Russmedia Urteil Plattformen

Neue Pflichten für Social-Media-Plattformen: Was das EuGH-Urteil Russmedia bedeutet

Am 2. Dezember 2025 hat der Europäische Gerichtshof ein Urteil gefällt, das die Datenschutzpflichten von Online-Plattformen neu bewertet. Im Verfahren Russmedia (Az. C-492/23) entschied der EuGH, dass ein Online-Marktplatz für nutzergenerierte Anzeigen unter bestimmten Voraussetzungen als datenschutzrechtlich Verantwortlicher nach der DSGVO gilt. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat die Praxisfolgen dieses Urteils analysiert und bewertet, ob und wie diese Grundsätze auf Social-Media-Plattformen übertragbar sind.

Wann ist eine Plattform datenschutzrechtlich verantwortlich?

Im Mittelpunkt steht die Frage, wann ein Online-Dienst als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO anzusehen ist, wenn Nutzer selbst Inhalte veröffentlichen, die personenbezogene Daten Dritter enthalten. Der EuGH bejaht diese Verantwortlichkeit, wenn die Plattform die Verbreitung der Inhalte im eigenen wirtschaftlichen Interesse steuert. Das ist der Fall, wenn sie Algorithmen oder Rankings einsetzt, die auf kommerzielle Ziele ausgerichtet sind, oder wenn sie sich weitreichende Nutzungsrechte an den hochgeladenen Inhalten einräumen lässt.

Nach Einschätzung des HmbBfDI treffen diese Kriterien auch auf Social-Media-Plattformen zu. Dienste wie Facebook, Instagram, YouTube oder Google-Rezensionen organisieren die Verbreitung von Inhalten über eigene Algorithmen und erwerben umfangreiche Nutzungsrechte an den Inhalten ihrer Nutzer. Sie sind damit potentiell datenschutzrechtlich mitverantwortlich für Inhalte, die Nutzer auf der Plattform veröffentlichen. Der EuGH spricht in solchen Fällen von einer gemeinsamen Verantwortlichkeit im Sinne von Art. 26 DS-GVO.

Klar gestellt hat der EuGH außerdem, dass sich Plattformen für diese Fälle nicht auf Haftungsprivilegierungen aus der E-Commerce-Richtlinie oder dem Digital Services Act (DSA) berufen können. Datenschutzrechtliche Verantwortlichkeit und die daraus folgenden Grundrechtspflichten bleiben von diesen Regelungen ausdrücklich unberührt.

Notice-And-Sweep: Mehr als nur Löschen

Wer als Plattform datenschutzrechtlich verantwortlich ist, muss gemeldete rechtswidrige Inhalte nicht nur entfernen (Notice-And-Takedown). Aus dem Russmedia-Urteil leitet der HmbBfDI eine weitergehende Pflicht ab: das sogenannte Notice-And-Sweep-Verfahren. Nach einer Meldung muss die Plattform Maßnahmen ergreifen, die verhindern, dass kern- und inhaltsgleiche Verstöße erneut begangen werden.

Die Grundlage für diese Pflicht liegt in Art. 5 Abs. 2 DS-GVO, Art. 24 DS-GVO und Art. 25 DS-GVO. Konkret bedeutet das: Nach Kenntnisnahme eines Verstoßes müssen technische und organisatorische Maßnahmen getroffen werden, die es erschweren, sinngleiche rechtswidrige Veröffentlichungen erneut zu verbreiten. Für die technische Umsetzung können automatisierte Erkennungsverfahren eingesetzt werden. Die deutsche Rechtsprechung schließt dabei eine menschliche Endkontrolle nicht aus.

Bisher hat der BGH Notice-And-Sweep-Pflichten nur im Marken- und Urheberrecht angenommen. Das Verfahren im Fall Künast, in dem es konkret um eine solche Pflicht Facebooks geht, hat der BGH im Hinblick auf das Russmedia-Urteil ausgesetzt. Eine abschließende BGH-Entscheidung steht noch aus.

Vorabprüfung: Pflicht für kommerzielle Profile, nicht für private

Das Russmedia-Urteil befasst sich auch mit der Frage, ob Plattformen bereits vor der Veröffentlichung von Inhalten prüfen müssen, ob diese gegen die DSGVO verstoßen. Hier kommt der HmbBfDI zu einem differenzierten Ergebnis: Es kommt auf die Art des Nutzerkontos an.

Für kommerziell oder von Organisationen genutzte Profile können anlasslose Vorabprüfungspflichten bestehen. Bei diesen Konten ist das Grundrecht auf Meinungsäußerungsfreiheit weniger stark betroffen, da sie nicht dem persönlichen Meinungsaustausch dienen, sondern kommerziellen oder institutionellen Zwecken. Die Plattform kann in diesen Fällen verpflichtet sein, die Identität der nutzenden Organisation festzustellen und zu prüfen, ob eine Rechtsgrundlage für die Veröffentlichung sensibler Daten nach Art. 9 DS-GVO vorliegt. Der EuGH stützt diese Pflicht unter anderem auf Art. 13 DS-GVO und Art. 14 DS-GVO, wonach Verantwortliche der betroffenen Person stets ihre Namen und Kontaktdaten mitteilen müssen.

Für private, nicht kommerziell genutzte Profile gilt ein anderer Maßstab. Eine allgemeine Pflicht zur Vorabprüfung oder Identifizierung privater Nutzer lehnt der HmbBfDI ab. Uploadfilter für alle Inhalte privater Nutzer würden das Risiko eines sogenannten Chilling Effects schaffen: Nutzer könnten zulässige Inhalte gar nicht oder nur mit erheblicher Verzögerung veröffentlichen. Der EuGH hat ausdrücklich betont, dass Online-Plattformen das wichtigste Mittel sind, mit dem Einzelne ihr Recht auf freie Meinungsäußerung ausüben. Eine risikobasierte Prüfung im Einzelfall bleibt jedoch möglich.

Besondere Anforderungen bei sensiblen personenbezogenen Daten

Besonders hohe Anforderungen gelten für Inhalte, die sensible personenbezogene Daten nach Art. 9 DS-GVO enthalten. Dazu zählen Gesundheitsdaten, religiöse oder politische Überzeugungen, die ethnische Herkunft, biometrische Daten oder Angaben zur sexuellen Orientierung einer Person. Die unrechtmäßige Verbreitung solcher Daten stellt nach Einschätzung des EuGH einen besonders schweren Eingriff in die Grundrechte der betroffenen Person dar.

Der HmbBfDI hält es für sachgerecht, die Notice-And-Sweep-Pflicht auch auf andere schwerwiegende Verletzungen von Persönlichkeitsrechten auszudehnen, wenn diese eine vergleichbar gravierende Grundrechtsbeeinträchtigung darstellen. Als Beispiele nennt der HmbBfDI krasse Beleidigungen oder Verleumdungen, auch wenn dabei keine Daten nach Art. 9 DS-GVO betroffen sind.

Keine allgemeine Überwachungspflicht

Ausdrücklich stellt der HmbBfDI klar: Aus dem Russmedia-Urteil folgt keine allgemeine Pflicht zur Überwachung aller nutzergenerierten Inhalte. Auch eine generelle Identifizierungspflicht für alle Nutzer ist nicht abzuleiten. Die Anforderungen richten sich stets nach dem konkreten Einzelfall: nach der Art des Kontos, dem Typ der veröffentlichten Inhalte, der Wahrscheinlichkeit eines Verstoßes und den betroffenen Grundrechten. Maßgeblich ist ein risikobasierter Maßstab.

Unsere Empfehlungen

Unternehmen und KMU

Geschäftliche Social-Media-Profile gelten nach dem Russmedia-Urteil als kommerzielle Konten. Für diese Konten können erhöhte Prüfpflichten bestehen. Prüfen Sie, ob Ihr Unternehmen bei den genutzten Plattformen vollständig und korrekt identifiziert ist. Legen Sie intern fest, wer Inhalte im Namen des Unternehmens veröffentlichen darf. Erstellen Sie klare Richtlinien, welche personenbezogenen Daten auf Social Media nicht erscheinen dürfen, und schulen Sie die verantwortlichen Mitarbeitenden. Wenn Sie Inhalte veröffentlichen, die personenbezogene Daten Dritter enthalten, prüfen Sie vorab, ob eine Rechtsgrundlage vorliegt. Für sensible Daten nach Art. 9 DS-GVO brauchen Sie in der Regel eine ausdrückliche Einwilligung.

Behörden und öffentliche Stellen

Institutionelle Social-Media-Auftritte von Behörden sind als „von Organisationen genutzte Profile“ einzustufen. Die erhöhten Prüfpflichten gelten daher auch für den öffentlichen Sektor. Klären Sie, wer für Ihren Social-Media-Auftritt datenschutzrechtlich verantwortlich ist und welche Pflichten daraus folgen. Halten Sie klare Verfahren bereit, um gemeldete rechtswidrige Inhalte schnell zu entfernen. Prüfen Sie außerdem, ob Maßnahmen zur Verhinderung kerngleicher Verstöße bereits in Ihren internen Prozessen verankert sind. Achten Sie besonders auf Inhalte, die Rückschlüsse auf schutzwürdige Merkmale von Personen zulassen könnten.

Gesundheitseinrichtungen

Krankenhäuser, Arztpraxen und andere Gesundheitseinrichtungen veröffentlichen häufig Inhalte, die Gesundheitsdaten berühren können. Solche Daten fallen unter Art. 9 DS-GVO und unterliegen einem besonders strengen Schutz. Überprüfen Sie, ob auf Ihren Social-Media-Profilen Inhalte erscheinen könnten, die Rückschlüsse auf den Gesundheitszustand einzelner Personen zulassen. Führen Sie einen internen Freigabeprozess ein, bevor Beiträge veröffentlicht werden, die Patienten oder deren Daten auch nur mittelbar betreffen könnten. Schulen Sie alle Mitarbeitenden, die Social-Media-Inhalte erstellen oder freigeben, im Umgang mit sensiblen Daten.

Kanzleien und Freiberufler

Anwaltskanzleien und Freiberufler, die Social-Media-Profile zu Werbezwecken nutzen, gelten als kommerzielle Nutzer. Achten Sie darauf, dass in Fallbeschreibungen, Erfahrungsberichten oder Erfolgsgeschichten keine personenbezogenen Daten von Mandanten oder Klienten erscheinen, ohne dass eine wirksame Rechtsgrundlage vorliegt. Prüfen Sie, ob Ihre Plattformprofile korrekt und vollständig registriert sind. Eine fehlende Identifizierung kann im Streitfall zu rechtlichen Risiken führen.

Quelle: Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI)

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
• Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
• Nachweis der Datenlöschung – So dokumentieren Sie korrekt
• Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
• Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft

Dieser Absatz enthält Affiliatelinks/Werbelinks