DSGVO-Haftung von Betreibern von Online-Marktplätzen
Generalanwalt Maciej Szpunar hat sich in einer Stellungnahme vom 06.02.2025 mit der DSGVO-Haftung von Betreibern von Online-Marktplätzen für die Verarbeitung personenbezogener Daten auseinandergesetzt. Hierin befasst er sich auch mit der Abgrenzung von der E-Commerce-Richtlinie. Konkret geht es um die Frage, unter welchen Bedingungen ein Marktplatzbetreiber für die von Dritten veröffentlichten Inhalte haftet. Das zugrunde liegende Verfahren betrifft die rumänische Plattform Publi24.ro, auf der eine ohne Einwilligung veröffentlichte Anzeige zu erheblichen Datenschutzverletzungen führte.
Veröffentlichung auf Publi24.ro
Bei Publi24.ro handelt es sich um eine Plattform, die zu der Gesellschaft Russmedia gehört. 2018 wurde hier eine Anzeige publiziert, laut der eine Person (X) sexuelle Dienstleistungen anbot. Beigefügt waren Fotos sowie eine Telefonnummer, die aus sozialen Netzwerken der Person X ohne Einwilligung verwendet wurden. Obwohl Russmedia den Eintrag umgehend löschte, wurde sie auf anderen Websites weiterverbreitet. X leitete daraufhin ein Gerichtsverfahren gegen Russmedia wegen Datenschutzverstößen ein. Das Berufungsgericht Cluj (Rumänien) legte den Fall dem EuGH vor, um die Verantwortlichkeit des Plattformbetreibers nach der Richtlinie über den elektronischen Geschäftsverkehr (E-Commerce-Richtlinie, 2000/31/EG) und der Datenschutzgrundverordnung (DSGVO) zu klären.
Abgrenzung zwischen E-Commerce-Richtlinie und DSGVO
Generalanwalt Szpunar hat nun seine Schlussanträgen zur Rechtssache C-492/23 veröffentlicht. Darin unterscheidet er hinsichtlich der Rolle eines Marktplatzbetreibers klar zwischen der E-Commerce-Richtlinie und der DSGVO:
Haftungsprivilegien nach der E-Commerce-Richtlinie
Die E-Commerce-Richtlinie sieht vor, dass Diensteanbieter, die lediglich als Vermittler agieren, unter bestimmten Bedingungen von der Haftung für nutzergenerierte Inhalte befreit sind. Laut der Pressemitteilung (abrufbar hier) des Europäischen Gerichtshofs (EuGH) argumentiert Szpunar, dass ein Online-Marktplatz von dieser Haftungsprivilegierung profitieren kann, „sofern seine Rolle neutral und rein technisch bleibe“. Dies bedeutet, dass der Betreiber keine aktive Kontrolle über die Inhalte und ihre Werbung ausüben darf. Falls der Plattformbetreiber jedoch gezielt Einfluss auf die Inhalte nimmt – etwa durch Werbung, Verwaltung oder inhaltliche Anpassung – verliert er diese Haftungsbefreiung. In diesem Fall könnte eine direkte Haftung für die veröffentlichten Inhalte entstehen.
Verantwortlichkeit nach der DSGVO
Neben der Frage der Haftung nach der E-Commerce-Richtlinie stellt sich auch die datenschutzrechtliche Verantwortlichkeit des Marktplatzbetreibers. Szpunar differenziert hier zwischen zwei Szenarien:
- Der Marktplatzbetreiber agiere als Auftragsverarbeiter, wenn er lediglich Informationen verarbeitet, die in Anzeigen enthalten sind. Dann stelle er lediglich eine technische Plattform bereit, ohne die Anzeigeninhalte zu beeinflussen. In diesem Fall müsse er nicht, die Inhalte systematisch vor der Veröffentlichung kontrollieren. Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten müsse er jedoch trotzdem gewährleisten.
- Hinsichtlich der personenbezogenen Daten der inserierenden Nutzer sei der Marktplatzbetreiber hingegen als Verantwortlicher zu betrachten. Dies bedeute, dass er verpflichtet sei, die Identität der Nutzer zu kontrollieren.
Fazit
Die Schlussanträge des Generalanwalts setzen sich mit der DSGVO-Haftung von Betreibern von Online-Marktplätzen auseinander und liefern eine wichtige Orientierungshilfe für Plattformbetreiber und deren Umgang mit personenbezogenen Daten. Betreiber müssen sorgfältig prüfen, welche Rolle sie einnehmen und welche datenschutzrechtlichen sowie haftungsrechtlichen Konsequenzen sich daraus ergeben. Die Schlussanträge des Generalanwalts sind für den EuGH nicht verbindlich. Insofern bleibt es spannend, wie sich der dieser abschließend entscheiden wird.
