Neue Haftungsmaßstäbe für Plattformbetreiber - EuGH-Entscheidung „Russmedia“ (C-492/23)

Mit Urteil vom 2. Dezember 2025 in der Rechtssache C-492/23 („Russmedia“) hat der Europäische Gerichtshof eine wegweisende Entscheidung zur datenschutzrechtlichen Verantwortlichkeit von Plattformbetreibern getroffen. Die Entscheidung markiert einen deutlichen Paradigmenwechsel: Weg von der bislang dominierenden Logik eines rein reaktiven Notice-and-Takedown-Systems, hin zu präventiven Prüf- und Schutzpflichten, jedenfalls dann, wenn besonders schutzwürdige personenbezogene Daten betroffen sind.

Der EuGH verschiebt damit die haftungsrechtlichen Linien spürbar zugunsten des Datenschutzes – und zulasten der bislang weit verstandenen Haftungsprivilegien für Hosting-Provider nach der E-Commerce-Richtlinie und dem Digital Services Act (DSA).

Für Betreiber von Online-Plattformen, Marktplätzen, sozialen Netzwerken und sonstigen User-Generated-Content-Diensten ergeben sich erhebliche Compliance-Auswirkungen. Besonders betroffen sind Geschäftsmodelle, die Inhalte strukturell vorverarbeiten, kategorisieren, monetarisieren oder algorithmisch verbreiten.

Der folgende Beitrag ordnet die Entscheidung ein, stellt die zentralen Aussagen des EuGH dar und zeigt auf, welche praktischen Konsequenzen sich daraus für Plattformbetreiber aus Sicht des IT-Rechts ergeben.

Sachverhalt und Kern der EuGH-Entscheidung

  • Ausgangspunkt war eine fingierte Sex-Anzeige auf einer von Russmedia betriebenen Kleinanzeigenplattform, in der reale Fotos, Name und Telefonnummer einer Frau ohne Einwilligung verwendet wurden.
  • Russmedia entfernte die Anzeige nach Hinweis, die Betroffene verlangte aber immateriellen Schadensersatz wegen Datenschutzverstößen, woraufhin das rumänische Berufungsgericht den EuGH anrief.
  • Der EuGH qualifiziert Russmedia nicht lediglich als neutralen Hosting-Provider, sondern als (Mit-)Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO für die streitgegenständliche Datenverarbeitung.

Entscheidend ist dabei die Feststellung des Gerichts, dass sich die datenschutzrechtliche Verantwortlichkeit nicht auf den jeweiligen Uploader beschränkt, sondern auch den Plattformbetreiber erfassen kann, wenn dieser die Datenverarbeitung strukturell mitgestaltet.

Damit entzieht der EuGH dem Unternehmen insoweit das Haftungsprivileg als bloßer Hosting-Provider.

Zentrale Rechtsaussagen des EuGH

  • Plattformbetreiber können gleichzeitig datenschutzrechtlich Verantwortliche sein und damit den Haftungsprivilegien der E-Commerce-Richtlinie bzw. des DSA nur eingeschränkt zugutekommen.
  • Maßgeblich für die Verantwortlichkeit ist die aktive Mitgestaltung von „Wie“ und „Warum“ der Datenverarbeitung (Funktionalität, Parametrisierung, AGB, kommerzielle Nutzung), nicht nur die bloße Speicherung fremder Inhalte.
  • Für Inhalte mit besonderen Kategorien personenbezogener Daten (Sexualleben, Gesundheit, politische Meinung etc.) verlangt der EuGH präventive Prüfpflichten vor Veröffentlichung. 

Neue Pflichten für Plattformbetreiber

  • Vorabprüfung: Diensteanbieter müssen Inhalte auf sensible Daten i.S.d. Art. 9 DSGVO prüfen und sicherstellen, dass diese nur durch die betroffene Person selbst oder mit deren wirksamer Einwilligung veröffentlicht werden.
  • Proaktive Schutzmaßnahmen: Betreiber haben angemessene technische und organisatorische Maßnahmen zu implementieren, um das Kopieren und Weiterverbreiten besonders schutzbedürftiger Inhalte zu erschweren.
  • Abkehr vom reinen Notice-and-Takedown: Die Haftung setzt nicht mehr zwingend erst mit Kenntnis ein; Prüf- und Kontrollpflichten können bereits vor Veröffentlichung bestehen, wenn die Plattform die Datenverarbeitung maßgeblich steuert. 

Einordnung aus rechtlicher Sicht 

  • Das Urteil verschiebt den Schwerpunkt von haftungsrechtlichen Privilegien hin zu einer datenschutzrechtlich begründeten Verantwortlichkeit mit präventiven Pflichten – teilweise mit dem Risiko einer faktischen allgemeinen Überwachungspflicht.
  • Für die Praxis im IT-Recht bedeutet dies: Klassische Haftungsarchitekturen (Host-Provider-Privileg, DSA-Safe-Harbour) müssen im Lichte der DSGVO neu kalibriert werden; der „passive Vermittler“ wird schnell zum aktiven Verantwortlichen.
  • Besonders kritisch sind Plattformmodelle, die sich weitgehende Nutzungsrechte an User-Content vorbehalten oder Inhalte algorithmisch kuratieren und monetarisieren, weil dies ein starkes Indiz für gemeinsame Verantwortlichkeit liefert. 

Praktische Handlungsempfehlungen für Anbieter

  • Plattformen sollten ihre AGB, Content-Workflows und technischen Prüfprozesse anpassen und eine risikobasierte Vorabkontrolle für Kategorien mit Art‑9‑Bezug (z.B. Erotik, Dating, Gesundheit, Politik) implementieren.
  • Erforderlich sind dokumentierte Verfahren zur Einholung und Verifizierung von Einwilligungen, klare Rollenverteilungen (Art. 26 DSGVO, Joint-Control-Vereinbarungen) sowie Logging- und Audit-Konzepte für Veröffentlichungsentscheidungen.
  • Für Social-Media‑ und Plattformkommunikation sollte ein transparenter Hinweis auf diese Schutzmechanismen erfolgen; dies reduziert Reputationsrisiken und kann im Streitfall zeigen, dass der Betreiber seinen gesteigerten Prüfpflichten nachgekommen ist. 

Fazit

Die EuGH-Entscheidung „Russmedia“ stellt einen Wendepunkt im europäischen Plattformrecht dar. Wer digitale Infrastrukturen zur Veröffentlichung personenbezogener Daten bereitstellt und diese aktiv strukturiert, kann sich nicht dauerhaft hinter dem Hosting-Provider-Privileg verstecken.

 

Insbesondere bei sensiblen personenbezogenen Daten verlangt das Datenschutzrecht künftig präventive Verantwortung statt bloßer Reaktion.

Für Plattformbetreiber bedeutet dies einen erheblichen Anpassungsbedarf in Technik, Organisation und Vertragsgestaltung. Für das IT-Recht insgesamt markiert die Entscheidung eine weitere Annäherung von Plattformregulierung und Datenschutz – mit spürbaren Auswirkungen auf nahezu alle datengetriebenen Geschäftsmodelle.

Bei Fragen rund um das Thema IT-Recht können Sie sich jederzeit gerne an uns wenden. 

+49 641 98 44 57-0
info@westpruefung.de