EuGH verneint Provider-Privileg für Verarbeitung personenbezogener Daten: Online-Markt­plätze sollen Uploads fil­tern

Betreiber sogenannter Hosting-Dienste wie zum Beispiel Online-Marktplätze haften grundsätzlich nicht für nutzergenierte Inhalte (zum Beispiel Kleinanzeigen), sofern sie keine tatsächliche Kenntnis von rechtswidrigen Inhalten haben oder nach Kenntnis zügig tätig werden. So steht es in Art. 6 der Verordnung über einen Binnenmarkt für digitale Dienste (Digital Services Act, DSA) und Art. 14 der E-Commerce-Richtlinie. Bislang war jedoch ungeklärt, ob das sogenannte Provider-Privileg auch die Verarbeitung personenbezogener Daten erfasst. Denn die Datenschutz-Grundverordnung (DSGVO) kennt kein Privileg für Host-Provider. 

Der Gerichtshof der Europäischen Union (EuGH) hat dieses Spannungsverhältnis nun einseitig zugunsten der DSGVO aufgelöst (Urteil vom 2. Dezember – C-492/23 ("Russmedia")). Anlass war folgender Fall: 

Die Unternehmensgruppe Russmedia betrieb eine Kleinanzeigenplattform und ließ sich in den Nutzungsbedingungen umfangreiche Rechte an Inseraten einräumen. Im Jahr 2018 schaltete eine unbekannte Person unter dem Namen der späteren Klägerin eine Anzeige, die sexuelle Dienstleistungen anbot. Russmedia entfernte das rechtswidrige Inserat zwar nach einem Hinweis, doch der Schaden war bereits eingetreten. Die Anzeige wurde mitsamt Foto und Telefonnummer von anderen Internetseiten weiterverbreitet. 

Die Betroffene sah darin eine Verletzung ihrer Rechte und klagte gegen Russmedia. Die Rechtsmittelinstanz in Rumänien setzte das Verfahren aus und legte dem EuGH mehrere Fragen unter anderem zur datenschutzrechtlichen Verantwortlichkeit und zum Verhältnis von Datenschutz und Provider-Privileg vor. 

Betreiber ist für nutzergenerierte Inhalte mitverantwortlich 

Fraglich war daher zunächst, ob neben dem inserierenden Nutzer auch der Betreiber des Online-Marktplatzes für Anzeigen-Inhalte verantwortlich sein kann. Der EuGH überließ die Subsumtion des – sehr abstrakten – Sachverhalts nicht dem rumänischen Gericht, sondern stufte Russmedia gleich selbst als Verantwortlichen ein. 

Ausschlaggebend war zunächst, dass sich Russmedia weitreichende Rechte an den Inseraten vorbehalten hatte. Daraus zog der EuGH aber den Schluss, dass der Plattformbetreiber die Anzeigen (potenziell) auch für eigene Profitinteressen – also nicht nur im Auftrag des Nutzers – verarbeite. Hinzu kam, dass die Plattform anonyme Inserate zugelassen und dadurch den Rechtsverstoß erleichtert hatte. Schließlich habe Russmedia die Verbreitung der Anzeigen organisiert und wesentliche Parameter – die Darstellung der Anzeigen, die Dauer der Veröffentlichung sowie die Struktur der Rubriken – festgelegt. Das genügte dem Luxemburger Gericht. 

Wenig überraschend setzt der EuGH damit seine Linie fort, wonach die datenschutzrechtliche Verantwortlichkeit weit zu verstehen ist und insbesondere nicht voraussetzt, dass eine Stelle gleichberechtigt oder überhaupt Zugang zu personenbezogenen Daten hat. Bereits im Jahr 2018 hatte der Gerichtshof entschieden, dass es maßgeblich auf eine Mitwirkung aus Eigeninteresse ankommt (Urteil vom 10.7.2018 – C 25/17 ("Zeugen Jehovas")); folglich können auch vorgelagerte Beiträge – etwa die Parametrierung der Veröffentlichung – für eine Qualifikation als Verantwortlicher ausreichen. 

Konkrete Pflichten für Plattformbetreiber 

Indes beließ es der EuGH dabei nicht, sondern entwickelte aus einer instruktiven Zusammenschau von Art. 5, 24 bis 26 und 32 DSGVO ein konkretes Pflichtenprogramm für die Betreiber von Online-Marktplätzen, die zugleich Verantwortliche sind: Sie sollen bereits vor einer Veröffentlichung solche Anzeigen identifizieren, die sensible Daten – zum Beispiel Angaben zum Sexualleben – enthalten, und prüfen, ob der Nutzer, der solche Inserate einstellen will, tatsächlich die betroffene Person ist. Wo dies nicht der Fall ist, soll eine Veröffentlichung mangels ausdrücklicher Einwilligung (Art. 9 Abs. 2 Buchst. a DSGVO) unterbleiben. Zudem sollen technische und organisatorische Maßnahmen ergriffen werden, die geeignet sind, das unrechtmäßige Kopieren und Weiterverbreiten sensibler Inhalte zu verhindern oder zumindest wirksam zu begrenzen. Identifikation und Kontrolle sensibler Inhalte also, Verifikation der Nutzer und Schutz vor unrechtmäßiger Verbreitung. 

In der Stoßrichtung ist dies nur konsequent. Nach Art. 5 Abs. 2 DSGVO sind Verantwortliche zur Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müssen ihre Einhaltung nachweisen können. Die Entscheidung füllt die abstrakten Grundsätze der Rechtmäßigkeit, Richtigkeit und Vertraulichkeit mit Leben, verdichtet die verstreute Rechtsprechung des EuGH und führt sie im Hinblick auf konkrete Identifikations- und Kontrollpflichten fort. Von besonderer praktischer Bedeutung ist insbesondere der Hinweis, dass Verantwortliche Maßnahmen gegen die unrechtmäßige Weiterverbreitung treffen müssen – denn das betrifft beispielsweise auch das Web Scraping. 

Kein Provider-Privileg bei personenbezogenen Daten 

In dieser haftungsrelevanten Konstellation versagt der EuGH den Betreibern von Online-Marktplätzen nun die Berufung auf das eingangs erwähnte Provider-Privileg. Das Haftungsprivileg sei auf die Verarbeitung personenbezogener Daten nicht anwendbar, so das Luxemburger Gericht, der Schutz, den das Provider-Privileg gewährleisten soll, dürfe "auf keinen Fall" die Anforderungen, die sich aus der DSGVO ergeben, beeinträchtigen. Damit bleibt es bei der uneingeschränkten Verantwortlichkeit für jede Verarbeitung, die dem Plattformbetreiber zugerechnet wird. Während er auf volksverhetzende Inhalte erst dann reagieren muss (und auch erst dann haftet), wenn ihm die entsprechenden Inhalte gemeldet werden, muss er Datenschutzverstöße proaktiv unterbinden – und bleibt auch dann verantwortlich, wenn sie gleichwohl geschehen. 

Das ist ein bemerkenswertes Ergebnis, dass der EuGH in atemberaubender Geschwindigkeit begründet. In gerade einmal sechs Randnummern (Rn. 129 bis 135) führt er lediglich die wechselseitigen Ausnahmeregelungen von DSGVO und E-Commerce-Richtlinie und die eigene Rechtsprechung ins Feld. Kein Wort zum Lex-Specialis-Grundsatz. Kein Wort zum Lex-Posterior-Grundsatz. Kein Wort zu den Kommunikationsgrundrechten. Im Jahr 2022 konnte der EuGH die Rechtmäßigkeit der vorbeugenden Überwachung zum Schutz geistigen Eigentums nur bejahen, weil er verfahrensrechtliche Garantien einbezogen und die Urheberrechtsrichtlinie grundrechtskonform ausgelegt hatte (Urteil vom 26.4.2022 – C401/19 ("Republik Polen ./. Europäisches Parlament, Rat der Europäischen Union"). In "Russmedia" erwähnt der EuGH möglicherweise entgegenstehende Rechte nicht einmal. 

Ende des freien Internets? 

Rechtsdogmatisch ist die Begründung des EuGH zum Verhältnis von Datenschutz und Provider-Privileg kaum nachvollziehbar. Rechtspolitisch führt sie zu erheblichen Haftungsrisiken für Verantwortliche und Kollateralschäden für die Meinungs- und Informationsfreiheit – und zwar insbesondere dann, wenn die im Urteil angelegten Maßstäbe auf andere Plattformen wie zum Beispiel soziale Netzwerke übertragen werden. Dementsprechend ist die Entscheidung vielfach als "allgemeine Verpflichtung zur Überwachung", "Weg in das 'Cleannet'" oder sogar als "Ende des Internets" verstanden und kritisiert worden. 

Problematisch ist insbesondere die geringe Flexibilität des allumfassenden Datenschutzrechts und seine fehlende Differenzierung nach Art und Größe der Plattformbetreiber. Die DSGVO, die im unionsrechtlichen Gefüge weitgehend unangetastet bleibt, ist nur eingeschränkt geeignet, die komplexen Kollisionslagen zwischen heterogenen Betreibern, Betroffenen und Nicht-Betroffenen sachgerecht aufzulösen – zumal sich die Vorgaben des EuGH zum Datenschutz (!) wohl nur durch den flächendeckenden Einsatz verarbeitungsintensiver Upload-Filter und das massenhafte Speichern personenbezogener Daten zur Identifikation betroffener Personen umsetzen lassen. So wird aus einem "Mehr" an Datenschutz ein "Weniger". Und aus einer technologieneutralen "Grund"-Verordnung ein umfassendes Regelwerk, das die differenzierte Behandlung von Netzintermediären datenschutzrechtlich einzuebnen droht. 

Dr. Maximilian Wagner ist Rechtsanwalt in der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte in Berlin. Er ist spezialisiert auf das Datenschutz- und IT-Recht sowie auf die Rechtsbereiche Digitales Business und Gewerblicher Rechtsschutz.