Düsseldorf, 4. Dezember 2025 – Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 2. Dezember 2025 entschieden, dass Betreiber von Online-Plattformen und -Marktplätzen für bestimmte Verletzungen von Datenschutzrechten mitverantwortlich sind, die auf ihrer Plattform begangen werden. Plattform-Betreiber gelten demnach als Verantwortliche im Sinne der DSGVO, wenn Nutzer Anzeigen mit sensiblen personenbezogenen Daten auf der Plattform veröffentlichen. Experte Jens von der Thüsen ordnet die Auswirkungen auf die aktuelle Rechtslage ein.
Der EuGH hat mit diesem Urteil entschieden, dass der Digital Services Act (DSA) bzw. die E-Commerce-Richtlinie die DSGVO und die mit ihr einhergehenden Pflichten unberührt lässt. Host Provider können sich bei DSGVO-Verstößen daher nicht auf das gesetzliche Haftungsprivileg berufen und können verstärkt in die Pflicht genommen werden.
Basierend auf dem Gerichtsurteil tragen Betreiber von Online-Marktplätzen – in Bezug auf die auf ihrer Plattform veröffentlichte Werbeanzeigen – eine datenschutzrechtliche (Mit-)Verantwortung. Sie sind daher verpflichtet, Anzeigen mit sensiblen Daten zu identifizieren, zu prüfen und bei fehlendem Einverständnis der betroffenen Person bezüglich der Veröffentlichung, diese zu verhindern. Darüber hinaus sind sie verpflichtet, geeignete technische und organisatorische Schutzmaßnahmen zu treffen, um zu verhindern, dass veröffentlichte Anzeigen, die sensible Daten enthalten, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden.
In der Folge werden Marktplatz-Betreiber Prüf- und Filter-Systeme implementieren müssen, um in Nutzeranzeigen etwaig enthaltene sensible personenbezogene Daten ausfindig zu machen. Auch werden sie systemisch sicherstellen müssen, dass solche Anzeigen nicht ohne vorherige Zulässigkeitsprüfung online gehen und/oder kopiert und weiterverbreitet werden können. Im Zweifel wird hier eine Kombination aus Software-Lösungen und menschlicher Gegenprüfung von Verdachtsfällen erforderlich sein. Entsprechende Strukturen müssen aufgesetzt werden.
Obwohl sich das Urteil vom 2. Dezember auf einen Einzelfall bezieht, sind die Entscheidungssätze des EuGH sehr allgemeingültig gefasst, sodass sich alle Betreiber von Online-Plattformen und -Marktplätzen im Detail mit dem aktuellen Urteil des EuGH auseinandersetzen müssen. Es gilt, ihr jeweiliges Geschäftsmodell bzw. die konkrete Umsetzung desselben anhand dieser neuen Maßstäbe zu hinterfragen. Hierzu gehört eine Überprüfung etwaiger AGB-Regelungen zu Nutzerinhalten auf dem Marktplatz, ebenso wie Überlegungen dazu, welche technischen und organisatorischen Maßnahmen zur Prüfung und zum Schutz (sensibler) personenbezogener Daten sinnvoll implementiert werden können.
Das Urteil des EuGH passt sich in eine Reihe von Urteilen des EuGH und des BGH ein, die in den vergangenen Jahren zur Haftung von Online-Plattform- bzw. Online-Marktplatz-Betreibern ergangen sind. Es ist eine klare Tendenz zu erkennen, die Betreiber in die Pflicht zu nehmen. Die Rechtsprechung stellt hierbei zusehends höher werdende Anforderungen an Plattform-Betreiber – im Urheberrecht, im Persönlichkeitsrecht und nunmehr auch im Datenschutzrecht. Bemerkenswert ist dabei, dass in den Urteilen nicht deutlich klargestellt wird, wie die Pflichten für Marktplätze genau auszugestalten sind.
Über den Experten:
Jens von der Thüsen ist Rechtsanwalt und Partner bei Grant Thornton in Deutschland in der Legal Service Line Dispute Resolution. Als Prozessanwalt vertritt er seine Mandanten in komplexen, wirtschaftsrechtlichen Streitigkeiten sowohl vor nationalen deutschen Gerichten als auch in nationalen und internationalen Schiedsverfahren. Bei seiner Arbeit legt er den Fokus auf den gewerblichen Rechtsschutz, das Lauterkeitsrechts sowie das Handels- und Gesellschaftsrecht. Zu seinen Mandanten gehören u.a. Betreiber von Online-Marktplätzen sowie Händler und Gewerbetreibende, die solche Marktplätze zum Vertrieb nutzen.