Der Gerichtshof der Europäischen Union (EuGH) hat mit Urteil vom 2. Dezember 2025 in der Rechtssache C-492/23 (Große Kammer) wesentliche Leitlinien zur datenschutzrechtlichen Verantwortlichkeit von Online-Marktplätzen festgelegt. Die Entscheidung betrifft Plattformen, auf denen Nutzerinnen Anzeigen einstellen können – etwa Kleinanzeigenportale, Immobilienplattformen oder Jobbörsen – und stellt klar: Betreiber solcher Dienste sind Verantwortliche im Sinne der DSGVO, selbst wenn die Inhalte von den Nutzerinnen stammen. Für Plattformbetreiber, digitale Start-ups sowie Betreiber von Online-Marktplätzen ist das Urteil ein Weckruf. Der EuGH verlangt umfangreiche organisatorische, technische und rechtliche Maßnahmen, insbesondere wenn Anzeigen sensible Daten (Art 9 DSGVO) enthalten.
Die Klägerin („X“) fand auf einem rumänischen Online-Marktplatz mehrere Anzeigen, in denen ihr Name und ihr Foto ohne Zustimmung verwendet wurden – und zwar in Verbindung mit Escort-Dienstleistungen und Hinweisen auf sexuelle Präferenzen. Die Anzeigen wurden durch private Nutzer*innen erstellt, der Plattformbetreiber „Russmedia Digital“ stellte lediglich die technische Infrastruktur zur Verfügung und monetarisierte die Inhalte über Werbung. Der Meldung entsprach die Plattform im Übrigen umgehend, und veranlasste die Löschung der Beiträge.
Während das Erstgericht Russmedia zu Schadenersatz verurteilte, ging die Berufungsinstanz davon aus, dass das Portal nur ein „Hosting-Provider“ sei und sich daher auf das Haftungsprivileg der E-Commerce-Richtlinie (Art 14 RL 2000/31/EG) berufen könne. Das rumänische Gericht legte daraufhin mehrere Fragen zur Auslegung der DSGVO und zum Verhältnis zur E-Commerce-Richtlinie dem EuGH vor.
Der EuGH trifft in C-492/23 mehrere grundlegende Aussagen, die künftig für alle Online-Marktplätze maßgeblich sind:
- Plattformbetreiber sind Verantwortliche („Controller“) nach Art 4 Z 7 DSGVO: Der Betreiber entscheidet über Zwecke und Mittel der Verarbeitung (Strukturierung, Veröffentlichung, Darstellung, Suche, Sortierung). Ohne diese Entscheidungen käme es zur konkreten Datenverarbeitung nicht. Der Betreiber trägt daher volle datenschutzrechtliche Verantwortung.
- Gemeinsame Verantwortlichkeit mit den Nutzer (Art 26 DSGVO): Soweit Nutzer Anzeigen erstellen und der Betreiber den Rahmen zur Veröffentlichung vorgibt, besteht regelmäßig eine sogenannte „gemeinsame Verantwortlichkeit“.
- Verarbeitung sensibler Daten erfordert besondere Schutzmaßnahmen: Enthält eine Anzeige z. B. Daten über Gesundheit, Sexualleben, politische Meinung oder religiöse Überzeugung, muss der Betreiber vor (!) Veröffentlichung prüfen, ob eine gültige Rechtsgrundlage – meist eine explizite Einwilligung – vorliegt. Liegt diese nicht vor, darf die Anzeige nicht veröffentlicht werden.
- Pflicht zu „Privacy by Design“ und „Accountability“ (Art 5 Abs 2, Art 24, 25, 32 DSGVO): Der EuGH verlangt, dass Plattformen über wirksame technische und organisatorische Maßnahmen verfügen, um unzulässige Anzeigen zu verhindern. Dazu gehören automatisierte Filter oder KI-gestützte Erkennung sensibler Inhalte, manuelle Prüfprozesse, klare Upload-Regeln, technische Restriktionen, Kategorienbegrenzungen, Maßnahmen zur Verhinderung der Weiterverbreitung (z. B. Wasserzeichen, Scraping-Schutz).
- Keine Berufung auf das Host-Provider-Privileg: Das Haftungsprivileg der E-Commerce-Richtlinie schützt nach Meinung des EuGH nur vor zivilrechtlicher Haftung, nicht aber vor öffentlich-rechtlichen Pflichten der DSGVO.
Das Urteil setzt die Linie der jüngeren EuGH-Judikatur zu Plattformverantwortung konsequent fort. Es ist ein Meilenstein für die datenschutzrechtliche Verantwortlichkeit von Online-Marktplätzen. Der EuGH stellt klar: Betreiber können sich nicht hinter Nutzerinhalten verstecken. Sie müssen aktive, wirksame und überprüfbare Maßnahmen setzen, um unzulässige Anzeigen zu verhindern – insbesondere, wenn sensible Daten betroffen sind.
EuGH 02.12.2025, Rechtssache C-492/23
04.12.2025