Verantwortung von Online-Marktplatzbetreibern bei personenbezogenen Daten
Der Europäische Gerichtshof hat mit seiner Entscheidung vom 2. Dezember 2025 (C-492/23) die Pflichten von Betreibern von Online-Marktplätzen im Umgang mit personenbezogenen Daten deutlich präzisiert. Betreiber solcher Plattformen gelten nach der Datenschutz-Grundverordnung als verantwortliche Stellen, sobald sie personenbezogene Daten verarbeiten, die in den auf ihrer Plattform veröffentlichten Anzeigen enthalten sind. Der Begriff der Verarbeitung umfasst nach Artikel 4 Nummer 2 der Datenschutz-Grundverordnung alle Vorgänge im Zusammenhang mit personenbezogenen Daten, vom Erheben bis zur Löschung. Damit liegt die zentrale Verantwortung beim Plattformbetreiber – auch dann, wenn die Eingabe der Daten durch Nutzer erfolgt.
Besonders gravierend sind die Pflichten, wenn es sich um sogenannte sensible oder besondere Kategorien personenbezogener Daten handelt, die nach Artikel 9 der Datenschutz-Grundverordnung einen erhöhten Schutz genießen. Dazu zählen unter anderem Angaben zur sexuellen Orientierung, religiösen Überzeugung oder zur Gesundheit einer Person. In der Praxis bedeutet dies, dass ein Betreiber von Onlineplattformen technische und organisatorische Maßnahmen treffen muss, die es ermöglichen, Anzeigen mit sensiblen Daten zu erkennen und deren Veröffentlichung zu prüfen.
Prüfpflichten vor der Veröffentlichung von Anzeigen
Der Gerichtshof stellte klar, dass der Plattformbetreiber bereits im Vorfeld der Veröffentlichung verpflichtet ist, zu kontrollieren, ob eine Anzeige datenschutzrechtlich problematische Informationen enthält. Enthält eine Anzeige personenbezogene oder sensible Daten, muss festgestellt werden, ob der Inserent entweder die betroffene Person selbst ist oder über eine ausdrückliche Einwilligung dieser Person verfügt. Eine Einwilligung im Sinne der Datenschutz-Grundverordnung ist nur dann wirksam, wenn sie freiwillig, spezifisch, informiert und unmissverständlich erfolgt. Kann der Betreiber diese Voraussetzungen nicht feststellen, darf die Anzeige nicht veröffentlicht werden.
In der betrieblichen Praxis stellt dies insbesondere Onlinehändler, Maklerportale oder Dienstleistungsplattformen vor neue Herausforderungen. Neben der Bereitstellung eines technischen Filtersystems müssen interne Kontrollprozesse etabliert werden, um Verdachtsfälle zu überprüfen. Hierbei kann der Einsatz moderner Tools zur Texterkennung und semantischen Analyse helfen, Anzeigeninhalte automatisiert auf potenziell sensible Daten zu durchsuchen. Wichtig ist jedoch, dass stets ein menschlicher Kontrollschritt vorgesehen bleibt, da eine rein maschinelle Entscheidung nicht allen Anforderungen des Datenschutzrechts gerecht werden kann.
Abgrenzung zu Haftungsprivilegien und Folgen bei Pflichtverstößen
Interessant an der Entscheidung ist, dass sich Anbieter von Online-Diensten nicht auf die in der Richtlinie über den elektronischen Geschäftsverkehr verankerten Haftungsprivilegien berufen können, wenn es um Datenschutzpflichten geht. Diese Privilegien sehen eigentlich vor, dass ein Hostprovider für fremde Inhalte erst haftet, sobald er positive Kenntnis von einer Rechtsverletzung hat. Der Gerichtshof betont nun, dass eine solche Entlastung im Rahmen des Datenschutzrechts nicht gilt. Die Verantwortung entsteht unabhängig davon, ob der Betreiber von einem Missbrauch erfährt oder nicht, allein schon durch die Ermöglichung der Veröffentlichung personenbezogener Daten auf seiner Plattform.
Für kleine und mittlere Unternehmen, die digitale Marktplätze oder Anzeigenseiten betreiben, ergibt sich daraus eine deutliche Verschärfung des Haftungsrisikos. Datenschutzverstöße können nach Artikel 83 der Datenschutz-Grundverordnung zu empfindlichen Geldbußen führen, die sich je nach Art und Schwere des Verstoßes auf bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes belaufen können. Neben Sanktionen drohen zudem Reputationsschäden und zivilrechtliche Schadensersatzforderungen. Ein strukturiertes Datenschutzmanagement ist daher kein theoretisches Thema, sondern unmittelbar betriebswirtschaftlich relevant.
Praktische Empfehlungen für Unternehmen und Fazit
Unternehmen, die Online-Marktplätze oder Anzeigenportale betreiben, sollten die datenschutzrechtlichen Anforderungen aktiv und präventiv in ihre Geschäftsprozesse integrieren. Dazu gehört die regelmäßige Überprüfung von Datenschutzkonzepten, die Anpassung von Nutzungsbedingungen sowie die Schulung von Mitarbeitenden im Umgang mit sensiblen Daten. Ebenso sollte dokumentiert werden, welche technischen und organisatorischen Maßnahmen implementiert wurden, um die automatische oder manuelle Prüfung von Anzeigen vor deren Veröffentlichung sicherzustellen. Eine klare Schnittstelle zwischen dem rechtlichen und technischen Datenschutzmanagement ist dabei entscheidend, insbesondere bei kleineren Unternehmen, die oft nicht über eine eigene Datenschutzabteilung verfügen.
Die Entscheidung des Europäischen Gerichtshofs zeigt, dass digitale Geschäftsmodelle zunehmend einer strengen datenschutzrechtlichen Verantwortung unterliegen. Der Gesetzgeber und die Rechtsprechung verfolgen den Ansatz, Transparenz und Vertrauensschutz im digitalen Raum zu stärken. Für Betreiber von Onlineplattformen aller Größenordnungen bedeutet dies, Datenschutz nicht nur als gesetzliche Verpflichtung, sondern als Qualitätsmerkmal der eigenen Plattformstrategie zu verstehen. Gerade kleine und mittelständische Unternehmen sollten die Gelegenheit nutzen, ihre Prozesse zu analysieren und zu digitalisieren, um Compliance-Anforderungen effizienter zu erfüllen. Unsere Kanzlei unterstützt Unternehmen verschiedener Branchen bei der rechtssicheren Umsetzung dieser Anforderungen. Wir sind spezialisiert auf die Prozessoptimierung in der Buchhaltung und auf digitale Lösungen im Mittelstand, die nachhaltige Effizienzgewinne und deutliche Kostenersparnisse ermöglichen.
Gerichtsentscheidung lesen
