Das EuGH‑Urteil Russmedia (C-492/23) vom 2. Dezember 2025 verändert die Spielregeln für Betreiber von Online‑Marktplätzen und Plattformen: Plattformen werden datenschutzrechtlich deutlich näher an die Rolle des Verantwortlichen herangerückt und müssen künftig präventiv prüfen, bevor personenbezogene Inhalte online gehen. In diesem Beitrag erklären wir verständlich, worum es im Fall ging, wie der EuGH entschieden hat, welche Rechtsgrundlagen die Entscheidung stützt und welche praktischen Konsequenzen sich daraus für kleine und mittlere Unternehmen, Solo‑Selbständige sowie Verbraucher in Deutschland ergeben.

Hintergrund des Verfahrens: Russmedia und der Ausgangssachverhalt

Der zugrunde liegende Fall stammt aus Rumänien und betrifft eine klassische Kleinanzeigen‑Plattform des Typs „Online‑Marktplatz“. Am 1. August 2018 wurde auf der Plattform eine fingierte Anzeige veröffentlicht, in der eine Frau fälschlich als Anbieterin sexueller Dienstleistungen dargestellt wurde; die Anzeige enthielt Fotos, Telefonnummer und weitere personenbezogene Angaben dieser Frau – alles ohne ihre Einwilligung. Die Betroffene meldete die Anzeige; die Plattformbetreiberin löschte den Eintrag binnen kurzer Zeit. Dennoch war der Inhalt bereits auf Drittseiten weiterverbreitet worden. Vor dem Hintergrund dieses Sachverhalts legte das rumänische Berufungsgericht (Curtea de Apel Cluj) dem EuGH mehrere Vorlagefragen vor. Kernfragen betrafen die datenschutzrechtliche Verantwortlichkeit des Plattformbetreibers und das Verhältnis zum Host‑Provider‑Privileg (früher E‑Commerce‑Richtlinie, heute DSA‑Rahmen).

Rechtliche Fragestellungen, die dem EuGH vorgelegt wurden

Die Vorlagefragen richteten sich schwerpunktmäßig auf vier Bereiche: Zunächst wollte das vorlegende Gericht wissen, ob ein Online‑Marktplatzbetreiber als Verantwortlicher im Sinne der DSGVO anzusehen ist, wenn personenbezogene Daten (insbesondere sensible Daten nach Art. 9 DSGVO) in von Nutzern eingestellten Anzeigen veröffentlicht werden. Zweitens ging es um die Frage, ob und in welchem Umfang der Betreiber vor der Veröffentlichung Identitätsprüfungen durchführen muss, um festzustellen, ob der Inserierende tatsächlich die betroffene Person ist. Drittens war zu klären, ob eine präventive inhaltliche Prüfung (vorab) erforderlich ist, um rechtswidrige oder personenbezogenen Rechte verletzende Anzeigen auszuschließen. Viertens stellte sich die Frage, ob der Betreiber technische und organisatorische Schutzmaßnahmen treffen muss, die eine Kopie und Weiterverbreitung solcher Anzeigen auf anderen Websites verhindern oder zumindest erschweren. Schließlich war zu prüfen, ob sich der Betreiber in diesen Konstellationen auf die Haftungsfreistellungen der Richtlinie 2000/31/EG bzw. des DSA berufen kann.

Das EuGH‑Urteil (C-492/23) – Entscheidung und Begründung

Am 2. Dezember 2025 fällte der Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C‑492/23 („Russmedia“) eine richtungsweisende Entscheidung. Der EuGH stellte fest, dass der Betreiber eines Online‑Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten anzusehen ist, die in auf seiner Plattform veröffentlichten Anzeigen enthalten sind. Entscheidend waren mehrere Faktoren: die Parametrierung der Veröffentlichung durch die Plattform, die Gestaltung der Kategorien und der Darstellungs‑ bzw. Verbreitungslogik, die Möglichkeit der anonymen Veröffentlichung sowie die in den Nutzungsbedingungen eingeräumten weitreichenden Rechte der Plattform an den Inseraten (z. B. Reproduktions‑ und Verbreitungsrechte). In der Zusammenschau begründen diese Elemente einen maßgeblichen Einfluss der Plattform auf die Zwecke und Mittel der Verarbeitung.

Auf dieser Grundlage leitete der EuGH konkrete Pflichten ab. Für Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten (z. B. Angaben zum Sexualleben), muss der Betreiber vor Veröffentlichung geeignete technische und organisatorische Maßnahmen vorsehen, um diese Anzeigen zu identifizieren. Darüber hinaus muss die Plattform die Identität des inserierenden Nutzers erheben und prüfen, ob dieser tatsächlich die betroffene Person ist. Kann diese Prüfung nicht erfolgen oder ist keine ausdrückliche Einwilligung der betroffenen Person nach Art. 9 Abs. 2 lit. a DSGVO nachweisbar, hat der Betreiber die Veröffentlichung zu verweigern. Schließlich ist der Betreiber verpflichtet, Maßnahmen gemäß Art. 32 DSGVO zu treffen, die geeignet sind, das Kopieren und die illegale Weiterverbreitung solcher Anzeigen auf anderen Websites zu verhindern oder zu erschweren; dabei ist ein risikobasiertes Vorgehen maßgeblich: Es sind die nach dem Stand der Technik verfügbaren Maßnahmen in Betracht zu ziehen und der Angemessenheitsmaßstab ist anhand Art, Umfang, Umstände und Verarbeitungszweck zu bewerten.

Wesentlich ist daneben die Feststellung des EuGH zum Verhältnis zwischen DSGVO und Host‑Provider‑Privileg: Die Regelungen der E‑Commerce‑Richtlinie (heute durch den DSA weitergedacht) können die Anforderungen der DSGVO nicht unterlaufen. Das bedeutet: Plattformen können sich nicht auf die Haftungsfreistellung für Hosting‑Provider berufen, wenn es um die Einhaltung der DSGVO‑Pflichten geht, soweit sie als Verantwortliche im Sinne der DSGVO einzustufen sind.

Wechselspiel DSGVO und Host‑Provider‑Privileg / DSA

Die Entscheidung macht die Spannungsfelder zwischen unterschiedlichen Regelungsebenen deutlich. Formal bleiben die Haftungsprivilegien des DSA/der früheren E‑Commerce‑Richtlinie in Kraft; materiell jedoch schützt die DSGVO die Rechte der Betroffenen in eigenständiger Weise. Der EuGH stellte klar, dass die Schutzziele der DSGVO nicht durch Haftungsbefreiungen der Vermittlerregelungen eingeschränkt werden dürfen. Für Plattformbetreiber, die personenbezogene Daten verarbeiten, bedeutet dieser systemische Vorrang: Die DSGVO‑Pflichten sind strikt zu beachten; sie können präventive Maßnahmen fordern, ohne dass dies als unzulässige allgemeine Überwachungs‑pflicht im Sinne der E‑Commerce‑Regelungen gewertet wird. Rein zivil‑haftungsrechtliche Privilegien können daher nicht als genereller Freibrief genutzt werden, um datenschutzrechtliche Sorgfaltspflichten zu umgehen.

Konsequenzen für Plattformbetreiber: Praktische Pflichten

Die Entscheidung führt zu einem Dreiklang praktischer Pflichten: erstens Identifikation sensibler Inhalte vor Veröffentlichung, zweitens Erhebung und Verifikation der Identität des Inserierenden, drittens technische Maßnahmen zur Verhinderung von Kopie und Replikation. Diese Pflichten sind risikobasiert ausgestaltet und verlangen eine Abwägung nach Art, Umfang, Kontext und Zweck der Verarbeitung.

In der Praxis heißt das: Plattformbetreiber müssen ihre Produktarchitektur, Upload‑Workflows und Moderationsprozesse überdenken. Formulare für Inserate sollten so gestaltet werden, dass der Nutzer bereits beim Hochladen technische Signale liefert, welche Art von Inhalt vorliegt. Klassische „freie Textfelder“ in Verbindung mit anonymen Nutzungsoptionen bergen höhere Risiken. In Bereichen, in denen typischerweise sensible Daten vorkommen können (z. B. Anzeigen mit Gesundheits‑, Sexualitäts‑ oder religiösen Angaben), ist ein Vorab‑Gate sinnvoll – also ein Mechanismus, der Beiträge entweder zurückhält, einer Prüfung unterzieht oder erst nach Verifikation freigibt.

Darüber hinaus sind Dokumentationspflichten zu beachten: Nach dem Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) müssen Verantwortliche nachweisen können, welche Maßnahmen getroffen wurden, mit welcher Risikobewertung und warum diese Maßnahmen als verhältnismäßig gelten. Im Streitfall wird nicht nur das Ergebnis, sondern vor allem die strukturierte Risikoanalyse und die Nachweisführung von Bedeutung sein.

Besonderheiten für KMU, ehrenamtliche Betreiber und Verbraucher

Für große Plattformen mit bereits ausgereiften Compliance‑ und Moderationsstrukturen dürfte das EuGH‑Urteil in erster Linie zu einer weiteren Intensivierung bestehender Maßnahmen führen. Für kleine Betreiber, Start‑ups oder ehrenamtliche Plattformen stellen die Anforderungen eine deutlich spürbare Belastung dar. Identitätsprüfungen, technische Anti‑Scraping‑Technologien und automatisierte Erkennungsmechanismen sind kosten‑ und ressourcenintensiv. Der EuGH hat jedoch ausdrücklich akzeptiert, dass die erforderlichen Maßnahmen unter Berücksichtigung von Stand der Technik und Implementierungskosten risikobasiert zu bestimmen sind. Das bedeutet praktisch: Kleinere Dienste müssen eine sorgfältig dokumentierte Risikobewertung vorlegen, die zeigt, warum bestimmte Maßnahmen zumutbar oder unverhältnismäßig sind.

Für Verbraucher hat die Entscheidung einen doppelten Effekt: Einerseits stärkt sie den Schutz vor Identitätsmissbrauch und Persönlichkeitsverletzungen – Betroffene haben bessere Durchgriffsrechte und können von Plattformen verlangen, unverhältnismäßige Veröffentlichungen zu unterbinden. Andererseits kann die Entscheidung die anonyme und niedrigschwellige Nutzung erschweren; Dienste könnten als Reaktion auf erhöhte Pflichten auf stärkere Identitätsverifikationen setzen, was ein Verlust an Anonymität und Bedienkomfort sein kann.

Technische und organisatorische Maßnahmen (TOMs): Was ist konkret möglich?

Der EuGH nennt keine abschließende Liste, fordert aber, „alle nach dem Stand der Technik verfügbaren technischen Maßnahmen in Betracht zu ziehen, die die Kopie und Replikation des Online‑Inhalts blockieren können“. In der Praxis können die folgenden technischen Ansätze Teil eines angemessenen Maßnahmenkatalogs sein: Differenzierte Upload‑Workflows, Token‑basierte Auslieferung von Bilddateien, Rate‑Limiting und Bot‑Mitigation, Einschränkungen beim Hotlinking, Wasserzeichenstrategien, verkürzte Cache‑Dauern, API‑Schnittstellen mit Authentifizierung, taktische De‑Indexierung und schnelle automatisierte Takedown‑Pipelines gegenüber bekannten Scraping‑Zielen. Wichtig ist die Verhältnismäßigkeit: Manche Maßnahmen sind nur bei besonders hohem Risiko angezeigt, andere können als allgemein angemessen gelten.

Bei Identitätsverifikation gibt es Abstufungen: von einfachen E‑Mail‑/SMS‑Verifizierungen über ID‑Checks mittels vertrauenswürdiger Drittanbieter bis hin zu stärkeren Verfahren wie Video‑Ident oder behördlich gestützten Prüfungen. Der EuGH verlangt nicht ein bestimmtes Level, sondern, gestützt auf Art. 24 und 25 DSGVO, dass das gewählte Niveau sachgerecht ist und dokumentiert wird. Wo sensible Daten betroffen sind, steigt die Messlatte; fehlt eine Verifikation, ist die Veröffentlichung zu verweigern, sofern keine ausdrückliche Einwilligung vorliegt.

Vertragliche und policy‑seitige Anpassungen

Die Entscheidung hat auch erhebliche Auswirkungen auf AGB‑Formulierungen und interne Policy‑Regelwerke. Weitreichende Nutzungsrechte an UGC (z. B. Syndication‑, Reproduktions‑ und Verbreitungsrechte) können als Indiz für eigene Zwecksetzungen der Plattform gewertet werden und damit die Einordnung als Verantwortlicher begünstigen. Betreiber sollten deshalb prüfen, ob ihre AGB‑Klauseln im Einklang mit einem klaren Datenschutzkonzept stehen, Transparenzanforderungen nach Art. 13/14 DSGVO erfüllen und die Zweckbindung deutlich regeln.

Im Falle gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) ist eine vertragliche Regelung der „respective responsibilities“ erforderlich. Praktisch bedeutet das, dass Plattformen Standardvereinbarungen benötigen, die festlegen, wer welche Pflichten gegenüber Betroffenen erfüllt, wie Auskunfts‑ und Löschbegehren gehandhabt werden und welche Kontakte als Anlaufstelle fungieren. Eine funktionale Lösung ist die Integration entsprechender Regelungen in die AGB‑ und Datenschutzerklärung, ergänzt um technische Nachweise, wie Verifikations‑Workflows dokumentiert werden.

Folgen für laufende Verfahren (z. B. Künast gegen Meta) und die Rechtspraxis in Deutschland

Die Russmedia‑Entscheidung hat bereits Signalwirkung für weitere Verfahren gezeigt: So ist das beim Bundesgerichtshof anhängige Verfahren Künast gegen Meta inhaltlich anders gelagert (zentrale Fragen des Persönlichkeitsrechts und Unterlassungspflichten), doch die datenschutzrechtlichen Leitlinien des EuGH prägen die Erwägungen zur Plattformverantwortung. Der BGH hatte sein Verfahren ausgesetzt, um den EuGH‑Spruch abzuwarten. Die Tendenz geht dahin, Plattformen – insbesondere große soziale Netzwerke – enger in Rechenschaft zu nehmen und präventivere Maßnahmen zu erwarten, wenn eine Wiederholung rechtsverletzender Inhalte naheliegt. Wie weit diese Pflicht reicht und in welchen Konstellationen eine Plattform ohne Hinweis tätig werden muss, wird die weitere Rechtsprechung zeigen. Bis dahin liefert C‑492/23 eine klare normative Orientierung für nationale Gerichte und Aufsichtsbehörden.

Praktischer Leitfaden: Erste Schritte für Betreiber

Betreiber kleiner und mittlerer Plattformen sollten pragmatisch, aber rechtskonform vorgehen. Ein möglicher Fahrplan lautet: Zunächst eine Bestandsaufnahme: Welche Bereiche der Plattform können sensible Daten enthalten? Im zweiten Schritt eine Risikoanalyse nach Art, Umfang, Kontext und Zweck der Datenverarbeitung. Drittens sind technische Anpassungen vorzusehen: Upload‑Flags, kategorische Beschränkungen, abgestufte Verifikationsprozesse und dokumentierte Moderations‑Workflows. Viertens muss die Datenschutzerklärung überarbeitet und die Rollenverteilung gegenüber Nutzern transparent kommuniziert werden. Fünftens ist die Dokumentation zentral: Entscheidungen, Risikoanalysen, Tests und TOMs sind aufzubewahren, damit im Streitfall die Rechenschaftspflicht erfüllt werden kann.

Konkrete Maßnahmen mit hoher Hebelwirkung sind meist verhältnismäßig und kosteneffizient: Sperrung oder besondere Absicherung von Kategorien, die typischerweise sensible Inhalte aufnehmen; Pflichtfelder zur Kontaktdatenerhebung im Inserate‑Formular; automatisierte Flagging‑Regeln, die Inhalte mit potenzieller Sensitivität auf „Review“ setzen; Notfall‑Takedown‑Prozeduren und eine Schnittstelle zu Reputations‑ bzw. Löschanfragen.

Schlussfolgerung

Das Urteil des EuGH in der Rechtssache C‑492/23 (Russmedia) markiert eine signifikante Wende in der Auslegung der datenschutzrechtlichen Verantwortlichkeit von Plattformbetreibern im digitalen Raum. Es verschiebt die Grenze zwischen rein technischer Bereitstellung und aktiver Verantwortung zugunsten eines stärkeren Schutzes Betroffener, insbesondere wenn sensible personenbezogene Daten betroffen sind. Die Vorgaben sind risikobasiert, verlangen jedoch präventives Handeln: Identifikation sensibler Inhalte, Verifikation der Identität des Inserierenden und technische Maßnahmen zum Schutz vor Kopien und Weiterverbreitung. Wirtschaftlich und organisatorisch bedeuten diese Vorgaben für viele Anbieter Anpassungsdruck, der gerade kleinere Dienste vor besondere Herausforderungen stellt. Rechtlich schafft der EuGH damit klare Leitplanken: Das Host‑Provider‑Privileg kann die DSGVO‑Pflichten nicht aushebeln, wenn die Plattform wesentliche Einflussgrößen der Verarbeitung bestimmt.

Handlungsempfehlung von LEGAL SMART

LEGAL SMART unterstützt Plattformbetreiber, Start‑ups und Betreiber kleiner Dienste bei der Umsetzung der Anforderungen aus C‑492/23. Wir bieten maßgeschneiderte Risikoanalysen, Unterstützung bei der Erstellung dokumentierter TOM‑Konzepte, Formulierung datenschutzkonformer AGB‑ und Datenschutzhinweise sowie die Implementierung verfahrenssicherer Moderations‑ und Verifikationsworkflows. Nehmen Sie Kontakt mit uns auf, um in einem ersten Audit die konkreten Handlungsbedarfe Ihrer Plattform zu ermitteln und pragmatische, verhältnismäßige Lösungen zu entwickeln.