ob diese sensiblen Daten im Sinne von Artikel 9 enthalten.
Es geht noch weiter: Die Plattform soll feststellen, ob der Inserent, der im Begriff ist, eine solche Anzeige hochzuladen, auch derjenige ist, dessen sensible Daten in dieser Anzeige enthalten sind. Ist dies nicht der Fall, soll die Plattform die Anzeige nicht veröffentlichen – außer der Inserent kann nachweisen, dass die betroffene Person im Sinne von Art. 9 Abs. 2 Buchst. a DSGVO ausdrücklich in die Veröffentlichung der fraglichen Daten auf diesem Online-Marktplatz eingewilligt hat oder dass eine der anderen Ausnahmen nach Art. 9 Abs. 2 erfüllt ist. Damit ist klargestellt, dass die Verantwortung nicht erst mit der Meldung eines Verstoßes beginnt, sondern bereits vor der Veröffentlichung von Informationen, die Nutzende bereitstellen.
Außerdem müssen Plattformen technische und organisatorische Schutzmaßnahmen treffen, um zu verhindern, dass dort veröffentlichte Anzeigen, die sensible Daten enthalten, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden. In dieser haftungsrelevanten Konstellation verneint der EuGH den Betreibern von Online-Marktplätzen nun das Provider-Privileg, denn dieses dürfe keinesfalls die Anforderungen beeinträchtigen, die sich aus der DSGVO ergeben, so der EuGH.
So gilt der DSA zeitgleich neben der DSGVO: Wenn betroffenen Personen auffällt, dass ihre personenbezogenen Daten unrechtmäßig veröffentlicht wurden, hat der Plattformbetreiber, sobald er auf einen rechtswidrigen Inhalt hingewiesen worden ist, unverzüglich zu handeln. Hier sieht das im Digital Services Act (DSA) (Art. 16) verankerte Melde- und Abhilfeverfahren ein wirksames Notice-and-Takedown-Verfahren bei Datenschutzverstößen vor. Betroffene können sich daher weiterhin an Hosting-Anbieter wenden, um die Löschung ihrer unrechtmäßig verarbeiteten Daten zu verlangen. Erfolgt dies nicht zeitnah, können die Datenschutzbehörden eine Löschung anordnen. DSGVO und DSA bilden insofern ein gemeinsames Schutznetz für die Rechte aller EU-Bürger.
Das Urteil liefert zwar größere Rechtssicherheit für alle Beteiligten und geht greifbar auf den Grundsatz datenschutzfreundlicher Voreinstellungen („privacy by design“), ein. Andererseits sieht es aber auf den ersten Blick so aus, als wenn sich die Vorgaben des EuGH nur durch den großspurigen Einsatz verarbeitungsintensiver Upload-Filter und das massenhafte Speichern personenbezogener Daten zur Identifikation betroffener Personen umsetzen lassen – und das, um eigentlich mehr Datenschutz zu gewährleisten.