Russmedia-Urteil: EuGH beendet Haftungsschutz für Online-Plattformen

Die Ausrede „Wir sind nur Vermittler” gilt nicht mehr. Der Europäische Gerichtshof hat diese Woche Online-Marktplätzen wie Kleinanzeigenportalen und Auktionsplattformen ihre bisherigen Haftungsprivilegien entzogen – mit weitreichenden Folgen für die gesamte Plattformökonomie. Statt sich auf nachträgliches Löschen zu verlassen, müssen Betreiber nun aktiv verhindern, dass Nutzer persönliche Daten anderer ohne Einwilligung veröffentlichen.

Parallel verschärft sich der politische Streit um die Zukunft der Datenschutz-Grundverordnung. Während die EU-Kommission mit ihrem umstrittenen „Digital Omnibus”-Paket den DSGVO-Rahmen für KI-Unternehmen lockern will, warnt Deutschlands oberste Datenschützerin Louisa Specht-Riemenschneider vor einer gefährlichen Aushöhlung von Grundrechten.

Der Fall klingt wie ein Albtraum: Eine Frau aus Rumänien entdeckt, dass jemand auf der Kleinanzeigen-Plattform „Publi24″ ihre Fotos und Telefonnummer in einer gefälschten Kontaktanzeige veröffentlicht hat. Die Plattform, betrieben vom österreichischen Medienkonzern Russmedia, weigerte sich zunächst, proaktiv zu handeln. Man sei lediglich „Hosting-Anbieter” und damit durch die E-Commerce-Richtlinie geschützt – bis zur Meldung trage man keine Verantwortung.

Die EU-KI-Verordnung und das umstrittene „Digital Omnibus”-Paket verändern die Regeln für Plattformbetreiber in rasantem Tempo. Wer personenbezogene Daten zum KI‑Training nutzt, muss jetzt Kennzeichnungspflichten, Risikoklassen und Dokumentationspflichten kennen. Der kostenlose Umsetzungsleitfaden erklärt praxisnah, welche Pflichten auf Entwickler, Anbieter und Datenschutzbeauftragte zukommen – inklusive Übergangsfristen und einfachen Checklisten für die Umsetzung. Ideal für Plattformbetreiber und Compliance‑Verantwortliche. KI-Verordnung: Umsetzungsleitfaden gratis herunterladen

Diese Argumentation hat der EuGH am 2. Dezember in seinem Urteil zur Rechtssache C-492/23 kategorisch zurückgewiesen. Die Richter stellten klar: Wer Nutzerinhalte systematisch organisiert, kategorisiert und indexiert, um damit Geld zu verdienen, übt einen „entscheidenden Einfluss” auf die Datenverarbeitung aus. Plattformbetreiber sind damit gemeinsam mit den Nutzern verantwortlich – und können sich nicht hinter dem Haftungsschutz verstecken, der für Urheberrechtsverletzungen gilt.

Was ändert sich konkret für Unternehmen?

Die Konsequenzen sind drastisch. eBay Kleinanzeigen, Etsy, Willhaben und ähnliche Portale müssen ihre gesamte Content-Moderation überdenken:

Proaktive Kontrolle statt Reaktion: Das bisherige „Notice-and-Takedown”-Prinzip reicht nicht mehr aus. Plattformen sind verpflichtet, technische Maßnahmen zu implementieren, die sensible personenbezogene Daten bereits vor der Veröffentlichung identifizieren und blockieren. Upload-Filter für Datenschutzverstöße werden zur Pflicht – eine technisch erheblich komplexere Aufgabe als das Filtern urheberrechtlich geschützter Inhalte.

Direkte Haftung: Betreiber haften nun unmittelbar für DSGVO-Verstöße in Nutzeranzeigen. Das macht sie zu direkten Zielscheiben für Bußgelder und Schadensersatzforderungen – unabhängig davon, ob sie von einem konkreten Verstoß Kenntnis hatten.

Nutzerverifizierung: Um anonymen Missbrauch zu verhindern, dürften viele Plattformen ihre AGB verschärfen und strengere Identitätsprüfungen einführen müssen.

Sammelklagen: Apple verliert Heimvorteil

In einem zweiten wegweisenden Urteil vom gleichen Tag (Rechtssache C-34/24) stärkte der EuGH die Position von Verbraucherschützern. Die niederländische Stiftung Right to Consumer Justice hatte Apple wegen App-Store-Praktiken und Datenschutzverletzungen verklagt. Apple argumentierte, als in Irland ansässiges Unternehmen nicht in den Niederlanden belangt werden zu können.

Die Richter widersprachen: Verbraucherschutzorganisationen können klagen, wo die betroffenen Verbraucher leben. Damit fällt eine wichtige Verfahrenshürde für DSGVO-Sammelklagen. US-Techkonzerne müssen sich künftig in lokalen Gerichten in der gesamten EU verantworten – nicht nur am Standort ihrer europäischen Zentrale.

Deutscher Daten-Watchdog schlägt Alarm

Während die Rechtsprechung die bestehenden Regeln verschärft, will die Politik sie gleichzeitig aufweichen. Bundesbeauftragte Specht-Riemenschneider kritisierte am 3. Dezember gegenüber netzpolitik.org scharf den Kurs der EU-Kommission: „Die aktuelle Reformdebatte geht in die falsche Richtung.”

Ihr Hauptkritikpunkt: Das „Digital Omnibus”-Paket will die Verarbeitung personenbezogener Daten zum KI-Training auf Basis „berechtigter Interessen” legalisieren – ohne Nutzereinwilligung. „Die Kommission folgt hier einer Empfehlung, bei der leider nicht exakt formuliert wurde, unter welchen Bedingungen KI auf berechtigte Interessen gestützt werden kann”, so die oberste deutsche Datenschützerin. Die pauschalen Ausnahmen für KI-Entwickler könnten das Grundrecht auf informationelle Selbstbestimmung aushöhlen.

Das steht im umstrittenen Reformpaket

Die „Digital Omnibus”-Vorschläge im Überblick:

KI-Freibrief: Unternehmen sollen personenbezogene Daten zum Training von KI-Modellen nutzen dürfen, ohne explizite Zustimmung einzuholen – sofern bestimmte Schutzmaßnahmen greifen.

KMU-Befreiung: Firmen mit weniger als 750 Mitarbeitern müssten keine detaillierten Verarbeitungsverzeichnisse mehr führen. Kritiker befürchten, dass damit gerade mittelgroße Datenhändler der Kontrolle entzogen werden.

Zentrale Durchsetzung: Der EU-Rat verabschiedete kürzlich eine Verfahrensordnung für grenzüberschreitende Fälle, um Verfahren gegen Tech-Konzerne zu beschleunigen, die bisher in Irland verschleppt wurden.

Paradoxe Gemengelage für die Digitalwirtschaft

„Das Russmedia-Urteil ist ein Weckruf für die Plattformökonomie”, analysiert Dr. Markus Weber, IT-Rechtsexperte aus Berlin. „Jahrelang operierten Plattformen in einer haftungsrechtlichen Grauzone. Diese Zone ist jetzt verdampft. Wir erwarten eine Welle von Upload-Filtern für personenbezogene Daten – ähnlich wie beim Urheberrecht, aber technisch weitaus komplexer umzusetzen.”

Die Situation ist widersprüchlich: Während Gerichte die aktuelle DSGVO strenger auslegen denn je, versucht der Gesetzgeber genau diese Fesseln zu lockern, um die KI-Wettbewerbsfähigkeit der EU zu stärken. Für Plattformbetreiber bedeutet das: Sie müssen sich auf verschärfte Compliance-Pflichten einstellen, während gleichzeitig unklar bleibt, ob und wie die Regeln in den kommenden 18 Monaten grundlegend geändert werden.

Das „Digital Omnibus”-Paket dürfte 2026 eine konfliktreiche parlamentarische Debatte durchlaufen. Datenschützer und das Europäische Parlament werden voraussichtlich massiven Widerstand gegen die aggressivsten Deregulierungsversuche der Kommission leisten.

Die Botschaft an die digitale Wirtschaft ist dennoch klar: Die Ära des passiven Datenumgangs ist vorbei. Ob durch Gerichtsurteile oder kommende Gesetze – aktives Datenmanagement ist keine Option mehr, sondern Überlebensbedingung.

PS: Schneller Check für Ihr Unternehmen: Wie ist Ihr KI-System klassifiziert und sind die Dokumentationen DSGVO-sicher? Dieser Gratis‑Guide zur KI‑Verordnung liefert eine Prüf‑Checklist, Kennzeichnungs‑Templates und konkrete To‑dos für den Datenschutz‑Praxisfall – so reduzieren Sie Haftungsrisiken durch fehlerhafte Trainingsdaten. Für Entwickler, DPOs und Rechtsabteilungen unverzichtbar. Jetzt kostenlosen KI-Guide anfordern