Urteil : Kein Plattformprivileg im Anwendungsbereich der DS GVO : aus der RDV 1/2026, Seite 48 bis 52

Zu den Fragen 2 bis 4 betreffend die Auslegung der DS‑GVO

Vorbemerkungen:

Vorab ist erstens festzustellen, dass ausweislich des Vorabentscheidungsersuchens die in Rede stehende Anzeige die Klägerin des Ausgangsverfahrens als Anbieterin sexueller Dienstleistungen darstellte und dass diese Anzeige u.a. Fotos der Klägerin des Ausgangsverfahrens enthielt, die ohne ihre Einwilligung verwendet wurden, sowie ihre Telefonnummer.

Es steht fest, dass solche Informationen personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS‑GVO darstellen: Hierunter sind nach der Begriffsbestimmung dieser Vorschrift „alle Informationen [zu verstehen], die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen“, wobei klargestellt wird, dass „als identifizierbar … eine natürliche Person angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

Nach ständiger Rechtsprechung kommt nämlich darin, dass die Wendung „alle Informationen“ in der Definition des Begriffs „personenbezogene Daten“ in Art.  4 Nr.  1 DS‑GVO Verwendung findet, das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (Urt. v. 3.4.2025, Ministerstvo zdravotnictví [Daten über den Vertreter einer juristischen Person], C‑710/23, EU:C:2025:231, Rn. 21 und die dort angeführte Rechtsprechung).

Darüber hinaus sieht Art. 9 Abs. 1 DS‑GVO bei diesen personenbezogenen Daten eine spezielle Schutzregelung für besondere Kategorien von Daten vor, darunter Daten zum Sexualleben oder zu der sexuellen Orientierung einer natürlichen Person.

Der Gerichtshof hat klargestellt, dass der Zweck von Art.  9 Abs.  1 DS‑GVO darin besteht, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die aufgrund der besonderen Sensibilität der Daten, die Gegenstand der Verarbeitungen sind, einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta verbürgten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen können (Urt. v. 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 41 und die dort angeführte Rechtsprechung).

Ein solcher verstärkter Schutz erfordert jedoch zwangsläufig, für solche „sensiblen Daten“ ein weites Begriffsverständnis zugrunde zu legen. Demnach hat der Gerichtshof entschieden, dass Art. 9 Abs. 1 DS‑GVO für Verarbeitungen gilt, die sich nicht nur auf die intrinsisch sensiblen Daten beziehen, auf welche diese Vorschrift Bezug nimmt, sondern auch auf Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben (Urt. v. 5.6.2023, Kommission/Polen [Unabhängigkeit und Privatleben von Richtern], C‑204/21, EU:C:2023:442, Rn. 344 und die dort angeführte Rechtsprechung)

Im Rahmen dieses weiten Begriffsverständnisses können Daten, die das Sexualleben oder die sexuelle Orientierung einer natürlichen Person betreffen, nicht deshalb ihre Einstufung als „sensible Daten“ i.S.v. Art. 9 Abs. 1 DS‑GVO einbüßen, weil sie ihrer Art nach unwahr und schadensstiftend sind.

Zweitens ist festzustellen, dass die in Rede stehende Verarbeitung in der Veröffentlichung dieser Anzeige und damit dieser Daten auf dem Online-Marktplatz von Russmedia besteht. Denn der Vorgang, der darin besteht, personenbezogene Daten auf einer Website zu zeigen, stellt eine Verarbeitung i.S.v. Art. 4 Nr. 2 der DS‑GVO dar (Urt. v. 1.8.2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, Rn.  65 und die dort angeführte Rechtsprechung).

Drittens ist darauf hinzuweisen, dass sich die Fragen 2 bis 4 darauf beziehen, dass der Betreiber des in Rede stehenden Online-Marktplatzes für die Verarbeitung personenbezogener Daten verantwortlich ist. Es zeigt sich jedoch, dass die personenbezogenen Daten, deren Veröffentlichung Gegenstand des Ausgangsrechtsstreits ist, von einem anonymen inserierenden Nutzer in die fragliche Anzeige eingefügt wurden, ohne dass dieser Betreiber einen konkreten Einfluss auf den Inhalt dieser Anzeige ausgeübt hätte und ohne dass er sich ihres irreführenden und schadensstiftenden Charakters bewusst gewesen wäre. Daher sind Klarstellungen zu den Begriffen „Verantwortlicher“ und „gemeinsam Verantwortliche“ i.S.v. Art. 4 Nr. 7 bzw. von Art. 26 DS‑GVO vorzunehmen.

Der Begriff „Verantwortlicher“ wird in Art. 4 Nr. 7 DS‑GVO weit definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Durch diese weite Definition soll im Einklang mit dem Ziel der DS‑GVO ein wirksamer Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten gewährleistet werden (Urt. v. 5.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn.  29 und die dort angeführte Rechtsprechung).

Somit kann jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung solcher Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für diese Verarbeitung Verantwortlicher angesehen werden (Urt. v. 5.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 30 und die dort angeführte Rechtsprechung).

Zudem verweist der Begriff des „Verantwortlichen“, da er sich, wie Art. 4 Nr. 7 DS‑GVO ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt (vgl. i.d.S. Urt. v. 29.7.2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 67 und die dort angeführte Rechtsprechung).

Art. 26 DS‑GVO, der sich in den begrifflichen Rahmen des „Verantwortlichen“ nach Art.  4 Nr.  7 DS‑GVO einfügt, sieht im Wesentlichen vor, dass zwei oder mehr Verantwortliche, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, als „gemeinsam Verantwortliche“ für diese Verarbeitung einzustufen sind.

Eine solche gemeinsame Verantwortlichkeit erfordert nicht notwendigerweise das Vorliegen gemeinsamer Entscheidungen über die Festlegung der Zwecke und Mittel der Verarbeitung der betreffenden personenbezogenen Daten. Der Gerichtshof hat nämlich entschieden, dass die Mitwirkung an der Entscheidung über diese Zwecke und Mittel verschiedene Formen annehmen und sich sowohl aus einer gemeinsamen Entscheidung von zwei oder mehr Einrichtungen als auch aus übereinstimmenden Entscheidungen ergeben kann, die sich in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Festlegung der Verarbeitungszwecke und ‑mittel auswirkt (vgl. i.d.S. Urt. v. 5.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 43).

Insoweit setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach Art. 4 Nr. 7 DS‑GVO nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (Urt. v. 29.7.2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn.  69 und die dort angeführte Rechtsprechung, sowie v. 5.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 42).

Im selben Sinne hat der Gerichtshof klargestellt, dass aus einer gemeinsamen Verantwortlichkeit nicht zwangsläufig folgt, dass die verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten eine gleichwertige Verantwortlichkeit trifft. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (vgl. i.d.S. Urt. v. 10.7.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn.  66 und die dort angeführte Rechtsprechung, sowie v. 5.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 42).

Im vorliegenden Fall steht fest, dass der inserierende Nutzer, der die irreführende, schadenstiftende und personenbezogene Daten der Klägerin des Ausgangsverfahrens enthaltende Anzeige auf dem von Russmedia betriebenen Online-Marktplatz platzierte, als derjenige anzusehen ist, der über die Zwecke und Mittel der Verarbeitung dieser Daten hauptsächlich entschieden hat, und daher unter den Begriff des „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 DS‑GVO fällt.

Gleichwohl ist erwiesen, dass diese Anzeige nur dank dem von Russmedia betriebenen Online-Marktplatz im Internet veröffentlicht und den Internetnutzern somit zugänglich gemacht wurde.

Zwar ergibt sich aus der in Rn. 58 des vorliegenden Urteils angeführten Rechtsprechung, dass eine Person nur dann als „Verantwortlicher“ für die Verarbeitung personenbezogener Daten eingestuft werden kann, wenn sie diese Verarbeitung aus Eigeninteresse beeinflusst, doch ist festzustellen, dass dies u.a. dann der Fall sein kann, wenn der Betreiber eines Online-Marktplatzes relevante personenbezogene Daten zu kommerziellen Zwecken oder Werbezwecken veröffentlicht, die über die bloße Erbringung einer Dienstleistung, die er dem inserierenden Nutzer erbringt, hinausgehen.

Im vorliegenden Fall geht aus der Vorlageentscheidung hervor, dass Russmedia auf ihrem Online-Marktplatz aus kommerziellem Eigeninteresse heraus Anzeigen veröffentlicht. Insoweit werden Russmedia durch die allgemeinen Nutzungsbedingungen dieses Marktplatzes große Freiräume eingeräumt, um die auf diesem Marktplatz veröffentlichten Informationen zu nutzen. Insbesondere behält sich Russmedia nach den Angaben des vorlegenden Gerichts das Recht vor, veröffentlichte Inhalte zu nutzen, zu verbreiten, zu übermitteln, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines „triftigen Grundes“ bedürfte. Russmedia veröffentlicht daher die in den Anzeigen enthaltenen personenbezogenen Daten nicht oder nicht nur für die inserierenden Nutzer, sondern verarbeitet diese Daten und kann zu ihren eigenen Werbezwecken und aus kommerziellen Eigeninteressen Profit aus ihnen ziehen.

Somit ist davon auszugehen, dass Russmedia aus Eigeninteresse auf die Veröffentlichung der personenbezogenen Daten der Klägerin des Ausgangsverfahrens im Internet Einfluss genommen und damit an der Festlegung der Zwecke dieser Veröffentlichung und somit der Zwecke der in Rede stehenden Verarbeitung mitgewirkt hat.

Diese Feststellung wird nicht dadurch in Frage gestellt, dass offensichtlich der irreführende und schadenstiftende Zweck, den der inserierende Nutzer mit der Veröffentlichung der im Ausgangsverfahren in Rede stehenden Anzeige verfolgt hat, ohne Mitwirkung von Russmedia festgelegt wurde. An der Festlegung desjenigen Zwecks der Verarbeitung, der darin bestand, den Internetnutzern die in der im Ausgangsverfahren fraglichen Anzeige enthaltenen personenbezogenen Daten zugänglich zu machen, um aus diesen Veröffentlichungen Profit zu ziehen, hat Russmedia nämlich mitgewirkt. Darüber hinaus hat Russmedia es erleichtert, dass solche Daten ohne Einwilligung der betroffenen Person veröffentlicht wurden, indem das Unternehmen es ermöglicht hat, anonym Anzeigen auf ihrem Online-Marktplatz zu platzieren.

Außerdem hat Russmedia dadurch, dass das Unternehmen dem inserierenden Nutzer seinen Online-Marktplatz, der der Veröffentlichung der im Ausgangsverfahren in Rede stehenden Anzeige gedient hat, zur Verfügung gestellt hat, an der Festlegung der Mittel dieser Veröffentlichung mitgewirkt.

Der Gerichtshof hat nämlich im Wesentlichen bereits entschieden, dass an der Festlegung der Mittel zur Verarbeitung diejenige natürliche oder juristische Person beteiligt ist, die das Erheben und die Übermittlung von personenbezogenen Daten maßgeblich beeinflusst, oder auch eine Person, die durch ihre Parametrierung entsprechend ihren Zielen der Steuerung oder Förderung ihrer Tätigkeiten auf die Verarbeitung solcher Daten Einfluss nimmt (vgl. i.d.S. Urt. v. 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, Rn. 36, sowie v. 29.7.2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn.  78). Gleiches gilt für eine Suchmaschine, wenn ihre Tätigkeit insofern maßgeblichen Anteil an der weltweiten Verbreitung personenbezogener Daten hat, als sie diese Daten in organisierter und aggregierter Weise online öffentlich zugänglich macht (vgl. i.d.S. Urt. v. 8.12.2022, Google [Auslistung eines angeblich unrichtigen Inhalts], C‑460/20, EU:C:2022:962, Rn.  50 und die dort angeführte Rechtsprechung).

Daher ist festzustellen, dass der Betreiber eines OnlineMarktplatzes wie Russmedia, wenn er die Parameter für die Verbreitung der Anzeigen, die personenbezogene Daten enthalten können, nach Maßgabe des Zielpublikums festlegt, die Darstellung, die Dauer dieser Verbreitung oder die Rubriken, in denen die veröffentlichten Informationen strukturiert werden, festlegt oder das Ranking organisiert, von dem die Einzelheiten einer solchen Verbreitung abhängen, an der Festlegung der wesentlichen Mittel zur Veröffentlichung der betreffenden personenbezogenen Daten mitwirkt und damit maßgeblich auf die weltweite Verbreitung dieser Daten Einfluss nimmt.

Insoweit kann der Inhalt der allgemeinen Nutzungsbedingungen des betreffenden Online-Marktplatzes Anhaltspunkte dafür liefern, dass der Betreiber dieses Marktplatzes die betreffende Verarbeitung personenbezogener Daten maßgeblich beeinflusst und somit die Mittel dieser Verarbeitung festlegt. Dies scheint für die allgemeinen Nutzungsbedingungen des Online-Marktplatzes von Russmedia zu gelten, in denen sich Russmedia u.a. das Recht vorbehält, die in den Anzeigen enthaltenen Informationen einschließlich der darin enthaltenen personenbezogenen Daten zu verbreiten, zu übermitteln, zu veröffentlichen, zu löschen oder auch zu vervielfältigen.

Jedenfalls kann sich der Betreiber eines Online-Marktplatzes als für die Verarbeitung personenbezogener Daten Verantwortlicher nicht mit der Begründung seiner Verantwortung entziehen, dass er den Inhalt der auf diesem Marktplatz veröffentlichten Anzeige nicht selbst festgelegt hat. Es liefe nämlich nicht nur dem klaren Wortlaut, sondern auch dem Zweck von Art. 4 Nr. 7 DS‑GVO zuwider, der darin besteht, durch eine weite Definition des Begriffs „Verantwortlicher“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten, wenn ein solcher Betreiber allein aus diesem Grund von dieser Definition ausgenommen würde.

Daher ist festzustellen, dass das vorlegende Gericht seine Fragen 2 bis 4 zu Recht auf die Prämisse gestützt hat, dass der Betreiber des Online-Marktplatzes bei einer Sachlage wie der im Ausgangsverfahren in Rede stehenden im Sinne von Art. 4 Nr. 7 DS‑GVO für die Verarbeitung der personenbezogenen Daten verantwortlich ist, die in einer auf diesem Online-Marktplatz veröffentlichten Anzeige enthalten sind. […]

Zur ersten Frage: Auslegung der Richtlinie 2000/31

Wie in den Rn.  45 und 46 des vorliegenden Urteils ausgeführt, möchte das vorlegende Gericht ferner wissen, ob sich der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DS‑GVO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht wurden, in Bezug auf einen Verstoß gegen die Verpflichtungen aus Art. 5 Abs. 2 sowie aus den Art. 24 bis 26 und 32 DS‑GVO, die in den Rn. 106 und 126 des vorliegenden Urteils festgestellt worden sind, auf die Art. 12 bis 15 der Richtlinie 2000/31 über die Verantwortlichkeit der Vermittler berufen kann.

Daher stellt sich die Frage nach dem Zusammenspiel dieser beiden Unionsrechtsakte. Insbesondere ist zu prüfen, ob die Art. 12 bis 15 der Richtlinie 2000/31 in die in der DS‑GVO vorgesehene Haftungsregelung eingreifen können.

Hierzu ist zum einen festzustellen, dass die Richtlinie 2000/31 nach ihrem Art. 1 Abs. 5 lit. b) keine Anwendung auf Fragen betreffend die Dienste der Informationsgesellschaft findet, die von den Richtlinien 95/46 und 97/66 erfasst werden.

Diese Bestimmung ist vom Gerichtshof dahin ausgelegt worden, dass Fragen, die mit dem Schutz der Vertraulichkeit der Kommunikation und personenbezogener Daten zusammenhängen, anhand der DS‑GVO und der Richtlinie 2002/58/ EG des Europäischen Parlaments und des Rates v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) zu beurteilen sind, die an die Stelle der Richtlinie 95/46 bzw. der Richtlinie 97/66 getreten sind, wobei der Schutz, den die Richtlinie 2000/31 gewährleisten soll, auf keinen Fall die Anforderungen, die sich aus der DS‑GVO und der Richtlinie 2002/58 ergeben, beeinträchtigen darf (Urt. v. 6.10.2020, La Quadrature du Net u.a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 200 und die dort angeführte Rechtsprechung).

Daraus folgt insbesondere, dass die etwaige Inanspruchnahme der in Art.  14 Abs.  1 der Richtlinie 2000/31 vorgesehenen Befreiung, auf die sich der Betreiber eines OnlineMarktplatzes in Bezug auf die auf seiner Website gehosteten Informationen berufen könnte, nicht in die Regelung der DS‑GVO eingreifen kann, die für einen solchen Betreiber wie für jeden anderen Wirtschaftsteilnehmer gilt, der in den Anwendungsbereich dieser Verordnung fällt.

Gleiches gilt für Art. 15 der Richtlinie 2000/31, wonach die Mitgliedstaaten den Diensteanbietern hinsichtlich der Erbringung der u.a. in Art.  14 dieser Richtlinie genannten Dienste keine allgemeine Überwachungspflicht auferlegen dürfen. Im Übrigen kann die Verpflichtung des Betreibers eines Online-Marktplatzes, die sich aus der DS‑GVO ergebenden Anforderungen zu erfüllen, jedenfalls nicht als eine solche allgemeine Überwachungspflicht eingestuft werden.

Zum anderen sieht Art. 2 Abs. 4 DS‑GVO vor, dass die Verordnung die Anwendung der Richtlinie 2000/31 und zwar insbesondere der Vorschriften der Art. 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt lässt.

Art. 2 Abs. 4 DS‑GVO ist dahin zu verstehen, dass der Umstand, dass ein Wirtschaftsteilnehmer Träger von in der DS‑GVO vorgesehenen Pflichten ist, nicht automatisch ausschließt, dass sich dieser Wirtschaftsteilnehmer in anderen Fragen als solchen, die den Schutz personenbezogener Daten betreffen, auf die Art. 12 bis 15 der Richtlinie 2000/31 berufen kann.

Somit ergibt sich aus Art.  1 Abs.  5 lit.  b) der Richtlinie 2000/31 in Verbindung mit Art. 2 Abs. 4 DS‑GVO, dass die Bestimmungen dieser Richtlinie, insbesondere ihre Art. 12 bis 15, nicht in die Regelung der DS‑GVO eingreifen können.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 1 Abs. 5 lit. b) der Richtlinie 2000/31 und Art. 2 Abs. 4 DS‑GVO dahin auszulegen sind, dass sich der Betreiber eines OnlineMarktplatzes als Verantwortlicher im Sinne von Art.  4 Nr.  7 DS‑GVO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht wurden, in Bezug auf einen Verstoß gegen die Verpflichtungen aus Art. 5 Abs. 2 sowie aus den Art. 24 bis 26 und 32 DS‑GVO nicht auf die Art. 12 bis 15 der Richtlinie 2000/31 über die Verantwortlichkeit der Vermittler berufen kann. […]