Envelope

Mail senden

Phone

Jetzt anrufen!

EuGH Datenschutz sensible Daten: Pflichten für Plattformen in Österreich

EuGH Datenschutz sensible Daten

EuGH Datenschutz sensible Daten: EuGH verschärft Pflichten für Online-Plattformen bei sensiblen Daten – was das Urteil für Österreich bedeutet

Kürzlich entschied der EuGH zum Thema EuGH Datenschutz sensible Daten in einem Vorabentscheidungsverfahren: Betreiber von Online‑Plattformen tragen eine weitreichende Mitverantwortung für Nutzeranzeigen, wenn darin sensible personenbezogene Daten auftauchen. Auch wenn der Ausgangsfall aus Rumänien stammt – die Entscheidung ist für alle Gerichte in der EU bindend, also auch für österreichische Gerichte, sobald die Rechtsfrage vergleichbar ist. Für heimische Kleinanzeigen‑Portale, Foren, Dating‑, Job‑ und Immobilienplattformen hat das Urteil erhebliches Gewicht. Die Kernbotschaft: „Schnelles Löschen nach Hinweis“ reicht bei Daten aus dem besonders geschützten Bereich nicht. Plattformen müssen gezielt vorbeugen, bevor Inhalte online gehen.

Was war passiert? Der rumänische Ausgangsfall im Überblick

Die Curtea de Apel Cluj (Berufungsgericht Cluj, Rumänien) legte dem EuGH Fragen zur Auslegung der Datenschutz‑Grundverordnung (DSGVO) und der E‑Commerce‑Richtlinie vor. Anlass war eine Anzeige auf einem rumänischen Online‑Kleinanzeigenmarkt (publi24.ro, betrieben u. a. von Russmedia Digital SRL/Inform Media Press SRL). Ein unbekannter Dritter veröffentlichte dort eine Anzeige, die eine Frau fälschlicherweise als Anbieterin sexueller Dienstleistungen darstellte. Inklusive Fotos der Betroffenen – ohne Zustimmung – und ihrer Telefonnummer. Der Plattformbetreiber entfernte die Anzeige zügig nach Meldung. Doch Kopien tauchten auf Drittseiten auf und blieben dort online.

Die Betroffene klagte u. a. wegen unrechtmäßiger Datenverarbeitung und Verletzung ihrer Persönlichkeitsrechte (Bild, Ehre, Privatleben) auf immateriellen Schadenersatz. Das Berufungsgericht Cluj fragte den EuGH, wie die DSGVO diese Konstellation bewertet – insbesondere, wer „Verantwortlicher“ ist und welche Prüf‑ und Schutzpflichten Plattformen treffen.

Welche EU‑Rechtsfragen standen im Raum – und wie hat der EuGH geantwortet?

Ein „Vorabentscheidungsersuchen“ ist ein Verfahren, in dem nationale Gerichte dem Europäischen Gerichtshof Fragen zur Auslegung von EU‑Recht vorlegen. Der EuGH entscheidet dann verbindlich über die Auslegung; das nationale Gericht setzt diese Vorgaben im konkreten Fall um. Diese Auslegung gilt EU‑weit für ähnliche Fälle – damit auch für Österreich.

Im Kern ging es um Folgendes:

  • Wer ist „Verantwortlicher“ im Sinn der DSGVO, wenn Nutzer Inhalte mit personenbezogenen – teils sensiblen – Daten veröffentlichen?
  • Müssen Plattformbetreiber vor Veröffentlichung prüfen, ob eine Anzeige sensible Daten im Sinn von Artikel 9 DSGVO enthält (etwa Angaben zum Sexualleben, zur Gesundheit, Religion oder politische Meinung) und die Identität des Inserenten verifizieren?
  • Darf veröffentlicht werden, wenn keine ausdrückliche Einwilligung der betroffenen Person vorliegt?
  • Welche Schutzmaßnahmen sind gegen Kopieren/Weiterverbreitung notwendig?
  • Können sich Plattformen auf die Haftungsprivilegien für Hosting‑Dienste aus der E‑Commerce‑Richtlinie berufen (in Österreich im E‑Commerce‑Gesetz – ECG – umgesetzt) und dadurch präventive Pflichten vermeiden?

Die Kernaussagen des EuGH in einfachen Worten:

  • Plattformbetreiber sind – neben dem jeweiligen Inserenten – Verantwortliche nach der DSGVO für die in Nutzeranzeigen verarbeiteten personenbezogenen Daten. Verantwortlicher ist, wer Zwecke und Mittel der Verarbeitung festlegt oder maßgeblich mitbestimmt. Plattformen strukturieren, ranken, verbreiten und monetarisieren Anzeigen – damit wirken sie an Zwecken und Mitteln mit. Damit wird auch im Kontext EuGH Datenschutz sensible Daten klar: Plattformen sind nicht bloß „Durchleiter“.
  • Vor Veröffentlichung müssen Plattformen geeignete technische und organisatorische Maßnahmen treffen, um Anzeigen zu erkennen, die sensible Daten betreffen. Wird ein sensibler Inhalt identifiziert, ist die Identität des Inserenten zu prüfen und festzustellen, ob er selbst die betroffene Person ist. Ist er es nicht, darf die Veröffentlichung nur erfolgen, wenn eine ausdrückliche, informierte und konkrete Einwilligung der betroffenen Person für genau diese Veröffentlichung vorliegt oder eine der eng auszulegenden Ausnahmen des Artikel 9 Absatz 2 DSGVO greift. Ohne das: keine Freischaltung. Gerade hier ist das EuGH‑Signal zu EuGH Datenschutz sensible Daten besonders deutlich.
  • Plattformen müssen Schutzmaßnahmen vorsehen, um das Kopieren und die Weiterverbreitung solcher Inhalte so weit wie möglich zu verhindern oder zu erschweren (Datensicherheit nach Artikel 32 DSGVO). Gefordert ist ein dem Risiko angemessenes Schutzniveau – 100 Prozent Sicherheit verlangt das Gesetz nicht, wohl aber aktuelle, wirksame Maßnahmen.
  • Die Haftungsprivilegien der E‑Commerce‑Richtlinie (u. a. kein allgemeines Überwachungsgebot) ändern an den Pflichten aus der DSGVO nichts. Datenschutzrechtliche Präventionspflichten gelten unabhängig davon. Mit anderen Worten: Wer sensible Daten verarbeiten lässt, kann sich nicht darauf berufen, nur „Hoster“ zu sein – das gilt auch nach der Linie EuGH Datenschutz sensible Daten.
  • Wichtig: Der Schutz sensibler Daten greift auch dann, wenn die Angaben unwahr sind. Bereits die Veröffentlichung solcher Angaben kann der betroffenen Person besonderen Schaden zufügen – daher der hohe Schutzstandard.

Zur Einordnung: Die DSGVO ist eine EU‑Verordnung, also unmittelbar in jedem Mitgliedstaat anwendbar. „Sensible Daten“ nach Artikel 9 DSGVO sind besondere Kategorien personenbezogener Daten (z. B. Gesundheit, Sexualleben, religiöse oder politische Überzeugungen, biometrische Daten). Eine „Richtlinie“ wie die E‑Commerce‑Richtlinie bindet die Mitgliedstaaten ans Ergebnis, wird aber durch nationale Gesetze (in Österreich etwa das ECG) umgesetzt. Verordnungen gehen Richtlinien vor, wenn es um den Schutz personenbezogener Daten geht.

Hinweis: Das EuGH‑Urteil ist im Volltext abrufbar: Zum Originalurteil des EuGH (ECLI:EU:C:2025:935).

Bindungswirkung und Bedeutung für Österreich: Was ändert sich jetzt konkret?

Österreichische Gerichte – vom Bezirksgericht bis zum OGH, ebenso das BVwG und die Landesverwaltungsgerichte – müssen die Leitlinien des EuGH anwenden, sobald die Rechtslage vergleichbar ist. Das gilt auch für Verfahren vor der Datenschutzbehörde (DSB).

Für den österreichischen Rechtsrahmen ist Folgendes entscheidend:

  • Die DSGVO gilt unmittelbar. Das Datenschutzgesetz (DSG) flankiert nur, ändert die Pflichten aus der DSGVO aber nicht.
  • Die Safe‑Harbors des ECG und der seit 2024 anwendbare Digital Services Act (DSA) bleiben bestehen – sie betreffen vor allem Haftung und Sorgfaltspflichten im Plattformrecht. Nach dem EuGH‑Urteil können diese Privilegien jedoch datenschutzrechtliche Pflichten nicht einschränken. Prävention bei sensiblen Daten ist und bleibt Pflicht – genau das ist der praktische Kern von EuGH Datenschutz sensible Daten.
  • Österreichische Plattformen müssen daher Prozesse etablieren, um sensible Inhalte vor Veröffentlichung zu erkennen, die Identität von Inserenten zu überprüfen und – wenn die betroffene Person nicht selbst inseriert – eine ausdrückliche Einwilligung nachweisbar einzuholen. Fehlt diese, ist die Veröffentlichung zu verweigern.
  • Gemeinsame Verantwortlichkeit: Plattform und Inserent sind grundsätzlich gemeinsam Verantwortliche (Artikel 26 DSGVO). Es braucht transparente Festlegungen, wer welche Informationspflichten erfüllt, wie Betroffenenrechte bearbeitet werden und wer den Einwilligungsnachweis führt. Praktisch geschieht das über klare Nutzungsbedingungen und eine Art‑26‑Vereinbarung.
  • Sicherheit gegen Kopieren/Weiterverbreiten: Dem Risiko angemessene Schutzmaßnahmen sind erforderlich – etwa Anti‑Scraping, Rate‑Limiting, Wasserzeichen, restriktive Download‑Einstellungen, Hash‑Matching gegen Re‑Uploads, vertragliche Verbote der Weitergabe an Partner sowie regelmäßige Wirksamkeitsprüfungen.
  • Betroffene Personen in Österreich erhalten Rückenwind für Ansprüche auf Löschung, Unterlassung und immateriellen Schadenersatz (Artikel 82 DSGVO) – auch ohne materiellen Schaden.

Praxis: So wirkt das Urteil im österreichischen Alltag

Vier typische Szenarien

  • Kleinanzeigen‑Portal: Ein Dritter stellt unter Nennung von Name und Foto eine Anzeige ins Erotik‑Segment und behauptet, die Person biete sexuelle Dienstleistungen an. Ohne vorherige Identitätsprüfung und ausdrückliche Einwilligung dieser Person darf die Anzeige nicht online gehen. Das ist eine unmittelbare Konsequenz aus EuGH Datenschutz sensible Daten.
  • Dating‑App: Nutzer lädt Profilbilder hoch, die biometrische Merkmale erfassen (Gesichtserkennung ist möglich) und verknüpft sie mit Informationen zur sexuellen Orientierung. Die Plattform muss vor Freischaltung prüfen, ob sensible Daten betroffen sind, und entsprechende Einwilligungen absichern.
  • Job‑Board: In einer Stellenanzeige wird (unzulässig) die Vorlage von Gesundheitsinformationen gefordert oder es werden Bewerber namentlich mit Krankheitsangaben diskutiert. Hier greifen Art‑9‑Schutzstandards; die Plattform muss solche Inhalte blockieren.
  • Community‑Forum: Ein Nutzer postet Fotos eines Nachbarn mit dem Hinweis auf eine vermeintliche HIV‑Erkrankung. Das sind besonders schützenswerte Gesundheitsdaten – ohne ausdrückliche Einwilligung unzulässig. Die Plattform muss Veröffentlichung verhindern und Kopier‑/Re‑Upload‑Schutz vorsehen.

Handlungsempfehlungen für österreichische Plattformbetreiber

  • Risikobewertung: Analysieren Sie, ob Nutzer Inhalte mit sensiblen Daten einstellen können (Erotik/Dating, Gesundheit, religiöse/politische Gruppen, Fotos mit biometrischer Erkennungsfähigkeit).
  • Vorab‑Erkennung implementieren: Setzen Sie keyword‑basierte Filter, Kategorien‑Checks und – wo angemessen – Bild‑Erkennung ein. Wird ein „sensitiv“-Signal ausgelöst, erfolgt ein Pflicht‑Stopp mit manueller Moderation. Damit setzen Sie die Linie EuGH Datenschutz sensible Daten technisch um.
  • Identitätsprüfung (KYC‑light): Verifizieren Sie Inserenten, wenn sensible Inhalte im Spiel sind. Prüfen Sie, ob der Inserent die betroffene Person ist. Falls nicht: Ohne ausdrückliche Einwilligung der betroffenen Person keine Freischaltung.
  • Einwilligung rechtssicher einholen: Einwilligungen müssen freiwillig, informiert, spezifisch und eindeutig erklärt sein – und zwar für genau diese Veröffentlichung. Führen Sie Nachweise (Logs, Zeitstempel, gespeicherte Consent‑Texte) revisionssicher.
  • Gemeinsame Verantwortlichkeit regeln: Ergänzen Sie die Nutzungsbedingungen um eine klare Artikel‑26‑Vereinbarung (Informationspflichten, Bearbeitung von Auskunfts‑/Löschbegehren, Nachweisführung).
  • Schutz vor Kopieren/Weiterverbreitung: Technisch (Anti‑Scraping, Rate‑Limits, Wasserzeichen, Hash‑Datenbanken gegen Re‑Uploads, restriktive Download‑/Embedding‑Einstellungen, Robots‑Metatags/Noindex wo sinnvoll) und vertraglich (Nutzungs‑ und Partnerverträge) absichern. Evaluieren Sie die Wirksamkeit regelmäßig.
  • Prozesse, Schulungen, DPIA: Definieren Sie Moderations‑Guidelines, Eskalationspfade und Reaktionszeiten. Schulen Sie das Content‑Team zum Umgang mit Art‑9‑Daten. Führen Sie – bei hohem Risiko – eine Datenschutz‑Folgenabschätzung (DPIA) durch.
  • Transparenz: Aktualisieren Sie Datenschutzhinweise zu Identitätsprüfung, Rechtsgrundlagen, Speicherdauer, Empfängern und Betroffenenrechten.
  • Wesentlich: Es geht nicht um eine generelle Vorabkontrolle aller Inhalte. Gefordert sind gezielte, risikobasierte Maßnahmen, um unzulässige Veröffentlichungen sensibler Daten zu verhindern.

Was Betroffene in Österreich jetzt tun können

  • Beweise sichern: Screenshots, URLs, Datum/Uhrzeit, ggf. Zeugen.
  • Sofort handeln: Löschungs‑/Sperrantrag an die Plattform; Identitätsmissbrauch strafrechtlich anzeigen.
  • Rechte durchsetzen: Beschwerde bei der Datenschutzbehörde (DSB) einbringen und zivilrechtliche Ansprüche (Unterlassung, Widerruf, Richtigstellung, immaterieller Schadenersatz nach Art. 82 DSGVO) prüfen lassen.
  • Kopien adressieren: Verlangen Sie Maßnahmen gegen Re‑Uploads und Weiterverbreitung; die Plattform muss dem Risiko angemessene Schritte setzen.

Wesentliche Takeaways – prägnant zusammengefasst

  • Plattformen sind (Mit‑)Verantwortliche für Nutzeranzeigen mit personenbezogenen Daten – ein zentraler Punkt aus EuGH Datenschutz sensible Daten.
  • Bei sensiblen Daten gilt: vorab erkennen, Identität prüfen, Einwilligung verlangen; sonst keine Veröffentlichung.
  • Datensicherheit muss das Kopieren/Weiterverbreiten so weit wie möglich verhindern oder erschweren.
  • Safe‑Harbors aus ECG/DSA entbinden nicht von DSGVO‑Pflichten.
  • Betroffene haben starke Ansprüche auf Löschung und Schadenersatz – auch ohne materiellen Schaden.

Warum das Urteil die Praxis in Österreich spürbar verändert

Das Urteil hat das Potenzial, Moderations‑ und Freischaltprozesse vieler österreichischer Plattformen neu zu ordnen. Wer bisher ausschließlich auf „Notice‑and‑Takedown“ setzte, muss in sensiblen Bereichen auf „Prevent‑and‑Block“ umstellen – mit klaren Workflows, Technik und Dokumentation. Gleichzeitig schafft die Entscheidung Rechtssicherheit: Gezielte Filter und Identitätsprüfungen bei Art‑9‑Risiken sind mit dem Verbot allgemeiner Überwachung vereinbar. Für Betroffene ist das ein klares Signal, ihre Rechte konsequent einzufordern – insbesondere im Lichte von EuGH Datenschutz sensible Daten.

Rechtsanwalt Wien: Benötigen Sie Unterstützung bei der Umsetzung?

Durch jahrelange anwaltliche Praxis im Datenschutz‑ und Plattformrecht begleiten wir Unternehmen beim Aufbau rechtssicherer Prozesse – von der Risikoanalyse über Artikel‑26‑Vereinbarungen bis zu technisch‑organisatorischen Maßnahmen nach Artikel 32 DSGVO. Mit langjähriger Erfahrung als Rechtsanwalt unterstützt die Pichler Rechtsanwalt GmbH Betreiber dabei, risikobasierte Prüf‑ und Schutzmechanismen einzuführen, ohne die Skalierbarkeit des Geschäfts zu verlieren. Als erfahrener Rechtsanwalt berät die Kanzlei Pichler zudem Betroffene bei der Durchsetzung von Löschung, Unterlassung und Schadenersatz.

Kontaktieren Sie uns für eine zeitnahe Einschätzung Ihres konkreten Falls: Pichler Rechtsanwalt GmbH, Schwarzenbergstraße 1‑3, 1010 Wien, Telefon 01/5130700, E‑Mail: wien@anwaltskanzlei-pichler.at.

Rechtliche Hilfe in Österreich?

Auch wenn ein EuGH-Urteil aus einem anderen Mitgliedstaat stammt – die Auswirkungen koennen auch in Oesterreich erheblich sein. Die Rechtsanwaltskanzlei Pichler in 1010 Wien beraet Sie zur konkreten Bedeutung fuer Ihren Fall: Beratungstermin vereinbaren.

Dieser mit KI-Unterstützung erstellte Beitrag dient ausschließlich der allgemeinen Information über das österreichische Recht. Er stellt keine Rechtsberatung im Sinne der RAO dar und ersetzt nicht die individuelle anwaltliche Beratung . Die Anwendung gesetzlicher Bestimmungen und höchstgerichtlicher Judikatur auf einen konkreten Lebenssachverhalt erfordert stets eine einzelfallbezogene Prüfung durch einen Rechtsanwalt. Durch das Lesen, Speichern, Teilen oder Weiterleiten dieses Beitrags kommt kein Auftrags- oder Beratungsverhältnis mit der Pichler Rechtsanwalt GmbH oder einer ihrer Rechtsanwältinnen oder Rechtsanwälte zustande. Ein Mandat entsteht ausschließlich nach individueller Beauftragung. Soweit dieser Beitrag auf Entscheidungen des OGH, EuGH oder anderer Gerichte Bezug nimmt, geben wir die jeweilige Geschäftszahl und allenfalls einen Direktlink zum Rechtsinformationssystem des Bundes (RIS) an. Maßgeblich ist stets der vollständige Wortlaut der Originalentscheidung, nicht die Zusammenfassung in diesem Beitrag. Für eine auf Ihren konkreten Sachverhalt zugeschnittene Beurteilung vereinbaren Sie bitte eine Erstberatung , schreiben Sie an wien@anwaltskanzlei-pichler.at oder rufen Sie uns unter 01/5130700 an.