Russmedia EuGH C-492/23: Host Provider Verantwortlich | IT-Medienrecht

Erfahren Sie, wie der EuGH C-492/23 (Russmedia) die Verantwortlichkeit von Host Providern für UGC neu definiert. Jetzt informieren: Neue Pflichten für…

Das Wichtigste in Kürze

  • Das EuGH-Urteil „Russmedia“ erweitert die datenschutzrechtliche Verantwortlichkeit von Online-Plattformen für User-Generated Content (UGC).
  • Plattformbetreiber können als (Mit-)Verantwortliche eingestuft werden, insbesondere bei der Verarbeitung sensibler Daten (Art. 9 DSGVO).
  • Es entstehen konkrete Vorfeldpflichten (Identifizierung, Verifizierung, Verweigerung) für die Veröffentlichung sensibler Daten.
  • Das Host-Provider-Privileg schützt nicht vor den DSGVO-Compliance-Pflichten.
  • AGB-Klauseln, die weitreichende Nutzungsrechte an UGC einräumen, können die Verantwortlichkeit der Plattform begründen.
EuGH-Urteil Russmedia: Datenschutzrechtliche Verantwortlichkeit für User-Generated Content

EuGH-Urteil Russmedia: Datenschutzrechtliche Verantwortlichkeit für User-Generated Content (UGC)

Mit seinem Urteil vom 2. Dezember 2025 (C-492/23 „Russmedia“) hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung getroffen. Diese betrifft Online-Plattformen mit User-Generated-Content (UGC) und reicht weit über den konkreten Fall eines Kleinanzeigen-Marktplatzes hinaus. Im Kern geht es um eine oft unterschätzte Reibungsfläche für viele Plattformbetreiber.

Das klassische Host-Provider-Privileg, einst Teil der E-Commerce-Richtlinie 2000/31/EG und heute im Digital Services Act fortentwickelt, begrenzt zwar Haftungsrisiken für „fremde Informationen“. Es beantwortet jedoch nicht automatisch die Frage, wer datenschutzrechtlich als „Verantwortlicher“ agiert, sobald personenbezogene Daten in UGC-Inhalten verarbeitet werden.

Der Ausgangsfall: Sensible Daten auf einem Online-Marktplatz

Der Ausgangssachverhalt ist schnell erzählt und prototypisch für viele Online-Plattformen. Auf einem rumänischen Online-Marktplatz wurde eine Anzeige eingestellt. Diese stellte eine Frau fälschlicherweise als Anbieterin sexueller Dienstleistungen dar.

Dabei wurden Fotos und Telefonnummer der Frau ohne ihre Einwilligung verwendet. Der Plattformbetreiber löschte den Inhalt nach einem Hinweis innerhalb kurzer Zeit. Der Inhalt kursierte jedoch bereits auf Drittseiten weiter.

Die nationalen Instanzen entschieden unterschiedlich. Das Berufungsgericht legte dem EuGH Fragen zur datenschutzrechtlichen Verantwortlichkeit und zum Verhältnis zur Haftungsfreistellung der E-Commerce-Richtlinie vor.

Die Tragweite des Russmedia-Urteils: Mitverantwortung bei UGC

Die Tragweite des EuGH-Urteils ergibt sich aus seiner Antwortstruktur. Der Gerichtshof ordnet den Marktplatzbetreiber als (Mit-)Verantwortlichen ein. Er bejaht eine gemeinsame Verantwortlichkeit mit dem einstellenden Nutzer („joint controllership“) für den Veröffentlichungsvorgang.

Daraus leitet der EuGH vorgelagerte Pflichten ab. Diese wirken in der Praxis wie ein „Pre-Upload-Compliance-Gate“ – zumindest für sensible Daten im Sinne von Art. 9 DSGVO. Gleichzeitig schiebt der EuGH den Versuch beiseite, diese Pflichten über das Host-Provider-Privileg zu neutralisieren.

Wichtig ist dabei: Das Urteil ist kein allgemeiner Freibrief für umfassendes Upload-Filtering in sämtlichen Lebenslagen. Der Gerichtshof argumentiert erkennbar risikobasiert, datenkategorienbezogen (Art. 9 DSGVO) und entlang der Accountability-Systematik der DSGVO (Art. 5 Abs. 2, Art. 24 ff. DSGVO). Genau diese Systematik kollidiert jedoch mit vielen Plattformarchitekturen, die im „UGC-Default“ auf schnelle Veröffentlichung und nachgelagerte Moderation setzen.

Der zentrale Dogmenwechsel: „Controller“ trotz fremden Inhalts

Die klassische Denkfigur vieler Plattformen lautet: „Inhalte stammen von Nutzern; die Plattform ist neutral; also bin ich datenschutzrechtlich allenfalls technischer Dienstleister.“ Der EuGH macht deutlich, dass diese Verengung nicht trägt. Sie greift nicht, sobald die Plattform über Zwecke und Mittel einer Verarbeitung mitentscheidet.

Für die Veröffentlichung personenbezogener Daten im Internet ist nicht entscheidend, wer den Text tippt oder das Foto hochlädt. Vielmehr ist es relevant, wer die Publikation ermöglicht, parametrisiert und wirtschaftlich nutzt.

Die Definition des Verantwortlichen und "Joint Controllership"

Der Gerichtshof stellt zunächst die bekannte Definition aus Art. 4 Nr. 7 DSGVO in den Vordergrund. Verantwortlicher ist, wer „allein oder gemeinsam mit anderen“ über Zwecke und Mittel entscheidet. Er betont ausdrücklich, dass „joint controllership“ nicht zwingend eine gemeinsame, formal abgestimmte Entscheidung verlangt.

Es genügt, dass Entscheidungen „konvergieren“ und jeweils spürbaren Einfluss auf Zwecke und Mittel haben. Im Kontext des Marktplatzes bestimmt der Nutzer typischerweise Inhalt und Ziel seiner Anzeige, also den unmittelbaren Zweck.

Plattform als "Publikationsmaschine"

In dieser „Publikationsmaschine“ liegt die mitbestimmende Steuerung. Die Entscheidung hebt zudem hervor, dass die AGB des Marktplatzes weitgehende Nutzungsrechte am Anzeigeninhalt vorsahen (Kopieren, Verbreiten, Übermitteln, an Partner übertragen, jederzeit entfernen).

Solche Klauseln sind nicht nur „IP-Housekeeping“, sondern werden im datenschutzrechtlichen Verantwortlichkeitsbild als Indiz für eine eigene Zwecksetzung der Plattform gewertet. Die Veröffentlichung geschieht nicht bloß „für den Nutzer“, sondern auch für eigene kommerzielle Zwecke.

Damit wird ein häufiger Compliance-Fehler sichtbar: AGB-Texte, die aus Produkt- oder Marketingperspektive großzügige Rechte an UGC einräumen (Syndication, Cross-Posting, „Partners“, „Promotion“), können im datenschutzrechtlichen Rahmen den Weg in eine Verantwortlichkeit ebnen. Dies gilt zumindest, wenn personenbezogene Daten Teil des UGC sind.

Dies gilt nicht nur für Kleinanzeigen, sondern ebenso für Creator-Plattformen, Community-Hubs, Kommentarbereiche, Bewertungsportale, Modding-Portale und In-Game-Marketplaces.

Die konkrete Pflichtentrias des Russmedia-Urteils

Pflichtentrias des Russmedia-Urteils 1 Identifizierung sensibler Daten (Art. 9 Abs. 1 DSGVO) 2 Verifizierung der Person des Nutzers 3 Verweigerung der Veröffentlichung (ohne Einwilligung/Ausnahme)
Pflichtentrias des Russmedia-Urteils

Die eigentliche Sprengkraft des Russmedia-Urteils liegt in den daraus abgeleiteten Vorfeldpflichten für sensible Daten. Der EuGH formuliert sie im Tenor bemerkenswert operational:

  1. Identifizierung: Die Plattform muss „vor der Veröffentlichung“ diejenigen Anzeigen identifizieren, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten.
  2. Verifizierung: Sie muss verifizieren, ob der Nutzer, der eine solche Anzeige einstellen will, die Person ist, deren sensible Daten in der Anzeige erscheinen.
  3. Verweigerung: Die Plattform muss die Veröffentlichung verweigern, wenn dies nicht der Fall ist. Eine Ausnahme besteht, wenn der Nutzer eine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder eine andere Ausnahme des Art. 9 Abs. 2 DSGVO nachweisen kann.

Hinter dieser Trias steht kein abstraktes „Seid vorsichtig“, sondern die Accountability-Logik der DSGVO. Wer als (Mit-)Verantwortlicher agiert, muss die Rechtmäßigkeit und Einhaltung der Datenschutzprinzipien nicht nur „hoffen“, sondern nach Art. 5 Abs. 2 DSGVO nachweisen können. Bei sensiblen Daten ist die Messlatte höher: Verarbeitung ist grundsätzlich verboten, Ausnahmen sind eng.

Deswegen reicht im Modell des EuGH ein reines Notice-and-Takedown nicht aus, wenn die Plattform systemisch ermöglicht, dass sensible Daten Dritter ohne Einwilligung veröffentlicht werden. Dieses Notice-and-Takedown-Prinzip findet sich auch in den Verpflichtungen des Digital Services Act (DSA), doch die DSGVO setzt hier strengere Maßstäbe an die Vorabprüfung.

Herausforderungen bei der Identifizierung sensibler Daten

Praktisch ist das Urteil gleichzeitig spezifisch und tückisch: „Sensitive Daten“ sind nicht nur Gesundheitsakten oder Parteibücher. Art. 9 DSGVO umfasst unter anderem Daten zur sexuellen Orientierung/Privatleben, Gesundheitsdaten, politische Meinung, religiöse Überzeugung, Gewerkschaftszugehörigkeit, biometrische Daten zur Identifizierung sowie genetische Daten.

Schon ein UGC-Post wie „X ist depressiv“ oder „Y ist Mitglied der Partei Z“ kann in diese Zone rutschen. Dies gilt selbst, wenn es in der Umgangssprache als „Meinung“ oder „Gerücht“ daherkommt. Das bedeutet: Je offener eine Plattform UGC zulässt (Foren, Kommentarspalten, In-Game-Chat-Logs, Community-Boards), desto häufiger existiert zumindest das Risiko, dass Art. 9-Daten „mitschwingen“.

Das Urteil zwingt deshalb zur Differenzierung nach Plattform-Oberflächen und Funktionslogik. Ein Kleinanzeigenformular, das strukturiert Kategorien abfragt und Upload-Felder bietet, lässt sich eher mit technischen Vorfeldkontrollen versehen als ein Live-Chat.

Trotzdem bleibt die Leitfrage identisch: Wo ist die Plattform in der Lage, mit „geeigneten technischen und organisatorischen Maßnahmen“ (Art. 24, Art. 25 DSGVO) risikoangemessen zu steuern, bevor Inhalte öffentlich werden?

Hier ist Vorsicht bei reflexartigen Schlussfolgerungen geboten. Der EuGH sagt nicht: „Alles muss vorab moderiert werden.“ Er sagt: Wer als Verantwortlicher für die Veröffentlichung sensibler Daten Dritter in Anspruch genommen werden kann, muss organisatorisch und technisch so aufgestellt sein, dass sensitive Inhalte identifiziert werden können und bei solchen Inhalten eine Identitäts-/Einwilligungsprüfung möglich ist.

Das kann in der Umsetzung sehr unterschiedliche Formen annehmen. Beispiele sind Upload-Workflows mit Risiko-Flags, abgestufte Veröffentlichung („pending review“), funktionale Abschottung bestimmter UGC-Bereiche oder Einschränkung von Bilduploads. Entscheidend ist die Verhältnismäßigkeit im Lichte von „nature, scope, context, purposes“ und der Risiken (Art. 24, Art. 32 DSGVO).

Keine Flucht über das Host-Provider-Privileg: DSGVO bleibt DSGVO

Der zweite große Block der Entscheidung betrifft das Verhältnis zur E-Commerce-Richtlinie. Plattformbetreiber argumentieren seit jeher: Solange keine Kenntnis von konkreter Rechtswidrigkeit vorliegt, greift die Haftungsfreistellung für fremde Inhalte; eine allgemeine Überwachungspflicht besteht nicht.

Diese Grundsätze sind für viele Haftungsregime weiterhin relevant, beispielsweise für zivilrechtliche Störerhaftungskonzepte, urheberrechtliche Notice-and-Takedown-Prozesse oder DSA-Pflichten. Der EuGH zieht jedoch eine klare Linie: Für Verstöße gegen datenschutzrechtliche Pflichten aus der DSGVO kann sich der Marktplatzbetreiber nicht auf Art. 12–15 der E-Commerce-Richtlinie berufen, um die DSGVO-Pflichten zu „unterlaufen“.

Besonders wichtig ist dabei die Einordnung des Verbots allgemeiner Überwachungspflichten. Der EuGH stellt ausdrücklich fest, dass die DSGVO-Compliancepflichten der Plattform nicht als „general monitoring obligation“ im Sinne von Art. 15 der E-Commerce-Richtlinie zu klassifizieren seien.

Mit anderen Worten: Selbst wenn nationale Rechtsordnungen keine generelle Überwachung verlangen dürfen, kann die DSGVO – risikobasiert und datenkategorienbezogen – sehr wohl vorfeldige Maßnahmen erfordern.

Damit wird das Compliance-Design komplexer: Auf derselben Plattform kann ein Beitrag, der „nur“ beleidigend ist, haftungsrechtlich nach den klassischen Notice-and-Action-Mechanismen behandelt werden. Ein inhaltsgleicher Beitrag, der zusätzlich sensible Daten Dritter enthält, rutscht datenschutzrechtlich jedoch vor Veröffentlichung in ein strengeres Regime.

Der von Kommentatoren hervorgehobene „Systembruch“ ist real: Es entstehen parallele Pflichtenregime, die in Produkt und Moderation zusammengeführt werden müssen.

Ein weiterer Aspekt: Der Generalanwalt hatte – soweit dokumentiert – die Verantwortlichkeit des Plattformbetreibers deutlich zurückhaltender bewertet. Er hatte ihn eher als Auftragsverarbeiter eingeordnet beziehungsweise die parallele Geltung des Host-Provider-Privilegs betont. Der EuGH ist hiervon abgewichen. Für die Praxis ist das ein Signal: Ein „wir sind nur Host“-Narrativ trägt datenschutzrechtlich nicht zuverlässig, selbst wenn es in anderen Rechtsbereichen weiterhin Schutzwirkung entfalten kann.

„Anti-Copy“-Pflichten und die technische Realität von UGC-Ökosystemen

Das Urteil enthält noch einen dritten Baustein, der operativ häufig unterschätzt wird. Plattformen müssen bei sensiblen Daten geeignete Sicherheitsmaßnahmen implementieren. Diese sollen das Kopieren und die unrechtmäßige Veröffentlichung auf anderen Websites verhindern, soweit dies technisch möglich ist (Art. 32 DSGVO risikobasiert).

Der EuGH formuliert keine Garantiepflicht, aber eine Pflicht zur ernsthaften, am Stand der Technik orientierten Risikominderung. Im Urteil heißt es sinngemäß, der Verantwortliche müsse technische Maßnahmen in Betracht ziehen, die „apt to block the copying and reproduction of online content“ sind. Zugleich sei aus einer späteren unrechtmäßigen Weiterverbreitung nicht automatisch zu schließen, die Maßnahmen seien ungeeignet. Der Verantwortliche muss Gelegenheit haben, Entlastungsnachweise zu führen.

Das ist heikel, weil das „Kopieren“ von Online-Inhalten technisch schwer vollständig zu verhindern ist. Screenshots, Scraping, Re-Uploads, Mirror-Sites: Die Realität eines offenen Netzes ist Replikation. Die Pflicht ist daher nicht als „Digital-DRM für Kleinanzeigen“ zu verstehen, sondern als risikobasierte Maßnahmenmatrix.

Beispiele können sein:

Gerade hier zeigt sich, dass „Technik“ und „Recht“ nicht getrennt arbeiten dürfen. Ein DSGVO-konformes Plattform-Setup verlangt technische Designentscheidungen („privacy by design“ und „by default“, Art. 25 DSGVO). Diese müssen in Produktroadmaps, Architektur und Moderation verankert sein. Bei UGC-Plattformen ist das kein One-Shot-Projekt, sondern ein fortlaufendes Risikomanagement.

Relevanz für Games, Community-Plattformen und Creator-Ökosysteme

Ein häufiger Einwand lautet: „Das war ein Marktplatz, nicht ein Spiel.“ Dies ist formal richtig – in der Risikologik aber nur bedingt beruhigend. Games und gaming-nahe Plattformen sind längst zu UGC-Ökosystemen geworden. Dazu gehören: Chat, Voice-Transkripte, Profiltexte, Clanseiten, Screenshots, Replays, Nutzer-Avatare, Mod-Uploads, In-Game-Marketplaces, Guild-Recruitment-Posts, Matchmaking-Foren, Support-Tickets, Community-Discord-Bridges und Creator-Tools. In all diesen Bereichen werden personenbezogene Daten verarbeitet und häufig öffentlich gemacht.

Die Russmedia-Logik kann hier auf mehreren Ebenen relevant werden:

  1. In-Game-Marketplaces und Item-Trading-Plattformen

    Sobald Nutzer Anzeigen oder Angebote einstellen können, ist die Parallele zum Marktplatz unmittelbar. Wenn Profile oder Angebote sensitive Daten enthalten (z. B. „Suche Clan für Therapie-Pause“, „Suche Mitspieler, bin HIV-positiv“, „LGBTQ-Only-Clan“), entsteht – unabhängig von der Wertung im Community-Kontext – potenziell Art. 9-Relevanz. Das Urteil zwingt dazu, solche Inhalte entweder in geschützte, nicht öffentliche Bereiche zu verlagern oder Vorfeldprüfungen zu implementieren.

  2. Foren, Kommentarbereiche, Gruppen-Funktionen

    Hier liegt das Hauptproblem in der Skalierung. Der EuGH denkt vom „Identifizieren sensibler Inhalte“ her. Für Foren kann das bedeuten: risikobasierte Trigger (Keywords, Kategorien, Meldefunktionen) und eine funktionale Differenzierung. Beispielsweise kann ein „Gesundheit/Support“-Bereich per Default nicht öffentlich indexierbar sein, nur für verifizierte Accounts freigeschaltet werden und strengere Posting-Regeln haben. Solche Designentscheidungen sind nicht nur Community-Management, sondern datenschutzrechtliche Risikoreduktion. Die Überwachung von Chats und Inhalten in Onlinespielen ist dabei ein zentraler Aspekt, der im Rahmen der Jugendschutz- und Präventionsmaßnahmen diskutiert wird.

  3. UGC-Assets (Mods, Skins, Maps, User-Portraits)

    Sobald UGC-Assets Bilder enthalten, steigt das Risiko von Persönlichkeitsrechts- und Datenschutzverletzungen (Fotos Dritter, Deepfakes, biometrische Identifizierbarkeit). Eine spezielle Gefahr geht hierbei von KI-Deepfakes aus. Art. 9-Dimension kann etwa bei biometrischen Daten zur eindeutigen Identifizierung (Gesichtserkennung) anknüpfen, jedenfalls wenn Plattformprozesse die Verarbeitung in diese Richtung lenken. In der Praxis sind die Grenzlinien kompliziert; das Urteil erhöht aber die Erwartung, dass Plattformen Upload-Prozesse risikogerecht gestalten.

  4. Cross-Posting, Partner-Syndication, „Featured Content“

    Viele Plattformen verbreiten UGC aktiv weiter, etwa durch „Trending“-Seiten, Social-Media-Embeds, Partnernetzwerke oder In-App-Feeds. Das Urteil differenziert: Wenn die Plattform Inhalte aktiv an Partner überträgt, kann dies eine eigene Verarbeitungskette sein, für die sie allein Verantwortliche ist. Das ist rechtlich und vertraglich relevant, weil genau dort Zwecksetzung und Mittelgestaltung besonders deutlich bei der Plattform liegen.

Die Folge ist keine Pauschalpflicht, Nutzeridentitäten flächendeckend zu klarnamenbasierten Identitäten zu machen. Aber: Für bestimmte Risikozonen – insbesondere bei potenziell sensiblen Daten – werden Plattformen künftig erklären müssen, warum ein bestimmtes Maß an Verifikation, Workflow-Gating oder Sichtbarkeitsbegrenzung nicht geboten sein soll. Heise und andere Stimmen lesen das Urteil als Schritt hin zu einem „Cleannet“ beziehungsweise als faktischen Druck auf anonyme Nutzung. Ob diese gesellschaftspolitische Bewertung überzeugt, ist eine eigene Debatte; technisch-rechtlich zwingt das Urteil jedenfalls zu einer neuen Architektur der Verantwortlichkeit. (heise online)

Vertrags- und Policy-Konsequenzen für Plattformbetreiber

Für Plattformbetreiber ist das Russmedia-Urteil weniger ein „Rechtsgutachten“, sondern ein Umbauauftrag an Governance und Texte. Drei Bereiche sind typischerweise betroffen:

In der Praxis wird ein risikobasiertes Schichtenmodell an Bedeutung gewinnen. Dies umfasst offene UGC-Bereiche mit rein nachgelagertem Notice-and-Action für „normale“ Inhalte. Strengere Vorkontrollen, Account-Verifikation und Sichtbarkeitsbegrenzungen sind in Bereichen nötig, in denen sensible Daten typischerweise vorkommen. Zudem sind Sonderprozesse für Bildinhalte und Profilelemente erforderlich, die besonders häufig Persönlichkeitsrechtsverletzungen aufweisen.

Fazit

Das EuGH-Urteil "Russmedia" markiert einen Paradigmenwechsel für Online-Plattformen und deren Umgang mit User-Generated Content. Es stellt klar, dass Betreiber bei der Verarbeitung sensibler personenbezogener Daten eine Mitverantwortung tragen und proaktive Maßnahmen ergreifen müssen. Dies erfordert eine umfassende Anpassung von Compliance-Strategien, Vertragsgestaltungen und technischen Prozessen, um den gestiegenen Anforderungen der DSGVO gerecht zu werden und Haftungsrisiken zu minimieren.

Schritt-für-Schritt-Anleitung

  1. Umsetzung der Pflichtentrias bei sensiblen Daten nach dem Russmedia-Urteil

    1. Identifizierung: Die Plattform muss „vor der Veröffentlichung“ diejenigen Anzeigen identifizieren, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten. 2. Verifizierung: Die Plattform muss verifizieren, ob der Nutzer, der eine solche Anzeige einstellen will, die Person ist, deren sensible Daten in der Anzeige erscheinen, oder ob eine ausdrückliche Einwilligung vorliegt. 3. Verweigerung: Die Plattform muss die Veröffentlichung verweigern, wenn die Identifizierung und Verifizierung negativ ausfallen und keine andere Ausnahme des Art. 9 Abs. 2 DSGVO nachweisbar ist.

Häufig gestellte Fragen

Was ist die Kernaussage des EuGH-Urteils „Russmedia“ (C-492/23)?
Das Urteil stellt klar, dass Online-Plattformen mit User-Generated Content (UGC) datenschutzrechtlich als (Mit-)Verantwortliche agieren können, insbesondere wenn personenbezogene, sensible Daten betroffen sind. Es erweitert die Pflichten von Plattformbetreibern über das klassische Host-Provider-Privileg hinaus.
Wann wird eine Plattform zum datenschutzrechtlichen (Mit-)Verantwortlichen für UGC?
Eine Plattform wird zum (Mit-)Verantwortlichen, sobald sie über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten im UGC mitentscheidet, beispielsweise durch die Ermöglichung, Parametrisierung und wirtschaftliche Nutzung der Veröffentlichung. Dies gilt auch, wenn AGB weitgehende Nutzungsrechte am UGC vorsehen.
Welche konkreten Vorfeldpflichten ergeben sich für Plattformen bei sensiblen Daten?
Bei sensiblen Daten (Art. 9 DSGVO) muss die Plattform vor der Veröffentlichung Anzeigen identifizieren, die solche Daten enthalten. Sie muss verifizieren, ob der einstellende Nutzer die betroffene Person ist oder deren Einwilligung vorliegt, und die Veröffentlichung andernfalls verweigern.
Schützt das Host-Provider-Privileg Plattformen vor diesen DSGVO-Pflichten?
Nein, der EuGH hat klargestellt, dass sich Plattformbetreiber für Verstöße gegen datenschutzrechtliche Pflichten aus der DSGVO nicht auf das Host-Provider-Privileg der E-Commerce-Richtlinie berufen können. Die DSGVO-Compliance-Pflichten werden nicht als allgemeine Überwachungspflichten eingestuft.
Welche Arten von Daten fallen unter den Begriff „sensible Daten“ gemäß Art. 9 DSGVO?
Sensible Daten umfassen unter anderem Angaben zur sexuellen Orientierung, Gesundheitsdaten, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit sowie genetische und biometrische Daten zur eindeutigen Identifizierung einer Person.