EuGH: DSGVO geht DSA vor

Kern der Entscheidung

Der Europäische Gerichtshof (EuGH) hatte im Rahmen einer Vorlage aus Rumänien Gelegenheit, sich zu einer Grundsatzfrage zu positionieren: In welchem Verhältnis stehen DSGVO (Datenschutzgrundverordnung) und Digital Services Act (DSA) zueinander? Der Europäische Gerichtshof kommt zu dem Ergebnis, dass die DSGVO gegenüber dem Digital Services Act Vorrang hat und damit bei inhaltlich falschen Beiträgen, die Persönlichkeitsrechte betreffen, kein Provider-Privileg besteht. Das Provider-Privileg führt dazu, dass ein Provider erst auf einen Hinweis hin rechtswidrige Beiträge entfernen muss. Nach Art. 17 Abs. 1 d) DSGVO wären im Rahmen des Rechts auf Löschung eine unrechtmäßige Verarbeitung personenbezogener Daten ohne eine einzelne Meldung bereits rechtswidrige Einträge zu entfernen.

Aus dem Sachverhalt

Die Klägerin fand auf einer Social Media Platform ein Abgeot sexueller Dienstleistungen mit Fotos, welche sie zeigten und machten Unterlassungsansprüche gegen die Platformbetreiberin geltend. Die Anzeige wurde zwar binnen einer Stunde entfernt, aber sie war bereits auf anderen Seiten weiter verbreitet. Sie erreichte wegen dieser Weiterverbreitungen eine Verurteilung zum Schadenersatz. Die Berufungsinstanz hob auf die Berufung der Plattform hin unter Verweis auf das Provider-Privileg die Entscheidung auf. Auf ein Rechtsmittel der Klägerin hin rief das Gericht den EuGH an.

Die entscheidende Erkenntnis

„Das Unionsrecht verpflichtet den Betreiber einer Online-Marktplatz-Website, im Einklang mit der DSGVO die Verantwortung für die personenbezogenen Daten zu übernehmen, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind. Er muss insbesondere geeignete technische und organisatorische Maßnahmen treffen, um vor der Veröffentlichung diejenigen Anzeigen zu identifizieren, die sensible Daten enthalten, und überprüfen, ob der Inserent tatsächlich die Person ist, deren Daten in einer solchen Anzeige enthalten sind. Ist dies nicht der Fall, hat der Betreiber die Veröffentlichung der Anzeige zu verweigern, es sei denn, der Inserent kann nachweisen, dass die betroffene Person ausdrücklich in diese Veröffentlichung eingewilligt hat oder dass die Veröffentlichung
unter eine der anderen nach der DSGVO vorgesehenen Ausnahmen fällt. Außerdem muss der Betreiber Maßnahmen durchführen, um zu verhindern, dass solche Anzeigen, wenn sie auf seiner Plattform veröffentlicht werden, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden. Im Übrigen kann er sich diesen Verpflichtungen auch nicht unter Berufung auf die Richtlinie 2000/31/EG entziehen, die u. a. Artikel enthält, die sich auf Sachlagen beziehen, in denen Anbieter von Diensten der Informationsgesellschaft nicht verantwortlich gemacht werden können.“

Leitsätze

Der EuGH stellt fest:

1.      Art. 5 Abs. 2 und die Art. 24 bis 26 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 dieser Verordnung für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden, vor der Veröffentlichung der Anzeigen und mittels geeigneter technischer und organisatorischer Maßnahmen verpflichtet ist,

–        Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 dieser Verordnung enthalten, zu identifizieren,

–        zu prüfen, ob es sich bei dem inserierenden Nutzer, der im Begriff ist, eine solche Anzeige zu platzieren, um diejenige Person handelt, deren sensible Daten in dieser Anzeige enthalten sind, und, wenn dies nicht der Fall ist,

–        deren Veröffentlichung zu verweigern, es sei denn, der inserierende Nutzer kann nachweisen, dass die betroffene Person im Sinne von Art. 9 Abs. 2 Buchst. a der Richtlinie ausdrücklich in die Veröffentlichung der fraglichen Daten auf diesem Online-Marktplatz eingewilligt hat oder dass eine der anderen in Art. 9 Abs. 2 Buchst. b bis j vorgesehenen Ausnahmen erfüllt ist.

2.      Art. 32 der Verordnung 2016/679

ist dahin auszulegen, dass

der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden, verpflichtet ist, geeignete technische und organisatorische Schutzmaßnahmen zu treffen, um zu verhindern, dass dort veröffentlichte Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden.

3.      Art. 1 Abs. 5 Buchst. b der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) und Art. 2 Abs. 4 der Verordnung 2016/679

sind dahin auszulegen, dass

sich der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 der Verordnung 2016/679 für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht wurden, in Bezug auf einen Verstoß gegen die Verpflichtungen aus Art. 5 Abs. 2 sowie den Art. 24 bis 26 und 32 dieser Verordnung, nicht auf die Art. 12 bis 15 der Richtlinie 2000/31 über die Verantwortlichkeit der Vermittler berufen kann.

Entscheidung im Volltext / Besprechung

Die Entscheidung im Volltext finden Sie hier:

EuGH C-492/23 vom 02.12.2025

Gut besprochen wird sie beim Beck-Verlag durch Prof. Niko Härting vor dem Hintergrund eines ähnlichen Verfahrens:

https://rsw.beck.de/aktuell/daily/meldung/detail/eugh-c492-23-haftung-host-providern-facebook-renate-kuenast