Haftungsprivileg des Host-Providers

Im E-Commerce spielen Host-Provider eine zentrale Rolle. Sie stellen die Plattformen und Strukturen zur Verfügung, auf denen Unternehmer ihre Dienste und Waren anbieten können. Dabei sind Unternehmer im Handel weitgehend frei und tragen grundsätzlich selbst die Verantwortung für ihr Handeln. Selbst bei rechtswidrigen Inhalten beschränkt sich die Verantwortung des Host-Providers gemäß Artikel 6 des Digital Services Act (DSA) darauf, nach entsprechender Meldung den rechtswidrigen Inhalt zu entfernen. In einem aktuellen Verfahren stellt der Europäische Gerichtshof (EuGH) allerdings klar, dass dieses Haftungsprivileg dort seine Grenze findet, wo das Datenschutzrecht berührt ist (EuGH, Urteil vom 2. Dezember – C-492/23 „Russmedia“).

Bestimmung des Pflichtenkreises

Eine Gesellschaft rumänischen Rechts (Russmedia Digital) ist Eigentümerin und Betreiberin eines Online-Marktplatzes, auf dem kostenlos und kostenpflichtig Anzeigen veröffentlicht werden können. Primär betreffen diese Anzeigen den Verkauf von Waren oder die Erbringung von Dienstleistungen. Im Jahr 2018 veröffentlichte eine nicht identifizierbare Person eine Anzeige, in der behauptet wurde, die spätere Klägerin biete sexuelle Dienstleistungen an. Die Anzeige enthielt zudem Fotos sowie die Telefonnummer der Klägerin.

Nachdem die Klägerin Kenntnis von der Anzeige erlangt hatte, meldete sie diese umgehend bei Russmedia, woraufhin die Anzeige kurze Zeit später entfernt wurde. Zu diesem Zeitpunkt waren der Name, die Telefonnummer sowie die Fotos der Klägerin jedoch bereits auf anderen Websites weiterverbreitet worden.

Hierfür wollte die Klägerin Russmedia zur Rechenschaft ziehen. Unter Berufung auf ihr Recht am eigenen Bild, den Schutz der Ehre, des guten Rufs, des Privatlebens sowie auf die Datenschutzgrundverordnung (DSGVO) erhob sie in Rumänien Klage.

Haftungsprivileg greift nicht

Russmedia berief sich darauf, seine Pflichten als Host-Provider nach Artikel 6 DSA erfüllt zu haben, und machte geltend, daher nicht für weitere Verstöße zu haften. Auch das mit dem Fall befasste rumänische Gericht hatte Zweifel hinsichtlich der Reichweite des Providerprivilegs und legte dem EuGH die Frage vor, in welchem Verhältnis das DSA und die DSGVO zueinander stehen.

Der EuGH verwies in seiner Entscheidung auf Artikel 2 Absatz 4 lit. g DSA, wonach die DSGVO durch den DSA unberührt bleibt. Daraus folgerte der Gerichtshof, dass sich ein Host-Provider nicht auf das Haftungsprivileg des DSA berufen kann, soweit eine Verarbeitung personenbezogener Daten im Sinne der DSGVO betroffen ist. Der Provider müsse seinen Online-Marktplatz so ausgestalten, dass bereits vor der Veröffentlichung von Anzeigen überprüft werden könne, ob der einstellende Nutzer mit der Person identisch ist, deren personenbezogene Daten in der Anzeige enthalten sind. Stimmen diese nicht überein, müsse der Provider prüfen, ob eine wirksame Einwilligung der betroffenen Person vorliegt.

Verschärfung für Host Provider

Die Entscheidung des EuGH dürfte nicht gänzlich überraschen. Vergleichbare Wertungen finden sich bereits in früheren Entscheidungen des Gerichtshofs (vgl. etwa EuGH, Urteil vom 6.10.2020 – C-511/18 u. a. – La Quadrature du Net, Rn. 199 ff.). Auch das Landgericht Köln hat bereits 2003 einen ähnlichen Ansatz verfolgt (LG Köln, Urteil vom 26.11.2003 – 28 O 706/02).

Nichtsdestotrotz sorgt die aktuelle Entscheidung für Klarheit vor dem Hintergrund der geänderten Rechtslage. Der DSA ist erst 2024 in Kraft getreten und hat die E-Commerce-Richtlinie abgelöst, sodass nunmehr ein aktueller Maßstab für das Zusammenspiel von Providerhaftung und Datenschutzrecht vorliegt.