Der Europäische Gerichtshof (EuGH) verschärft mit seinem Urteil vom 2. Dezember 2025 in der Rechtssache Russmedia (C-492/23) die datenschutzrechtlichen Pflichten für Hosting-Anbieter und Betreiber von Online-Plattformen deutlich. Nach der Entscheidung gelten Betreiber von Online-Marktplätzen, Foren und Anzeigenportalen als datenschutzrechtlich Verantwortliche im Sinne der DSGVO, selbst wenn personenbezogene Daten ausschließlich durch Nutzer hochgeladen werden.
Das häufig bemühte Haftungsprivileg für Hosting-Anbieter greift damit nicht gegenüber den Pflichten aus der Datenschutz-Grundverordnung. Für Unternehmen mit nutzergenerierten Inhalten ist das Urteil ein klarer Weckruf.
EuGH: Plattformbetreiber sind DSGVO-Verantwortliche
Der EuGH stellt wieder einmal unmissverständlich klar: Wer eine Plattform betreibt, auf der Nutzer Inhalte veröffentlichen können, trägt Verantwortung für die Verarbeitung personenbezogener Daten – unabhängig von der Urheberschaft der Inhalte. Die datenschutzrechtliche Verantwortlichkeit entsteht bereits durch die Struktur und den Betrieb des Dienstes.
Zentrale Anforderungen aus dem EuGH-Urteil
Das Urteil formuliert konkrete Pflichten für Hosting-Anbieter und Plattformbetreiber:
- Vorabprüfung von Nutzerinhalten: Plattformen müssen bereits vor der Veröffentlichung prüfen, ob personenbezogene oder besonders sensible Daten (z. B. Fotos, Telefonnummern, Gesundheits- oder Sexualdaten) enthalten sind.
- Nachweis der Einwilligung: Ohne dokumentierte Einwilligung der betroffenen Person darf eine Veröffentlichung nicht erfolgen.
- Identitätsprüfung der Nutzer: Anonyme Uploads oder rein technische Hosting-Leistungen reichen nicht aus. Die Identität und Berechtigung der einstellenden Person müssen geprüft und nachvollziehbar dokumentiert werden.
- Keine Haftungsverschiebung durch Unkenntnis: Die Verantwortlichkeit beginnt nicht erst mit Kenntnis eines Datenschutzverstoßes, sondern bereits beim Upload-Prozess selbst.
Damit rückt der EuGH etwas vom Prinzip „Notice and Takedown“ im Datenschutzkontext ab.
Auswirkungen auf Unternehmen, Plattformbetreiber und Datenschutzbeauftragte
Für Betreiber von Online-Marktplätzen, Hosting-Diensten und Community-Plattformen steigen Compliance-Aufwand und Haftungsrisiken erheblich. Der Status als „reiner Hosting-Anbieter“ entbindet nicht von den Pflichten der DSGVO.
Erforderlich sind nun u. a.:
- technische und organisatorische Maßnahmen zur Inhalts-Vorabkontrolle,
- belastbare Identitäts- und Berechtigungsprüfungen,
- erweiterte Datenschutz-Folgenabschätzungen (DSFA),
- klare Governance-Strukturen für nutzergenerierte Inhalte.
Für Datenschutzbeauftragte und Berater ist das Urteil ein klares Signal, bestehende Plattformmodelle kritisch zu überprüfen und neu zu bewerten.
Verhältnis von DSGVO und Digital Services Act (DSA)
Auch im Zusammenspiel mit dem Digital Services Act (DSA) schafft der EuGH Klarheit: Datenschutzrechtliche Pflichten nach der DSGVO bleiben uneingeschränkt bestehen. Haftungserleichterungen oder Safe-Harbor-Regelungen des DSA relativieren die datenschutzrechtliche Verantwortlichkeit nicht.
Das EuGH-Urteil zu Hosting-Anbietern markiert einen Aufruf. Unternehmen, die Plattformen mit nutzergenerierten Inhalten betreiben, müssen Datenschutz als Kernelement ihres Geschäftsmodells begreifen und nicht als nachgelagerte Compliance-Frage.
