Zur Haftung von Online-Marktplätzen für Fake-Anzeigen

Betreiber von Online-Marktplätzen sind für die in Nutzer-Anzeigen enthaltenen personenbezogenen Daten als (gemeinsam) Verantwortliche anzusehen. Enthalten Anzeigen sensible Daten (z. B. zum Sexualleben), müssen die Betreiber vor der Veröffentlichung die Identität des Inserenten prüfen. Auf die Haftungsprivilegien für Host-Provider können sie sich bei Datenschutzverstößen nicht berufen.

Der Entscheidung des EuGH liegt folgender Sachverhalt zu Grunde: 

Die Beklagte (Russmedia) betreibt den Online-Marktplatz publi24.ro, auf dem Nutzer:innen anonym sowie kostenlos oder gegen Entgelt Anzeigen veröffentlichen können. Diese Anzeigen betreffen häufig den Verkauf von Waren oder die Erbringung von Dienstleistungen in Rumänien. Ein unbekannter Dritter platziert auf dieser Plattform eine gefälschte Anzeige, in der die Klägerin als Anbieterin sexueller Dienstleistungen dargestellt wird. Die Anzeige enthält Fotos der Klägerin, die ohne ihre Einwilligung verwendet werden, sowie ihre Telefonnummer. Zwar entfernt der Betreiber die Anzeige nach einer Beschwerde der Klägerin zügig, der Inhalt verbreitet sich jedoch durch Kopien auf anderen Websites weiter und bleibt dort verfügbar. Die Klägerin fordert Schadensersatz wegen der Verletzung ihrer Rechte aus der DSGVO. Der Plattformbetreiber verteidigt sich mit dem Argument, er sei als reiner Host-Provider für die von Nutzer:innen gespeicherten Informationen nicht verantwortlich. Das befasste Berufungsgericht Cluj setzt das Verfahren aus und legt dem EuGH unter anderem Fragen zur Auslegung der Betreiberpflichten nach der DSGVO zur Vorabentscheidung vor. 

Der Gerichtshof stellt fest, dass der Betreiber des Online-Marktplatzes als Verantwortlicher im Sinne der DSGVO anzusehen sei, da er durch seine Nutzungsbedingungen und kommerziellen Ziele maßgeblich über Zwecke und Mittel der Datenverarbeitung entscheide. Insbesondere beim Vorhandensein sensibler Daten, wie Angaben zum Sexualleben (Art. 9 DSGVO), treffe den Betreiber eine gesteigerte Sorgfaltspflicht. Er müsse technisch und organisatorisch sicherstellen, dass solche Anzeigen vor der Veröffentlichung identifiziert werden und die Identität des Inserenten überprüfen, um eine Übereinstimmung mit der betroffenen Person zu gewährleisten. Sei dies nicht der Fall und liege keine Einwilligung vor, müsse die Veröffentlichung verweigert werden. Zudem sei der Betreiber verpflichtet, Maßnahmen zu ergreifen, die das Kopieren und die Weiterverbreitung dieser Daten auf anderen Websites verhinderten. Schließlich stellt der Gerichtshof klar, dass sich der Betreiber bei Verstößen gegen die DSGVO nicht auf die Haftungsbeschränkungen der E-Commerce-Richtlinie für reine Host-Provider berufen könne.

Hinweis: An diesem Verfahren war der Verbraucherzentrale Bundesverband (vzbv) nicht beteiligt. Gerne informiert Sie der vzbv alle vier bis sechs Wochen mit einem kostenlosen Newsletter über neue Urteile zum Verbraucherrecht.