Der Europ\u00e4ische Gerichtshof (EuGH) hatte in einem Vorabentscheidungsverfahren erstmalig zu kl\u00e4ren, in welchem Umfang Online-Plattformen f\u00fcr die in nutzergenerierten Inhalten enthaltenen personenbezogenen Daten verantwortlich sind \u2013 und welche pr\u00e4ventiven und nachtr\u00e4glichen Sorgfaltspflichten daraus f\u00fcr die Betreiber folgen (Urteil vom 2. Dezember, Az. C-492\/23 \u2013\u00a0Russmedia). Ausgangspunkt war ein Rechtsstreit, bei dem auf einem rum\u00e4nischen Online-Marktplatz eine Anzeige ver\u00f6ffentlicht wurde, in der eine Frau zu Unrecht als Anbieterin sexueller Dienstleistungen dargestellt wurde und die ohne ihre Einwilligung sowohl Fotos als auch ihre Telefonnummer enthielt. Die Anzeige wurde vom Betreiber anschlie\u00dfend auch auf anderen Kleinanzeigen-Plattformen vervielf\u00e4ltigt.<\/p>\n\n\n\n
Der Gerichtshof stellte in seinem Urteil klar, dass der Betreiber des Online-Marktplatzes neben dem (im vorliegenden Fall unbekannten) Inserenten als gemeinsamer Verantwortlicher der in der Anzeige enthaltenen personenbezogenen Daten im Sinne der Datenschutzgrundverordnung (DSGVO) angesehen sein kann, wenn die Ver\u00f6ffentlichung der Anzeige (auch) in seinem eigenen (insbesondere kommerziellen) Interesse erfolgt und wenn der Betreiber Einfluss auf die Verarbeitung dieser Daten nimmt, die \u00fcber eine blo\u00dfe Ver\u00f6ffentlichung (Hosting) hinausgeht. Dies soll etwa dann der Fall sein, wenn der Plattformbetreiber Vorgaben zu Darstellung, Dauer, Rubrizierung oder Ranking von Anzeigen macht und damit datenschutzrechtlich nicht rein neutral bleibt. Das Urteil ist insbesondere deshalb brisant, weil diese Kriterien auf nahezu alle heute verbreiteten Online-Plattformen zutreffen, auf denen nutzergenerierte Inhalte zu finden sind.<\/p>\n\n\n\n
Liegt eine solche gemeinsame Verantwortlichkeit im Sinne der DSGVO vor, treffen die Plattformen nach dem Urteil weitgehende Pflichten: Betreiber m\u00fcssen vor Ver\u00f6ffentlichung nutzergenerierter Inhalte erstens \u00fcberpr\u00fcfen, ob diese sensible Daten (zu Gesundheit, Sexualit\u00e4t etc.) enth\u00e4lt, zweitens die Identit\u00e4t der einstellenden Person verifizieren und gegebenenfalls eine Einwilligung abfragen und drittens geeignete technische und organisatorische Ma\u00dfnahmen treffen, um eine unkontrollierte Verbreitung von Daten zumindest zu erschweren. Ohne eine entsprechende Vorabpr\u00fcfung d\u00fcrfen nutzergenerierte Inhalte k\u00fcnftig nicht freigeschaltet werden. Zugleich stellte das Gericht klar, dass sich Plattformen nicht auf ihr eigentlich geltendes Privileg berufen k\u00f6nnen, wonach die Betreiber nutzergenerierte Inhalte grunds\u00e4tzlich gerade nicht vorab pr\u00fcfen m\u00fcssen. Diese nach dem Digital Services Act erst k\u00fcrzlich vom Gesetzgeber best\u00e4tigte Haftungserleichterung tritt nach der Entscheidung des EuGH in datenschutzrechtlich relevanten F\u00e4llen hinter den Anforderungen der DSGVO zur\u00fcck.<\/p>\n\n\n\n
Diese jetzt f\u00fcr Online-Marktpl\u00e4tze entwickelt Rechtsprechung l\u00e4sst sich grunds\u00e4tzlich auch auf andere Online-Dienste \u00fcbertragen. Im Licht aktueller Diskussionen wie etwa um den Mobbing auf Facebook betreffenden \u201eFall K\u00fcnast\u201c hat das Urteil gro\u00dfe Bedeutung etwa f\u00fcr soziale Netzwerke und Online-Foren. Auch diese sind k\u00fcnftig verpflichtet, alle Postings, die sensible Daten enthalten (k\u00f6nnen), vorab zu \u00fcberpr\u00fcfen und ihre Ver\u00f6ffentlichung gegebenenfalls zu unterbinden. Praktisch k\u00f6nnte das Urteil somit theoretisch den Wandel hin zu einer st\u00e4rkeren Kontrolle nutzergenerierter Inhalte im Netz markieren, was m\u00f6glicherweise das Ende anonymer Plattformen bedeuten k\u00f6nnte. <\/p>\n\n\n\n
Zu beachten ist jedoch, dass die jetzt best\u00e4tigten Pflichten nur diejenigen Plattform-Betreiber betreffen, die selbst Einfluss auf die Verarbeitung der in den nutzergenerierten Inhalten enthaltenen personenbezogenen Daten nehmen. Das Urteil ist daher nicht auf reine Hosting-Anbieter anwendbar, die sich beim Ver\u00f6ffentlichungsprozess neutral verhalten. Au\u00dferdem ist darauf hinzuweisen, dass das Pflichtenprogramm bei nicht sensiblen personenbezogenen Daten weniger weitreichend ist. Plattform-Betreiber sollten daher pr\u00fcfen, wie sie ihr Gesch\u00e4ftsmodell und technischen Abl\u00e4ufe gegebenenfalls anpassen k\u00f6nnen. Im Extremfall kann es erforderlich sein, entweder zuverl\u00e4ssige Verifizierungs- und Kontrollmechanismen f\u00fcr nutzergenerierte Inhalte zu etablieren oder aber sich auf ein reines Hosting-Modell zur\u00fcckzuziehen, um sich so den Pr\u00fcfpflichten zu entziehen.<\/p>\n\n\n\n
(Dr. Lukas Mezger, UNVERZAGT Rechtsanw\u00e4lte)<\/p>\n","protected":false},"excerpt":{"rendered":"
Der Europ\u00e4ische Gerichtshof (EuGH) hatte in einem Vorabentscheidungsverfahren erstmalig zu kl\u00e4ren, in welchem Umfang Online-Plattformen f\u00fcr die in nutzergenerierten Inhalten enthaltenen personenbezogenen<\/p>\n