Zurück

ctrl + law | Ausgabe 4/2025

ctrl + law – Wo sich Verantwortung verdichtet | Gernot Fritz

Wer das digitale Recht derzeit beobachtet, sieht keine punktuellen Korrekturen, sondern eine fortschreitende Verdichtung. Gerichte und Gesetzgeber schärfen ihre Linien: nicht isoliert, sondern spürbar im Zusammenspiel von Urheberrecht, Plattformregulierung, IT-Sicherheit und Datenschutz.

In dieser vierten Ausgabe von ctrl + law greifen wir zentrale Entwicklungen auf, die genau an diesen Schnittstellen ansetzen. Der EuGH präzisiert die Anforderungen an den urheberrechtlichen Schutz von Werken der angewandten Kunst und bringt damit neue Klarheit in eine Debatte, die gerade im Design- und Möbelbereich lange von Unsicherheiten geprägt war. Parallel dazu beschließt der österreichische Nationalrat mit dem NISG 2026 die Umsetzung der NIS-2-Richtlinie und setzt damit einen neuen Rahmen für Cyber- und Informationssicherheit, der weit über den bisherigen Rechtsrahmen hinausreicht.

Einen weiteren Schwerpunkt bildet das Verhältnis von KI-Training und Urheberrecht. Mit seiner Entscheidung zur Text- und Data-Mining-Schranke stärkt das OLG Hamburg die rechtlichen Leitplanken für datengetriebene Innovation – und liefert zugleich wichtige Anhaltspunkte für die praktische Ausgestaltung von Trainingsprozessen. Ergänzt wird dies durch einen Blick auf die Plattformregulierung: Mit der ersten DSA-Strafe in Höhe von 120 Millionen Euro gegen die Plattform X zeigt die EU, dass sie bereit ist, die neuen Durchsetzungsinstrumente auch tatsächlich einzusetzen.

Besondere Aufmerksamkeit widmen wir schließlich der Russmedia-Entscheidung des EuGH, die wir bewusst aus zwei Perspektiven beleuchten. Zum einen ordnen wir die datenschutzrechtlichen Aussagen des Gerichtshofs ein, zum anderen analysieren wir die Auswirkungen auf Prüf- und Überwachungspflichten nach dem Digital Services Act. Die Entscheidung markiert einen wichtigen Referenzpunkt für das Verständnis von Verantwortlichkeit im Plattformkontext.

Gemeinsam zeigen diese Themen, dass sich das digitale Regelwerk nicht mehr entlang einzelner Rechtsakte erklären lässt. Urheberrecht, Datenschutz, IT-Sicherheit und Plattformpflichten greifen zunehmend ineinander – und verlangen nach einer Gesamtbetrachtung.

ctrl + law setzt genau hier an: einordnend, verknüpfend und mit dem Blick auf die praktischen Konsequenzen für Unternehmen und Entscheider.

Wir bleiben dran und halten Sie auf dem Laufenden.

Trennstrich bunt

EuGH präzisiert urheberrechtlichen Schutz von Werken der angewandten Kunst | Helmut Liebel

Der EuGH hat in zwei verbundenen Rechtssachen (C-580/23 und C-795/23) wichtige Klarstellungen zum urheberrechtlichen Schutz von Werken der angewandten Kunst getroffen. Die Fälle betrafen Möbeldesigns: Esstische (schwedischer Fall) und ein modulares Möbelsystem (deutscher Fall).

Ein urheberrechtliches Werk muss zwei kumulative Voraussetzungen erfüllen: Originalität (das Werk muss eine eigene geistige Schöpfung des Urhebers darstellen) und hinreichende Ausdrucksform (der Gegenstand muss mit hinreichender Genauigkeit und Objektivität identifizierbar sein).

Zur Originalität: Ein Werk muss die Persönlichkeit seines Urhebers widerspiegeln, indem es dessen freie und kreative Entscheidungen ausdrückt. Für Werke der angewandten Kunst gelten dieselben Anforderungen wie für andere Werkarten, es besteht kein Regel-Ausnahme-Verhältnis zum Geschmacksmusterschutz. Es darf nicht vermutet werden, dass ein Werk kreativ ist. Das Gericht muss die kreativen Entscheidungen konkret in der Form des Gegenstands identifizieren. Entscheidungen, die durch technische Zwänge vorgegeben sind oder dem Gegenstand keinen einzigartigen Aspekt verleihen, sind nicht frei und kreativ. Externe Faktoren wie Museumsausstellungen, Anerkennung in Fachkreisen oder Inspirationsquellen beeinflussen die Originalitätsprüfung jedenfalls nicht.

Zur Ausdrucksform: Der Gegenstand muss objektiv identifizierbar sein, um Rechtssicherheit für Behörden und Dritte zu gewährleisten. Die Ausdrucksform muss nicht dauerhaft sein. Geschützt sind nur Ausdrucksformen, nicht Ideen. Absichten des Urhebers sind nur geschützt, soweit sie im Werk zum Ausdruck kommen.

Bei der Verletzungsprüfung ist entscheidend, ob die kreativen Elemente des geschützten Werks wiedererkennbar übernommen wurden. Der Vergleich des Gesamteindrucks ist nicht maßgeblich; dieser betrifft den Geschmacksmusterschutz.

Key Take-Aways:

  • Einheitlicher Maßstab: Keine Sonderregeln für angewandte Kunst – gleiche Originalitätsanforderungen wie bei allen Werkarten.
  • Objektive Prüfung: Der Gegenstand muss die kreativen Entscheidungen sichtbar zeigen – keine Vermutung der Kreativität.
  • Externe Faktoren unbeachtlich: Ausstellungen, Anerkennung, Inspirationsquellen oder vorhandene Formenschätze spielen keine Rolle.
  • Verletzung: Erkennbarkeit der kreativen Elemente erforderlich – bloßer Gesamteindruck genügt nicht.
Trennstrich bunt

NISG 2026: Nationalrat beschließt NIS-2-Umsetzung | Tanja Pfleger

Der Nationalrat hat am 12. Dezember 2025 das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) beschlossen. Das Gesetz setzt die NIS-2-Richtlinie um und bringt ein deutlich ausgebautes Pflichtenprogramm für „wesentliche“ und „wichtige Einrichtungen“ in vielen Sektoren – von Energie, Verkehr, Bankwesen und Gesundheitswesen bis zur digitalen Infrastruktur und bestimmten digitalen Diensten wie Online-Marktplätze, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke).

Für betroffene Einrichtungen sieht das NISG 2026 ua eine Registrierpflicht bei der Behörde, Governance-Vorgaben, Risikomanagementmaßnahmen im Bereich der Cybersicherheit, Nachweise zur Wirksamkeit, Berichtspflichten sowie Regeln zu Cybersicherheitsvorfällen vor.

Die Leitungsorgane (Geschäftsführer, Vorstand) müssen die Einhaltung der Cybersicherheits-Risikomanagementmaßnahmen sicherstellen und beaufsichtigen – und an speziell gestalteten Cybersicherheitsschulungen teilnehmen. Zusätzlich sind Mitarbeitern regelmäßig entsprechende Schulungen anzubieten.

Eine umfassende Analyse des Gesetzesentwurfs ist auf unserem E+H News Portal abrufbar.

Das NISG 2026 muss noch im Bundesrat behandelt werden und die formalen Kundmachungsschritte durchlaufen. Die zentralen Bestimmungen treten 9 Monate nach Kundmachung mit dem nächstfolgenden Monatsersten in Kraft (voraussichtlich also Herbst 2026).

Key Take-Aways:

  • Scope-Check: Prüfen, mit welchen Tätigkeiten man als wesentliche oder wichtige Einrichtung erfasst ist. Eine Tätigkeit kann bereits ausreichen, um vollständige NIS-2 Compliance sicherstellen zu müssen.
  • Gap-Analyse: Evaluieren der aktuellen technischen und organisatorischen Maßnahmen und Aufsetzen des NIS-2 Umsetzungs-Programms (Prozesse, Dokumentation, Leitlinien).
  • Timeline im Blick behalten: 9-Monats-Countdown ab Kundmachung; Registrierung binnen 3 Monaten ab Inkrafttreten.
Trennstrich bunt

KI-Training & Urheberrecht im Fokus: OLG Hamburg stärkt Text- und Data-Mining-Schranke | Gernot Fritz

Mit einer aktuellen Entscheidung (5 U 104/24) positioniert sich das Hanseatische Oberlandesgericht klar zur urheberrechtlichen Zulässigkeit von Text- und Data-Mining (TDM) im KI-Kontext. Ausgangspunkt war die Klage eines Fotografen gegen einen Forschungsverein, der einen umfangreichen, öffentlich zugänglichen Bild-Text-Datensatz für KI-Trainingszwecke bereitstellte. Der Datensatz selbst enthielt im Wesentlichen Links und Metadaten; die Bilder wurden intern automatisiert heruntergeladen, geprüft und analysiert.

Das OLG Hamburg bestätigt: Diese Nutzung kann durch urheberrechtliche Schranken gedeckt sein. Zentrale Anknüpfungspunkte sind § 44b dtUrhG (Text- und Data-Mining) sowie – ergänzend – § 60d dtUrhG (wissenschaftliche Forschung). Entscheidend ist, dass die Vervielfältigungen technisch erforderlich sind, der Zugang zu den Inhalten rechtmäßig erfolgt und kein wirksamer Nutzungsvorbehalt entgegensteht. Ein bloß textlicher Hinweis (“Scraping verboten”) genügt dafür nicht; erforderlich ist ein maschinenlesbarer Opt-out. Auch der Drei-Stufen-Test steht der Schrankenanwendung nicht entgegen, wenn die Nutzung die normale Verwertung des Werks nicht substituiert.

Für die Praxis datengetriebener Geschäftsmodelle und KI-Entwicklung ist das ein wichtiges Signal. Die Erstellung und Bereitstellung von Trainingsdatensätzen ist nicht per se urheberrechtswidrig, selbst wenn urheberrechtlich geschützte Inhalte technisch verarbeitet werden. Zugleich betont das Gericht die Grenzen: Die Entscheidung bewegt sich im Kontext eines Forschungsakteurs; rein kommerzielle Setups bleiben sorgfältig zu prüfen. Die Revision wurde zugelassen – eine höchstrichterliche Klärung durch den BGH ist daher absehbar.

Auch aus österreichischer Sicht ist die Entscheidung hochrelevant. Mit § 42h UrhG existiert eine vergleichbare Text- und Data-Mining-Schranke, die ebenfalls auf die DSM-Richtlinie zurückgeht. Zwar ist die österreichische Regelung weniger ausdifferenziert als das deutsche Zusammenspiel von § 44b und § 60d dtUrhG, der normative Grundgedanke ist jedoch derselbe: Technisch notwendige Reproduktionen zur automatisierten Analyse können zulässig sein, sofern kein wirksamer Nutzungsvorbehalt besteht. Ein ähnliches Ergebnis wäre daher auch in Österreich gut vertretbar. Es bleibt spannend.

Key Take-Aways:

  • DM-Schranke greift: Technisch notwendige Kopien zur Datenanalyse können zulässig sein.
  • Opt-out nur maschinenlesbar: Textliche Vorbehalte reichen nicht, um TDM wirksam auszuschließen.
  • Österreich ist ähnlich aufgestellt: § 42h UrhG folgt demselben europarechtlichen Leitbild; die Entscheidung ist somit auch hierzulande praxisrelevant.
Trennstrich bunt

EU verhängt erste DSA‑Strafe: 120 Millionen Euro gegen die Plattform X | Felix Hohenthanner

Die Europäische Kommission hat am 5. Dezember 2025 eine Geldbuße in Höhe von EUR 120 Millionen gegen die Social Media Plattform X (ehemals Twitter) verhängt – die erste Sanktion auf Grundlage des Digital Services Act (DSA). Der DSA ist ein zentrales EU Regelwerk zur Regulierung digitaler Dienste und verpflichtet insbesondere große Onlineplattformen zur Einhaltung strenger Transparenz und Nutzer-Schutzstandards.

Der Entscheidung ging eine zweijährige Untersuchung voran, wodurch mehrere Verstöße von Kernpflichten des DSA durch X festgestellt wurden. Dazu zählen insbesondere:

Irreführendes Design der Verifizierung (Blauer Haken): Das System suggeriert eine Art Identitätsprüfung, obwohl zahlende Nutzer ohne effektive Überprüfung ein “verifiziertes” Konto erhalten. Dies wird von der Kommission als täuschend bewertet.

Mangelnde Werbetransparenz: X stellt keine funktionierende, zugängliche Anzeigendatenbank bereit, die Inhalte, Themen und werbende Unternehmen klar ausweist.

Unzureichender Zugang für Forschende: Wissenschaftler:innen wird der Zugang zu öffentlichen Daten der Plattform erschwert.

X muss nun innerhalb weniger Wochen die bemängelten Punkte beheben, andernfalls drohen weitere Strafen. Die Kommission betont hierbei jedoch, dass es beim DSA vorrangig um Regelkonformität, nicht um Bestrafung gehe. Die Reaktionen ließen nicht lange auf sich warten: Elon Musk bezeichnete die Entscheidung als “bullshit” und sprach sich für die Abschaffung der EU aus.

Mit EUR 120 Millionen fällt die Strafe gemessen am Umsatz von X zwar moderat aus, doch sie markiert einen Präzedenzfall für die DSA-Durchsetzung mit Signalwirkung für weitere Plattformen. Künftige Verstöße könnten nicht nur teurer, sondern auch operativ folgenreich werden.

Key Take-Aways:

  • Der DSA ist scharf geschalten: Transparenz‑ und Nutzerrechte stehen im Zentrum der neuen digitalen Regulierung.
  • Design und Transparenz‑Mechanismen müssen funktional sein: Oberflächliche Lösungen reichen nicht aus.
  • Frühzeitige Compliance Prozesse sind entscheidend: Betroffene Unternehmen sollten ihre Plattform Architektur, Werbetransparenz, usw. Jetzt aktiv überprüfen, um regulatorische Risiken zu reduzieren.
Trennstrich bunt

Russmedia Digital #1 – oder: das Ende des Haftungsprivilegs für Plattform Betreiber | Tanja Pfleger

Mit der Entscheidung in der Rechtssache Russmedia Digital (C-492/23) hat der EuGH grundlegend präzisiert, wie weit sich Betreiber von Online-Anzeigenportalen datenschutzrechtlich hinter dem klassischen Provider-Privileg zurückziehen können. Ausgangspunkt war eine rumänische Kleinanzeigenplattform, auf der eine rechtswidrige Sex-Anzeige mit personenbezogenen Daten veröffentlicht worden war. Die Kernaussage des Urteils ist klar und weitreichend: Für Fragen der DSGVO-Verantwortlichkeit trägt das bloße „Hosting-Argument“ der eCommerce-Richtlinie nicht. Datenschutzrechtliche Pflichten greifen unabhängig davon, ob sich ein Plattformbetreiber inhaltsbezogen auf ein Haftungsprivileg berufen kann.

Konkret ging es um eine Anzeige auf der Plattform publi24.ro, in der eine Frau unter Verwendung echter Fotos sowie ihrer Telefonnummer als Anbieterin sexueller Dienstleistungen dargestellt wurde – ohne ihr Wissen und ohne ihre Einwilligung. Der Betreiber von Russmedia Digital entfernte die Anzeige zwar relativ rasch. Zu diesem Zeitpunkt war der Inhalt jedoch bereits auf anderen Websites kopiert und weiterverbreitet worden. Die Betroffene machte daraufhin immateriellen Schadenersatz geltend und stützte ihre Klage auf eine unrechtmäßige Verarbeitung ihrer personenbezogenen Daten sowie auf Verletzungen ihres Rechts am eigenen Bild, ihrer Ehre und ihres Privatlebens.

Das vorlegende rumänische Gericht wollte vom EuGH im Kern klären, ob ein Plattformbetreiber datenschutzrechtlich Verantwortung trägt, wenn über seine Infrastruktur rechtswidrige Inhalte mit – teils besonders sensiblen – personenbezogenen Daten veröffentlicht werden, und ob die Haftungsprivilegien der eCommerce-Richtlinie, die heute im Digital Services Act geregelt sind, auch im Kontext von DSGVO-Verstößen greifen.

Der EuGH beantwortet beide Fragen mit deutlicher Klarheit zugunsten eines strengen Datenschutzverständnisses. Der Schutz personenbezogener Daten sei eigenständig und abschließend in der DSGVO geregelt. Die Haftungsprivilegien der E-Commerce-Richtlinie, insbesondere das Host-Provider-Privileg, änderten nichts an der datenschutzrechtlichen Verantwortlichkeit eines Plattformbetreibers. Auch wenn eine Plattform inhaltsbezogen als bloßer Hosting-Provider einzustufen ist und daher zivilrechtlich privilegiert sein kann, bleibt sie datenschutzrechtlich voll adressiert. Sie muss über eine gültige Rechtsgrundlage für die Verarbeitung verfügen, Transparenzpflichten erfüllen und geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten implementieren. Ein Rückzug auf die Rolle einer rein vermittelnden Infrastruktur ist im Datenschutzrecht nicht möglich.

Im Lichte des Urteils spricht vieles dafür, dass die Haftungsprivilegien des Digital Services Act im Verhältnis zur DSGVO dieselbe Funktion haben wie zuvor jene der E-Commerce-Richtlinie. Sie begrenzen die inhaltsbezogene oder zivilrechtliche Haftung für fremde Inhalte, verändern jedoch nicht die datenschutzrechtliche Einordnung der Plattformbetreiber. Sobald personenbezogene Daten verarbeitet werden – insbesondere in großem Umfang, mit erheblicher Reichweite oder mit wirtschaftlicher Verwertungslogik – ist eine Rolle als Verantwortlicher nach der DSGVO ernsthaft zu prüfen. Privilegien mögen für Fragen der Haftung für Inhalte fortbestehen, sie schaffen aber keinen Schutzschirm gegenüber den Pflichten und Haftungsfolgen der DSGVO.

Key Take-Aways:

  • Rolle als Verantwortlicher: Der EuGH stuft den Marktplatzbetreiber als (Mit-)Verantwortlichen ein, weil er Struktur, Reichweite und wirtschaftliche Nutzung der Anzeigen maßgeblich beeinflusst und kontrolliert – und nicht bloß passiv Speicherplatz zur Verfügung stellt.
  • Haftungsprivileg begrenzt: Die Haftungsfreistellungen der eCommerce-Richtlinie und des DSA greifen bei Datenschutzverstößen nicht. Die Pflichten der DSGVO gelten unabhängig von der Qualifikation als Host-Provider.
Trennstrich bunt

Russmedia Digital #2 – oder: Plattformbetreiber als DSGVO-Verantwortliche, was heißt das konkret? | Gernot Fritz

Im vorangegangenen Beitrag zur Entscheidung des EuGH in der Rechtssache Russmedia Digital (C-492/23) haben wir deren Bedeutung für das klassische Hosting-Privileg eingeordnet: Plattformbetreiber können sich datenschutzrechtlich nicht hinter der Rolle eines neutralen Hosters verstecken.

Die Anschlussfrage ist daher zwingend praktischer Natur: Was bedeutet das konkret für den Betrieb von Online-Plattformen – und welche organisatorischen, technischen und rechtlichen Maßnahmen sind erforderlich, um DSGVO-konform zu agieren?

Der EuGH macht in Russmedia Digital unmissverständlich klar, dass Betreiber von Anzeigenportalen nicht bloß als technische Durchleitungsstellen fungieren, sondern regelmäßig als (Mit-)Verantwortliche im Sinne der DSGVO zu qualifizieren sind. Entscheidend ist dabei nicht, wer den konkreten Inhalt einer Anzeige formuliert hat, sondern wer die Zwecke und Mittel der Verarbeitung prägt. Genau hier setzt der Gerichtshof an: Der Plattformbetreiber stellt nicht nur die technische Infrastruktur bereit, sondern strukturiert das Angebot aktiv, indem er Kategorien, Eingabemasken, Darstellungsformate, Laufzeiten, Sichtbarkeit, Ranking und Reichweite der Anzeigen vorgibt. Hinzu kommt, dass die Inhalte – einschließlich der darin enthaltenen personenbezogenen Daten – nach den eigenen Geschäftsbedingungen häufig auch zu kommerziellen Zwecken genutzt werden, etwa zur Reichweitensteigerung, zur Bewerbung des Dienstes, zur Analyse oder zur Weitergabe an Partner. Diese kumulative Einflussnahme genügt, um eine Rolle als Verantwortlicher zu begründen.

Besonders deutlich wird die Tragweite der Entscheidung dort, wo sensible Daten betroffen sind. Im Fall Russmedia ging es um Angaben zum Sexualleben einer Person, die der EuGH ohne weiteres als besondere Kategorien personenbezogener Daten im Sinne von Art 9 DSGVO einstuft. Dass die Anzeige inhaltlich falsch und frei erfunden war, ändert an dieser Qualifikation nichts. Maßgeblich ist allein, dass der Inhalt geeignet ist, den Eindruck entsprechender persönlicher Eigenschaften oder Verhaltensweisen zu vermitteln. Für solche Konstellationen formuliert der Gerichtshof konkrete und weitreichende Pflichten für Plattformbetreiber. Sie müssen bereits vor der Veröffentlichung geeignete technische und organisatorische Maßnahmen vorsehen, um Anzeigen mit sensiblen Inhalten zu identifizieren, zu prüfen, ob der inserierende Nutzer tatsächlich die betroffene Person ist, und die Veröffentlichung zu verweigern, wenn weder eine ausdrückliche Einwilligung noch eine einschlägige Ausnahme nach Art. 9 DSGVO nachgewiesen werden kann. Datenschutz wird damit ausdrücklich in die vorgelagerte Gestaltung des Dienstes verlagert. Datenschutz by Design ist bei sensiblen Daten kein bloßes Leitprinzip mehr, sondern eine echte Prüf- und Filterpflicht vor dem ersten Live-Gang einer Anzeige.

Darüber hinaus verlangt der EuGH, dass Plattformbetreiber auch Vorkehrungen gegen die unkontrollierte Weiterverbreitung solcher Inhalte treffen. Das umfasst Schutzmaßnahmen gegen automatisiertes Kopieren, Scraping und Re-Uploads auf Drittseiten sowie ein Sicherheitskonzept, das die Risiken einer massenhaften Verbreitung sensibler Daten ernsthaft adressiert. Der Umstand, dass Inhalte nach der Veröffentlichung außerhalb der Plattform weiterverbreitet werden können, entlastet den Betreiber nicht, wenn entsprechende Risiken bereits bei der Konzeption des Dienstes absehbar sind.

Auch wenn sich die Entscheidung schwerpunktmäßig mit sensiblen Daten befasst, lassen sich daraus klare Aussagen für den Umgang mit „gewöhnlichen“ personenbezogenen Daten ableiten. Der EuGH erinnert daran, dass für sämtliche personenbezogenen Daten auf Plattformen die allgemeinen Grundsätze der DSGVO gelten. Jede Verarbeitung bedarf einer tragfähigen Rechtsgrundlage, muss transparent erfolgen, auf das notwendige Maß beschränkt sein und durch ein angemessenes Sicherheitsniveau abgesichert werden. Die besonders strengen Vorab-Prüfpflichten formuliert der Gerichtshof zwar explizit nur für sensible Daten, das entbindet Plattformbetreiber aber keineswegs von einer aktiven datenschutzrechtlichen Verantwortung bei sonstigen personenbezogenen Informationen.

In der Praxis wird man bei Inhalten, die Nutzer:innen über sich selbst einstellen, häufig auf eine ausdrückliche oder zumindest konkludent erteilte Einwilligung oder auf ein von der betroffenen Person bewusst initiiertes Öffentlichmachen abstellen können. Deutlich problematischer sind hingegen personenbezogene Daten über Dritte, die selbst keinen Bezug zur Plattform haben. Hier stößt die in der Praxis oft bemühte Rechtsgrundlage des berechtigten Interesses schnell an ihre Grenzen. Insbesondere die Entscheidung des EuGH in der Rechtssache Mousse / SNCF Connect (C-394/23) unterstreicht, dass berechtigte Interessen nur dann tragfähig sind, wenn sie im Rahmen der Informationspflichten klar, frühzeitig und für die betroffene Person nachvollziehbar kommuniziert werden. Bei Personen, die von einer Plattform nur mittelbar betroffen sind, ist das praktisch kaum umsetzbar. Auch bei „gewöhnlichen“ Daten können sich Plattformbetreiber daher nicht auf ein bloßes Durchreichen fremder Inhalte zurückziehen, sondern müssen Rechtsgrundlagen, Informationspflichten und Sicherheitsmaßnahmen aktiv in ihre Systeme integrieren.

Die strategische Konsequenz dieser Entscheidung liegt damit auf der Hand. Datenschutz wird für Plattformbetreiber endgültig zu einer Querschnittsmaterie, die Produktdesign, Moderationsprozesse, IT-Security, Vertragsgestaltung und Compliance gleichermaßen betrifft. Wer Plattformen weiterhin primär aus einer haftungsrechtlichen Perspektive denkt, verkennt die datenschutzrechtliche Realität dieser EuGH-Rechtsprechung.

Key Take-Aways:

  • Verantwortlichenrolle: Online-Marktplätze sind nach EuGH Russmedia regelmäßig (Mit-)Verantwortliche für personenbezogene Daten in Nutzeranzeigen und nicht bloß technische Hoster.
  • Sensible Daten: Der EuGH verlangt hier Vorab-Identifikation sensibler Inhalte, Identitätsprüfung des Inserenten, gegebenenfalls die Blockierung der Anzeige sowie Maßnahmen gegen unkontrollierte Weiterverbreitung.
  • Gewöhnliche Daten: Auch hier gelten uneingeschränkt die DSGVO-Grundsätze; für personenbezogene Daten Dritter ohne Plattformbezug wird eine Rechtfertigung über berechtigte Interessen zunehmend eng.
  • Strategische Folge: Plattformbetreiber müssen Datenschutz, Produktdesign, Moderation und IT-Security künftig integrativ denken und umsetzen.
Trennstrich bunt

ctrl + law – ordnet ein, was rechtlich relevant wird.

Klar, kompakt, praxisnah.

Jetzt anmelden und dranbleiben.

Trennstrich bunt