Sie befinden sich hier:

Der Betreiber einer Online-Marktplatz-Webseite ist für die Verarbeitung der personenbezogenen Daten verantwortlich

Das BAG entscheidet: Trotz Betriebsvereinbarung haftet der Arbeitgeber wegen unzulässiger Datenübermittlung. DSGVO-Verstoß führt zu Schadenersatz für den Arbeitnehmer.

Das Unionsrecht verpflichtet den Betreiber einer Online-Marktplatz-Webseite, im Einklang mit der DSGVO die Verantwortung für die personenbezogenen Daten zu übernehmen, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind. Er muss insbesondere geeignete technische und organisatorische Maßnahmen treffen, um vor der Veröffentlichung diejenigen Anzeigen zu identifizieren, die sensible Daten enthalten, und überprüfen, ob der Inserent tatsächlich die Person ist, deren Daten in einer solchen Anzeige enthalten sind. Ist dies nicht der Fall, hat der Betreiber die Veröffentlichung der Anzeige zu verweigern, es sei denn, der Inserent kann nachweisen, dass die betroffene Person ausdrücklich in diese Veröffentlichung eingewilligt hat oder dass die Veröffentlichung unter eine der anderen nach der DSGVO vorgesehenen Ausnahmen fällt. Außerdem muss der Betreiber Maßnahmen durchführen, um zu verhindern, dass solche Anzeigen, wenn sie auf seiner Plattform veröffentlicht werden, kopiert und auf anderen Webseiten unrechtmäßig veröffentlicht werden. Im Übrigen kann er sich diesen Verpflichtungen auch nicht unter Berufung auf die Richtlinie 2000/31/EG (Richtlinie über den elektronischen Geschäftsverkehr) entziehen, die u. a. Artikel enthält, die sich auf Sachlagen beziehen, in denen Anbieter von Diensten der Informationsgesellschaft nicht verantwortlich gemacht werden können.

Eine Gesellschaft rumänischen Rechts betreibt eine Webseite als einen Online-Marktplatz, auf dem Anzeigen kostenlos oder kostenpflichtig veröffentlicht werden können. Diese Anzeigen betreffen u. a. den Verkauf von Waren oder die Erbringung von Dienstleistungen in Rumänien. Am 1. August 2018 veröffentlichte eine nicht identifizierte Person auf dieser Webseite eine Nachricht, in der behauptet wurde, dass eine Frau sexuelle Dienstleistungen anbiete. Die Anzeige enthielt Fotos von ihr, die ohne ihre Einwilligung verwendet wurden, sowie ihre Telefonnummer. Die Frau hielt die Anzeige für irreführend und schadensstiftend; sie forderte daher den Eigentümer der Webseite auf, sie zu entfernen. Innerhalb einer Stunde nach dieser Aufforderung entfernte der Verantwortliche die Veröffentlichung. Die betreffende Anzeige war jedoch bereits auf anderen Webseiten verbreitet worden, auf denen sie verfügbar blieb.

Unter diesen Umständen ging die Frau, die der Ansicht war, dass die Anzeige ihre Rechte am eigenen Bild, auf Schutz der Ehre, des guten Rufs und des Privatlebens verletze sowie gegen die Vorschriften über die Verarbeitung personenbezogener Daten verstoße, in Rumänien vor Gericht. Das Gericht erster gab ihr Recht und verurteilte den Webseitenbetreiber zur Zahlung von 7 000 Euro als immateriellem Schadensersatz. In der Berufungsinstanz sprach das Fachgericht das Unternehmen jedoch von seiner Verantwortlichkeit frei und stufte es als einen bloßen Hosting-Anbieter ein, der nicht für den von seinen Nutzern veröffentlichten Inhalt verantwortlich sei.

Das Opfer legte daraufhin ein Rechtsmittel beim Berufungsgericht ein. Dieses Gericht beschloss, den Gerichtshof anzurufen, um Klarheit über die Auslegung des Unionsrechts zu erhalten, insbesondere zu den Verpflichtungen, die einem Betreiber eines Online-Marktplatzes nach der DSGVO obliegen, sowie zu der Frage, ob dieser sich aufgrund der in der Richtlinie 2000/31 vorgesehenen Haftungsbefreiung für Anbieter von Diensten der Informationsgesellschaft diesen Verpflichtungen entziehen kann.

In seinem Urteil vom 2. Dezember 2ß25 entschied der Europäische Gerichtshof (EuGH), dass der Betreiber eines Online-Marktplatzes im Sinne der DSGVO für die Verarbeitung der personenbezogenen Daten verantwortlich ist, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden. Denn auch wenn die Anzeige von einem Nutzer platziert wird, wird sie nur dank dem Online-Marktplatz im Internet veröffentlicht und den Internetnutzern somit zugänglich gemacht.

Daher muss der Betreiber eines Online-Marktplatzes vor der Veröffentlichung dieser Anzeigen durch geeignete technische und organisatorische Maßnahmen diejenigen Anzeigen identifizieren, die sensible Daten enthalten, wie jene, um die es sich in der vorliegenden Rechtssache handelt, und überprüfen, ob der Nutzer, der im Begriff ist, eine solche Anzeige zu platzieren, die Person ist, deren sensible Daten darin enthalten sind.

Ist dies nicht der Fall, muss er überprüfen, ob die Person, deren Daten veröffentlicht werden, in die Veröffentlichung ausdrücklich eingewilligt hat. Ohne diese Einwilligung hat der Betreiber eines Online-Marktplatzes die Veröffentlichung der fraglichen Anzeige zu verweigern, es sei denn, diese fällt unter eine der anderen nach derDSGVO vorgesehenen Ausnahmen. Außerdem muss sich der Betreiber eines Online-Marktplatzes bemühen zu verhindern, dass Anzeigen mit sensiblen Daten, die auf seiner Webseite veröffentlicht werden, kopiert und auf anderen Webseiten unrechtmäßig veröffentlicht werden. Zu diesem Zweck muss er geeignete technische und organisatorische Schutzmaßnahmen treffen.

Schließlich stellt der Gerichtshof klar, dass sich der Betreiber eines Online-Marktplatzes nicht unter Berufung auf die in der Richtlinie 2000/31 vorgesehene Haftungsbefreiung diesen Verpflichtungen, die ihm gemäß der DSGVO obliegen, entziehen kann.

Fazit: Das Urteil des EuGH stellt klar, dass Hosting-Anbieter für rechtswidrige, von Nutzenden eingestellte Inhalte datenschutzrechtlich mitverantwortlich sein können.

Fundstelle: Pressemitteilung Nr. 150/25 des EuGH in der Rechtssache C-492/23 vom 2. Dezember 2025 – abrufbar im Internet unter https://curia.europa.eu/jcms/jcms/p1_5263346/de/

nach oben