EuGH beendet die Ära des passiven Werbe-Hostings

Ein Urteil des Europäischen Gerichtshofs (EuGH) stellt die Haftung von Werbenetzwerken und Marktplätzen auf eine neue Grundlage. Ab sofort können sie als gemeinsame Verantwortliche für Datenschutzverstöße in Anzeigen haften.

Luxemburg/Wien – Mit einem Paukenschlag zum Jahreswechsel hat der Europäische Gerichtshof (EuGH) die Spielregeln für die digitale Werbewirtschaft neu geschrieben. Das Urteil im Fall C-492/23 (Russmedia Digital) vom Dezember 2025 beendet den Status des “passiven Hosts” für Plattformen, die Werbung Dritter schalten. Sie müssen nun aktiv die Rechtmäßigkeit der verarbeiteten personenbezogenen Daten prüfen. Für die Branche bedeutet das ab dem 1. Januar 2026 einen massiven Compliance-Aufwand.

Der Fall drehte sich um einen Online-Marktplatz von Russmedia Digital, auf dem eine Anzeige mit personenbezogenen Daten – darunter Fotos und eine Telefonnummer – ohne Einwilligung der betroffenen Person geschaltet wurde. Bislang konnten sich Plattformen oft auf die “Hosting”-Ausnahme der E-Commerce-Richtlinie berufen.

Doch der EuGH stellt klar: Diese Schutzzone gilt nicht automatisch gegenüber der Datenschutz-Grundverordnung (DSGVO). Sobald ein Plattformbetreiber die “Zwecke und Mittel” der Datenverarbeitung mitbestimmt – etwa durch Kategorisierung, Bewerbung oder Indexierung von Anzeigen – handelt er als Verantwortlicher (Data Controller).

Plattformbetreiber müssen künftig lückenlos dokumentieren, welche personenbezogenen Daten in Anzeigen verarbeitet werden — sonst drohen Sanktionen und hohe Bußgelder. Ein praxisnahes Excel‑Muster hilft Verantwortlichen und Datenschutzbeauftragten, das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO schnell und prüfungssicher zu erstellen. Mit Schritt-für-Schritt-Anleitung und editierbarer Vorlage für unterschiedliche Werbeprozesse. Es erklärt zudem, wie Sie Onboarding, Consent‑Logs und RTB‑Flows dokumentieren. Verarbeitungsverzeichnis jetzt kostenlos herunterladen

“Plattformen können sich nicht länger in Unwissenheit flüchten”, kommentiert eine Wiener Datenschutzexpertin die Entscheidung. Der Gerichtshof begründet eine Prüfpflicht. Werbenetzwerke müssen nun proaktiv sicherstellen, dass ihre Werbekunden über eine rechtliche Grundlage für die Nutzung der Daten verfügen.

Neue Pflichten: Verifizierung und Transparenz

Die unmittelbaren Folgen für das erste Quartal 2026 sind konkret. Die Auskunftspflichten der Plattformen werden massiv ausgeweitet.

• Identitätsprüfung: Vor der Schaltung einer Anzeige mit personenbezogenen Daten muss die Identität des Werbetreibenden verifiziert werden. Ein einfaches Konto reicht nicht mehr.
• Lückenlose Transparenz: Nutzer haben ein Recht zu erfahren, wer genau ihre Daten in einer Anzeige verwendet. Plattformen müssen diese Information lückenlos vorhalten und weitergeben können.
• Proaktive Filter: Das Urteil legt nahe, dass für bestimmte sensible Daten Kategorien automatisierte oder manuelle Vorab-Prüfungen nötig sind.

Diese Pflichten übertragen das Prinzip “Know Your Business Customer” (KYBC) rigoros auf den Datenschutz. Für das Geschäft mit automatisierten Real-Time-Bidding (RTB) und programmatischer Werbung stellt das eine gewaltige Hürde dar.

Kettenreaktion im Werbe-Ökosystem

Obwohl der Fall einen Marktplatz betraf, sind die Grundsätze auf das gesamte Ökosystem der Werbenetzwerke übertragbar – also auch auf Giganten wie Google, Meta und das IAB Europe-Framework.

Das Urteil knüpft direkt an die frühere IAB-Europe-Entscheidung (C-604/22) an, die den für Einwilligungen genutzten “TC String” als personenbezogenes Daten einstufte. Zusammen ziehen diese Urteile die Haftungsschraube an:

1. Gemeinsame Verantwortung: Werbenetzwerke gelten wahrscheinlich als gemeinsame Verantwortliche mit Werbetreibenden und Webseitenbetreibern.
2. Geteilte Haftung: Nutzt ein Werbetreibender Daten unrechtmäßig, kann jetzt auch das Netzwerk, das die Kampagne hostet, zur Verantwortung gezogen werden – wenn es seine Prüfpflicht vernachlässigt hat.

Datenschutzaktivisten begrüßen diese Entwicklung als längst überfällig. “Es schließt ein Schlupfloch, durch das Werbenetzwerke an Datenmissbrauch verdienten, während sie das rechtliche Risiko auf oft undurchsichtige Dritte abwälzten”, so ein Kommentar.

Branche steht vor radikaler Anpassung

Zu Beginn des Jahres 2026 herrscht in der Branche Alarmstimmung. Compliance-Abteilungen arbeiten unter Hochdruck an der Anpassung von Allgemeinen Geschäftsbedingungen (AGB) und Auftragsverarbeitungsverträgen (AVV).

Experten rechnen mit drei zentralen Entwicklungen:
* Verschärftes Onboarding: Werbetreibende müssen bei der Registrierung umfangreiche Identitäts- und Datenherkunftsnachweise erbringen.
* Neue Technische Standards: Ähnlich dem Transparency and Consent Framework (TCF) könnten neue Protokolle nötig werden, die “Verifizierungs-Tokens” zusammen mit der Werbung übermitteln.
* Klagewelle: Da die “Hosting”-Verteidigung ausgehebelt ist, wird für das erste Halbjahr 2026 eine Welle von Klagen erwartet – insbesondere gegen Plattformen, die “Fake-” oder “Betrugs-Anzeigen” mit personenbezogenen Daten schalten.

Das Signal des EuGH ist eindeutig: Die Ära des “neutralen” Werbeintermediärs ist vorbei. Plattformen, die mit der Darstellung personenbezogener Daten Profit machen, müssen nun auch für deren Richtigkeit und Legalität einstehen.

PS: Gerade in Zeiten von Real-Time-Bidding und programmatischer Werbung ist ein überprüfbares Verarbeitungsverzeichnis Pflicht, um gemeinsame Verantwortlichkeiten und Prüfpflichten nachzuweisen. Dieses kostenlose Paket enthält eine sofort einsetzbare Excel‑Vorlage plus eine kurze Anleitung, wie Sie Einträge für Anzeigen-Onboarding, Dienstleister und Consent-Logs strukturieren. Ideal für Compliance-Teams und Plattformbetreiber, die schnell rechtsicher dokumentieren wollen. Jetzt Verarbeitungsverzeichnis-Template sichern