Kontext:In diesem Fall vor dem EuGH (C-492/23) geht es um einen Rechtsstreit zwischen einer Person (X) und dem Betreiber eines Online-Marktplatzes (Russmedia), auf dem ohne Zustimmung von X (offensichtlich von einem anderen, registrierten Nutzer der Plattform) eine Anzeige veröffentlicht wurde, die sexuelle Dienstleistungen unter Angabe ihrer persönlichen Daten (Foto und Telefonnummer) anbot. Der Plattform-Betreiber hat die Anzeige umgehend entfernt..
Kernfragen:
-
DSGVO-Konformität:
Hat der Betreiber des Online-Marktplatzes gegen seine Pflichten gemäß der DSGVO verstoßen?
Wer ist "Verantwortlicher" für die Anzeige und die Daten der registrierten User der Plattform?
-
Haftungsfreistellung:
Kann sich der Betreiber des Online-Marktplatzes auf die Haftungsfreistellung gemäß Artikel 14 Absatz 1 der Richtlinie 2000/31/EG (E-Commerce-Richtlinie) berufen?
-
Verhältnis E-Commerce-Richtlinie und DSGVO:
Wie sind die Regelungen dieser beiden Rechtsakte des Unionsrechts zueinander zu gewichten?
Wesentliche Argumente des Generalanwalts:
-
DSGVO-Verpflichtungen des Betreibers:
Der Generalanwalt deutet an, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne der DSGVO angesehen werden kann, insbesondere wenn er über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Dies bedeutet, dass er verpflichtet ist, die Grundsätze der DSGVO einzuhalten (Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datensicherheit usw.).
-
Haftungsfreistellung nach der E-Commerce-Richtlinie für "Hosting-Provider":
Der Generalanwalt erörtert die Voraussetzungen, unter denen ein Hosting-Anbieter (wie der Betreiber des Online-Marktplatzes) von der Haftung für von Nutzern gespeicherte Informationen befreit ist (Artikel 14 der E-Commerce-Richtlinie).
Entscheidend ist, ob der Anbieter Kenntnis von der Rechtswidrigkeit der Information hatte und ob er nach Kenntniserlangung unverzüglich tätig wurde, um die Information zu entfernen oder den Zugang zu sperren.
-
Wechselwirkung der Rechtsakte:
Der Generalanwalt betont, dass die DSGVO die Anwendung der E-Commerce-Richtlinie unberührt lässt (Artikel 2 Absatz 4 DSGVO).
Dies bedeutet, dass die Haftungsfreistellungen der E-Commerce-Richtlinie grundsätzlich auch dann gelten, wenn personenbezogene Daten verarbeitet werden. Allerdings dürfen diese Haftungsfreistellungen nicht dazu führen, dass die in der DSGVO garantierten Rechte der betroffenen Personen ausgehöhlt werden.
Relevanz für IT-Recht, Marketingrecht und Datenschutz:
-
Verantwortlichkeit von Plattformbetreibern:
Die Entscheidung hat erhebliche Auswirkungen auf die Verantwortlichkeit von Betreibern von Online-Plattformen (z. B. soziale Netzwerke, Online-Marktplätze, Foren).
Sie verdeutlicht, dass diese Betreiber sowohl datenschutzrechtliche Pflichten als auch Haftungsrisiken im Zusammenhang mit nutzergenerierten Inhalten haben.
-
Datenschutzrechtliche Sorgfaltspflichten:
Plattformbetreiber müssen sicherstellen, dass ihre Dienste datenschutzkonform gestaltet sind (Privacy by Design, Privacy by Default).
Dies kann beispielsweise bedeuten, dass sie Mechanismen zur Überprüfung der Identität von Nutzern, zur Einholung von Einwilligungen und zur schnellen Entfernung rechtswidriger Inhalte implementieren müssen.
-
Abwägung von Interessen:
Die Entscheidung verdeutlicht die Notwendigkeit, die Interessen der betroffenen Personen (Schutz ihrer personenbezogenen Daten, Achtung ihrer Privatsphäre) mit den Interessen der Plattformbetreiber (Freiheit des Geschäftsverkehrs, Schutz vor übermäßiger Haftung) in Einklang zu bringen.
-
Bedeutung von Compliance-Maßnahmen:
Die Entscheidung unterstreicht die Bedeutung von Compliance-Maßnahmen für Plattformbetreiber. Durch die Implementierung geeigneter technischer und organisatorischer Maßnahmen können sie das Risiko von Datenschutzverletzungen und Haftungsansprüchen reduzieren.
Hinweis: Dies
ist eine Zusammenfassung der Schlussanträge des Generalanwalts.
Es bleibt abzuwarten, wie der Gerichtshof der Europäischen Union in dieser Rechtssache entscheiden wird. Die endgültige Entscheidung kann von den hier dargestellten Ausführungen
abweichen.
Analyse und Aussagen des GA zur Verantwortlichkeit des Plattformbetreibers iSd DSGVO
Der Betreiber eines Online-Marktplatzes agiert für die in den Anzeigen enthaltenen personenbezogenen Daten als Auftragsverarbeiter.
Folglich ist der Betreiber nicht verpflichtet, vor der Veröffentlichung systematisch den Inhalt der Anzeigen zu überprüfen.
Er müsse jedoch organisatorische und technische Maßnahmen zum Schutz dieser Daten ergreifen.
Der Betreiber des Online-Marktplatzes handelt in Bezug auf die personenbezogenen Daten der auf diesem Online-Marktplatz registrierten inserierenden Nutzer als Verantwortlicher. In diesem Rahmen ist er verpflichtet, die Identität der inserierenden Nutzer zu überprüfen.
Laut Ansicht des GA sollen die dem EuGH vorgelegten Fragen wie folgt beantwortet werden:
Art. 5 Abs. 1 lit. f, Art. 6 Abs. 1 lit. a und die Art. 7, 24 und 25 DSGVO sind dahin auszulegen, dass ein Anbieter von Diensten der Informationsgesellschaft, dessen Tätigkeit darin besteht, auf einer Internetseite kostenlose oder kostenpflichtige Anzeigen im Auftrag seiner Nutzer zu hosten, in Bezug auf die personenbezogenen Daten, die in den auf seinem Online-Marktplatz veröffentlichten Anzeigen enthalten sind, als Auftragsverarbeiter handelt.
In diesem Rahmen ist er nicht verpflichtet, den Inhalt der veröffentlichten Anzeigen zu überprüfen oder Sicherheitsmaßnahmen zu ergreifen, die geeignet sind, das Kopieren oder die Weiterverbreitung des Inhalts von über ihn veröffentlichten Anzeigen zu verhindern oder zu beschränken. Indessen hat er geeignete organisatorische und technische Maßnahmen zu treffen, um die Sicherheit der Verarbeitung gegenüber Dritten zu gewährleisten.
Hingegen handelt er in Bezug auf die personenbezogenen Daten der inserierenden Nutzer, die auf seiner Internetseite registriert sind, als Verantwortlicher. In diesem Rahmen hat er die Identität dieser inserierenden Nutzer zu überprüfen.
Kommentar schreiben