Der Europäische Gerichtshof (EuGH) hatte in einem Vorabentscheidungsverfahren erstmalig zu klären, in welchem Umfang Online-Plattformen für die in nutzergenerierten Inhalten enthaltenen personenbezogenen Daten verantwortlich sind – und welche präventiven und nachträglichen Sorgfaltspflichten daraus für die Betreiber folgen (Urteil vom 2. Dezember, Az. C-492/23 – Russmedia). Ausgangspunkt war ein Rechtsstreit, bei dem auf einem rumänischen Online-Marktplatz eine Anzeige veröffentlicht wurde, in der eine Frau zu Unrecht als Anbieterin sexueller Dienstleistungen dargestellt wurde und die ohne ihre Einwilligung sowohl Fotos als auch ihre Telefonnummer enthielt. Die Anzeige wurde vom Betreiber anschließend auch auf anderen Kleinanzeigen-Plattformen vervielfältigt.
Der Gerichtshof stellte in seinem Urteil klar, dass der Betreiber des Online-Marktplatzes neben dem (im vorliegenden Fall unbekannten) Inserenten als gemeinsamer Verantwortlicher der in der Anzeige enthaltenen personenbezogenen Daten im Sinne der Datenschutzgrundverordnung (DSGVO) angesehen sein kann, wenn die Veröffentlichung der Anzeige (auch) in seinem eigenen (insbesondere kommerziellen) Interesse erfolgt und wenn der Betreiber Einfluss auf die Verarbeitung dieser Daten nimmt, die über eine bloße Veröffentlichung (Hosting) hinausgeht. Dies soll etwa dann der Fall sein, wenn der Plattformbetreiber Vorgaben zu Darstellung, Dauer, Rubrizierung oder Ranking von Anzeigen macht und damit datenschutzrechtlich nicht rein neutral bleibt. Das Urteil ist insbesondere deshalb brisant, weil diese Kriterien auf nahezu alle heute verbreiteten Online-Plattformen zutreffen, auf denen nutzergenerierte Inhalte zu finden sind.
Liegt eine solche gemeinsame Verantwortlichkeit im Sinne der DSGVO vor, treffen die Plattformen nach dem Urteil weitgehende Pflichten: Betreiber müssen vor Veröffentlichung nutzergenerierter Inhalte erstens überprüfen, ob diese sensible Daten (zu Gesundheit, Sexualität etc.) enthält, zweitens die Identität der einstellenden Person verifizieren und gegebenenfalls eine Einwilligung abfragen und drittens geeignete technische und organisatorische Maßnahmen treffen, um eine unkontrollierte Verbreitung von Daten zumindest zu erschweren. Ohne eine entsprechende Vorabprüfung dürfen nutzergenerierte Inhalte künftig nicht freigeschaltet werden. Zugleich stellte das Gericht klar, dass sich Plattformen nicht auf ihr eigentlich geltendes Privileg berufen können, wonach die Betreiber nutzergenerierte Inhalte grundsätzlich gerade nicht vorab prüfen müssen. Diese nach dem Digital Services Act erst kürzlich vom Gesetzgeber bestätigte Haftungserleichterung tritt nach der Entscheidung des EuGH in datenschutzrechtlich relevanten Fällen hinter den Anforderungen der DSGVO zurück.
Diese jetzt für Online-Marktplätze entwickelt Rechtsprechung lässt sich grundsätzlich auch auf andere Online-Dienste übertragen. Im Licht aktueller Diskussionen wie etwa um den Mobbing auf Facebook betreffenden „Fall Künast“ hat das Urteil große Bedeutung etwa für soziale Netzwerke und Online-Foren. Auch diese sind künftig verpflichtet, alle Postings, die sensible Daten enthalten (können), vorab zu überprüfen und ihre Veröffentlichung gegebenenfalls zu unterbinden. Praktisch könnte das Urteil somit theoretisch den Wandel hin zu einer stärkeren Kontrolle nutzergenerierter Inhalte im Netz markieren, was möglicherweise das Ende anonymer Plattformen bedeuten könnte.
Zu beachten ist jedoch, dass die jetzt bestätigten Pflichten nur diejenigen Plattform-Betreiber betreffen, die selbst Einfluss auf die Verarbeitung der in den nutzergenerierten Inhalten enthaltenen personenbezogenen Daten nehmen. Das Urteil ist daher nicht auf reine Hosting-Anbieter anwendbar, die sich beim Veröffentlichungsprozess neutral verhalten. Außerdem ist darauf hinzuweisen, dass das Pflichtenprogramm bei nicht sensiblen personenbezogenen Daten weniger weitreichend ist. Plattform-Betreiber sollten daher prüfen, wie sie ihr Geschäftsmodell und technischen Abläufe gegebenenfalls anpassen können. Im Extremfall kann es erforderlich sein, entweder zuverlässige Verifizierungs- und Kontrollmechanismen für nutzergenerierte Inhalte zu etablieren oder aber sich auf ein reines Hosting-Modell zurückzuziehen, um sich so den Prüfpflichten zu entziehen.
(Dr. Lukas Mezger, UNVERZAGT Rechtsanwälte)