Notice-and-takedown – das ist der eherne Grundsatz europäischer Plattformregulierung, der seit Einführung der eCommerce-Richtlinie im Jahr 2000 Bestand hat. Es ist der Grundsatz, der ein Internet ermöglicht hat, in dem Nutzende auf Plattformen Inhalte veröffentlichen können, ohne dass diese vorab kontrolliert und selektiert werden (müssen). Er ist der entscheidende Faktor für den fundamentalen Unterschied zwischen Zeitung, Radio und Fernsehen auf der einen und dem Internet auf der anderen Seite, zwischen one-to-many und many-to-many-Kommunikation. Zwar gerät diese Form der Haftungsprivilegierung zunehmend unter Druck – in rechtlicher Hinsicht durch Ausnahmen für urheberrechtlich geschützte Inhalte und spezielle Überwachungspflichten für Persönlichkeitsrechtsverletzungen, in politischer Hinsicht durch zivilgesellschaftliche Initiativen wie Save Social, die fordern, die Haftungsprivilegierung auf den Prüfstand zu stellen –, doch eine gesetzgeberische Entscheidung, sich von diesem Grundsatz abzuwenden, ist in den letzten 25 Jahren nicht erkennbar gewesen.

Stattdessen scheint die Revolution nun in Luxemburg zu beginnen. In Russmedia Digital hat der EuGH diesen Dienstag entschieden, dass bei datenschutzrechtlichen Verletzungen, wie beispielsweise diffamierenden Inhalten, das notice-and-takedown-Verfahren nicht anzuwenden sei, sondern die jeweilige Plattform von Beginn an für rechtswidrige Inhalte (mit-)haftet. Offenkundig ohne sich der enormen Tragweite seiner Entscheidung für die Meinungs- und Informationsfreiheit von Millionen Nutzenden in der EU bewusst zu sein, verlangt der Gerichtshof damit den Aufbau eines umfassenden Überwachungssystems für Kommunikation im digitalen öffentlichen Raum.

Verleumdung auf Online-Marktplätzen

Ausgangspunkt für das Urteil des EuGH waren die Vorlagefragen eines rumänischen Gerichts. Ein unbekannter Dritter hatte auf einem Online-Marktplatz (der von der namensgebenden Russmedia Digital betrieben wird) Anzeigen geschaltet, die die Klägerin des Ausgangsverfahrens fälschlicherweise mit sexuellen Dienstleistungen in Verbindung brachten und Fotos von ihr sowie ihre Telefonnummer beinhalteten. Diese Anzeige wurde zudem auf diversen weiteren Webseiten vervielfältigt. Nachdem die Klägerin den Betreiber Russmedia über die verleumderische Anzeige informiert hatte, löschte Russmedia sie innerhalb von weniger als einer Stunde, auf den Drittwebseiten blieb sie jedoch weiter abrufbar. Die Klägerin verlangte daraufhin von Russmedia immateriellen Schadensersatz, unter anderem wegen Ehrverletzungen, Verletzung des Rechts am eigenen Bild sowie der rechtswidrigen Verarbeitung personenbezogener Daten. Nachdem sich verschiedene Instanzgerichte zunächst uneinig waren, ob der Klägerin Schadensersatz zusteht, legte das Revisionsgericht (Curtea de Apel Cluj) dem EuGH im Kern die Frage vor, ob Russmedia (erstens) als datenschutzrechtlich Verantwortlicher für die Verarbeitung der personenbezogenen Daten – worum es sich bei der falschen Information über das Angebot sexueller Dienstleistungen, dem Foto der Klägerin und ihrer Telefonnummer unzweifelhaft handelt – anzusehen ist und (zweitens) ob sich die Haftung für rechtswidrige Datenverarbeitungen alleine nach der Datenschutzgrundverordnung (DSGVO) bestimmt oder das spezifische Haftungsregime für Online-Plattformen anwendbar ist (zum damaligen Zeitpunkt noch die eCommerce-Richtlinie, die entsprechenden Vorschriften sind inzwischen jedoch in den Digital Services Act (DSA) übertragen).

Verantwortlichkeit(en)

Dem Streit zugrunde liegt die Frage, ob Betreiber von Online-Plattformen (oder, in diesem konkreten Kontext, Online-Marktplätzen) für rechtswidrige Inhalte auf ihren Plattformen verantwortlich sind. Die Antwort hierauf ist die vielleicht wichtigste gesetzgeberische Entscheidung für die Struktur des Internets, wie wir es heute kennen. Während in den USA die berühmt-berüchtigte Section 230 („The Twenty-Six Words That Created the Internet“) Plattformen nahezu absolut vor jeder Art der Haftung schützt, geht Europa seit der Einführung der eCommerce-Richtlinie vor 25 Jahren einen anderen Weg: Hosting-Anbieter (zu denen sowohl Online-Marktplätze wie auch Online-Plattformen gehören) sind nur solange vor der Haftung für rechtswidrige Inhalte geschützt, wie sie keine Kenntnis von den Inhalten haben. Sobald sie benachrichtigt werden, müssen sie handeln – andernfalls sind sie für die Inhalte haftbar (notice-and-takedown, Art. 14 eCommerce-Richtlinie, nun Art. 6 DSA). Sowohl eCommerce-Richtlinie wie auch DSA betonen außerdem, dass den Anbietern keine „allgemeine Verpflichtung zur Überwachung“ der bei ihnen veröffentlichten Inhalte auferlegt werden kann (Art. 15 eCommerce-Richtlinie, nun Art. 8 DSA). Die Bedeutung dieser sogenannten „Haftungsprivilegierung“ lässt sich kaum überschätzen. Weil Plattformen zunächst nicht für die Inhalte haften, die Dritte bei ihnen hochladen, haben wir ein Internet, in dem grundsätzlich jeder Mensch seine Meinung äußern und kreative Inhalte teilen darf, ohne dass sie präventiv überprüft werden – mit all den Vorteilen und Nachteilen, die so eine breite und zunächst unkontrollierte Diskursbeteiligung mit sich bringt.

In Russmedia wird das haftungsrechtliche Pferd nun jedoch von hinten aufgezäumt: Statt die (klassische) Verantwortung für Inhalte nach den Vorgaben von eCommerce-Richtlinie und DSA zu prüfen, dient das Datenschutzrecht als Ansatzpunkt. Der EuGH stellt zunächst (überzeugend) fest, dass die Informationen der Klägerin – also u. a. Foto und Telefonnummer – personenbezogene Daten im Sinne der DSGVO sind, ohne dass es dabei darauf ankommt, ob sie irgendeinen Wahrheitsgehalt über die Person beinhalten (Rn. 47-53). Da die Falschbehauptungen einen Bezug zum (angeblichen) Sexualleben der Betroffenen haben, handelt es sich ferner sogar um „sensible Daten“ im Sinne von Art. 9 DSGVO, die besonderem Schutz unterliegen. Auch die Rechtswidrigkeit der Datenverarbeitung, konkret die Veröffentlichung (unzutreffender) sensibler Daten über die Betroffene ohne ihre Einwilligung, ist unproblematisch (Rn. 80-84).

Deutlich schwieriger ist dagegen die Feststellung, wer in diesem Fall „Verantwortlicher“ im datenschutzrechtlichen Sinne für diese rechtswidrigen Datenverarbeitungen ist. Zentral ist dabei die Unterscheidung zwischen Verantwortlichen (die „über die Zwecke und Mittel“ der Datenverarbeitung entscheiden, sie also im eigenen Interesse verarbeiten, Art. 4 Nr. 7 DSGVO) und Auftragsverarbeitern (die Daten für jemand anderen verarbeiten, Art. 4 Nr. 8 DSGVO). Der unbekannte Nutzer, der die Anzeige erstellt hat, ist jedenfalls Verantwortlicher (Rn. 64). Auch Russmedia ist jedoch (gemeinsam mit dem unbekannten Dritten) nach Ansicht des EuGH als Verantwortlicher zu qualifizieren. Indem sich Russmedia in seinen AGB umfangreiche Rechte an den erstellten Inhalten einräumen lässt (unter anderem die Nutzung, Verbreitung, Vervielfältigung, Änderung, Entfernung und Weitergabe an Dritte), wird deutlich, dass das Unternehmen die Daten nicht nur für den Nutzer verarbeitet, sondern „zu ihren eigenen Werbezwecken und aus kommerziellen Eigeninteressen Profit aus ihnen ziehen“ kann (Rn. 67-68). Schon das Angebot eines Online-Marktplatzes als solches führe dazu, dass Russmedia auf das „Mittel“ der Datenverarbeitung eingewirkt hat, insbesondere indem es Einfluss auf Parameter der Verbreitung wie das Zielpublikum, die Darstellung und die Dauer der Anzeige nimmt (Rn. 70-73). Damit entwickelt der EuGH seine Grundsätze zur gemeinsamen datenschutzrechtlichen Verantwortlichkeit von den Erstellern der Inhalte und Online-Plattformen/-Marktplätzen weiter (siehe dazu insbesondere Wirtschaftsakademie Schleswig-Holstein).

DSGVO trumpft eCommerce-Richtlinie

Der Gerichtshof stellt also (bis hierhin durchaus überzeugend) fest: Russmedia ist verantwortlich für die rechtswidrige Verarbeitung personenbezogener Daten, die von einem unbekannten Nutzer erstellt wurden. Während die weiteren Ausführungen des EuGH zu Identifizierungspflichten für Online-Nutzer (Rn. 77-106) und erforderlichen Kopierschutzmaßnahmen (Rn. 107-126) ebenfalls eine kritische Würdigung an anderer Stelle verlangen, soll der Fokus dieses Beitrags auf den Folgen der datenschutzrechtlichen Verantwortlichkeit (nach der DSGVO) für die Haftung des Online-Marktplatzes (im Sinne der eCommerce-RL, heute DSA) liegen. Es stellt sich, um es mit den Worten des EuGH zu sagen, „die Frage nach dem Zusammenspiel dieser beiden Unionsrechtsakte“ (Rn. 128). In schlanken zehn Randnummern revolutioniert der EuGH sodann das etablierte Verständnis der Haftung für Online-Inhalte, augenscheinlich ohne sich der Tragweite seiner Ausführungen bewusst zu sein. So stellt er fest, dass DSGVO (Art. 2 Abs. 4) und eCommerce-RL (Art. 1 Abs. 5 lit. b), heute Art. 2 Abs. 4 lit. g) DSA) wechselseitig betonen, dass sie den jeweils anderen Rechtsakt „unberührt“ lassen.

Nun ist es im vorliegenden Fall aber so, dass die Lösungen nach DSGVO (Haftung für rechtswidrige Datenverarbeitungen von Beginn an) und eCommerce-RL (Haftungsprivilegierung, solange der Hosting-Anbieter nicht benachrichtigt wurde) offensichtlich konfligieren. Dass der Gesetzgeber vorgibt, dass zwei Rechtsakte sich unberührt lassen, diese sich in der Sache aber sehr wohl intensiv berühren, bringt die Justiz nachvollziehbarerweise in größere Schwierigkeiten. Erwartbar wäre gewesen, dass sich nun intensiv mit den Rechtstexten anhand verschiedener Auslegungsmethoden, unter Prüfung allgemeiner Rechtsgrundsätze des Verhältnisses von speziellem zu allgemeinem Gesetz und unter Berücksichtigung einschlägigen Primärrechts, insbesondere der Grundrechte-Charta, auseinandergesetzt wird. Anders der EuGH: Er stellt lapidar fest, dass der Verweis der DSGVO, dass die Haftungsregelungen der eCommerce-RL „unberührt“ bleiben, lediglich meint, dass sich „Wirtschaftsteilnehmer in anderen Fragen als solchen, die den Schutz personenbezogener Daten betreffen“, auf die Haftungsprivilegierung berufen können sollen (Rn. 134). Der Inhalt von Art. 2 Abs. 4 DSGVO erschöpfe sich demnach also in der deklaratorischen Wiederholung des Anwendungsbereichs des Datenschutzrechts – und (nur) wenn die DSGVO nicht anwendbar ist, sei Platz für andere Rechtsregime. In das Haftungsregime der DSGVO greift die Haftungsprivilegierung der eCommerce-RL, so der EuGH, jedoch nicht ein. Russmedia haftet also mit Veröffentlichung für die rechtswidrige Anzeige des unbekannten Nutzers (Rn. 135-136).

Uploadfilter für alles

Das ist ein Paukenschlag, der den Anwendungsbereich der Haftungsprivilegierung für Online-Marktplätze und -Plattformen auf ein absolutes Mindestmaß reduziert. Sobald ein Inhalt, sei es ein Kommentar, ein Bild oder ein Video, personenbezogene Daten enthält, besteht vom Zeitpunkt der Veröffentlichung an die haftungsrechtliche Verantwortung der Online-Plattform. Bei den Inhalten, um die sich die Debatte über die Verantwortung der Plattformen in den letzten Jahren dreht (unter anderem mit grundlegenden EuGH-Entscheidungen wie Glawischnig-Piesczek) – seien es Verleumdungen, Deepfakes oder sonstige Persönlichkeitsrechtsverletzungen – besteht immer ein Personenbezug, sodass der Anwendungsbereich der DSGVO eröffnet ist. Somit gilt für für die Plattformen in diesen Fällen nun nicht mehr notice-and-takedown, sondern vielmehr publish-and-perish. Lässt eine Plattform die Veröffentlichung rechtswidriger Inhalte ihrer Nutzenden zu, haftet sie. Welche praktischen Folgen hat das? Um ihrer datenschutzrechtlichen Verantwortlichkeit zu entgehen, müssen Plattformen umfangreich KI-gestützte Filtersysteme installieren, die aus der Vielfalt der verschiedensten (Meinungs-)Äußerungen von Nutzenden die (potentiell) rechtswidrigen Inhalte erkennen und ihre Veröffentlichung verhindern. Die Verpflichtung zur Umsetzung „technischer und organisatorischer Maßnahmen“ (TOMs) zur Sicherstellung der Rechtmäßigkeit von Datenverarbeitungen aus Art. 24 und 25 DSGVO wird so zur „Uploadfilter-Pflicht“ (zum fragwürdigen Verständnis von TOMs als „Identifizierungspflicht“ für Nutzer, vgl. Rn. 85-106 Russmedia). Da Inhalte, die fälschlicherweise zunächst als unproblematisch eingestuft wurden und sich später als illegal erweisen, für die Betreiber ein Haftungsrisiko bergen, besteht ein erheblicher Anreiz für Online-Plattformen, im Zweifel auch legale Inhalte nicht zu veröffentlichen (Over-Blocking).

Es ist genau diese Gefahr der Unterdrückung rechtmäßiger Beiträge, die 2019 im Kontext der Urheberrechtsreform zehntausende Menschen gegen „Uploadfilter“ auf die Straße gebracht hat. Hierbei ging es um eine Einschränkung der Haftungsprivilegierung für „Diensteanbieter für das Teilen von Online-Inhalten“, also beispielsweise Anbieter wie YouTube, in Bezug auf urheberrechtlich geschützte Inhalte, sofern diese nicht „nach Maßgabe hoher branchenüblicher Standards […] alle Anstrengungen unternommen hat, um sicherzustellen, dass bestimmte Werke […] nicht verfügbar [sind]“ (Art. 17 Abs. 4 lit. b) DSM-RL). Der EuGH hat betont, dass diese offene, technikneutrale Formulierung letztlich eine Verpflichtung zum Einsatz automatisierter Erkennungs- und Filtersysteme für eine „vorherige Kontrolle“ darstellt (Rn. 54, Polen v. Parlament/Rat). Sollte ein solches Filtersystem zur „Sperrung von Kommunikationen mit zulässigem Inhalt führen“, so wäre es mit der in Art. 11 Grundrechte-Charta garantierten Meinungs- und Informationsfreiheit unvereinbar (Rn. 86). Er nimmt hierbei auch seine Rechtsprechung in Glawischnig-Piesczek auf und wiederholt, dass Rechteinhaber (im Urheberrecht) oder betroffene Personen (bei Persönlichkeitsrechtsverletzungen) die entsprechenden Inhalte derart konkretisieren müssten, dass der Diensteanbieter die Inhalte nicht „eigenständig inhaltlich beurteilen [muss]“ (Rn. 89-90).

Während der EuGH in 2022 auf die polnische Nichtigkeitsklage hin die Grundrechtskonformität einer expliziten gesetzgeberischen Entscheidung in der Urheberrechtsrichtlinie – auf über 41 Randnummern – nur bejahen konnte, nachdem er die vielfältigen verfahrensrechtlichen Absicherungen mitberücksichtigt und den Gesetzestext grundrechtskonform ausgelegt hatte, ist ihm dies nun in Russmedia keine Erwähnung mehr wert. Sollte das europäische Datenschutz(!)recht tatsächlich so auszulegen sein, dass es – indirekt und ohne jeden Hinweis darauf, dass der Gesetzgeber hierauf abzielte – eine umfassende Überwachung und Filterung von Kommunikationsinhalten vorsieht, so hätte der Gerichtshof detailliert prüfen müssen, ob diese Vorschriften mit der Meinungs- und Informationsfreiheit der von den Filtersystemen betroffenen Nutzenden vereinbar ist. Der EuGH begnügt sich hingegen damit, ohne jede weitere Begründung festzustellen, dass nicht sein kann, was nicht sein darf: Eine Erfüllung der Pflichten aus der DSGVO könne nicht als „allgemeine Überwachungspflicht eingestuft werden“ (Rn. 132). Hilfreicher und überzeugender wäre eine Interpretation gewesen, die die einfachrechtliche Haftungsprivilegierung aus eCommerce-RL und DSA weiter grundrechtlich einbettet (und damit die Rechtsprechung zur Urheberrechtsrichtlinie fortschreibt) und gleichzeitig die diffusen Ausnahmen für „spezielle Überwachungspflichten“ klarer konturiert. Stattdessen verbleibt der erschütternde Eindruck, dass der EuGH sich der Tragweite seiner Entscheidung nicht im Ansatz bewusst war.

Rechtsfortbildung, die am Anfang steht

Etwas ratlos fragt man sich am Ende der Lektüre dieser Entscheidung, wie es nun mit der Haftung von Hosting-Anbietern für die Inhalte Dritter weitergehen soll. Die Entscheidung selbst betrifft zwar nur einen „Online-Marktplatz“ und die inzwischen abgelöste eCommerce-RL, in den Ausführungen des EuGH lässt sich jedoch keine Einschränkung finden, wonach die Grundsätze nicht unmittelbar auf Online-Plattformen und die Haftung nach dem DSA anwendbar wären. Dabei ist insbesondere zu betonen, dass diese Grundsätze nicht nur die Big Tech-Dienste wie X (ehemals Twitter), Facebook und TikTok betreffen, sondern grundsätzlich auch jede nischige und gemeinwohlorientierte Online-Plattform. Von sehr großen Plattformen wie Wikipedia bis zu kleineren Mastodon-Instanzen dürften die Auswirkungen ganz erheblich sein. Diese Angebote würden in ihrer Existenz bedroht sein, würde der Haftungsumfang nicht weiter begrenzt werden. Etwas Spielraum für zukünftige Beschränkungen dieser ausufernden Haftung dürfte zweierlei bieten: erstens die Voraussetzungen für die datenschutzrechtliche Verantwortlichkeit (Rn. 66-67, wie verhält es sich beispielsweise bei nicht-kommerziellen Diensten ohne algorithmische Kuratierung?); und zweitens die offensichtliche Rechtswidrigkeit des Inhalts sowie der Bezug zu besonders sensiblen Daten im konkreten Fall (vgl. dazu Rn. 39-40 zu den Fragen des vorlegenden Gerichts). Darüber hinaus hat der EuGH in anderen Entscheidungen auch im Datenschutzrecht notice-and-takedown-ähnliche Verfahren etabliert (Google Spain, siehe dazu m.w.N. auch Bäcker in BeckOK Datenschutzrecht, 54. Ed., Art. 2 DSGVO, Rn. 35).

Die Möglichkeit, diese neue Rechtsprechungslinie mit weiterzuentwickeln, bietet sich nun für den BGH: Seit mehr als dreieinhalb Jahren streiten sich Renate Künast und Facebook vor verschiedenen Instanzen über die Pflicht von Facebook, die wiederholte Veröffentlichung eines Falschzitats von Künast auf der Plattform zu verhindern. Während das LG und OLG Frankfurt am Main noch als Frage der Auslegung der haftungsrechtlichen Bestimmungen der eCommerce-RL angesehen hatten, hatte der BGH die Bedeutung des Datenschutzrechts erkannt und das Verfahren bis zu der hier besprochenen Entscheidung ausgesetzt. Es bleibt abzuwarten, ob dem BGH nun die Ausführungen des EuGH genügen oder er über weitere Vorlagefragen dem Gerichtshof die Möglichkeit bietet, seine missglückte Entscheidung einzufangen.