1. Art. 5 Abs. 2 und die Art. 24 bis 26 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 dieser Verordnung für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden, vor der Veröffentlichung der Anzeigen und mittels geeigneter technischer und organisatorischer Maßnahmen verpflichtet ist,
- Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 dieser Verordnung enthalten, zu identifizieren,
- zu prüfen, ob es sich bei dem inserierenden Nutzer, der im Begriff ist, eine solche Anzeige zu platzieren, um diejenige Person handelt, deren sensible Daten in dieser Anzeige enthalten sind, und, wenn dies nicht der Fall ist,
- deren Veröffentlichung zu verweigern, es sei denn, der inserierende Nutzer kann nachweisen, dass die betroffene Person im Sinne von Art. 9 Abs. 2 Buchst. a der Richtlinie ausdrücklich in die Veröffentlichung der fraglichen Daten auf diesem Online-Marktplatz eingewilligt hat oder dass eine der anderen in Art. 9 Abs. 2 Buchst. b bis j vorgesehenen Ausnahmen erfüllt ist.
2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden, verpflichtet ist, geeignete technische und organisatorische Schutzmaßnahmen zu treffen, um zu verhindern, dass dort veröffentlichte Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden.
3. Art. 1 Abs. 5 Buchst. b der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) und Art. 2 Abs. 4 der Verordnung 2016/679 sind dahin auszulegen, dass sich der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 der Verordnung 2016/679 für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht wurden, in Bezug auf einen Verstoß gegen die Verpflichtungen aus Art. 5 Abs. 2 sowie den Art. 24 bis 26 und 32 dieser Verordnung, nicht auf die Art. 12 bis 15 der Richtlinie 2000/31 über die Verantwortlichkeit der Vermittler berufen kann.
EuGH, Urteil vom 2.12.2025 – C-492/23
(Tenor)