Im Verfahren X gegen Russmedia Digital SRL, Inform Media Press SRL („Russmedia“, Az. C-492-23) hat Generalanwalt Szpunar am 6. Februar 2025 seine Schlussanträge gestellt. Das Verfahren betrifft vier Fragen zur Verantwortlichkeit eines Online-Marktplatzbetreibers für Nutzerinhalte, die das Berufungsgericht Cluj dem EuGH zur Vorabentscheidung vorgelegt hatte. Rechtlich entscheidend sind die Haftungsfreistellung nach der E-Commerce-Richtlinie (RL 2000/31/EG), die datenschutzrechtliche Rolle bei der Datenverarbeitung nach der DSGVO (VO EU 2016/679) und das Zusammenspiel der beiden Rechtsakte.
Der Generalanwalt bekräftigt in seinen Schlussanträgen, dass Online-Markplatzbetreiber in ihrer Rolle als neutrale Vermittler für Nutzerinhalte unter die Haftungsfreistellung nach Art. 14 Abs. 1 E-Commerce-Richtlinie fallen (Hosting). Eine Haftung sei einzig bei tatsächlicher Kenntnis und Kontrolle über Nutzerinhalte gegeben. Für die Verarbeitung personenbezogener Daten in Nutzerinseraten seien die Betreiber nur Auftragsverarbeiter und nicht Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO. Dadurch schafft der Generalanwalt einen Gleichlauf beider Rechtsakte hinsichtlich der Haftung von Hosting-Anbietern für Drittinhalte.
Der Digital Services Act („DSA“; VO EU 2022/2065) war auf den vorgelegten Fall noch nicht anwendbar. Die Ausführungen dürften jedoch weitgehend auf die nunmehr dort geregelten Haftungsfreistellungen übertragbar sein.
Zum nationalen Rechtsstreit und den Vorlagefragen
Die Klägerin des Ausgangsrechtsstreits geht gegen den Betreiber eines rumänischen Online-Marktplatzes vor. Sie verlangt von diesem Schadensersatz und macht die Verletzung von Persönlichkeitsrechten sowie Datenschutz geltend.
Auf dem Online-Marktplatz können registrierte Nutzer Anzeigen inserieren. Bei der Registrierung überprüft der Betreiber nicht die Identität der Nutzer. Er behält sich in seinen AGB das Recht vor, die Nutzerinhalte zu kopieren, zu verbreiten oder anderweitig zu nutzen.
Auslöser für den Rechtsstreit war, dass eine dritte Person gegen den Willen der Klägerin eine Anzeige auf dem Online-Marktplatz schaltete. Die Anzeige richtete sich auf das Erbringen sexueller Dienstleistungen und enthielt ein Foto der Klägerin sowie deren Telefonnummer. Die Klägerin meldete die Anzeige beim Betreiber, der sie in weniger als einer Stunde entfernte. Zwischenzeitlich wurde die streitgegenständliche Anzeige auf Drittseiten hochgeladen. Unklar ist, ob der Betreiber sie an die Drittseiten weitergegeben hatte oder die Drittseitenbetreiber die Anzeige ohne dessen Kenntnis vom Online-Marktplatz kopierten.
Das vorlegende Gericht möchte eine extensive Verantwortlichkeit des Marktplatzbetreibers annehmen. Es ist der Ansicht, eine Meldung der Anzeige sei für eine Haftung des Betreibers nicht notwendig gewesen, da die Anzeige offensichtlich rechtswidrig und äußerst schädlich sei. Dem Marktplatzbetreiber komme auch keine haftungsprivilegierende neutrale Rolle bei der Diensteerbringung zu. Denn er behalte sich in seinen AGB vor, die Drittinhalte zu verbreiten und anderweitig nutzen zu dürfen. In datenschutzrechtlicher Hinsicht nimmt das vorlegende Gericht an, Betreiber von Online-Marktplätzen seien Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten in Nutzerinseraten.
Rechtliche Ausführungen des Generalanwaltes
Der Generalanwalt widerspricht den Annahmen des vorlegenden Gerichts und spricht sich für eine umfassende Haftungsfreistellung aus. Seine auf Marktplatzbetreiber bezogenen Ausführungen dürften allgemein auf Hosting-Dienste übertragbar sein.
Haftungsfreistellung nach der E-Commerce-Richtlinie
Der Generalanwalt bekräftigt auf Grundlage der Entscheidungen L’Oreal und YouTube und Cyando, dass Betreiber von Online-Markplätzen sich auf die Haftungsfreistellung nach Art. 14 Abs. 1 E-Commerce-Richtlinie berufen können, solange sie eine neutrale und rein technische Rolle übernehmen. Für die Einordnung der Rolle sei die Ausgestaltung der AGB irrelevant. Ausschlaggebend sei allein die tatsächliche Kenntnis und Kontrolle von Nutzerinformationen.
Die Haftungsfreistellung gelte auch für offensichtlich rechtswidrige und äußerst schädliche Informationen, solange der Diensteanbieter von diesen keine tatsächliche Kenntnis hat. Eine solche Kenntnis lässt sich auch nicht vermuten. Andernfalls unterläge der Betreiber einer Überwachungspflicht für Nutzerinhalte, was mit Art. 15 Abs. 1 E-Commerce-Richtlinie nicht vereinbar wäre.
Schließlich setze Art. 14 Abs. 1 lit. b) E-Commerce-Richtlinie für eine Haftungsfreistellung voraus, dass Hostingdiensteanbieter rechtswidrige Informationen nicht nur aus ihren eigenen Diensten entfernen. Verbreiten sie Informationen an Vertragspartner weiter, müssten sie auch geeignete Maßnahmen ergreifen, dass ihre Vertragspartner die rechtswidrigen Informationen aus ihren Internetauftritten entfernen. Beispielhaft nennt der Generalanwalt für eine solche Maßnahme eine entsprechende Vertragsklausel. Ein solches Einwirkungserfordernis gelte aber nicht für Dritte, mit denen der Hostingdiensteanbieter keine vertragliche Beziehung hat.
Zur datenschutzrechtlichen Rolle eines Online-Marktplatzbetreibers
Der Generalanwalt differenziert bei der Prüfung der datenschutzrechtlichen Rolle des Betreibers eines Online-Marktplatzes zwischen zwei Datenverarbeitungsvorgängen: Die Datenverarbeitung bei der Einrichtung eines Nutzerkontos und die Datenverarbeitung im Zuge hochgeladener Nutzerinserate.
Der Betreiber sei Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Datenverarbeitung bei der Einrichtung eines Nutzerkontos. In dieser Rolle treffe ihn nach Art. 25 DSGVO die Bemühenspflicht, die Identität der registrierten Nutzer zu überprüfen. Er müsse Maßnahmen treffen, die das Risiko missbräuchlichen Identitätsdiebstahls auf dem Marktplatz verringern. Beispielhaft für eine solche Maßnahme der Identitätsprüfung nennt der Generalanwalt die Angabe einer Telefonnummer zur Bestätigung der Registrierung. Dadurch könne ein Identitätsdiebstahl zwar nicht ausgeschlossen werden. Das sei zur Pflichterfüllung aber nicht nötig, da der Betreiber nach Art. 25 DSGVO keiner Erfolgspflicht unterliege.
Für die Verarbeitung personenbezogener Daten in Nutzerinseraten, also den Inhalten Dritter, sei der Betreiber eines Online-Marktplatzes hingegen nur Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO. Sofern er technische und organisatorische Einzelheiten bei der Verarbeitung festlege, handle es sich nur um nicht wesentliche Mittel der Verarbeitung. Als Auftragsverarbeiter seien Hostingdiensteanbieter nicht verpflichtet, systematisch den Inhalt von Nutzerinseraten und deren Rechtmäßigkeit vor Veröffentlichung zu prüfen. Überdies seien sie nicht verpflichtet, das Kopieren oder die Weiterverbreitung von Nutzerinseraten mit personenbezogenen Daten zu verhindern. Sie müssten nach Art. 32 DSGVO lediglich im Einklang mit den Voraussetzungen ihrer Haftungsfreistellung nach Art. 14 Abs. 1 lit. b) E-Commerce-Richtlinie auf ihre Vertragspartner einwirken, wenn diese rechtswidrige Anzeigen von dem Online-Marktplatz übernommen haben.
Verhältnis zwischen beiden Rechtsakten
Zum Schluss seiner Anträge macht der Generalanwalt bemerkenswerte Ausführungen zum Zusammenspiel zwischen der E-Commerce-Richtlinie und DSGVO. Er arbeitet heraus, dass zwischen der Rolle als neutraler Vermittler i.S.d. Art. 14 Abs. 1 E-Commerce-Richtlinie und Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO ein Ausschlussverhältnis bestehe: Sollte ein Informationsdienst als datenschutzrechtlicher Verantwortlicher einzuordnen sein, nehme er zwingend eine aktive Rolle bei der Verarbeitung von Drittinformationen ein. Er fiele somit nicht unter die Haftungsfreistellung des Art. 14 Abs. 1 E-Commerce-Richtlinie. Dieses Ausschlussverhältnis sei aber nicht zwingend auf den DSA und die DSGVO übertragbar.
In seinen Schlussbemerkungen stellt der Generalanwalt fest, dass Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO sich hinsichtlich ihrer datenschutzrechtlichen Haftung auf die Freistellung nach Art. 14 Abs. 1 E-Commerce-Richtlinie berufen könnten. Grundsätzlich seien beide Rechtsakte parallel anwendbar, sofern die DSGVO keine Spezialvorschrift enthalte. Art. 82 Abs. 3 DSGVO stelle keine haftungsrechtliche Spezialvorschrift zu Art. 14 Abs. 1 E-Commerce-Richtlinie dar. Denn Art. 82 DSGVO sei eine haftungsbegründende Vorschrift mit Exkulpationsmöglichkeit, Art. 14 Abs. 1 E-Commerce-Richtlinie hingegen eine Haftungsfreistellung.
Auswirkungen der EuGH-Entscheidung
Die Entscheidung des EuGH in der Sache Russmedia wird weitreichende Konsequenzen für die Haftung von Hosting-Diensten für Nutzerinhalte haben. Demensprechend setzte der BGH mit Beschluss vom 18. Februar 2025 das Verfahren VI ZR 64/24, in dem es um die Verantwortlichkeit Metas für Memes mit Falschzitaten zu Lasten von Renate Künast geht, bis zur Entscheidung des EuGH aus. Die Vorinstanzen hatten allein auf Grundlage nationaler Rechtsvorschriften entschieden. Der BGH aber wies darauf hin, dass der Fall womöglich anhand des Zusammenspiels zwischen DSA und DSGVO zu entscheiden sei. Folgt der EuGH den Schlussanträgen des Generalanwaltes, spräche dies gegen eine Haftung von Hosting-Diensten für in dem BGH-Verfahren streitgegenständliche kerngleiche Rechtsverletzungen. Denn nach Ansicht des Generalanwalts
- sind Hosting-Dienste für Nutzerinhalte stets erst nach tatsächlicher Kenntnis verantwortlich, auch wenn diese offensichtlich rechtswidrig und äußerst schädlich sind;
- agieren Hosting-Dienste als Auftragsverarbeiter für Nutzerinhalte mit personenbezogenen Daten und sind daher nicht verpflichtet, den Inhalt der Anzeigen vor Veröffentlichung systematisch zu überprüfen.
