Russmedia (EuGH C-492/23): Wenn „Host Provider“ plötzlich Verantwortliche sind

Der EuGH hat mit Urteil vom 2. Dezember 2025 (C-492/23 „Russmedia“) eine Weichenstellung vorgenommen, die für Online-Plattformen mit User-Generated-Content (UGC) weit über den konkreten Fall eines Kleinanzeigen-Marktplatzes hinausreicht. Im Kern geht es um eine Reibungsfläche, die viele Plattformbetreiber seit Jahren unterschätzen: Das klassische Host-Provider-Privileg (früher E-Commerce-Richtlinie 2000/31/EG, heute in weiten Teilen im Digital Services Act fortentwickelt) begrenzt zwar Haftungsrisiken für „fremde Informationen“, beantwortet aber nicht automatisch die Frage, wer datenschutzrechtlich als „Verantwortlicher“ agiert, sobald personenbezogene Daten in UGC-Inhalten verarbeitet werden.

Der Ausgangssachverhalt ist schnell erzählt und zugleich prototypisch: Auf einem rumänischen Online-Marktplatz wurde eine Anzeige eingestellt, die eine Frau fälschlich als Anbieterin sexueller Dienstleistungen darstellte und dabei Fotos sowie Telefonnummer ohne Einwilligung verwendete. Der Plattformbetreiber löschte nach Hinweis binnen kurzer Zeit, allerdings kursierte der Inhalt bereits auf Drittseiten weiter. Die nationalen Instanzen entschieden unterschiedlich; das Berufungsgericht legte dem EuGH Fragen zur datenschutzrechtlichen Verantwortlichkeit und zum Verhältnis zur Haftungsfreistellung der E-Commerce-Richtlinie vor. (

Die Tragweite ergibt sich aus der Antwortstruktur des EuGH: Er ordnet den Marktplatzbetreiber als (Mit-)Verantwortlichen ein, bejaht eine gemeinsame Verantwortlichkeit mit dem einstellenden Nutzer („joint controllership“) für den Veröffentlichungsvorgang und leitet daraus vor-gelagerte Pflichten ab, die in der Praxis wie ein „Pre-Upload-Compliance-Gate“ wirken – jedenfalls für sensible Daten im Sinne von Art. 9 DSGVO. Gleichzeitig schiebt der EuGH den Versuch beiseite, diese Pflichten über das Host-Provider-Privileg zu neutralisieren.

Wichtig ist dabei: Das Urteil ist kein allgemeiner Freibrief für umfassendes Upload-Filtering in sämtlichen Lebenslagen. Der Gerichtshof argumentiert erkennbar risikobasiert, datenkategorienbezogen (Art. 9 DSGVO) und entlang der Accountability-Systematik der DSGVO (Art. 5 Abs. 2, Art. 24 ff.). Genau diese Systematik kollidiert jedoch mit vielen Plattformarchitekturen, die im „UGC-Default“ auf schnelle Veröffentlichung und nachgelagerte Moderation setzen.

Der zentrale Dogmenwechsel: „Controller“ trotz fremdem Inhalt

Die klassische Denkfigur vieler Plattformen lautet: „Inhalte stammen von Nutzern; Plattform ist neutral; also datenschutzrechtlich allenfalls technischer Dienstleister.“ Der EuGH macht deutlich, dass diese Verengung nicht trägt, sobald die Plattform über Zwecke und Mittel einer Verarbeitung mitentscheidet. Für die Veröffentlichung personenbezogener Daten im Internet ist nicht entscheidend, wer den Text tippt oder das Foto hochlädt, sondern wer die Publikation ermöglicht, parametrisiert und wirtschaftlich nutzt.

Der Gerichtshof stellt zunächst die bekannte Definition aus Art. 4 Nr. 7 DSGVO in den Vordergrund: Verantwortlicher ist, wer „allein oder gemeinsam mit anderen“ über Zwecke und Mittel entscheidet. Er betont ausdrücklich, dass „joint controllership“ nicht zwingend eine gemeinsame, formal abgestimmte Entscheidung verlangt; es genügt, dass Entscheidungen „konvergieren“ und jeweils spürbaren Einfluss auf Zwecke und Mittel haben.

Auf den Marktplatz übertragen: Der Nutzer bestimmt typischerweise Inhalt und Ziel seiner Anzeige, also den unmittelbaren Zweck. Die Plattform wiederum bestimmt den Rahmen der Veröffentlichung: welche Kategorien es gibt, wie lange Inhalte sichtbar sind, wie sie auffindbar gemacht werden, ob anonym gepostet werden darf, welche technischen Prozesse beim Upload greifen, ob Inhalte an Partner weitergegeben werden können, wie die Präsentation erfolgt. In dieser „Publikationsmaschine“ liegt die mitbestimmende Steuerung. In der Entscheidung wird zudem herausgestellt, dass die AGB des Marktplatzes weitgehende Nutzungsrechte am Anzeigeninhalt vorsahen (Kopieren, Verbreiten, Übermitteln, an Partner übertragen, jederzeit entfernen). Solche Klauseln sind nicht nur „IP-Housekeeping“, sondern werden im datenschutzrechtlichen Verantwortlichkeitsbild als Indiz für eine eigene Zwecksetzung der Plattform gewertet: Die Veröffentlichung geschieht nicht bloß „für den Nutzer“, sondern auch für eigene kommerzielle Zwecke.

Damit wird ein häufiger Compliance-Fehler sichtbar: AGB-Texte, die aus Produkt- oder Marketingperspektive großzügige Rechte an UGC einräumen (Syndication, Cross-Posting, „Partners“, „Promotion“), können im datenschutzrechtlichen Rahmen den Weg in eine Verantwortlichkeit ebnen – jedenfalls, wenn personenbezogene Daten Teil des UGC sind. Das gilt nicht nur für Kleinanzeigen, sondern genauso für Creator-Plattformen, Community-Hubs, Kommentarbereiche, Bewertungsportale, Modding-Portale und In-Game-Marketplaces.

Die konkrete Pflichtentrias: Identifizieren, verifizieren, verweigern

Die eigentliche Sprengkraft des Russmedia-Urteils liegt in den daraus abgeleiteten Vorfeldpflichten für sensitive Daten. Der EuGH formuliert sie im Tenor bemerkenswert operational:

Erstens muss die Plattform „vor der Veröffentlichung“ diejenigen Anzeigen identifizieren, die sensitive Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten. Zweitens muss sie verifizieren, ob der Nutzer, der eine solche Anzeige einstellen will, die Person ist, deren sensitive Daten in der Anzeige erscheinen. Drittens muss sie die Veröffentlichung verweigern, wenn das nicht der Fall ist – es sei denn, der Nutzer kann eine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder eine andere Ausnahme des Art. 9 Abs. 2 DSGVO nachweisen.

Hinter dieser Trias steht kein abstraktes „Seid vorsichtig“, sondern die Accountability-Logik: Wer als (Mit-)Verantwortlicher agiert, muss die Rechtmäßigkeit und Einhaltung der Datenschutzprinzipien nicht nur „hoffen“, sondern nach Art. 5 Abs. 2 DSGVO nachweisen können. Bei sensiblen Daten ist die Messlatte höher: Verarbeitung ist grundsätzlich verboten, Ausnahmen sind eng. Deswegen reicht im Modell des EuGH ein reines Notice-and-Takedown nicht aus, wenn die Plattform systemisch ermöglicht, dass sensible Daten Dritter ohne Einwilligung veröffentlicht werden.

Praktisch ist das Urteil gleichzeitig spezifisch und tückisch: „Sensitive Daten“ sind nicht nur Gesundheitsakten oder Parteibücher. Art. 9 DSGVO umfasst u. a. Daten zur sexuellen Orientierung/Privatleben, Gesundheitsdaten, politische Meinung, religiöse Überzeugung, Gewerkschaftszugehörigkeit, biometrische Daten zur Identifizierung, genetische Daten. Schon ein UGC-Post „X ist depressiv“ oder „Y ist Mitglied Partei Z“ kann in diese Zone rutschen – selbst wenn es in der Umgangssprache als „Meinung“ oder „Gerücht“ daherkommt. Das bedeutet: Je offener eine Plattform UGC zulässt (Foren, Kommentarspalten, In-Game-Chat-Logs, Community-Boards), desto häufiger existiert zumindest das Risiko, dass Art. 9-Daten „mitschwingen“.

Das Urteil zwingt deshalb zur Differenzierung nach Plattform-Oberflächen und Funktionslogik: Ein Kleinanzeigenformular, das strukturiert Kategorien abfragt und Upload-Felder bietet, lässt sich eher mit technischen Vorfeldkontrollen versehen als ein Live-Chat. Trotzdem bleibt die Leitfrage identisch: Wo ist die Plattform in der Lage, mit „geeigneten technischen und organisatorischen Maßnahmen“ (Art. 24, 25 DSGVO) risikoangemessen zu steuern, bevor Inhalte öffentlich werden?

Hier ist Vorsicht bei reflexartigen Schlussfolgerungen geboten. Der EuGH sagt nicht: „Alles muss vorab moderiert werden.“ Er sagt: Wer als Verantwortlicher für die Veröffentlichung sensibler Daten Dritter in Anspruch genommen werden kann, muss organisatorisch und technisch so aufgestellt sein, dass (a) sensitive Inhalte identifiziert werden können und (b) bei solchen Inhalten eine Identitäts-/Einwilligungsprüfung möglich ist. Das kann in der Umsetzung sehr unterschiedliche Formen annehmen: von Upload-Workflows mit Risiko-Flags über abgestufte Veröffentlichung („pending review“) bis zu funktionaler Abschottung bestimmter UGC-Bereiche (z. B. keine öffentliche Sichtbarkeit ohne Account-Verifikation, Einschränkung von Bilduploads, Begrenzung bestimmter Kategorien). Entscheidend ist die Verhältnismäßigkeit im Lichte von „nature, scope, context, purposes“ und der Risiken (Art. 24, Art. 32 DSGVO).

Keine Flucht über das Host-Provider-Privileg: DSGVO bleibt DSGVO

Der zweite große Block der Entscheidung betrifft das Verhältnis zur E-Commerce-Richtlinie. Plattformbetreiber argumentieren seit jeher: Solange keine Kenntnis von konkreter Rechtswidrigkeit vorliegt, greift die Haftungsfreistellung für fremde Inhalte; eine allgemeine Überwachungspflicht besteht nicht. Diese Grundsätze sind für viele Haftungsregime weiterhin relevant (z. B. zivilrechtliche Störerhaftungskonzepte, urheberrechtliche Notice-and-Takedown-Prozesse, DSA-Pflichten). Der EuGH zieht jedoch eine klare Linie: Für Verstöße gegen datenschutzrechtliche Pflichten aus der DSGVO kann der Marktplatzbetreiber sich nicht auf Art. 12–15 der E-Commerce-Richtlinie berufen, um die DSGVO-Pflichten zu „unterlaufen“. (Europäischer Gerichtshof)

Besonders wichtig ist dabei die Einordnung des Verbots allgemeiner Überwachungspflichten. Der EuGH stellt ausdrücklich fest, dass die DSGVO-Compliancepflichten der Plattform nicht als „general monitoring obligation“ im Sinne von Art. 15 der E-Commerce-Richtlinie zu klassifizieren seien. Mit anderen Worten: Selbst wenn nationale Rechtsordnungen keine generelle Überwachung verlangen dürfen, kann die DSGVO – risikobasiert und datenkategorienbezogen – sehr wohl vorfeldige Maßnahmen erfordern.

Damit wird das Compliance-Design komplexer: Auf derselben Plattform kann ein Beitrag, der „nur“ beleidigend ist, haftungsrechtlich nach den klassischen Notice-and-Action-Mechanismen behandelt werden, während ein inhaltsgleicher Beitrag, der zusätzlich sensitive Daten Dritter enthält, datenschutzrechtlich vor Veröffentlichung in ein strengeres Regime rutscht. Der von Kommentatoren hervorgehobene „Systembruch“ ist real: Es entstehen parallele Pflichtenregime, die in Produkt und Moderation zusammengeführt werden müssen.

Ein weiterer Aspekt: Der Generalanwalt hatte – soweit dokumentiert – die Verantwortlichkeit des Plattformbetreibers deutlich zurückhaltender bewertet und ihn eher als Auftragsverarbeiter eingeordnet bzw. die parallele Geltung des Host-Provider-Privilegs betont. Der EuGH ist hiervon abgewichen. Für die Praxis ist das ein Signal: Ein „wir sind nur Host“-Narrativ trägt datenschutzrechtlich nicht zuverlässig, selbst wenn es in anderen Rechtsbereichen weiterhin Schutzwirkung entfalten kann. (

„Anti-Copy“-Pflichten und die technische Realität von UGC-Ökosystemen

Das Urteil enthält noch einen dritten Baustein, der operativ häufig unterschätzt wird: Plattformen müssen bei sensiblen Daten geeignete Sicherheitsmaßnahmen implementieren, um das Kopieren und die unrechtmäßige Veröffentlichung auf anderen Websites zu verhindern, soweit dies technisch möglich ist (Art. 32 DSGVO risikobasiert). Der EuGH formuliert keine Garantiepflicht, aber eine Pflicht zur ernsthaften, am Stand der Technik orientierten Risikominderung. Im Urteil heißt es sinngemäß, der Verantwortliche müsse technische Maßnahmen in Betracht ziehen, die „apt to block the copying and reproduction of online content“ sind; zugleich sei aus einer späteren unrechtmäßigen Weiterverbreitung nicht automatisch zu schließen, die Maßnahmen seien ungeeignet – der Verantwortliche muss Gelegenheit haben, Entlastungsnachweise zu führen.

Das ist heikel, weil das „Kopieren“ von Online-Inhalten technisch schwer vollständig zu verhindern ist. Screenshots, Scraping, Re-Uploads, Mirror-Sites: Die Realität eines offenen Netzes ist Replikation. Die Pflicht ist daher nicht als „Digital-DRM für Kleinanzeigen“ zu verstehen, sondern als risikobasierte Maßnahmenmatrix. Beispiele können sein: Hotlink-Schutz, Rate-Limiting und Bot-Mitigation, Einschränkungen von Embedding, differenzierte Robots-Regeln (wobei das keine Sicherheit im Sinne des Art. 32 garantiert), Token-basierte Auslieferung von Bildern, Wasserzeichen (vorsichtig: nicht als personenbezogene Zusatzverarbeitung), verkürzte Cache-Dauern, Zugangshürden für sensible Kategorien, technische Deindexierungs-/Takedown-Pipelines, Partner-Syndication-Kontrollen sowie – zentral – eine Begrenzung der Erstveröffentlichung sensibler Daten durch Vorfeld-Gates.

Gerade hier zeigt sich, dass „Technik“ und „Recht“ nicht getrennt arbeiten dürfen. Ein DSGVO-konformes Plattform-Setup verlangt technische Designentscheidungen („privacy by design“ und „by default“, Art. 25 DSGVO), die in Produktroadmaps, Architektur und Moderation verankert sind. Bei UGC-Plattformen ist das kein One-Shot-Projekt, sondern ein fortlaufendes Risikomanagement.

Relevanz für Games, Community-Plattformen und Creator-Ökosysteme

Ein häufiger Einwand lautet: „Das war ein Marktplatz, nicht ein Spiel.“ Das ist formal richtig – in der Risikologik aber nur bedingt beruhigend. Games und gaming-nahe Plattformen sind längst UGC-Ökosysteme: Chat, Voice-Transkripte, Profiltexte, Clanseiten, Screenshots, Replays, Nutzer-Avatare, Mod-Uploads, In-Game-Marketplaces, Guild-Recruitment-Posts, Matchmaking-Foren, Support-Tickets, Community-Discord-Bridges, Creator-Tools. In all diesen Bereichen werden personenbezogene Daten verarbeitet und häufig öffentlich gemacht.

Die Russmedia-Logik kann hier auf mehreren Ebenen relevant werden:

1. In-Game-Marketplaces und Item-Trading-Plattformen: Sobald Nutzer Anzeigen oder Angebote einstellen können, ist die Parallele zum Marktplatz unmittelbar. Wenn Profile oder Angebote sensitive Daten enthalten (z. B. „Suche Clan für Therapie-Pauses“, „Suche Mitspieler, bin HIV-positiv“, „LGBTQ-Only-Clan“), entsteht – unabhängig von der Wertung im Community-Kontext – potenziell Art. 9-Relevanz. Das Urteil zwingt dazu, solche Inhalte entweder in geschützte, nicht öffentliche Bereiche zu verlagern oder Vorfeldprüfungen zu implementieren.
2. Foren, Kommentarbereiche, Gruppen-Funktionen: Hier liegt das Hauptproblem in der Skalierung. Der EuGH denkt vom „Identifizieren sensibler Inhalte“ her. Für Foren kann das bedeuten: riskobasierte Trigger (Keywords, Kategorien, Meldefunktionen) und eine funktionale Differenzierung. Beispielsweise kann ein „Gesundheit/Support“-Bereich per Default nicht öffentlich indexierbar sein, nur für verifizierte Accounts freigeschaltet werden und strengere Posting-Regeln haben. Solche Designentscheidungen sind nicht nur Community-Management, sondern datenschutzrechtliche Risikoreduktion.
3. UGC-Assets (Mods, Skins, Maps, User-Portraits): Sobald UGC-Assets Bilder enthalten, steigt das Risiko von Persönlichkeitsrechts- und Datenschutzverletzungen (Fotos Dritter, Deepfakes, biometrische Identifizierbarkeit). Art. 9-Dimension kann etwa bei biometrischen Daten zur eindeutigen Identifizierung (Gesichtserkennung) anknüpfen, jedenfalls wenn Plattformprozesse die Verarbeitung in diese Richtung lenken. In der Praxis sind die Grenzlinien kompliziert; das Urteil erhöht aber die Erwartung, dass Plattformen Upload-Prozesse risikogerecht gestalten.
4. Cross-Posting, Partner-Syndication, „Featured Content“: Viele Plattformen verbreiten UGC aktiv weiter, etwa durch „Trending“-Seiten, Social-Media-Embeds, Partnernetzwerke, In-App-Feeds. Das Urteil differenziert: Wenn die Plattform Inhalte aktiv an Partner überträgt, kann dies eine eigene Verarbeitungskette sein, für die sie allein Verantwortliche ist. Das ist rechtlich und vertraglich relevant, weil genau dort Zwecksetzung und Mittelgestaltung besonders deutlich bei der Plattform liegen.

Die Folge ist keine Pauschalpflicht, Nutzeridentitäten flächendeckend zu klarnamenbasierten Identitäten zu machen. Aber: Für bestimmte Risikozonen – insbesondere bei potenziell sensiblen Daten – werden Plattformen künftig erklären müssen, warum ein bestimmtes Maß an Verifikation, Workflow-Gating oder Sichtbarkeitsbegrenzung nicht geboten sein soll. Heise und andere Stimmen lesen das Urteil als Schritt hin zu einem „cleannet“ bzw. als faktischen Druck auf anonyme Nutzung. Ob diese gesellschaftspolitische Bewertung überzeugt, ist eine eigene Debatte; technisch-rechtlich zwingt das Urteil jedenfalls zu einer neuen Architektur der Verantwortlichkeit. (heise online)

Vertrags- und Policy-Konsequenzen: AGB, Moderation, Rollenmodelle

Für Plattformbetreiber ist Russmedia weniger ein „Rechtsgutachten“, sondern ein Umbauauftrag an Governance und Texte. Drei Bereiche sind typischerweise betroffen:

(1) Rollenmodell und Dokumentation der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO)
Der EuGH geht davon aus, dass Marktplatz und Nutzer für den Veröffentlichungsvorgang gemeinsame Verantwortliche sind. Das wirft sofort die Art-26-Frage auf: Wie werden die „respective responsibilities“ transparent geregelt, wenn der Nutzer im Massengeschäft gar kein individuell verhandelbarer Vertragspartner ist? In der Praxis läuft das auf standardisierte Plattformbedingungen hinaus, die datenschutzrechtliche Rollen, Pflichten des Nutzers (insb. keine Dritt-Daten ohne Rechtsgrundlage), Mitwirkungspflichten (z. B. Nachweis der Einwilligung) und Zuständigkeiten für Betroffenenrechte abbilden. Der EuGH betont zugleich, dass eine solche Regelung unmöglich wäre, wenn der Nutzer gegenüber der Plattform anonym bleibt – das ist der rechtliche Hebel für Identity-Gating bei sensiblen Inhalten.

(2) UGC-Klauseln zu Nutzungsrechten und Syndication („copy, distribute, transfer to partners“)
Die AGB-Passage zu weitgehenden Rechten an UGC war im Sachverhalt prominent. Daraus folgt nicht zwingend, dass solche Klauseln „verboten“ wären. Aber sie müssen in ein stimmiges Datenschutz-Konzept eingebettet sein: Wenn UGC personenbezogene Daten enthalten kann, braucht es klare Zweckbestimmungen, Transparenz (Art. 13/14 DSGVO), Begrenzung auf Erforderliches, differenzierte Einwilligungsmodelle (wo wirklich nötig) und vor allem eine Produktlogik, die verhindert, dass Dritte Daten „für“ Nutzer einstellen. Der rein deklaratorische Satz „Nutzer ist verantwortlich“ wird nach Russmedia als Schutzschild nicht genügen, wenn die Plattform zugleich Publikations- und Verbreitungszwecke verfolgt.

(3) Moderations- und Notice-Prozesse als „TOMs“ (Art. 24, 25, 32 DSGVO)
Nach Russmedia sind Moderationsprozesse nicht nur DSA-Pflichten oder Community-Management, sondern können technische und organisatorische Maßnahmen (TOMs) im Sinne der DSGVO darstellen. Damit steigt der Anspruch an Nachweisbarkeit: Welche Prüfmechanismen existieren für sensible Daten? Welche Trigger führen zu „Hold“ statt „Publish“? Wie wird Identität geprüft, wenn Art-9-Risiken auftreten? Wie wird dokumentiert, dass ein Nutzer Einwilligungen hat oder eine Ausnahme greift? Wie werden Re-Uploads erkannt? Wie wird das Risiko des Kopierens reduziert? Das sind Governance-Fragen, die sich im Streitfall nicht mit einem Screenshot einer „Melden“-Schaltfläche beantworten lassen.

In der Praxis wird ein risikobasiertes Schichtenmodell an Bedeutung gewinnen: Offene UGC-Bereiche mit rein nachgelagertem Notice-and-Action für „normale“ Inhalte; strengere Vorkontrollen, Account-Verifikation und Sichtbarkeitsbegrenzungen in Bereichen, in denen sensitive Daten typischerweise vorkommen; und Sonderprozesse für Bildinhalte und Profilelemente, die besonders häufig Persönlichkeitsrechtsverletzungen tragen.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.