Vorläufige Fassung

SCHLUSSANTRÄGE DES GENERALANWALTS

MACIEJ SZPUNAR

vom 6. Februar 2025(1)

Rechtssache C‑492/23

X

gegen

Russmedia Digital SRL,

Inform Media Press SRL

(Vorabentscheidungsersuchen der Curtea de Apel Cluj [Berufungsgericht Cluj, Rumänien])

„ Vorlage zur Vorabentscheidung – Angleichung der Rechtsvorschriften – Elektronischer Geschäftsverkehr – Richtlinie 2000/31/EG – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Verantwortlichkeit der Vermittler – Anbieter von Diensten der Informationsgesellschaft, der auch die Eigenschaft als Verantwortlicher für die Verarbeitung personenbezogener Daten hat – Haftung – Umfang “

I.      Einleitung

1.        Die Vorlagefragen in der vorliegenden Rechtssache betreffen die Bestimmungen der Richtlinie 2000/31/EG(2) und der Verordnung (EU) 2016/679(3).

2.        Diese Fragen gehen auf einen Rechtsstreit zwischen einer natürlichen Person und dem Betreiber eines Online-Marktplatzes zurück, auf dem ohne die Zustimmung dieser Person eine Anzeige mit dem Hinweis veröffentlicht wurde, dass sie sexuelle Dienstleistungen anbiete. Die Besonderheit dieses Falls besteht darin, dass die fragliche Anzeige personenbezogene Daten enthielt.

3.        Mit seinen auf die DSGVO bezogenen Fragen möchte das vorlegende Gericht in diesem Zusammenhang zum einen klären, ob der Betreiber eines Online-Marktplatzes wie der des Ausgangsrechtsstreits gegen seine Verpflichtungen aus dieser Verordnung verstoßen hat, und zum anderen wissen, ob ein solcher Betreiber in Bezug auf eine auf diesem Online-Marktplatz veröffentlichte Anzeige von der in Art. 14 Abs. 1 der Richtlinie 2000/31 vorgesehenen Haftungsfreistellung erfasst wird. Das vorliegende Vorabentscheidungsersuchen gibt dem Gerichtshof daher die Gelegenheit, sich zum Verhältnis zwischen den durch diese beiden Rechtsakte des Unionsrechts geschaffenen Regelungen zu äußern.

II.    Rechtlicher Rahmen

A.      Unionsrecht

1.      Richtlinie 2000/31

4.        Nach ihrem Art. 1 („Zielsetzung und Anwendungsbereich“) Abs. 5 findet die Richtlinie 2000/31 insbesondere „keine Anwendung auf … Fragen betreffend die Dienste der Informationsgesellschaft, die von den Richtlinien 95/46/EG[(4)] und 97/66/EG[(5)] erfasst werden“.

5.        Die Art. 12, 13 und 14 dieser Richtlinie, die in Kapitel II („Grundsätze“) Abschnitt 4 („Verantwortlichkeit der Vermittler“) enthalten sind, beziehen sich auf einen Diensteanbieter der Informationsgesellschaft, der eine Tätigkeit der reinen Durchleitung, des Caching oder eine Hosting-Tätigkeit ausübt. Diese Bestimmungen legen auch die Voraussetzungen fest, unter denen solche Anbieter von der Haftung für Informationen freigestellt sind, die von Nutzern ihrer Dienste stammen.

6.        Art. 14 („Hosting“) Abs. 1 dieser Richtlinie sieht vor:

„Die Mitgliedstaaten stellen sicher, dass im Fall eines Dienstes der Informationsgesellschaft, der in der Speicherung von durch einen Nutzer eingegebenen Informationen besteht, der Diensteanbieter nicht für die im Auftrag eines Nutzers gespeicherten Informationen verantwortlich ist, sofern folgende Voraussetzungen erfüllt sind:

a)      Der Anbieter hat keine tatsächliche Kenntnis von der rechtswidrigen Tätigkeit oder Information, und, in Bezug auf Schadenersatzansprüche, ist er sich auch keiner Tatsachen oder Umstände bewusst, aus denen die rechtswidrige Tätigkeit oder Information offensichtlich wird, oder

b)      der Anbieter wird, sobald er diese Kenntnis oder dieses Bewusstsein erlangt, unverzüglich tätig, um die Information zu entfernen oder den Zugang zu ihr zu sperren.

…“

7.        Art. 15 („Keine allgemeine Überwachungspflicht“) dieser Richtlinie sieht vor:

„(1)      Die Mitgliedstaaten erlegen Anbietern von Diensten im Sinne der Artikel 12, 13 und 14 keine allgemeine Verpflichtung auf, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.

(2)      Die Mitgliedstaaten können Anbieter von Diensten der Informationsgesellschaft dazu verpflichten, die zuständigen Behörden unverzüglich über mutmaßliche rechtswidrige Tätigkeiten oder Informationen der Nutzer ihres Dienstes zu unterrichten, oder dazu verpflichten, den zuständigen Behörden auf Verlangen Informationen zu übermitteln, anhand deren die Nutzer ihres Dienstes, mit denen sie Vereinbarungen über die Speicherung geschlossen haben, ermittelt werden können.“

2.      DSGVO

8.        Art. 2 („Sachlicher Anwendungsbereich“) Abs. 4 DSGVO lautet:

„Die vorliegende Verordnung lässt die Anwendung der Richtlinie [2000/31] und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.“

9.        Art. 4 („Begriffsbestimmungen“) dieser Verordnung sieht vor:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

…

7.      ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8.      ,Auftragsverarbeiter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

…

11.      ‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

…“

10.      Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) der Verordnung sieht vor:

„(1)      Personenbezogene Daten müssen

a)      auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

b)      für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; … (‚Zweckbindung‘);

…

f)      in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘)[.]

(2)      Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

11.      Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 der Verordnung bestimmt:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)      Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

…“

12.      Art. 7 („Bedingungen für die Einwilligung“) Abs. 1 DSGVO sieht vor:

„Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“

13.      Die Art. 24 bis 26 dieser Verordnung finden sich in Kapitel IV („Verantwortlicher und Auftragsverarbeiter“) Abschnitt 1 („Allgemeine Pflichten“).

14.      Art. 24 („Verantwortung des für die Verarbeitung Verantwortlichen“) Abs. 1 dieser Verordnung lautet:

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

15.      Art. 25 („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) Abs. 1 und 2 dieser Verordnung sieht vor:

„(1)      Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

(2)      Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“

16.      Art. 26 („Gemeinsam für die Verarbeitung Verantwortliche“) Abs. 1 DSGVO bestimmt:

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

B.      Rumänisches Recht

17.      Art. 11 der Legea nr. 365/2002 privind comerțul electronic (Gesetz Nr. 365/2002 über den elektronischen Geschäftsverkehr) vom 7. Juni 2002(6) in der durch die Legea nr. 121/2006 pentru modificarea și completarea nr. 365/2002 privind comerțul electronic (Gesetz Nr. 121/2006 zur Änderung und Ergänzung des Gesetzes Nr. 365/2002 über den elektronischen Geschäftsverkehr) vom 4. Mai 2006(7) geänderten Fassung (im Folgenden: Gesetz Nr. 365/2002) sieht vor:

„1.      Diensteanbieter unterliegen den gesetzlichen Bestimmungen über die zivil- und strafrechtliche Verantwortlichkeit sowie über Ordnungswidrigkeiten, sofern in diesem Gesetz nichts anderes bestimmt ist.

2.      Diensteanbieter sind für die Informationen verantwortlich, die sie selbst bereitstellen oder die in ihrem Auftrag bereitgestellt werden.

3.      Diensteanbieter sind nicht verantwortlich für die Informationen, die sie unter den in den Art. 12 bis 15 genannten Voraussetzungen übermitteln, speichern oder zu denen sie Zugang gewähren.“

18.      Art. 14 („Dauerhafte Aufbewahrung von Informationen, Hosting“) dieses Gesetzes lautet:

„1.      Besteht ein Dienst der Informationsgesellschaft in der Speicherung von durch einen Nutzer dieses Dienstes eingegebenen Informationen, haftet der Diensteanbieter nicht für die im Auftrag eines Nutzers gespeicherten Informationen, sofern eine der folgenden Voraussetzungen vorliegt:

a)      Der Diensteanbieter hat keine Kenntnis davon, dass die Tätigkeit oder die gespeicherte Information rechtswidrig ist, und hat in Bezug auf Schadenersatzansprüche keine Kenntnis von Tatsachen oder Umständen, aus denen sich ergibt, dass die betreffende Tätigkeit oder Information die Rechte eines Dritten beeinträchtigen könnte;

b)      der Diensteanbieter wird, sobald er davon Kenntnis erlangt, dass die betreffende Tätigkeit oder Information rechtswidrig ist, oder Kenntnis von Tatsachen oder Umständen erlangt, aus denen sich ergibt, dass die betreffende Tätigkeit oder Information die Rechte eines Dritten verletzen könnte, unverzüglich tätig, um diese zu entfernen oder den Zugang zu ihr zu sperren.

2.      Die Bestimmungen von Absatz 1 finden keine Anwendung, wenn der Nutzer dem Diensteanbieter untersteht oder von ihm beaufsichtigt wird.

3.      Die Bestimmungen dieses Artikels lassen die Möglichkeit unberührt, dass ein Gericht oder eine Verwaltungsbehörde vom Diensteanbieter verlangt, die Verletzung des Datenschutzes abzustellen oder eine solche Verletzung zu verhindern, oder dass staatliche Verfahren zur Begrenzung oder Sperrung des Zugangs zu Informationen festgelegt werden.“

III. Dem Ausgangsrechtsstreit zugrunde liegender Sachverhalt, Vorlagefragen und Verfahren vor dem Gerichtshof

19.      Russmedia Digital SRL (im Folgenden: Russmedia), eine Gesellschaft rumänischen Rechts, ist Eigentümerin des Online-Marktplatzes www.publi24.ro, auf dem kostenlos oder kostenpflichtig Werbeanzeigen veröffentlicht werden können, die u. a. den Verkauf von Waren oder die Erbringung von Dienstleistungen aus verschiedenen Orten in Rumänien betreffen.

20.      Am 1. August 2018 veröffentlichte eine nicht identifizierte Person auf diesem Online-Marktplatz eine Anzeige mit einem die Klägerin des Ausgangsrechtsstreits verunglimpfenden und beleidigenden Inhalt, da darin angegeben wurde, dass sie sexuelle Dienstleistungen anbiete (im Folgenden: streitige Anzeige). Die Anzeige enthielt Fotos der Klägerin des Ausgangsrechtsstreits, die ohne ihre Zustimmung verwendet wurden und von ihrem rechtmäßigen Konto in einem sozialen Netzwerk stammten, sowie ihre Telefonnummer. Vor der Veröffentlichung dieser Anzeige wurde keine Überprüfung der Identität der Person vorgenommen, die die Anzeige aufgegeben hatte. Nachdem die Klägerin des Ausgangsrechtsstreits Russmedia kontaktiert hatte, entfernte die Gesellschaft die besagte Anzeige weniger als eine Stunde später von ihrem Online-Marktplatz. Dieselbe Anzeige wurde jedoch unter Angabe der ursprünglichen Quelle von anderen Internetseiten mit Werbeinhalten online gestellt, auf denen sie weiterhin zugänglich ist.

21.      Da die Klägerin des Ausgangsrechtsstreits der Ansicht war, dass die streitige Anzeige ihre Rechte verletze, erhob sie Klage gegen Russmedia.

22.      Die Judecătoria Cluj-Napoca (Gericht erster Instanz Cluj-Napoca, Rumänien) gab der Klage statt und verurteilte Russmedia auf der Grundlage von Art. 253 des Zivilgesetzbuchs(8) dazu, der Klägerin des Ausgangsrechtsstreits einen Betrag von 7 000 Euro für den immateriellen Schaden zu zahlen, der ihr durch die Verletzung ihres Rechts am eigenen Bild, auf Schutz der Ehre und des guten Rufs und ihres Rechts auf Privatsphäre sowie durch die unzulässige Verarbeitung ihrer personenbezogenen Daten entstanden sei. Dieses Gericht war nämlich der Ansicht, dass die streitige Anzeige einen Verstoß gegen die Verpflichtungen von Russmedia aus der DSGVO darstelle. Es war der Auffassung, dass die Rechte der Klägerin des Ausgangsrechtsstreits dadurch schwer beeinträchtigt worden seien, dass Russmedia die Veröffentlichung und anschließende Verbreitung dieser Anzeige im Internet zugelassen habe.

23.      Das Tribunalul Specializat Cluj (Fachgericht Cluj, Rumänien) gab dem Rechtsmittel von Russmedia statt und entschied, dass die Klage der Klägerin des Ausgangsrechtsstreits unbegründet sei, da Russmedia nicht der Verfasser der streitigen Anzeige gewesen sei. Dieses Gericht war der Ansicht, dass Russmedia lediglich einen Dienst zur Speicherung von Anzeigen erbringe, ohne aktiv an deren Inhalt beteiligt zu sein, und dass unter diesen Umständen die in Art. 14 Abs. 1 des Gesetzes Nr. 365/2002 vorgesehene Haftungsfreistellung anwendbar sei.

24.      Denn Russmedia habe die streitige Anzeige weniger als eine Stunde, nachdem die Gesellschaft von der Klägerin des Ausgangsrechtsstreits kontaktiert worden sei, von ihrem Online-Marktplatz entfernt. Russmedia sei von der Haftung für den geltend gemachten Schaden freigestellt, da die Gesellschaft nicht der Urheber der betreffenden Anzeige gewesen sei und diese gemäß Art. 11 Abs. 3 und Art. 14 Abs. 1 Buchst. b des Gesetzes Nr. 365/2002 entfernt habe, sobald sie Kenntnis davon erlangt habe, dass die Anzeige die Rechte der Klägerin des Ausgangsrechtsstreits beeinträchtigen könnte.

25.      In Bezug auf die Verpflichtung des Verantwortlichen, vor der Veröffentlichung einer Anzeige zu prüfen, ob ihr Verfasser das Recht habe, die darin enthaltenen personenbezogenen Daten zu verwenden, stellte das Fachgericht anschließend fest, dass Art. 11 der Durchführungsbestimmungen zum Gesetz Nr. 365/2002 anwendbar sei, wonach ein Diensteanbieter der Informationsgesellschaft nicht verpflichtet sei, die gespeicherten Informationen zu überprüfen(9).

26.      Schließlich entschied das Fachgericht, dass Russmedia nicht vorgeworfen werden könne, keine Maßnahmen ergriffen zu haben, um die Verbreitung der streitigen Anzeige im Internet zu verhindern. Die erbrachte Dienstleistung habe in der Veröffentlichung dieser Anzeige bestanden, und der Zugang der Öffentlichkeit zu dieser Anzeige sei gesperrt worden, sobald die Klägerin des Ausgangsrechtsstreits Russmedia benachrichtigt habe. Daher sei das Gesetz Nr. 365/2002, das diese Gesellschaft von ihrer Haftung für immaterielle Schäden freistelle, die durch den Inhalt der von Nutzern auf der Website www.publi24.ro veröffentlichten Anzeigen verursacht worden seien, auf den vorliegenden Fall anwendbar.

27.      Die Klägerin des Ausgangsrechtsstreits legte gegen dieses Urteil ein Rechtsmittel bei der Curtea de Apel Cluj (Berufungsgericht Cluj, Rumänien), dem vorlegenden Gericht, ein.

28.      Im Rahmen ihres Rechtsmittels macht die Klägerin des Ausgangsrechtsstreits unter anderem geltend, dass das Gesetz Nr. 365/2002 kein Spezialgesetz gegenüber der DSGVO sei und dass das Fachgericht daher die Verantwortlichkeit von Russmedia im Licht der Bestimmungen dieser Verordnung hätte prüfen müssen.

29.      Darüber hinaus weist die Klägerin des Ausgangsrechtsstreits darauf hin, dass die Rolle von Russmedia nicht darauf beschränkt sei, den Kunden die spezielle technische Vorrichtung für den Zugang zum Hosting-Server zur Verfügung zu stellen. Die Gesellschaft spiele auch eine verwaltende Rolle, indem sie auf inhaltlicher Ebene der Anzeigen zum Zweck einer guten Informationsverwaltung tätig werde. Russmedia speichere und verarbeite als Betreiberin der betreffenden Internetseite den Inhalt der Informationen. Die Verarbeitung und Speicherung der Daten sowie ihre Bereitstellung für die Öffentlichkeit in einer bestimmten Form beinhalte sowohl die Analyse der in den Anzeigen enthaltenen Daten und Informationen als auch notwendigerweise deren Verwaltung, um einen einfachen Zugang für die Öffentlichkeit sicherzustellen, was auf eine direkte Mitwirkung dieser Gesellschaft hindeute. Folglich sei Art. 14 des Gesetzes Nr. 365/2002 im vorliegenden Fall nicht anwendbar. Die Klägerin des Ausgangsrechtsstreits ist zudem der Ansicht, dass die in dieser Bestimmung vorgesehene Haftungsfreistellung nicht gelte, wenn die Verantwortlichkeit aufgrund anderer Rechtsakte mit Verordnungscharakter, wie z. B. der DSGVO, festgestellt werde, was vorliegend der Fall sei.

30.      Das vorlegende Gericht gab dem Rechtsmittel mit der Begründung statt, dass das Fachgericht die Anwendbarkeit der Bestimmungen der DSGVO auf die Umstände des Falls nicht geprüft habe, hob das Rechtsmittelurteil auf und behielt sich die erneute Entscheidung über die Berufung vor.

31.      Das vorlegende Gericht führt aus, dass es seiner Ansicht nach keine Verpflichtung für die Betreiber von Online-Marktplätzen gebe, eine Vorabprüfung der von den Nutzern veröffentlichten Anzeigen vorzunehmen. Es wies jedoch darauf hin, dass sich nach dem Urteil L’Oréal u. a.(10) nur ein Betreiber eines Online-Marktplatzes, der keine aktive Rolle spiele, indem er Hilfestellung zur Optimierung der Präsentation von Verkaufsangeboten leiste oder diese Angebote bewerbe, auf die in Art. 14 Abs. 1 der Richtlinie 2000/31 vorgesehene Haftungsfreistellung berufen könne. Zudem könne sich nach diesem Urteil(11) ein Betreiber eines Online-Marktplatzes nicht auf diese Ausnahme von der Verantwortlichkeit berufen, wenn er sich etwaiger Tatsachen oder Umstände bewusst gewesen sei, auf deren Grundlage ein sorgfältiger Wirtschaftsteilnehmer die Rechtswidrigkeit der fraglichen Verkaufsangebote hätte feststellen müssen, und er, falls dies der Fall gewesen sei, nicht unverzüglich tätig geworden sei. In diesem Sinne könne sich nach dem Urteil Papasavvas(12) auch eine Presseverlagsgesellschaft, die über eine Website verfüge, auf der die elektronische Fassung einer Zeitung veröffentlicht werde, nicht auf die genannte Haftungsfreistellung berufen, da sie von den veröffentlichten Informationen Kenntnis habe und eine Kontrolle über sie ausübe.

32.      Das vorlegende Gericht weist darauf hin, dass sich die Rechtsprechung des Gerichtshofs nur auf online veröffentlichte Angebote beziehe, deren Rechtswidrigkeit sich aus der Prüfung von Tatsachen und Umständen ergebe, die dem Verantwortlichen nach der Veröffentlichung der fraglichen Anzeige ausdrücklich mitgeteilt worden seien. Dagegen habe der Gerichtshof noch nicht die Gelegenheit gehabt, sich mit einer Situation wie der, die Gegenstand des vorliegenden Rechtsstreits sei, zu befassen. Denn die Besonderheit des Ausgangsverfahrens liege darin, dass der Inhalt der Anzeige, die von einem zum Zeitpunkt der Anrufung des Gerichts nicht identifizierten Nutzer veröffentlicht worden sei, offensichtlich rechtswidrig und für die betroffene Person äußerst schädlich gewesen sei. Daher sei die Benachrichtigung des Verantwortlichen nicht erforderlich gewesen, um die mögliche Rechtswidrigkeit der veröffentlichten Information zu erfassen und zu prüfen.

33.      Darüber hinaus sei die streitige Anzeige – obwohl Russmedia sie nach Meldung durch die Klägerin des Ausgangsrechtsstreits von ihrer Seite, auf der sie ursprünglich veröffentlicht worden sei, gelöscht habe – in vollem Umfang von zahlreichen anderen Internetseiten wiedergegeben worden, einschließlich aller Daten und Fotografien der Klägerin des Ausgangsrechtsstreits, unter Angabe der ursprünglichen Quelle und ohne Schutzmaßnahmen in Bezug auf die personenbezogenen Daten. Der Schaden sei daher zu einem dauerhaften Schaden geworden und wiederhole sich bis heute.

34.      Außerdem merkt das vorlegende Gericht an, dass die in der streitigen Anzeige genannten und angeblich von der Klägerin des Ausgangsrechtsstreits angebotenen sexuellen Dienstleistungen mit schweren Straftaten in Verbindung gebracht werden könnten, die nach dem Strafgesetzbuch geahndet würden, wie Zuhälterei und Menschenhandel.

35.      Im Hinblick auf die allgemeinen Nutzungsbedingungen ihres Online-Marktplatzes schließlich scheine Russmedia auch keine bloß passive Nutzerin der Daten zu sein. Denn die Gesellschaft beanspruche zwar kein Eigentumsrecht an den bereitgestellten oder veröffentlichten, hochgeladenen oder übermittelten Inhalten, behalte sich jedoch das Recht vor, die Inhalte zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln, zu veröffentlichen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, auch ohne jeden triftigen Grund dafür.

36.      Unter diesen Umständen hat die Curtea de Apel Cluj (Berufungsgericht Cluj) mit Beschluss vom 15. Juni 2023, der am 3. August 2023 beim Gerichtshof eingegangen ist, das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

1.      Sind die Art. 12 bis 14 der Richtlinie 2000/31 auch auf einen Anbieter von Informationsdienstleistungen des Typs Hosting anwendbar, der den Nutzern eine Website zur Verfügung stellt, auf der kostenlos oder kostenpflichtig Anzeigen veröffentlicht werden können, und der angibt, dass seine Rolle bei der Veröffentlichung der Anzeigen der Nutzer rein technischer Natur sei (Bereitstellung der Plattform), in den allgemeinen Nutzungsbedingungen der Website aber darauf hinweist, dass er zwar kein Eigentumsrecht an den bereitgestellten oder veröffentlichten, hochgeladenen oder übermittelten Inhalten beanspruche, sich jedoch das Recht vorbehalte, die Inhalte zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln, zu veröffentlichen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines Grundes bedürfte?

2.      Ist in Auslegung von Art. 2 Abs. 4, Art. 4 Nrn. 7 und 11, Art. 5 Abs. 1 Buchst. f, Art. 6 Abs. 1 Buchst. a und der Art. 7, 24 und 25 DSGVO sowie von Art. 15 der Richtlinie 2000/31 ein solcher Anbieter von Informationsdienstleistungen des Typs Hosting, der Verantwortlicher für die Verarbeitung personenbezogener Daten ist, verpflichtet, vor der Veröffentlichung einer Anzeige zu überprüfen, ob die Person, die die Anzeige veröffentlicht, mit dem Eigentümer der personenbezogenen Daten, auf den sich die Anzeige bezieht, identisch ist?

3.      Ist in Auslegung von Art. 2 Abs. 4, Art. 4 Nrn. 7 und 11, Art. 5 Abs. 1 Buchst. f, Art. 6 Abs. 1 Buchst. a und der Art. 7, 24 und 25 DSGVO sowie von Art. 15 der Richtlinie 2000/31 ein solcher Anbieter von Informationsdienstleistungen des Typs Hosting, der Verantwortlicher für die Verarbeitung personenbezogener Daten ist, verpflichtet, den Inhalt der von den Nutzern übermittelten Anzeigen vorab zu überprüfen, um Anzeigen auszuschließen, die möglicherweise rechtswidrig sind oder das Privat- und Familienleben einer Person beeinträchtigen können?

4.      Ist in Auslegung von Art. 5 Abs. 1 Buchst. b und f und der Art. 24 und 25 DSGVO sowie von Art. 15 der Richtlinie 2000/31 ein solcher Anbieter von Informationsdienstleistungen des Typs Hosting, der Verantwortlicher für die Verarbeitung personenbezogener Daten ist, verpflichtet, Schutzmaßnahmen zu ergreifen, die das Kopieren und die Weiterverbreitung des Inhalts der über ihn veröffentlichten Anzeigen verhindern oder einschränken?

37.      Die rumänische Regierung und die Europäische Kommission haben schriftliche Erklärungen eingereicht. Die Klägerin des Ausgangsrechtsstreits und die Kommission waren in der mündlichen Verhandlung am 2. Juli 2024 vertreten.

IV.    Würdigung

38.      Mit der ersten Frage soll geklärt werden, ob Russmedia sich auf die Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 berufen kann, während es bei den Fragen 2 bis 4 darum geht, ob diese Gesellschaft ihre ihr nach der DSGVO obliegenden Pflichten missachtet hat.

39.      In der Vergangenheit hat der Gerichtshof darauf hingewiesen, dass Art. 14 Abs. 1 der Richtlinie 2000/31, der Gegenstand der ersten Frage ist, die Fälle begrenzen soll, in denen die Vermittler nach dem einschlägigen nationalen Recht zur Verantwortung gezogen werden können(13). Ich bin der Ansicht, dass angesichts der Entwicklung des Unionsrechts in diesem Bereich die in dieser Bestimmung vorgesehene Haftungsfreistellung auch dann zur Anwendung berufen ist, wenn ein Anbieter auf der Grundlage der Bestimmungen des Unionsrechts oder der nationalen Bestimmungen zu dessen Umsetzung zur Verantwortung gezogen wird(14).

40.      Die Vorlageentscheidung deutet an, dass im Ausgangsrechtsstreit die Haftung von Russmedia aufgrund eines Verstoßes gegen die DSGVO ausgelöst werden könnte(15). Vor diesem Hintergrund könnte es auf den ersten Blick ratsam erscheinen, zunächst die Fragen 2 bis 4 zu prüfen, mit denen das vorlegende Gericht feststellen möchte, ob Russmedia gegen ihre Verpflichtungen aus der DSGVO verstoßen hat. Im Interesse einer übersichtlichen Prüfung werde ich die Fragen jedoch in der Reihenfolge untersuchen, in der sie gestellt wurden. Somit werde ich das in der Vorlageentscheidung aufgeworfene Problem zunächst aus dem Blickwinkel der Richtlinie 2000/31 und anschließend aus dem der DSGVO prüfen. Im letzten Teil meiner Prüfung werde ich schließlich das Zusammenspiel zwischen dieser Verordnung und der Richtlinie untersuchen.

41.      Alle Vorlagefragen betreffen nämlich die grundlegendere Frage, in welchem Verhältnis die Richtlinie 2000/31 und die DSGVO zueinander stehen. Diese Frage werde ich untersuchen, nachdem ich die einschlägigen Bestimmungen dieser beiden Unionsrechtsakte ermittelt habe, denn die rechtlichen Einordnungen nach den in diesen Rechtsakten vorgesehenen Kategorien stehen im Mittelpunkt der vier Vorlagefragen.

A.      Zur ersten Frage

42.      Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 14 Abs. 1 der Richtlinie 2000/31 dahin auszulegen ist, dass ein Anbieter eines Dienstes der Informationsgesellschaft, der darin besteht, den Nutzern einen Online-Marktplatz zur Verfügung zu stellen, auf dem kostenlos oder kostenpflichtig Anzeigen veröffentlicht werden können, von der in dieser Bestimmung vorgesehenen Haftungsfreistellung auch dann erfasst wird, wenn der Anbieter in den allgemeinen Nutzungsbedingungen des Online-Marktplatzes angibt, dass er zwar kein Eigentumsrecht an diesen Inhalten beansprucht, sich jedoch das Recht vorbehält, die bereitgestellten, veröffentlichten, hochgeladenen oder übermittelten Inhalte zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln, zu veröffentlichen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines Grundes bedarf.

43.      Ich werde daher diese Frage untersuchen (Abschnitt 1), mit der im Wesentlichen geklärt werden soll, ob Russmedia als „Vermittler“ eingestuft werden kann, der sich grundsätzlich auf die Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 berufen kann. Da das vorlegende Gericht offenbar auch Zweifel daran hat, ob angesichts der Besonderheit des Ausgangsrechtsstreits die Voraussetzungen, an die diese Bestimmung die Haftungsfreistellung in einem konkreten Fall knüpft, vorliegend erfüllt sind, werde ich der Vollständigkeit halber auch diese Frage untersuchen (Abschnitt 2).

1.      Zum Begriff des „Vermittlers“

a)      Umfang und Prämissen der Frage

44.      Wichtig scheint mir, sowohl die Prämisse, auf der die erste Frage beruht, als auch den Umfang dieser Frage hervorzuheben.

45.      Erstens sehen, wie bereits erwähnt(16), die Art. 12, 13 und 14 der Richtlinie 2000/31 Ausnahmen von der Haftung vor, die Anwendung finden, wenn die von den Anbietern von Diensten der Informationsgesellschaft erbrachten Dienste die reine Durchleitung („mere conduit“), das Caching bzw. das Hosting betreffen.

46.      Obwohl die erste Frage auf diese drei Bestimmungen verweist, lässt das vorlegende Gericht anklingen, dass der von Russmedia angebotene Dienst darin bestehe, von Nutzern bereitgestellte Informationen zu hosten. Auch scheint Art. 14 des Gesetzes Nr. 365/2002, dessen Anwendbarkeit vor den nationalen Instanzen diskutiert wurde(17), eine Umsetzung von Art. 14 der Richtlinie 2000/31 zu sein, der sich auf einen Hosting-Dienst bezieht. Meines Erachtens zielt die erste Frage daher auf diese Bestimmung des Unionsrechts ab, und das vorlegende Gericht geht von der Annahme aus, dass der von Russmedia erbrachte Dienst ein Dienst der Informationsgesellschaft ist und grundsätzlich darin besteht, Informationen zu hosten, die von den Nutzern ihres Online-Marktplatzes bereitgestellt werden.

47.      Was zweitens den Umfang der ersten Frage betrifft, deutet deren vorsichtige Formulierung darauf hin, dass das vorlegende Gericht sich nicht zu der Rolle äußert, die Russmedia bei der Erbringung ihres Hosting-Diensts spielt. Aus dieser Frage geht nämlich hervor, dass die Feststellung, die Rolle von Russmedia sei rein technischer Natur, auf den von dieser Gesellschaft aufgestellten Behauptungen beruht(18). Obwohl das vorlegende Gericht diese Behauptung nicht in Frage zu stellen scheint, werde ich mich dennoch mit ihr befassen, da ihre Richtigkeit von der Klägerin des Ausgangsrechtsstreits entschieden bestritten wird(19).

48.      Drittens schließlich weist das vorlegende Gericht darauf hin, dass Russmedia „nicht ein rein passiver Nutzer der Daten (Vermittler) zu sein [scheint], da [diese Gesellschaft] zwar kein Eigentumsrecht an den bereitgestellten oder veröffentlichten, hochgeladenen oder übermittelten Inhalten beansprucht, sich jedoch das Recht zur Nutzung der Inhalte vorbehält“. Die Formulierung der ersten Frage spiegelt diese Bedenken des vorlegenden Gerichts wider. Diese Frage geht nämlich dahin, ob „[ein] Anbieter …, der den Nutzern [einen Online-Marktplatz] zur Verfügung stellt, … in den allgemeinen Nutzungsbedingungen der Website aber darauf hinweist, dass er … sich jedoch das Recht vorbehalte, die Inhalte zu nutzen“, von der Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 erfasst wird.

49.      Die Hinweise in der Vorlageentscheidung auf die rein technische oder passive Natur der Tätigkeit von Russmedia beziehen sich auf die Rechtsprechung des Gerichtshofs, nach der die in Art. 14 Abs. 1 der Richtlinie 2000/31 vorgesehene Haftungsfreistellung nur den Fall betrifft, dass das Verhalten des Anbieters auf das eines „Vermittlers“ in dem vom Gesetzgeber im Rahmen von Kapitel II Abschnitt 4 dieser Richtlinie intendierten Sinn beschränkt bleibt. In diesem Zusammenhang ergibt sich nämlich aus dem 42. Erwägungsgrund dieser Richtlinie, dass die dort hinsichtlich der Verantwortlichkeit festgelegten Ausnahmen nur die Fälle erfassen, in denen die Tätigkeit des Anbieters von Diensten der Informationsgesellschaft rein technischer, automatischer und passiver Art ist, was bedeutet, dass der Anbieter weder Kenntnis von noch Kontrolle über die weitergeleitete oder gespeicherte Information besitzt(20). Die erste Frage ist im Licht dieser Rechtsprechung zu prüfen.

b)      Die Rolle des Betreibers eines Online-Marktplatzes

50.      Obwohl das vorlegende Gericht keine genauen Angaben zur Funktionsweise des Online-Marktplatzes von Russmedia macht, scheint diese Gesellschaft das Layout der Anzeigen festzulegen und diese kostenlos oder kostenpflichtig auf ihrem Online-Marktplatz zu veröffentlichen, auf dem die Anzeigen in verschiedenen, von den inserierenden Nutzern gewählten Kategorien zusammengefasst werden und die anderen Nutzer mit Hilfe einer einfachen Suchmaschine suchen und die Ergebnisse ordnen können. Ein inserierender Nutzer muss sich bei Russmedia registrieren, um eine Online-Anzeige veröffentlichen zu können. Seine Identität wird weder bei der Registrierung noch bei der Veröffentlichung der Anzeige geprüft. Diese Funktionsweise des Online-Marktplatzes ergibt sich aus der Vorlageentscheidung, den schriftlichen Erklärungen und den in der mündlichen Verhandlung vorgetragenen Stellungnahmen der Parteien sowie aus meinen eigenen Recherchen. Es ist Sache des vorlegenden Gerichts, die Richtigkeit dieser Ausführungen zu überprüfen, bevor es seine Entscheidung im Ausgangsrechtsstreit trifft.

51.      In einem Fall, an dem der Betreiber eines Online-Marktplatzes beteiligt war, stellte der Gerichtshof klar, dass bei der Prüfung, ob dieser Betreiber nach Art. 14 der Richtlinie 2000/31 von seiner Haftung befreit werden kann, zu untersuchen ist, ob er sich darauf beschränkt, seinen Dienst mittels rein technischer und automatischer Verarbeitung der von seinen Kunden eingegebenen Daten neutral zu erbringen, oder ob er eine aktive Rolle spielt, die ihm eine Kenntnis dieser Daten oder eine Kontrolle über sie verschaffen kann(21).

52.      Der Gerichtshof hat hierzu entschieden, dass der bloße Umstand, dass der Betreiber eines Online-Marktplatzes die Verkaufsangebote auf seinem Server speichert, die Modalitäten für seinen Dienst festlegt, für diesen eine Vergütung erhält und seinen Kunden Auskünfte allgemeiner Art erteilt, nicht dazu führen kann, dass die in der Richtlinie 2000/31 hinsichtlich der Verantwortlichkeit festgelegten Ausnahmen auf ihn keine Anwendung finden(22).

53.      Was darüber hinaus eine der Voraussetzungen betrifft, an die Art. 14 Abs. 1 der Richtlinie 2000/31 die Freistellung von der Haftung eines Vermittlers knüpft, auf die ich später(23) zurückkommen werde, stellte der Gerichtshof fest, dass der Umstand, dass ein Betreiber einer Plattform für das Teilen von Online‑Inhalten eine automatisierte Indexierung der auf diese Plattform hochgeladenen Inhalte vornimmt, dass diese Plattform eine Suchfunktion enthält und dass sie Videos nach Maßgabe des Profils oder der Präferenzen der Nutzer empfiehlt, nicht für die Annahme ausreichen, dass diese Bedingung nicht erfüllt ist(24). Erst recht kann dieser Umstand einem solchen Betreiber nicht die Möglichkeit nehmen, sich auf die in dieser Bestimmung vorgesehene Haftungsfreistellung zu berufen. Die Frage, ob die Voraussetzungen erfüllt sind, an die Art. 14 Abs. 1 Buchst. a und b dieser Richtlinie die Haftungsfreistellung knüpft, stellt sich nämlich nur, wenn der betreffende Anbieter in Bezug auf die von ihm gespeicherten Informationen als „Hosting-Anbieter mit neutraler Rolle“ eingestuft werden und sich von vornherein auf diese Freistellung berufen kann.

54.      Auf den ersten Blick scheint Russmedia also eine neutrale Rolle in Bezug auf die Informationen zu spielen, die im Auftrag der inserierenden Nutzer gespeichert werden, und kann sich somit auf die in Art. 14 Abs. 1 der Richtlinie 2000/31 vorgesehene Freistellung berufen. Nunmehr sind die Zweifel des vorlegenden Gerichts zu klären, die sich in der Formulierung der ersten Frage widerspiegeln, mit der im Wesentlichen festgestellt werden soll, ob bei der Prüfung der Anwendbarkeit dieser Freistellung den allgemeinen Nutzungsbedingungen eines Online-Marktplatzes oder den vom Betreiber desselben tatsächlich unternommenen Schritten eine ausschlaggebende Rolle beizumessen ist.

c)      Die Relevanz der allgemeinen Nutzungsbedingungen

55.      Zur Erinnerung: Gemäß den allgemeinen Nutzungsbedingungen ihres Online-Marktplatzes beansprucht Russmedia zwar kein Eigentumsrecht an den Inhalten, behält sich aber das Recht vor, die bereitgestellten, veröffentlichten, hochgeladenen oder übermittelten Inhalte zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln, zu veröffentlichen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines Grundes bedarf.

56.      Zunächst möchte ich festhalten, dass es im Ausgangsrechtsstreit nicht um einen Schaden geht, der der Klägerin des Ausgangsrechtsstreits durch ein Eingreifen von Russmedia in die streitige Anzeige, die auf dem Online-Marktplatz zugänglich war, entstanden ist. Vorliegend handelt es sich also nicht um eine Situation, in der der Schaden aus dem Inhalt resultiert, den der Nutzer eines Online-Marktplatzes bereitgestellt und den dessen Betreiber verändert oder manipuliert hat.

57.      Dies vorausgeschickt, ist mit Blick auf die allgemeinen Nutzungsbedingungen ihres Online-Marktplatzes festzustellen, dass Russmedia offenbar keine Verpflichtung gegenüber den inserierenden Nutzern hat, den Inhalt der in ihrem Auftrag gespeicherten Anzeigen zu erstellen oder zu präsentieren. Allerdings behält sich die Gesellschaft das Recht vor, diese Informationen zu nutzen, ohne dass es dafür auch nur eines Grundes bedarf.

58.      In dieser Hinsicht können – obwohl die allgemeinen Nutzungsbedingungen eines Online-Marktplatzes die Funktionsweise eines Dienstes der Informationsgesellschaft festlegen und die Rolle seines Anbieters erklären können – die vertraglichen Vereinbarungen, nach denen der Anbieter in Bezug auf die gespeicherten Informationen Schritte unternehmen kann, ohne dazu verpflichtet zu sein, für sich genommen nicht bei der Frage ausschlaggebend sein, ob die Rolle dieses Anbieters neutral ist. Denn der Gerichtshof stellt in seiner Rechtsprechung auf die tatsächliche Beteiligung des Anbieters eines Dienstes der Informationsgesellschaft an der Erstellung und Präsentation der von den Nutzern des Dienstes bereitgestellten Informationen ab. Umgekehrt sollen bei der Prüfung der Anwendbarkeit der Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 solche Schritte außer Acht gelassen werden, zu denen ein Anbieter nach den allgemeinen Nutzungsbedingungen seiner Plattform berechtigt ist, die er aber in der Praxis nicht umsetzt. Anders ausgedrückt sind bei dieser Prüfung die Schritte zu berücksichtigen, die der Anbieter eines solchen Dienstes tatsächlich unternommen hat.

59.      Konkret entschied der Gerichtshof, dass, wenn der Betreiber eines Online-Marktplatzes Hilfestellung leistet, die u. a. darin besteht, die Präsentation der betreffenden Verkaufsangebote zu optimieren oder diese Angebote zu bewerben, davon auszugehen ist, dass er zwischen dem fraglichen als Verkäufer auftretenden Kunden und den potenziellen Käufern keine neutrale Stellung eingenommen, sondern eine aktive Rolle gespielt hat, die ihm eine Kenntnis der diese Angebote betreffenden Daten oder eine Kontrolle über sie verschaffen konnte(25). Ebenso entschied der Gerichtshof im Wesentlichen, dass sich eine Presseverlagsgesellschaft nicht auf die Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 in Bezug auf Informationen berufen kann, die in der elektronischen Ausgabe der Papierversion der von dieser Gesellschaft herausgegebenen Zeitung enthalten sind, da die Gesellschaft grundsätzlich von den von ihr veröffentlichten Informationen Kenntnis hat und eine Kontrolle über diese Informationen ausübt(26).

60.      Zusammengefasst lässt sich sagen, dass in den genannten Passagen der Rechtsprechung die Funktionsweise eines Online-Marktplatzes die vorherige Kenntnis und Kontrolle der gespeicherten Informationen beinhaltete. Im vorliegenden Fall hingegen gibt es, wie die Kommission in der mündlichen Verhandlung bemerkt hat, keinen Hinweis darauf, dass Russmedia in die Erstellung, Optimierung oder Präsentation der Anzeigen eingreift oder deren individuelle Inhalte vor der Veröffentlichung kontrolliert. Die Kontrolle, die diese Gesellschaft aufgrund der allgemeinen Nutzungsbedingungen ihres Online-Marktplatzes ausüben konnte, ist nur eine potenzielle und nachträgliche. Zudem hat Russmedia offenbar keine Kenntnis von den gespeicherten Informationen, was den Ausschluss dieser Gesellschaft von der Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 gerechtfertigt hätte.

61.      Darüber hinaus sind, wie die Kommission angemerkt hat, allgemeine Nutzungsbedingungen von Plattformen, die den von Russmedia ähneln, für Vermittlungsdienste nicht unüblich(27). In diesem Zusammenhang ist darauf hinzuweisen, dass der Umstand, dass ein Vermittler sich das Recht vorbehält, die von den Nutzern seines Dienstes bereitgestellten Informationen zu nutzen, Teil der wichtigen Rolle ist, die Vermittler bei der Bekämpfung rechtswidriger Online‑Inhalte spielen.

62.      Denn um die Voraussetzungen zu erfüllen, an die die Haftungsfreistellung eines Vermittlers gemäß Art. 14 Abs. 1 Buchst. a und b der Richtlinie 2000/31 geknüpft ist, muss der Vermittler reagieren und unmittelbar nach der Feststellung eines rechtswidrigen Inhalts diesen entfernen oder sperren. Dieser Anbieter kann sich – insbesondere um zu bekunden, das er dazu in der Lage ist – das Recht vorbehalten, den Inhalt jederzeit zu entfernen.

63.      Vor diesem Hintergrund kann die Tatsache, dass Russmedia sich in den allgemeinen Nutzungsbedingungen ihres Online-Marktplatzes das Recht vorbehält, die im Auftrag der Nutzer ihres Dienstes gespeicherten Inhalte zu nutzen, diese Gesellschaft nicht von der Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 ausschließen.

d)      Zwischenergebnis

64.      Nach alledem schlage ich vor, auf die erste Frage zu antworten, dass Art. 14 Abs. 1 der Richtlinie 2000/31 dahin auszulegen ist, dass ein Anbieter eines Dienstes der Informationsgesellschaft, der darin besteht, den Nutzern einen Online-Marktplatz zur Verfügung zu stellen, auf dem kostenlos oder kostenpflichtig Anzeigen veröffentlicht werden, von der in dieser Bestimmung vorgesehenen Haftungsfreistellung auch dann erfasst wird, wenn er in den allgemeinen Nutzungsbedingungen des Online-Marktplatzes angibt, dass er zwar kein Eigentumsrecht an diesen Inhalten beansprucht, sich jedoch das Recht vorbehält, die bereitgestellten, veröffentlichten, hochgeladenen oder übermittelten Inhalte zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln, zu veröffentlichen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines Grundes bedarf, vorausgesetzt, dieser Anbieter unternimmt keine Schritte, die dazu führen, dass er seine Eigenschaft als neutraler Hosting-Anbieter verliert.

65.      Der Vollständigkeit halber ist zu prüfen, ob angesichts der Besonderheit des Ausgangsrechtsstreits die Voraussetzungen, an die diese Freistellung geknüpft ist, im vorliegenden Fall erfüllt sind.

2.      Zu den Voraussetzungen für die Haftungsfreistellung eines Vermittlers

66.      Die Vorlageentscheidung hebt die Besonderheiten des vorliegenden Falles hervor, die offenbar mit den Voraussetzungen zusammenhängen, an die Art. 14 Abs. 1 der Richtlinie 2000/31 die Haftungsfreistellung für gespeicherte Informationen knüpft. So macht das vorlegende Gericht den Gerichtshof auf die offensichtlich rechtswidrige und äußerst schadensstiftende Natur der streitigen Anzeige sowie darauf aufmerksam, dass diese auf zahlreichen anderen Internetseiten, die sie übernommen hätten, verfügbar sei.

a)      Offensichtliche Rechtswidrigkeit der gespeicherten Informationen

1)      Feststellung eines offensichtlich rechtswidrigen Inhalts

67.      Das vorlegende Gericht weist darauf hin, dass Russmedia die mögliche Rechtswidrigkeit der veröffentlichten Information hätte feststellen und prüfen können, wofür es nicht erforderlich gewesen wäre, der Gesellschaft diesen rechtswidrigen Inhalt zu melden. Denn der Inhalt der streitigen Anzeige sei offensichtlich rechtswidrig und für die Klägerin des Ausgangsrechtsstreits äußerst schädlich. Das vorlegende Gericht scheint daher von der Annahme auszugehen, dass Russmedia aufgrund dieser eindeutigen Rechtswidrigkeit Kenntnis von dieser Anzeige und ihrem rechtswidrigen Inhalt hätte haben müssen. Um die Haftungsfreistellung in Anspruch nehmen zu können, hätte Russmedia somit gemäß Art. 14 Abs. 1 Buchst. b der Richtlinie 2000/31 unverzüglich, und ohne eine entsprechende Aufforderung abzuwarten, die genannte Anzeige entfernen oder den Zugang zu ihr sperren müssen.

68.      Art. 14 Abs. 1 Buchst. a der Richtlinie 2000/31 soll den Hosting-Anbieter von seiner Haftung für die gespeicherten Informationen freistellen, wenn er keine Kenntnis von der rechtswidrigen Tätigkeit oder Information hat. Wird die Haftung eines Hosting-Anbieters wie im vorliegenden Fall im Rahmen einer Schadenersatzklage geltend gemacht, gilt eine strengere Voraussetzung für die Haftungsfreistellung. In einem solchen Fall ist dem Anbieter die Inanspruchnahme der in Art. 14 Abs. 1 dieser Richtlinie vorgesehenen Ausnahme von der Verantwortlichkeit verwehrt, wenn er sich etwaiger Tatsachen oder Umstände bewusst war, auf deren Grundlage ein sorgfältiger Wirtschaftsteilnehmer die in Rede stehende Rechtswidrigkeit hätte feststellen müssen, und nicht nach Art. 14 Abs. 1 Buchst. b dieser Richtlinie dagegen vorgegangen ist(28): Wie von der Richtlinie 2000/31 gefordert, muss die Rechtswidrigkeit der Tätigkeit oder Information „offensichtlich“ oder, anders ausgedrückt, leicht erkennbar sein(29).

69.      Dennoch ist dem Anbieter die Inanspruchnahme der Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 nur dann verwehrt, wenn er tatsächlich Kenntnis von Tatsachen oder Umständen erlangt hat, auf deren Grundlage die Rechtswidrigkeit der Tätigkeit oder der Information von einem sorgfältigen Wirtschaftsteilnehmer objektiv festgestellt werden kann. Denn unabhängig von der Frage, ob es sich um eine Schadenersatzklage handelt, reicht es nicht aus, dass sich der Anbieter allgemein der Tatsache bewusst ist, dass sein Dienst auch dazu verwendet wird, rechtswidrige Inhalte zu teilen. Der Anbieter muss Kenntnis von Tatsachen oder Umständen in Bezug auf konkrete rechtswidrige Tätigkeiten und Informationen haben(30).

70.      Die Voraussetzung von Art. 14 Abs. 1 Buchst. a der Richtlinie 2000/31 ist daher nicht erfüllt, wenn der Anbieter auf der Grundlage der ihm zur Verfügung stehenden Informationen die Rechtswidrigkeit der gespeicherten Daten feststellt oder ignoriert oder sich über die Rechtmäßigkeit dieser Daten irrt. Denn während die Rechtswidrigkeit einer Information oder Tätigkeit objektiv am Maßstab des sorgfältigen Wirtschaftsteilnehmers zu beurteilen ist, wird die Kenntnis von Tatsachen, die auf eine solche Rechtswidrigkeit hinweisen, grundsätzlich unter Berücksichtigung der dem betreffenden Anbieter tatsächlich zur Verfügung stehenden Informationen beurteilt.

71.      Vor diesem Hintergrund lässt sich nicht vermuten, dass der Betreiber eines Online-Marktplatzes Kenntnis vom Inhalt jeder rechtswidrigen und schädlichen Anzeige hat. Eine solche Vermutung aufzustellen, würde zudem bedeuten, den Betreiber dazu zu verpflichten, sämtliche Daten jedes seiner inserierenden Nutzer aktiv zu überwachen, um offensichtlich rechtswidrige und schädliche Anzeigen zu erkennen. Eine solche Überwachungspflicht scheint mir nur schwer mit dem Konzept der Richtlinie 2000/31 in Einklang zu bringen.

72.      Denn eine solche „durch die Hintertür“ eingeführte Überwachungspflicht wäre nicht mit Art. 15 Abs. 1 der Richtlinie 2000/31 vereinbar, der vorsieht, dass die Mitgliedstaaten den Hosting-Anbietern keine allgemeine Verpflichtung auferlegen dürfen, die von ihnen gespeicherten Informationen zu überwachen oder aktiv nach Tatsachen oder Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. So kann ein Hosting-Anbieter nicht dazu verpflichtet werden, allgemein die von ihm gespeicherten Informationen aufgrund nationaler Maßnahmen zu überwachen(31).

73.      Daher kann die in Art. 14 Abs. 1 Buchst. a der Richtlinie 2000/31 vorgesehene Voraussetzung nicht allein deshalb als nicht erfüllt angesehen werden, weil eine auf einem Online-Marktplatz veröffentlichte Anzeige offensichtlich rechtswidrig und für die von dieser Anzeige betroffene Person äußerst schädlich ist. Der Vollständigkeit halber möchte ich hinzufügen, dass die Richtlinie 2000/31 auch die Situation berücksichtigt, in der der Anbieter eines Hosting-Diensts ein Geschäfts- oder Organisationsmodell anwendet, das Anreize zur Verbreitung rechtswidriger Inhalte schafft oder diese fördert.

2)      Eine an rechtswidrigen Tätigkeiten beteiligte Plattform

74.      Der 44. Erwägungsgrund der Richtlinie 2000/31 besagt, dass ein Diensteanbieter, der absichtlich mit einem der Nutzer seines Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen, mehr als „reine Durchleitung“ oder „Caching“ gemäß den Art. 12 bzw. 13 der Richtlinie leistet. Dieser Anbieter kann daher den hierfür festgelegten Haftungsausschluss nicht in Anspruch nehmen. Obwohl dieser Erwägungsgrund die in Art. 14 dieser Richtlinie aufgeführte Tätigkeit des Hosting nicht nennt, besteht kein Grund, weshalb die gleiche Überlegung nicht auch für diese Tätigkeit gelten sollte. Der Gerichtshof hat nämlich im Urteil YouTube und Cyando(32) entschieden, dass ein Betreiber einer Online-Plattform, der über die bloße Bereitstellung der Plattform hinaus dazu beiträgt, der Öffentlichkeit unter Verletzung des Urheberrechts Zugang zu Inhalten zu gewähren, nicht als neutraler Hosting-Anbieter angesehen werden kann, der die Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 in Anspruch nehmen kann.

75.      In diesem Urteil stützte sich der Gerichtshof bei der Frage, ob ein Betreiber der Öffentlichkeit einen solchen Zugang gewährt, offenbar indirekt auf seine Prüfung zum Begriff der „Wiedergabe“ im Sinne der Richtlinie 2001/29/EG(33). Entsprechend dieser Prüfung, die sich an seinem Urteil zu der Tauschbörse The Pirate Bay(34) orientiert, gewährt ein Betreiber einen solchen Zugang, wenn er bei der unerlaubten Wiedergabe geschützter Inhalte durch Nutzer seiner Plattform in voller Kenntnis der Folgen seines Verhaltens tätig wird, um anderen Internetnutzern Zugang zu solchen Inhalten zu verschaffen. Um festzustellen, ob das der Fall ist, sind dem Gerichtshof zufolge alle Gesichtspunkte zu berücksichtigen, die die betreffende Situation kennzeichnen und es ermöglichen, direkt oder indirekt Schlussfolgerungen hinsichtlich der Frage zu ziehen, ob der Betreiber bei der unerlaubten Wiedergabe dieser Inhalte vorsätzlich tätig wird oder nicht.

76.      Überträgt man diesen Ansatz auf die Umstände des vorliegenden Falles, würde dies bedeuten, dass der Betreiber eines Online-Marktplatzes, der ein Geschäfts- und/oder Organisationsmodell anwendet, das den Nutzern seiner Plattform Anreize zur Verbreitung offensichtlich rechtswidriger und äußerst schädlicher Inhalte schafft, oder der die unbegrenzte und unkontrollierte Verbreitung solcher Inhalte fördert und erleichtert, die Eigenschaft eines neutralen Hosting-Anbieters im Sinne von Art. 14 Abs. 1 der Richtlinie 2000/31 verlöre. Allerdings liegen keine Hinweise darauf vor, dass Russmedia ein solches Modell angewendet hätte.

3)      Entwicklung des Unionsrechts zur Moderation von online verfügbaren Inhalten

77.      Man könnte argumentieren, dass die Erwägung, wonach die Richtlinie 2000/31 die Anbieter von Hosting-Diensten grundsätzlich und vorbehaltlich außergewöhnlicher Umstände(35) nicht verpflichtet, offensichtlich rechtswidrige und äußerst schädliche Inhalte aufzuspüren, angesichts der Risiken, die die Verbreitung solcher Inhalte im Hinblick auf die Rechte ihrer Nutzer und Dritter mit sich bringen kann, als unbefriedigend erscheinen könnte.

78.      Wie ich jedoch in anderem Zusammenhang bemerkt habe(36), ist die Richtlinie 2000/31 ein Produkt ihrer Zeit, und der Unionsgesetzgeber wollte eine grundlegende Regelung speziell zum Schutz des freien Verkehrs der Dienste der Informationsgesellschaft einführen. Daher beschränkt sich diese Richtlinie darauf, jedem Anbieter von Diensten der Informationsgesellschaft Informationspflichten aufzuerlegen(37), ohne zwischen den verschiedenen Kategorien von Hosting-Diensten zu unterscheiden. Denn die Richtlinie beruht auf dem Grundsatz, dass die Mitgliedstaaten innerhalb der in der Richtlinie festgelegten Grenzen Verpflichtungen für die in ihrem Hoheitsgebiet niedergelassenen Anbieter einführen. Insbesondere wird der Ermessensspielraum der Mitgliedstaaten durch das in Art. 15 der Richtlinie enthaltene Verbot, eine allgemeine Überwachungspflicht aufzuerlegen, eingeschränkt.

79.      Die durch die Richtlinie 2000/31 eingeführte Grundregelung wurde schrittweise durch sektorspezifische Rechtsakte ergänzt, die vorschreiben, dass geeignete Maßnahmen zum Schutz bestimmter Nutzergruppen vor besonderen Inhalten, wie z. B. terroristischen oder kinderpornografischen Inhalten, zu ergreifen sind(38).

80.      In jüngster Zeit hat der Unionsgesetzgeber den für Online-Plattformen geltenden Rechtsrahmen umfassend geändert. Der Digital Services Act unterscheidet die Pflichten der Plattformen nämlich nach bestimmten Kriterien und regelt in gewissem Umfang auch die Frage der Moderation von rechtswidrigen Inhalten(39). Das vorliegende Verfahren ist jedoch von diesem neuen Rechtsrahmen nicht betroffen und der Gerichtshof sollte meines Erachtens nicht durch Richterrecht eine Verpflichtung einführen, die nicht nur in der auf das Ausgangsverfahren anwendbaren Richtlinie 2000/31 nicht vorgesehen ist, sondern auch im Widerspruch zu Art. 15 dieser Richtlinie steht.

b)      Weiterverbreitung des Inhalts der veröffentlichten Anzeigen

81.      Ein weiterer Aspekt, auf den das vorlegende Gericht den Gerichtshof hinweist, betrifft den Umstand, dass, obwohl Russmedia die streitige Anzeige auf Aufforderung der Klägerin des Ausgangsrechtsstreits von ihrem Online-Marktplatz entfernt hat, diese Anzeige immer noch auf zahlreichen anderen Internetseiten zugänglich ist, die sie unter Angabe der ursprünglichen Quelle vom Online-Marktplatz von Russmedia übernommen haben. Das vorlegende Gericht stellt zu diesem Umstand nicht unmittelbar eine Frage unter dem Gesichtspunkt der Richtlinie 2000/31. Vielmehr bezieht es sich im Rahmen seiner vierten Frage darauf, die sich auf die von der DSGVO geforderten Maßnahmen zur Gewährleistung der Sicherheit bei der Verarbeitung personenbezogener Daten bezieht. Allerdings wurde dieser Umstand in der mündlichen Verhandlung bei der Beantwortung der Fragen des Gerichtshofs von den Parteien im Zusammenhang mit der Voraussetzung der Haftungsfreistellung nach Art. 14 Abs. 1 Buchst. b dieser Richtlinie erörtert. Vor diesem Hintergrund werde ich, um dem vorlegenden Gericht eine sachdienliche Antwort zu geben, die Frage prüfen, ob die in Art. 14 Abs. 1 Buchst. b der Richtlinie 2000/31 vorgesehene Voraussetzung erfüllt ist, wenn der Hosting-Anbieter, nachdem er Kenntnis von Tatsachen oder Umständen erlangt hat, anhand deren sich die Rechtswidrigkeit der gespeicherten Information leicht feststellen lässt, diese Information unverzüglich von seiner Internetseite entfernt, sie aber auf anderen Internetseiten, die sie von der Internetseite dieses Hosting-Anbieters übernommen haben, weiterhin zugänglich ist.

82.      Insoweit lässt das vorlegende Gericht offen, ob die streitige Anzeige von Russmedia an die Betreiber anderer Internetseiten weitergegeben wurde oder ob sie von diesen kopiert wurde, ohne dass Russmedia davon Kenntnis hatte. Dieser Punkt war Gegenstand einer Erörterung in der mündlichen Verhandlung. Um dem vorlegenden Gericht eine sachdienliche Antwort zu geben, werde ich beide Fälle untersuchen.

1)      Übernahme der streitigen Anzeige durch Partner

83.      In der mündlichen Verhandlung verwies die Kommission auf eine Situation, in der Russmedia in Übereinstimmung mit den allgemeinen Nutzungsbedingungen ihres Online-Marktplatzes dort veröffentlichte Anzeigen an Partner weiterleite, mit denen Russmedia vertraglich verbunden sei, die auf ihrer Seite aufgelistet und somit den inserierenden Nutzern bekannt seien.

84.      Es stellt sich die Frage, ob in einem solchen Fall der vom Betreiber eines Online-Marktplatzes erbrachte Dienst ein neutrales Hosting der im Auftrag eines Nutzers seines Dienstes gespeicherten Informationen darstellt. Man darf nämlich nicht vergessen, dass Art. 14 Abs. 1 der Richtlinie 2000/31 nur dann Anwendung findet, wenn der Anbieter einen solchen Dienst erbringt.

85.      Insofern erscheint mir der Betreiber eines Online-Marktplatzes, der von einem Nutzer seines Dienstes bereitgestellte Informationen individualisiert und/oder mit menschlicher Unterstützung an seine Partner weiterleitet, damit diese sie auf anderen Internetseiten veröffentlichen können, eine ähnliche Rolle wie ein Vermarkter dieser Informationen innezuhaben. In einem solchen Fall habe ich Zweifel daran, dass der Dienst dieses Betreibers vollständig unter Art. 14 Abs. 1 der Richtlinie 2000/31 fällt. Wenn hingegen die im Auftrag eines Nutzers gespeicherten Informationen von den Betreibern anderer Internetseiten übernommen werden und die Rolle des genannten Betreibers bei dieser Übertragung rein technisch und automatisiert ist, könnte man davon ausgehen, dass Art. 14 Abs. 1 vollständig auf ihn anwendbar ist.

86.      Die Vorlageentscheidung enthält keine Anhaltspunkte dafür, welche der beiden Hypothesen der Situation im Ausgangsverfahren entspricht. Noch wichtiger ist, dass sich die Frage, ob die Voraussetzung von Art. 14 Abs. 1 Buchst. b der Richtlinie 2000/31 erfüllt ist, nur dann stellt, wenn Russmedia als „Hosting-Anbieter“ im Sinne dieser Bestimmung angesehen werden kann. Ich werde daher die in Art. 14 Abs. 1 Buchst. b dieser Richtlinie genannte Voraussetzung unter der Annahme prüfen, dass Russmedia ein Hosting-Anbieter im Sinne dieser Bestimmung ist und dass die streitige Anzeige von Partnern dieser Gesellschaft unter den von der Kommission in der mündlichen Verhandlung genannten Umständen(40) übernommen wurde.

87.      Insofern sieht der Wortlaut von Art. 14 Abs. 1 Buchst. b der Richtlinie 2000/31 vor, dass der Hosting-Anbieter, um die Haftungsfreistellung in Anspruch nehmen zu können, unverzüglich tätig werden muss, um die rechtswidrigen Informationen zu entfernen oder den Zugang zu ihnen zu sperren. Somit beschränkt sich diese Bestimmung nicht auf die Vorgabe, dass der Hosting-Anbieter die rechtswidrige Information entfernen oder den Zugang zu ihr sperren muss. Der Gesetzgeber hat sich nämlich für eine offene Formulierung entschieden, nach der ein Anbieter im Wesentlichen eine über seinen oder mit seinem Dienst durchgeführte rechtswidrige Tätigkeit unverzüglich beenden muss.

88.      Zwar könnte man die Formulierung dieser Voraussetzung so verstehen, dass der Unionsgesetzgeber keine konkreten zu erreichenden Ergebnisse vorgeben wollte, sondern nur, dass Anstrengungen in dieser Hinsicht unternommen werden. Allerdings lässt die offene Formulierung in Art. 14 Abs. 1 Buchst. b der Richtlinie 2000/31 einem Anbieter auch einen gewissen Spielraum („die Information zu entfernen oder den Zugang zu ihr zu sperren“), der es ihm ermöglicht, eine geeignete, verhältnismäßige und wirksame Maßnahme zu ergreifen. Eine solche Lesart dieser Bestimmung drängt sich angesichts mehrerer Erwägungsgründe dieser Richtlinie auf.

89.      So heißt es im 46. Erwägungsgrund der Richtlinie 2000/31, dass die Entfernung von Informationen gemäß „hierzu auf einzelstaatlicher Ebene festgelegten Verfahren“ erfolgen muss und diese Richtlinie „die Möglichkeit der Mitgliedstaaten unberührt [lässt], spezifische Anforderungen vorzuschreiben, die vor der Entfernung von Informationen oder der Sperrung des Zugangs unverzüglich zu erfüllen sind“. Es deutet jedoch nichts darauf hin, dass solche Verfahren und Anforderungen durch das geltende nationale Recht festgelegt wurden.

90.      Jedenfalls besagt der 41. Erwägungsgrund der Richtlinie 2000/31, dass diese ein Gleichgewicht zwischen den verschiedenen Interessen schafft und die Grundsätze festlegt, auf denen Übereinkommen und Standards in dieser Branche basieren können. Insbesondere in Bezug auf die Voraussetzung in Art. 14 Abs. 1 Buchst. b dieser Richtlinie heißt es in ihrem 46. Erwägungsgrund, dass der Anbieter im Zusammenhang mit der Entfernung der Informationen oder der Sperrung des Zugangs den Grundsatz der freien Meinungsäußerung zu beachten hat. Der Gerichtshof hat insoweit klargestellt, dass die in Art. 14 Abs. 1 der Richtlinie vorgesehene Haftungsfreistellung Ausdruck des Gleichgewichts ist, das die Richtlinie zwischen den verschiedenen Interessen schaffen soll, darunter die Achtung der Meinungsfreiheit, die durch Art. 11 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) garantiert wird(41).

91.      Daraus schließe ich, dass die Entfernung rechtswidriger Informationen unter Beachtung der erforderlichen Abwägung der mit dem Schutz dieser verschiedenen Rechte und Freiheiten verbundenen Anforderungen und eines angemessenen Gleichgewichts zwischen ihnen zu erfolgen hat, damit die Voraussetzung von Art. 14 Abs. 1 Buchst. b der Richtlinie 2000/31 als erfüllt angesehen werden kann.

92.      Hierbei wird einerseits ebenso wie die Achtung der durch die Charta garantierten Meinungsfreiheit, die im 46. Erwägungsgrund der Richtlinie 2000/31 genannt wird, auch die Achtung des Privatlebens durch Art. 7 der Charta garantiert. Andererseits kann angesichts des notwendigen Gleichgewichts zwischen den auf dem Spiel stehenden Interessen das Ziel, den Ruf und die Ehre einer Person wirksam zu schützen, nicht durch eine übermäßige Verpflichtung des Hosting-Anbieters verfolgt werden(42).

93.      Unter diesen Umständen müsste ein Hosting-Anbieter, dessen Dienst zur Weiterverbreitung der von ihm gespeicherten Informationen an seine Vertragspartner genutzt wird, geeignete Maßnahmen ergreifen, um sicherzustellen, dass diese Inhalte gegebenenfalls auch von seinen Partnern entfernt oder gesperrt werden, damit die in Art. 14 Abs. 1 Buchst. b der Richtlinie 2000/31 vorgesehene Voraussetzung im Einklang mit den betroffenen Rechten als erfüllt angesehen werden kann. Beispielsweise könnte eine entsprechende Klausel in die Verträge mit diesen Partnern aufgenommen werden.

2)      Übernahme der streitigen Anzeige durch Dritte

94.      In der mündlichen Verhandlung wurde nicht nur der Fall diskutiert, dass eine Anzeige von Partnern des Betreibers eines Online-Marktplatzes übernommen wird, sondern auch der, dass eine öffentlich zugängliche Anzeige ohne Wissen und Zustimmung des Betreibers von Dritten übernommen wird. Diskutiert wurde die Frage, ob angesichts der in Nr. 91 der vorliegenden Schlussanträge dargelegten Erwägungen der Betreiber eines Online-Marktplatzes Maßnahmen gegenüber Dritten ergreifen muss, um die Voraussetzung von Art. 14 Abs. 1 Buchst. b der Richtlinie 2000/31 zu erfüllen. Diese Frage ist zu verneinen.

95.      Denn die in Art. 14 Abs. 1 Buchst. b der Richtlinie 2000/31 enthaltene Voraussetzung beruht zwar auf dem Gedanken, dass der Anbieter eines Hosting-Diensts unverzüglich alle in seiner Macht stehenden Maßnahmen ergreifen muss, um eine über seinen oder auf seinem Dienst ausgeübte rechtswidrige Tätigkeit zu beenden. Allerdings darf die Frage, ob diese Voraussetzung erfüllt ist, nicht von außerhalb seiner Kontrolle liegenden Maßnahmen abhängen.

96.      Ohne meinen weiteren Ausführungen zu den Voraussetzungen vorzugreifen, von denen Art. 14 Abs. 1 der Richtlinie 2000/31 die Haftungsfreistellung eines Vermittlers abhängig macht, bleibe ich bei meinem in Nr. 64 der vorliegenden Schlussanträge dargelegten Vorschlag für die Beantwortung der ersten Frage.

B.      Zu den Fragen 2 bis 4

97.      Mit seinen Fragen 2 bis 4 möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 5 Abs. 1 Buchst. b und f, Art. 6 Abs. 1 Buchst. a sowie die Art. 7, 24 und 25 DSGVO dahin auszulegen sind, dass ein Anbieter von Diensten der Informationsgesellschaft, dessen Tätigkeit darin besteht, auf einer Internetseite kostenlose oder kostenpflichtige Anzeigen im Auftrag seiner Nutzer zu hosten, verpflichtet ist, vorab die Identität des inserierenden Nutzers (zweite Frage) und den Inhalt der veröffentlichten Anzeigen (dritte Frage) zu überprüfen sowie Sicherheitsmaßnahmen zu ergreifen, um das Kopieren oder die Weiterverbreitung des Inhalts von Anzeigen mit personenbezogenen Daten zu verhindern oder zu beschränken (vierte Frage).

98.      Diese Fragen beziehen sich auch auf Art. 2 Abs. 4, Art. 4 Nrn. 7 und 11 DSGVO sowie auf Art. 15 der Richtlinie 2000/31. Um diese Fragen zweckdienlich zu beantworten, genügt es jedoch, die in der vorstehenden Nummer der vorliegenden Schlussanträge genannten Bestimmungen der DSGVO auszulegen, die die Pflichten und Verantwortlichkeiten eines an der Verarbeitung personenbezogener Daten beteiligten Akteurs festlegen.

99.      Zur Beantwortung dieser Fragen muss außerdem zunächst festgestellt werden, in welcher Eigenschaft ein solcher Anbieter an der Verarbeitung personenbezogener Daten beteiligt ist. Insofern scheinen die Fragen 2 bis 4 auf der Annahme zu beruhen, dass Russmedia als „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO gehandelt hat. Denn sie beziehen sich auf diese Bestimmung und verweisen auf „einen Anbieter …, der Verantwortlicher für die Verarbeitung personenbezogener Daten ist“. Wie auch die Kommission habe ich Zweifel an einer solchen rechtlichen Einordnung. Da sich diese auf die Beantwortung der Vorlagefragen auswirken kann, werde ich mich zunächst mit der rechtlichen Einordnung des Betreibers eines Online-Marktplatzes nach den in der DSGVO vorgesehenen Kategorien befassen (Abschnitt 1), um sodann auf die Frage der Pflichten und Verantwortlichkeiten eines solchen Betreibers einzugehen (Abschnitt 2).

1.      Zu den rechtlichen Einordnungen

a)      Akteure der Verarbeitung personenbezogener Daten

100. Der Begriff „Verantwortlicher“ ist in Art. 4 Nr. 7 DSGVO als die Person definiert, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In dieser Verordnung wird ein weiterer Akteur genannt, der an der Datenverarbeitung beteiligt ist, nämlich der „Auftragsverarbeiter“. Dieser wird in Art. 4 Nr. 8 der Verordnung als die Person definiert, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

101. Die Einordnung eines an der Datenverarbeitung beteiligten Akteurs nach den in der DSGVO vorgesehenen Kategorien bestimmt die Pflichten und Verantwortlichkeiten dieses Akteurs. Diese Pflichten und Verantwortlichkeiten sind in den Bestimmungen festgelegt, auf die in den Fragen 2 bis 4 Bezug genommen wird.

102. Denn jede Verarbeitung personenbezogener Daten muss mit den in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 DSGVO aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen. Die Verantwortung für die Einhaltung dieser Grundsätze trägt der Verantwortliche(43), der im Fall einer auf Einwilligung beruhenden Verarbeitung nachweisen können muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wie es Art. 7 Abs. 1 dieser Verordnung verlangt. Im gleichen Sinne sehen die Art. 24 und 25 der genannten Verordnung allgemeine Verpflichtungen des Verantwortlichen vor, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.

103. Darüber hinaus bestimmt die Eigenschaft, in der ein an der Verarbeitung beteiligter Akteur handelt, auch den Umfang seiner Haftung für Verstöße gegen die DSGVO.

104. Denn gemäß Art. 82 Abs. 2 Satz 1 DSGVO „[haftet j]eder an der Verarbeitung beteiligte Verantwortliche … für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde“. Der Verantwortliche ist nicht nur für jedwede Verarbeitung personenbezogener Daten verantwortlich, die durch ihn selbst erfolgt, sondern auch für jedwede Verarbeitung, die in seinem Auftrag erfolgt(44). Nach Art. 82 Abs. 2 Satz 2 der Verordnung hingegen „[haftet e]in Auftragsverarbeiter … für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus [derselben] Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“.

b)      Zweck und Mittel der Verarbeitung

105. Um festzustellen, ob eine an der Verarbeitung personenbezogener Daten beteiligte Stelle als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO angesehen werden kann, ist zu prüfen, ob sie tatsächlich im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung Einfluss genommen hat.

106. Beim Zweck einer Verarbeitung geht es um die Frage, aus welchem Grund die Daten verarbeitet werden(45). Grundsätzlich entscheidet darüber die Person, die die Verarbeitung veranlasst hat.

107. Die Konturen des Begriffs „Mittel“ sind weniger eindeutig und müssen vor dem Hintergrund der sich verändernden wirtschaftlichen und technologischen Strukturen, in denen die Daten verarbeitet werden, bestimmt werden. Allgemein lässt sich sagen, dass der Zweck einer Verarbeitung den Grund für die Datenverarbeitung betrifft, während es bei den Mitteln darum geht, wie dieses Ziel erreicht werden soll. Denn die Festlegung der Mittel besteht insbesondere in der Entscheidung, welche Daten verarbeitet werden(46), wer darauf zugreifen kann und wie(47) und, sofern eine solche Entscheidung die Verarbeitungsvorgänge beenden kann, die Dauer der Verarbeitung. Auch die Entscheidung über die Tools bzw. die physischen oder digitalen Trägermedien(48), mit denen die Daten gesammelt, dargestellt oder verbreitet werden, trägt zur Bestimmung der Mittel der Verarbeitung bei.

108. Allerdings ist der Verantwortliche nicht verpflichtet, jeden technischen und organisatorischen Aspekt der Verarbeitung zu bestimmen. Die Entscheidung, die Datenverarbeitung einem Auftragsverarbeiter zu übertragen, kann nicht nur aus dem Wunsch heraus getroffen werden, den Verantwortlichen zu entlasten, sondern auch aus dem Grund, dass der Verantwortliche nicht über die notwendigen technischen Kenntnisse oder Mittel verfügt, um die Verarbeitung zu organisieren. Diese von der wirtschaftlichen Realität geleitete Auslegung wird durch die Bestimmungen der DSGVO gestützt.

109. Denn auch wenn nach Art. 28 Abs. 3 DSGVO ein Vertrag oder ein anderes Rechtsgeschäft, auf dessen Grundlage ein Verantwortlicher einen Auftragsverarbeiter mit der Verarbeitung beauftragt, den Zweck der Verarbeitung festlegen muss, muss diese Rechtsgrundlage die Frage, wie die Daten verarbeitet werden, nicht erschöpfend beantworten. Sie muss nur Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien betroffener Personen festlegen. So sind einerseits sensible Fragen, die für die Rechtmäßigkeit der Verarbeitung grundlegend sind, dem Verantwortlichen vorbehalten. Andererseits handelt ein Auftragsverarbeiter zwar im Auftrag eines Verantwortlichen und befolgt dessen Anweisungen, aber er kann, ja muss sogar die technischen und organisatorischen Maßnahmen der Verarbeitung festlegen, ohne dabei seine Rolle als Auftragsverarbeiter zu überschreiten. Anders ausgedrückt ist die Festlegung der nicht wesentlichen Mittel der Verarbeitung nicht hinreichend dafür, um einer an der Datenverarbeitung beteiligten Person den Status des Verantwortlichen zuzuweisen.

110. Auf der Grundlage der in den Nrn. 106 bis 109 der vorliegenden Schlussanträge herausgearbeiteten Kriterien muss das vorlegende Gericht entscheiden, ob Russmedia als Verantwortliche angesehen werden kann. Um dem nationalen Gericht sachgerechte unionsrechtliche Auslegungshilfen für die Entscheidung des bei ihm anhängigen Rechtsstreits an die Hand zu geben, werde ich mich mit dieser Problematik befassen.

c)      Der Betreiber eines Online-Marktplatzes und die DSGVO

111. Einleitend möchte ich anmerken, dass die Verarbeitung der personenbezogenen Daten, die in den auf einem Online-Marktplatz veröffentlichten Anzeigen enthalten sind, von der Verarbeitung der Daten der inserierenden Nutzer zu unterscheiden ist, die beim Betreiber dieses Marktplatzes ein Konto einrichten, um ihre Anzeigen zu veröffentlichen. Die Einrichtung eines solchen Kontos und andere Schritte in Bezug auf die von einem inserierenden Nutzer bereitgestellten Daten stellen Verarbeitungsvorgänge dar, für die dieser Betreiber im Hinblick auf die DSGVO Verantwortlicher ist. Im Wesentlichen entscheidet der Betreiber, welche Daten für die Registrierung eines Kontos erforderlich sind, und bei der Einrichtung dieses Registrierungsverfahrens für inserierende Nutzer legt er den Zweck ihrer Verarbeitung fest.

112. Die Vorlageentscheidung wirft die Frage auf, ob der Betreiber eines Online-Marktplatzes im Eigeninteresse auch Einfluss auf die Festlegung der Zwecke und Mittel der Verarbeitung personenbezogener Daten ausübt, die möglicherweise in den auf seinem Online-Marktplatz veröffentlichten Anzeigen enthalten sind.

113. Was in dieser Hinsicht den Zweck der Verarbeitung der in einer online veröffentlichten Anzeige enthaltenen Daten betrifft, so dient die Veröffentlichung einer Anzeige auf einem Online-Marktplatz allgemein dazu, das Produkt oder die Dienstleistung, die von einem inserierenden Nutzer angeboten werden, öffentlich zu bewerben. Dieser Zweck wird also von dem jeweiligen inserierenden Nutzer festgelegt. Hingegen übt der Betreiber dieses Online-Marktplatzes offenbar keinen Einfluss im Eigeninteresse darauf aus, aus welchem Grund diese Anzeigen veröffentlicht werden. Der vorliegende Fall ist eine perfekte Veranschaulichung für diese Besonderheit der Funktionsweise eines Online-Marktplatzes: Die streitige Anzeige wurde nämlich nicht online gestellt, um den Dienst eines inserierenden Nutzers zu bewerben, sondern um die Klägerin des Ausgangsrechtsstreits zu schädigen. Der Betreiber hat keinen Einfluss auf die beklagenswerten Beweggründe des Verfassers dieser Anzeige ausgeübt.

114. Bei der Festlegung der Mittel der Verarbeitung ist es der inserierende Nutzer, der Einfluss darauf ausübt, wie die Daten verarbeitet werden. Denn der inserierende Nutzer entscheidet, ob und gegebenenfalls welche Daten in der Anzeige enthalten sind. Demgegenüber ist es sehr wahrscheinlich, dass der Betreiber eines Online-Marktplatzes nicht einmal weiß, dass eine Anzeige personenbezogene Daten enthält. Zudem legt dieser Betreiber zwar das Layout der Anzeigen und andere technische und organisatorische Einzelheiten des Betriebs des Online-Marktplatzes fest, doch möchte ich unter Berücksichtigung meiner Ausführungen in Nr. 109 der vorliegenden Schlussanträge anmerken, dass der Einfluss dieses Betreibers auf die Festlegung der nicht wesentlichen Mittel der Verarbeitung nicht bedeutet, dass er deswegen als Verantwortlicher anzusehen ist.

115. Daher übt der Betreiber eines Online-Marktplatzes wie Russmedia offenbar nicht im Eigeninteresse Einfluss auf die Festlegung des Zwecks und der Mittel der Verarbeitung personenbezogener Daten aus, die möglicherweise in den auf diesem Online-Marktplatz veröffentlichten Anzeigen enthalten sind. Wenn der Betreiber an der Verarbeitung dieser Daten beteiligt ist, handelt er als Auftragsverarbeiter im Auftrag eines inserierenden Nutzers und unter dessen Verantwortung. Unter diesen Umständen sind die Nutzer eines Hosting-Diensts als „Verantwortliche“ im Sinne der DSGVO einzustufen(49).

116. In Anbetracht der Besonderheit des vorliegenden Falles sind einige zusätzliche Erläuterungen zu meinen bisherigen Ausführungen angezeigt.

117. Erstens ist es unabhängig von der Frage, ob unter der DSGVO eine betroffene Person als Verantwortlicher für die Verarbeitung ihrer eigenen personenbezogenen Daten angesehen werden kann(50), wichtig zu beachten, dass im vorliegenden Fall die Person, die die streitige Anzeige online gestellt hat, nicht selbst von den in dieser Anzeige enthaltenen Daten betroffen war.

118. Zweitens behält sich Russmedia gemäß den allgemeinen Nutzungsbedingungen ihres Online-Marktplatzes das Recht vor, die im Auftrag der inserierenden Nutzer gespeicherten Informationen zu nutzen. Russmedia darf sie kopieren, verbreiten, übermitteln, veröffentlichen, vervielfältigen, ändern, übersetzen, an Partner weitergeben und jederzeit entfernen, ohne dass es insoweit eines Grundes bedarf. Sobald ein solcher Schritt in Bezug auf die in einer Anzeige enthaltenen Daten eingeleitet wird, könnte diese Gesellschaft als Verantwortliche für einen bestimmten Verarbeitungsvorgang mit allen sich daraus ergebenden Pflichten und Verantwortlichkeiten angesehen werden. Denn eine Person kann für Verarbeitungsvorgänge verantwortlich sein, für die sie die Zwecke und Mittel festlegt. Dagegen kann, unbeschadet einer etwaigen insoweit im nationalen Recht vorgesehenen zivilrechtlichen Haftung, diese Person für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als im Sinne der DSGVO verantwortlich angesehen werden(51).

119. Drittens entsprechen meine Erwägungen der Position der Artikel-29-Datenschutzgruppe(52) in ihrer Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16. Februar 2010(53). Denn nach Ansicht dieser Arbeitsgruppe ist ein Internetanbieter, der Speicherdienste anbietet, grundsätzlich ein Auftragsverarbeiter der von seinen Kunden online veröffentlichten personenbezogenen Daten, da diese den Anbieter für das Hosting und die Wartung ihrer Internetseite beauftragen. Verarbeitet ein solcher Anbieter die von ihm gespeicherten Daten hingegen für eigene Zwecke, wird er in Bezug auf die betreffenden Verarbeitungsvorgänge zum Verantwortlichen. Dies entspricht auch der Position des Europäischen Datenschutzausschusses in seinen am 7. Juli 2021 angenommenen Leitlinien 07/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der DSGVO(54), wonach ein Hosting-Anbieter, der weder bestimmt, ob es sich bei den von ihm gehosteten Daten um personenbezogene Daten handelt, noch Daten auf andere Weise verarbeitet als durch Speicherung, im Auftrag seines Kunden ein Auftragsverarbeiter ist.

120. Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Überprüfung des Sachverhalts sollte der Gerichtshof daher meines Erachtens dieses Gericht darauf hinweisen, dass es angebracht wäre, die Einordnung von Russmedia zu überdenken. Wie die Kommission bin ich nämlich der Ansicht, dass diese Gesellschaft in Bezug auf die Verarbeitungsvorgänge im Zuge der Veröffentlichung der streitigen Anzeige nicht die Rolle der Verantwortlichen, sondern die der Auftragsverarbeiterin innehat. Von dieser Annahme ausgehend werde ich nun die Fragen 2 bis 4 untersuchen.

2.      Pflichten und Verantwortlichkeiten des Betreibers eines Online-Marktplatzes

a)      Der Betreiber eines Online-Marktplatzes wird als Auftragsverarbeiter in Bezug auf die Verarbeitung der in den Anzeigen enthaltenen Daten angesehen

121. Im Zusammenhang mit den Pflichten und Verantwortlichkeiten des Betreibers eines Online-Marktplatzes nach der DSGVO ist es angezeigt, zwischen der Verarbeitung der personenbezogenen Daten, die in den auf diesem Marktplatz veröffentlichten Anzeigen enthalten sind, einerseits und der Verarbeitung der Daten der inserierenden Nutzer, die ein Konto bei diesem Betreiber einrichten, andererseits zu unterscheiden.

1)      Verarbeitung der in den Anzeigen enthaltenen Daten

122. Falls Russmedia in Bezug auf die Verarbeitung der in den Anzeigen enthaltenen personenbezogenen Daten tatsächlich Auftragsverarbeiterin war, oblag es der Gesellschaft nicht, zu prüfen, ob die Verarbeitung zulässig und rechtmäßig war. Denn wie bereits ausgeführt(55), ist nach den in der zweiten Frage genannten Bestimmungen der Verantwortliche für die Einhaltung der Grundsätze zur Verarbeitung personenbezogener Daten verantwortlich. Entsprechend ist nach den in der dritten Frage genannten Bestimmungen der Auftragsverarbeiter auch nicht verpflichtet, den Inhalt der Informationen, die Gegenstand der Verarbeitungsvorgänge sind, vorab zu überprüfen.

123. Mit der vierten Frage soll festgestellt werden, ob Russmedia Sicherheitsmaßnahmen hätte ergreifen müssen, um das Kopieren oder die Weiterverbreitung des Inhalts der Anzeigen, die personenbezogene Daten enthalten, zu verhindern oder zu beschränken. Diese Frage betrifft die Auslegung von Art. 5 Abs. 1 Buchst. b und f sowie der Art. 24 und 25 DSGVO. Auch diese Bestimmungen beziehen sich auf Verpflichtungen, die nicht dem Auftragsverarbeiter, sondern dem Verantwortlichen obliegen.

124. Ungeachtet dessen legt Art. 32 DSGVO die Pflichten des Verantwortlichen und eines etwaigen Auftragsverarbeiters in Bezug auf die Sicherheit der Verarbeitung fest(56).

125. Konkret sieht Art. 32 Abs. 1 DSGVO vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Standes der Technik und der Implementierungskosten, aber auch der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken geeignete technische und organisatorische Maßnahmen treffen, um ein Schutzniveau zu gewährleisten, das dem mit der Verarbeitung verbundenen Risiko angemessen ist. Ebenso sind nach Art. 32 Abs. 2 der Verordnung bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten.

126. Soweit Art. 32 Abs. 2 DSGVO die Pflichten eines Auftragsverarbeiters betrifft, setzt diese Bestimmung voraus, dass die Verarbeitung der Daten gemäß den Anweisungen des Verantwortlichen zulässig und rechtmäßig ist. Ein Auftragsverarbeiter ist nicht verpflichtet, die Schritte des Verantwortlichen zu kontrollieren, in dessen Auftrag er die Daten verarbeitet. Hingegen hat er Maßnahmen zu ergreifen, um die sichere Verarbeitung der personenbezogenen Daten vor Eingriffen Dritter zu schützen. Denn Art. 32 Abs. 1 dieser Verordnung konkretisiert im Wesentlichen die in Art. 5 Abs. 1 Buchst. f der Verordnung genannten Grundsätze der Integrität und Vertraulichkeit(57). Nach diesen Grundsätzen müssen die Daten vom Verantwortlichen oder in seinem Auftrag in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor Verlust.

127. Wenn auf einem Online-Marktplatz veröffentlichte Anzeigen von den Betreibern anderer Seiten gemäß den allgemeinen Nutzungsbedingungen dieses Marktplatzes, die dort aufgelistet und somit den inserierenden Nutzern im Voraus bekannt sind, übernommen werden können, müsste der Auftragsverarbeiter Maßnahmen ergreifen, mit denen er die Entfernung der von seiner eigenen Plattform gelöschten Anzeigen veranlassen kann. Denn die Verarbeitung kann sich als nicht oder nicht mehr rechtmäßig erweisen, und die Plattform, über die die Weiterverbreitung einer Anzeige erfolgt, müsste in der Lage sein, einen Verstoß gegen die DSGVO auch bei ihren Partnern zu beenden. Dieses Ergebnis steht im Einklang mit der Beachtung der in Art. 14 Abs. 1 Buchst. b der Richtlinie 2000/31 vorgesehenen Voraussetzung durch einen Anbieter eines Hosting-Diensts(58).

128. Allerdings bin ich entgegen den Überlegungen, die das vorlegende Gericht in der vierten Frage offenbar anstellt, nicht der Ansicht, dass ein Auftragsverarbeiter verpflichtet sein sollte, das Kopieren oder die Weiterverbreitung von Anzeigen mit personenbezogenen Daten zu verhindern oder zu beschränken. Es obliegt nicht dem Auftragsverarbeiter, festzulegen, wer auf diese zugreifen kann und wie.

2)      Verarbeitung der Daten der inserierenden Nutzer

129. Die Pflichten und Verantwortlichkeiten des Betreibers eines Online-Marktplatzes sind im Hinblick auf die Verarbeitung der Daten der inserierenden Nutzer, die bei diesem Betreiber ein Konto einrichten, umfangreicher. Bei dieser Verarbeitung ist der Betreiber der Verantwortliche, und die Art. 24 und 25 DSGVO sind vollständig auf ihn anwendbar(59).

130. Art. 24 DSGVO sieht eine allgemeine Verpflichtung des Verantwortlichen vor, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Art. 25 der Verordnung schreibt vor, dass der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der genannten Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

131. Wie aus den Art. 24 und 25 DSGVO hervorgeht, müssen die betreffenden Maßnahmen den spezifischen Risiken der Umstände entsprechen, unter denen die personenbezogenen Daten verarbeitet werden. Die Feststellung spezifischer Risiken und die Bestimmung der geeigneten Mittel obliegen zwar der Beurteilung des vorlegenden Gerichts, das über sämtliche Sachverhaltselemente zu allen im Hinblick auf diese Bestimmungen einschlägigen Kriterien verfügt, aber ich möchte dennoch Folgendes klarstellen.

132. Wie im 75. Erwägungsgrund der DSGVO dargelegt, kann die Datenverarbeitung Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringen, insbesondere wenn sie etwa zu einem Identitätsdiebstahl führen kann und wenn die betroffenen Personen daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Denn in der Regel wird eine Identität missbräuchlich verwendet, um betrügerische Handlungen zum Schaden der betroffenen Person oder Dritter durchzuführen. Die unverantwortliche Nutzung von Online-Plattformen kann zudem zu einer Verletzung der Rechte natürlicher Personen führen, und die Aussicht, dass die für die Verletzung verantwortliche Person voraussichtlich straffrei ausgeht, verschärft diese Risiken.

133. Wenn der Verantwortliche also einen Online-Marktplatz betreibt, der für inserierende Nutzer zugänglich ist, die bei der Nutzung dieses Marktplatzes zu betrügerischen Zwecken die Identität einer anderen Person missbräuchlich verwenden können, muss er Maßnahmen ergreifen, um dieses Risiko zu verringern. Wie von Art. 25 DSGVO gefordert, muss der Verantwortliche, um den Anforderungen dieser Verordnung gerecht zu werden und die Rechte der betroffenen Person zu schützen, dieses Risiko sowohl zum Zeitpunkt der Festlegung der Mittel der Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung berücksichtigen.

134. Vor diesem Hintergrund muss der Betreiber eines Online-Marktplatzes meines Erachtens technische oder organisatorische Maßnahmen vorsehen, mit denen er die Identität der inserierenden Nutzer überprüfen kann. Eine solche Überprüfung würde nämlich zum einen im Hinblick auf die betroffene Person das Risiko einer rechtswidrigen oder gegen Treu und Glauben verstoßenden Verarbeitung personenbezogener Daten begrenzen und es zum anderen ermöglichen, der unverantwortlichen Nutzung dieses Online-Marktplatzes entgegenzuwirken, da anonyme Nutzer sich nicht mehr strafrechtlich unbelangbar fühlen würden.

135. Ich möchte darauf hinweisen, dass der Grundsatz der anonymen Nutzung des Internets eine Überprüfung der Identität der inserierenden Nutzer nicht ausschließt. Die Daten eines inserierenden Nutzers dürfen nicht für jeden Nutzer einer Plattform zugänglich sein. Sie dürfen ausschließlich vom Verantwortlichen überprüft und aufbewahrt werden, damit dieser seinen Verpflichtungen aus der DSGVO nachkommen kann. Zur Überprüfung kann der Betreiber die Angabe einer Telefonnummer verlangen und diese zur Bestätigung der Registrierung verwenden. Eine solche Lösung ist für Online-Plattformen nicht ungewöhnlich.

136. Zwar lässt sich das Risiko eines Identitätsdiebstahls durch eine solche Maßnahme nicht ausschließen. Allerdings beschränkt sich die DSGVO darauf, dem Verantwortlichen vorzuschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung personenbezogener Daten, soweit irgend möglich, zu verhindern.(60) Es handelt sich also nicht um eine Erfolgspflicht, sondern um eine Bemühenspflicht. Jedenfalls deutet die Vorlageentscheidung darauf hin, dass Russmedia keine Maßnahmen ergriffen hat, mit denen sie die Identität des Verfassers der streitigen Anzeige zum Zeitpunkt der Registrierung oder der Veröffentlichung dieser Anzeige hätte kontrollieren können.

137. Vor diesem Hintergrund schlage ich vor, auf die Fragen 2 bis 4 zu antworten, dass Art. 5 Abs. 1 Buchst. f, Art. 6 Abs. 1 Buchst. a sowie die Art. 7, 24 und 25 DSGVO dahin auszulegen sind, dass ein Anbieter von Diensten der Informationsgesellschaft, dessen Tätigkeit darin besteht, auf einer Internetseite kostenlose oder kostenpflichtige Anzeigen im Auftrag seiner Nutzer zu hosten, in Bezug auf die personenbezogenen Daten, die in den auf seinem Online-Marktplatz veröffentlichten Anzeigen enthalten sind, als Auftragsverarbeiter handelt. In diesem Rahmen ist er nicht verpflichtet, den Inhalt der veröffentlichten Anzeigen zu überprüfen oder Sicherheitsmaßnahmen zu ergreifen, die geeignet sind, das Kopieren oder die Weiterverbreitung des Inhalts von über ihn veröffentlichten Anzeigen zu verhindern oder zu beschränken. Indessen hat er geeignete organisatorische und technische Maßnahmen zu treffen, um die Sicherheit der Verarbeitung gegenüber Dritten zu gewährleisten. Hingegen handelt ein solcher Anbieter in Bezug auf die personenbezogenen Daten der inserierenden Nutzer, die auf seiner Internetseite registriert sind, als Verantwortlicher. In diesem Rahmen ist er verpflichtet, die Identität dieser inserierenden Nutzer zu überprüfen.

138. Der Vollständigkeit halber und für den Fall, dass der Gerichtshof meiner Einschätzung nicht zustimmt, werde ich nun kurz die Pflichten und Verantwortlichkeiten des Betreibers eines Online-Marktplatzes prüfen, der als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung derjenigen personenbezogenen Daten angesehen wird, die in den auf seinem Online-Marktplatz veröffentlichten Anzeigen enthalten sind. Denn wie bereits erwähnt(61), scheinen die Fragen 2 bis 4 auf der Annahme zu beruhen, dass Russmedia als „Verantwortliche“ handelt.

b)      Der Betreiber eines Online-Marktplatzes wird als Verantwortlicher für die Verarbeitung der in den Anzeigen enthaltenen Daten angesehen

139. Zunächst möchte ich anmerken, dass die Tatsache, dass der Betreiber eines Online-Marktplatzes Verantwortlicher ist, nicht zwangsläufig bedeutet, dass ein inserierender Nutzer dieses Online-Marktplatzes nicht ebenfalls als Verantwortlicher angesehen werden kann(62).

140. Denn die DSGVO erkennt das Bestehen einer gemeinsamen Verantwortlichkeit an, aus der nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure bei der Verarbeitung personenbezogener Daten folgt. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.

141. Ich werde mich jedoch auf die Pflichten und Verantwortlichkeiten des Betreibers eines Online-Marktplatzes konzentrieren, da es im vorliegenden Fall um die Verantwortung eines solchen Betreibers für die Verarbeitung personenbezogener Daten geht, die in einer auf seinem Online-Marktplatz veröffentlichten Anzeige enthalten sind.

142. Mit der zweiten und der dritten Frage soll ermittelt werden, ob der Betreiber einer Internetseite verpflichtet ist, vor der Veröffentlichung einer Anzeige die Identität der Person, die die Anzeige veröffentlicht, bzw. die Identität der Person, auf die sich die Anzeige bezieht, sowie den Inhalt der von den Nutzern übermittelten Anzeigen zu überprüfen.

143. In dieser Hinsicht bin ich nicht davon überzeugt, dass der Betreiber eines Online-Marktplatzes verpflichtet ist, sich zu vergewissern, dass der inserierende Nutzer tatsächlich die Person ist, auf die sich die in einer Anzeige enthaltenen Daten beziehen. Ein Online-Marktplatz kann nämlich auch von einem inserierenden Nutzer genutzt werden, um eine Anzeige zu veröffentlichen, die sich auf eine andere Person bezieht.

144. Allerdings muss ein Verantwortlicher prüfen, ob die Verarbeitung der personenbezogenen Daten auf der Einwilligung der betroffenen Person oder auf einer anderen gesetzlich geregelten rechtmäßigen Grundlage beruht. Eine solche Verpflichtung obliegt ihm nach Art. 5 Abs. 1 Buchst. a, Art. 6 Abs. 1 und Art. 7 Abs. 1 DSGVO.

145. Wenn also der Betreiber eines Online-Marktplatzes als Verantwortlicher handelt, hat er sich zu vergewissern, dass die Person, deren Daten in einer Anzeige enthalten sind, der Verarbeitung zugestimmt hat. Folgerichtig hat er auch den Inhalt jeder von einem inserierenden Nutzer übermittelten Anzeige zu kontrollieren, um zu prüfen, ob sie personenbezogene Daten enthält.

146. Gemäß dem in Art. 5 Abs. 1 Buchst. a DSGVO verankerten Grundsatz von Treu und Glauben muss der Verantwortliche auch sicherstellen, dass die Daten nach Treu und Glauben im Hinblick auf die betroffene Person verarbeitet werden. Darüber hinaus hat er nach den Art. 24 und 25 dieser Verordnung zudem technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Dabei hat er die spezifischen Risiken der Umstände zu berücksichtigen, unter denen die Daten verarbeitet werden.

147. Die Verarbeitung personenbezogener Daten, die in einem Online-Umfeld öffentlich zugänglich sind, kann Risiken für die Rechte und Freiheiten natürlicher Personen und insbesondere Schäden verursachen oder einen immateriellen Schaden nach sich ziehen.

148. Ist der Betreiber eines Online-Marktplatzes für die Verarbeitung der Daten verantwortlich, die in den auf diesem Marktplatz veröffentlichten Anzeigen enthalten sind, muss er die Anzeigen vor ihrer Einstellung ins Internet kontrollieren, prüfen, ob ihre Verarbeitung auf der Einwilligung der betroffenen Person oder auf einer anderen gesetzlich vorgesehenen rechtmäßigen Grundlage beruht, und Maßnahmen gegen eine für die betroffenen Personen schädliche Verarbeitung treffen. Befolgt er diese Grundsätze nicht, kann er gemäß Art. 82 DSGVO für Verstöße gegen diese Verordnung haftbar gemacht werden.

149. Die vierte Frage geht dahin, ob der Betreiber eines Online-Marktplatzes Sicherheitsmaßnahmen zu ergreifen hat, um das Kopieren oder die Weiterverbreitung des Inhalts von durch seine Vermittlung veröffentlichten Anzeigen zu verhindern oder zu beschränken.

150. Besteht aufgrund der Umstände, unter denen die Verarbeitung erfolgt, die Möglichkeit, dass die Anzeigen von anderen Seiten übernommen werden und die personenbezogenen Daten anschließend in einer Weise verarbeitet werden, die mit den Zwecken, für die sie erhoben wurden, unvereinbar ist, könnte der Verantwortliche die Umsetzung solcher Maßnahmen erwägen, die jedoch geeignet sein müssen. Ich bin jedoch nicht davon überzeugt, dass der Betreiber eines Online-Marktplatzes, dessen wirtschaftlicher Sinn aus Sicht des Betreibers und der inserierenden Nutzer darin besteht, dass die dort veröffentlichten Anzeigen der Öffentlichkeit zugänglich sind, verpflichtet sein sollte, die Weiterverbreitung dieser Anzeigen zu beschränken. Zudem besteht das übliche Ziel der Einstellung von Inhalten ins Internet in der Regel darin, sie allen Internetnutzern zugänglich zu machen, was eine Form der Weiterverbreitung impliziert. In jedem Fall hätte die streitige Anzeige aber unter Berücksichtigung der von mir in Nr. 148 der vorliegenden Schlussanträge dargelegten Erwägungen nicht ohne die Zustimmung der betroffenen Person auf dem Online-Marktplatz von Russmedia veröffentlicht werden dürfen.

151. Unbeschadet der vorstehenden Zusatzbemerkungen zu den Pflichten und Verantwortlichkeiten eines für die Verarbeitung Verantwortlichen halte ich an meiner Auffassung fest, dass der Betreiber eines Online-Marktplatzes ein Auftragsverarbeiter der personenbezogenen Daten ist, die in den auf diesem Marktplatz veröffentlichten Anzeigen enthalten sind(63). Ausgehend davon bleibt das Verhältnis zwischen der Richtlinie 2000/31 und der DSGVO zu prüfen.

C.      Zum Verhältnis zwischen den Regelungen der Richtlinie 2000/31 und denen der DSGVO

152. Die zweite und die dritte Frage beziehen sich namentlich auf Art. 2 Abs. 4 DSGVO, der das Verhältnis zwischen dieser Verordnung und der Richtlinie 2000/31 betrifft. Darüber hinaus beziehen sie sich sowohl auf die Bestimmungen dieser Verordnung, die die Pflichten und Verantwortlichkeiten eines Verantwortlichen festlegen, als auch auf Art. 15 der Richtlinie. Diese Fragen scheinen daher die parallele Anwendung der DSGVO und der genannten Richtlinie vorauszusetzen.

153. Bevor ich mich mit einer solchen parallelen Anwendung dieser beiden Instrumente des Unionsrechts befasse (Abschnitt 2), muss ich jedoch darauf hinweisen, dass zwischen der mit der ersten Frage und der mit den Fragen 2 bis 4 angesprochenen Hypothese ein gewisses Spannungsverhältnis besteht (Abschnitt 1).

1.      Ein neutraler Hosting-Anbieter als Verantwortlicher

154. Wie bereits erörtert, ergibt sich aus meiner Prüfung, dass Russmedia in Bezug auf die Verarbeitung der personenbezogenen Daten, die in den auf ihrem Online-Marktplatz veröffentlichten Anzeigen enthalten waren, als Auftragsverarbeiterin handelte(64). Das vorlegende Gericht geht hingegen davon aus, dass die Gesellschaft als Verantwortliche handelte. Vor diesem Hintergrund wirft die Vorlageentscheidung die Frage auf, ob der Betreiber eines Online-Marktplatzes zwei Rollen innehaben kann, nämlich die des neutralen Hosting-Anbieters im Sinne von Art. 14 Abs. 1 der Richtlinie 2000/31 in Bezug auf die im Auftrag der Nutzer seines Dienstes gespeicherten Informationen sowie die des Verantwortlichen in Bezug auf die Verarbeitung der in diesen Informationen enthaltenen personenbezogenen Daten. Einerseits richtet sich die erste Frage nämlich darauf, ob Russmedia ein Vermittler im Sinne von Kapitel II Abschnitt 4 dieser Richtlinie ist. Andererseits gehen die Fragen 2 bis 4 offenbar von der Prämisse aus, dass diese Gesellschaft als „Verantwortliche“ im Sinne der DSGVO einzustufen sei.

155. In dieser Hinsicht ist mir bewusst, dass der Gerichtshof in seiner Rechtsprechung nicht ausgeschlossen hat, dass ein für die Verarbeitung von personenbezogenen Daten Verantwortlicher im Sinne der DSGVO in Bezug auf die Informationen, die diese Daten enthalten, eine neutrale Rolle spielen und die Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 in Anspruch nehmen kann. Eine ähnliche Überlegung wurde auch von den Autoren des Schrifttums in Bezug auf die nationale Rechtsprechung angestellt(65).

156. Zwar hat der Gerichtshof in der Entscheidung Google Spain und Google zunächst festgestellt, dass der Betreiber einer Suchmaschine ein Verantwortlicher in Bezug auf die Verarbeitung personenbezogener Daten ist, die in von Dritten im Internet veröffentlichten oder eingestellten Informationen enthalten sind, welche von diesem Betreiber lokalisiert, indexiert und gespeichert werden(66). Sodann hat sich der Gerichtshof im Urteil Google France und Google mit der Frage befasst, ob der Betreiber derselben Suchmaschine die Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 in Anspruch nehmen kann(67). Dieses zweite Urteil betraf jedoch nicht den Betrieb der besagten Suchmaschine, sondern einen Referenzierungsdienst. Außerdem überließ es der Gerichtshof in diesem Urteil dem vorlegenden Gericht, zu beurteilen, ob die von diesem Betreiber ausgeübte Rolle der eines Vermittlers im Sinne dieser Bestimmung entspricht(68).

157. Wichtiger noch ist, dass zum einen, wie bereits erwähnt(69), ein Vermittler in dem vom Gesetzgeber in Kapitel II Abschnitt 4 der Richtlinie 2000/31 intendierten Sinne keine Rolle spielen darf, die ihm Kenntnis oder Kontrolle über die gespeicherten Daten verliehe, und er sich daher auf eine neutrale Erbringung seines Dienstes durch eine rein technische Verarbeitung beschränken muss. Die Rolle des Verantwortlichen beinhaltet es zum anderen, den Zweck und die Mittel der Verarbeitung von personenbezogenen Daten zu bestimmen und insbesondere Einfluss darauf zu nehmen, ob Daten Gegenstand von Verarbeitungsvorgängen wie Speicherung, Änderung oder Verbreitung sind, und gegebenenfalls auf die Festlegung dieser Daten Einfluss zu nehmen(70). Die Ausübung eines solchen Einflusses ist unvereinbar mit der neutralen Rolle, die ein Anbieter eines Dienstes der Informationsgesellschaft in Bezug auf im Auftrag der Nutzer gespeicherte Informationen wahren muss, um die Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 in Anspruch nehmen zu können. Ebenso legt die DSGVO, wie bereits erläutert(71), dem Verantwortlichen Pflichten und Verantwortlichkeiten auf, die ein proaktives Handeln seinerseits erfordern. Im Wesentlichen muss der Verantwortliche, um die Grundsätze für die Verarbeitung personenbezogener Daten einzuhalten, Kenntnis von den betreffenden Daten haben und Kontrolle über sie ausüben. Eine solche Kontrolle ist ebenfalls nicht mit der neutralen Rolle eines solchen Anbieters zu vereinbaren.

158. Wenn also einerseits ein Hosting-Dienst in der Speicherung von Informationen besteht, die aus Sicht der DSGVO personenbezogene Daten darstellen, und andererseits der Anbieter dieses Dienstes als Verantwortlicher im Sinne dieser Verordnung angesehen wird, dann beschränkt sich die Rolle dieses Anbieters nicht auf die neutrale Speicherung solcher Informationen. Folglich nimmt der Anbieter eines solchen Dienstes eine aktive Rolle in Bezug auf diese Informationen ein und kann die Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 nicht in Anspruch nehmen.

159. Das Spannungsverhältnis zwischen der in der ersten Frage und der in den Fragen 2 bis 4 angesprochenen Hypothese bestätigt die Auslegung der DSGVO, der zufolge der Betreiber eines Online-Marktplatzes in Bezug auf die personenbezogenen Daten, die in den von ihm im Auftrag der inserierenden Nutzer gespeicherten Anzeigen enthalten sind, nicht als Verantwortlicher, sondern als Auftragsverarbeiter dieser Daten handelt(72).

160. Der Vollständigkeit halber weise ich darauf hin, dass ich nicht ausschließen kann, dass der Unionsgesetzgeber die Möglichkeit zulassen wollte, dass ein Hosting-Anbieter, der als Verantwortlicher handelt, die Haftungsfreistellung im Rahmen des Digital Services Act in Anspruch nehmen kann. Denn zwar hat diese Verordnung die Art. 12 bis 15 der Richtlinie 2000/31 abgeschafft(73), doch wurden diese Bestimmungen in ihrer Auslegung durch den Gerichtshof von der Verordnung übernommen. Die Verordnung ergänzt in Art. 7: „Die Anbieter von Vermittlungsdiensten kommen für die … Haftungsausschlüsse auch dann in Betracht, wenn sie auf Eigeninitiative nach Treu und Glauben und sorgfältig freiwillige Untersuchungen durchführen … oder die erforderlichen Maßnahmen ergreifen, um den Anforderungen des Unionsrechts und des nationalen Rechts im Einklang mit dem Unionsrecht … nachzukommen(74)“. Der erste Teil dieser Vorschrift über „freiwillig von einem Anbieter ergriffene Maßnahmen“ weist Gemeinsamkeiten mit der Rechtsprechung des Gerichtshofs auf, die bereits unter der Geltung der Richtlinie 2000/31 entwickelt wurde(75). Der zweite Teil über „Maßnahmen zur Einhaltung der Anforderungen des Unionsrechts“, der durch diese Verordnung hinzugefügt wurde, würde es einem Hosting-Anbieter ermöglichen, seinen Verpflichtungen aus der DSGVO nachzukommen und die Rolle eines neutralen Vermittlers zu wahren. Die Richtlinie 2000/31 enthält jedoch keine diesbezügliche Bestimmung, und es sollte auch keine im Wege der Auslegung dieser Richtlinie eingeführt werden.

161. Es bleibt noch zu klären, ob ein Akteur, der als Auftragsverarbeiter an der Verarbeitung personenbezogener Daten beteiligt ist und für die Verarbeitung dieser Daten wegen eines Verstoßes gegen die DSGVO haftbar gemacht werden kann, die Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 in Anspruch nehmen kann.

2.      Parallele Anwendung der DSGVO und der Richtlinie 2000/31

162. Das in der Vorlageentscheidung aufgeworfene Problem geht darauf zurück, dass eine im Auftrag eines Nutzers des Dienstes gespeicherte Information personenbezogene Daten enthielt, deren Verarbeitung unter Verstoß gegen die DSGVO erfolgte. Daraus ergibt sich die Frage, die zwischen den Parteien des Ausgangsverfahrens strittig und seit Langem Gegenstand von Diskussionen im Schrifttum ist(76): Kann ein an der Verarbeitung personenbezogener Daten beteiligter Akteur, der für einen Verstoß gegen die DSGVO haftbar gemacht werden kann, die in Art. 14 Abs. 1 der Richtlinie 2000/31 vorgesehene Haftungsfreistellung in Anspruch nehmen?

163. Entsprechend meiner Untersuchung dieser beiden Instrumente des Unionsrechts kann sich der Anbieter eines Dienstes der Informationsgesellschaft, der Verantwortlicher für die Verarbeitung der personenbezogenen Daten ist, die in den im Auftrag der Nutzer dieses Dienstes gespeicherten Informationen enthalten sind, nicht auf die in Art. 14 Abs. 1 der Richtlinie 2000/31 vorgesehene Haftungsfreistellung berufen(77). Daher dient die folgende Prüfung lediglich dazu, festzustellen, ob sich ein Anbieter, der als Auftragsverarbeiter solcher Daten handelt, auf diese Freistellung berufen kann. Ich erinnere daran, dass ich aufgrund meiner Prüfung der Bestimmungen der DSGVO dem Gericht vorschlage, Russmedia als Auftragsverarbeiterin zu betrachten(78).

164. Ferner ist darauf hinzuweisen, dass das vorlegende Gericht nicht klarstellt, ob Russmedia im Ausgangsrechtsstreit für einen Verstoß gegen die DSGVO nach Art. 82 dieser Verordnung oder nach den Vorschriften über die zivilrechtliche Haftung des nationalen Rechts zur Verantwortung gezogen werden kann. Der Verstoß gegen eine Vorschrift über den Schutz personenbezogener Daten kann nämlich zugleich einen Verstoß gegen andere Vorschriften bedeuten, etwa gegen solche des Verbraucherschutzes(79) und gegen Persönlichkeitsrechte, und der Unionsgesetzgeber hatte nicht die Absicht, eine umfassende Harmonisierung der Rechtsbehelfe vorzunehmen, die bei einem Verstoß gegen die Bestimmungen der DSGVO zur Verfügung stehen(80).

165. In Bezug auf die zivilrechtliche Haftung enthalten jedenfalls sowohl die Richtlinie 2000/31 als auch die DSGVO Bestimmungen, die Hinweise auf das Verhältnis zwischen diesen beiden Unionsrechtsakten geben.

a)      Zu den einschlägigen Bestimmungen der Richtlinie 2000/31

166. Nach ihrem Art. 1 („Zielsetzung und Anwendungsbereich“) Abs. 5 Buchst. b findet die Richtlinie 2000/31 keine Anwendung auf Fragen betreffend die Dienste der Informationsgesellschaft, die von den unionsrechtlichen Vorschriften im Bereich der personenbezogenen Daten erfasst werden. Konkret bezieht sich diese Bestimmung auf die Richtlinien 95/46 und 97/66, die durch die DSGVO(81) bzw. die Richtlinie 2002/58/EG(82) ersetzt wurden.

167. Darüber hinaus heißt es im 14. Erwägungsgrund der Richtlinie 2000/31, der sich auf die in ihrem Art. 1 Abs. 5 thematisierte Fragestellung bezieht, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ausschließlich Gegenstand der Richtlinien 95/46 und 97/66 ist und dass „beide Richtlinien … uneingeschränkt auf die Dienste der Informationsgesellschaft anwendbar [sind]. Jene Richtlinien begründen bereits einen [unionsrechtlichen] Rahmen für den Bereich personenbezogener Daten, so dass diese Frage in der [Richtlinie 2000/31] nicht geregelt werden muss, um das reibungslose Funktionieren des Binnenmarkts und insbesondere den freien Fluss personenbezogener Daten zwischen den Mitgliedstaaten zu gewährleisten. Die Grundsätze des Schutzes personenbezogener Daten sind bei der Umsetzung und Anwendung dieser [letztgenannten] Richtlinie uneingeschränkt zu beachten …“.

168. In der Vergangenheit hat sich der Gerichtshof bereits mit der Auslegung von Art. 1 Abs. 5 Buchst. b der Richtlinie 2000/31 befasst.

169. So hatte sich zunächst im Urteil Promusicae(83) die Frage gestellt, ob das Unionsrecht den Mitgliedstaaten gebietet, im Hinblick auf einen effektiven Schutz des Urheberrechts die Pflicht zur Mitteilung personenbezogener Daten im Rahmen eines zivilrechtlichen Verfahrens vorzusehen. In dieser Rechtssache bezog sich das vorlegende Gericht auf mehrere Richtlinien, die seiner Meinung nach die Rechtsgrundlage für eine solche Pflicht hätten bilden können.

170. In diesem Zusammenhang befand der Gerichtshof, dass aus Art. 1 Abs. 5 Buchst. b der Richtlinie 2000/31 hervorgeht, dass eine solche Pflicht, sofern sie in dieser Richtlinie vorgesehen ist, die mit dem Schutz personenbezogener Daten verbundenen Erfordernisse nicht beeinträchtigen darf(84). Der Gerichtshof hat daher offenbar die parallele Anwendung dieser Richtlinie und der unionsrechtlichen Instrumente zum Schutz personenbezogener Daten in Erwägung gezogen.

171. Sodann befasste sich der Gerichtshof im Urteil La Quadrature du Net u. a.(85) mit der Frage, ob die Richtlinie 2000/31 einer nationalen Regelung entgegensteht, mit der den Anbietern eines öffentlichen Online-Zugangs zu Kommunikationsdiensten und den Betreibern von Hosting-Diensten eine allgemeine und unterschiedslose Vorratsspeicherung von personenbezogenen Daten im Zusammenhang mit diesen Diensten auferlegt wird. Das vorlegende Gericht war der Meinung, dass die Frage durch diese Richtlinie geregelt werde und dass ihr Art. 15 für sich genommen kein grundsätzliches Verbot der Speicherung von Daten in Bezug auf die Schaffung von Inhalten aufstelle, von dem nur ausnahmsweise abgewichen werden könnte(86).

172. Der Gerichtshof hat entschieden, dass die Richtlinie 2000/31 im Bereich des Schutzes der Vertraulichkeit der Kommunikation sowie des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten im Rahmen der Dienste der Informationsgesellschaft nicht anwendbar ist: Denn dieser Schutz ist je nach Fallkonstellation entweder durch die Richtlinie 2002/58 oder durch die DSGVO geregelt(87).

173. Die Deutlichkeit dieser Antwort hängt mit den Umständen zusammen, unter denen sie gegeben wurde.

174. Einerseits darf nämlich nicht übersehen werden, dass der 15. Erwägungsgrund der Richtlinie 2000/31 speziell auf die Vertraulichkeit der Kommunikation abzielt und vorsieht, dass gemäß der in Art. 1 Abs. 5 Buchst. b dieser Richtlinie genannten Richtlinie 97/66 „die Mitgliedstaaten jede Art des Abfangens oder Überwachens dieser Kommunikation durch andere Personen als Sender und Empfänger [untersagen], es sei denn, diese Personen sind gesetzlich dazu ermächtigt“. Die Richtlinie 2002/58, die die Richtlinie 97/66 ersetzt hat, bestätigt dieses Verbot und legt die Voraussetzungen fest, unter denen die Mitgliedstaaten von diesem Verbot abweichen können. Ebenso wird unter der Geltung der DSGVO der Spielraum der Mitgliedstaaten in Bezug auf abweichende Maßnahmen zum Schutz personenbezogener Daten in Art. 23 dieser Verordnung eingegrenzt.

175. Andererseits hat der Gerichtshof, um zu der in Nr. 171 der vorliegenden Schlussanträge wiedergegebenen Schlussfolgerung zu gelangen, darauf hingewiesen, dass der Schutz der Vertraulichkeit der Kommunikation sowie natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten allein durch die Richtlinie 2002/58 bzw. die DSGVO geregelt wird, „wobei der Schutz, den die Richtlinie 2000/31 gewährleisten soll, auf keinen Fall die Erfordernisse, die sich aus der Richtlinie 2002/58 und der [DSGVO] ergeben, beeinträchtigen darf“(88).

176. Die Rechtsprechung zu Art. 1 Abs. 5 Buchst. b der Richtlinie 2000/31 legt somit zum einen nahe, dass diese Richtlinie nicht auf Fragen anwendbar ist, die im Rahmen der Richtlinie 2002/58 und der DSGVO gesondert geregelt sind. Zum anderen finden die Richtlinie 2000/31 und die für personenbezogene Daten geltenden Vorschriften des Unionsrechts in Bezug auf alle anderen Fragen parallel Anwendung, wobei die Bestimmungen dieser Richtlinie aber die Erfordernisse zum Schutz derartiger Daten nicht beeinträchtigen dürfen.

b)      Zu den einschlägigen Bestimmungen der DSGVO

177. Meine Auslegung in Nr. 176 der vorliegenden Schlussanträge wird durch Art. 2 Abs. 4 DSGVO gestützt, wonach diese Verordnung die Anwendung der Richtlinie 2000/31, insbesondere der in den Art. 12 bis 15 dieser Richtlinie enthaltenen Vorschriften zur Verantwortlichkeit der Vermittler, „unberührt lässt“(89).

178. Obwohl in der unionsrechtlichen Terminologie die Feststellung, dass ein Rechtsinstrument oder eine seiner Bestimmungen ein anderes Instrument „unberührt lässt“, zu unterschiedlichen Lösungen führen kann, stellt die DSGVO klar, dass sie insbesondere die spezifischen Bestimmungen der Richtlinie 2000/31 unberührt lässt. Der Unionsgesetzgeber wollte daher hervorheben, dass diese Verordnung den Anwendungsbereich der spezifischen Bestimmungen dieser Richtlinie nicht einschränkt. Daher kann nicht davon ausgegangen werden, dass die DSGVO Vorrang vor der Richtlinie 2000/31 hätte, nur weil sie nach dieser verabschiedet wurde.

c)      Schlussbemerkungen

179. Angesichts dessen sind sowohl die Richtlinie 2000/31 in ihrer Auslegung durch den Gerichtshof(90) als auch die DSGVO(91) so ausgestaltet, dass sie parallel auf Fragen angewendet werden können, die im Rahmen dieser Verordnung nicht gesondert geregelt sind. Es bleibt also zu klären, ob die DSGVO eine Vorschrift enthält, die eine vergleichbare Funktion wie Art. 14 Abs. 1 dieser Richtlinie erfüllt.

180. Insoweit bestimmt Art. 82 Abs. 3 DSGVO, dass ein Verantwortlicher oder, je nach Sachverhalt, ein Auftragsverarbeiter von der Haftung für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, befreit wird, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Bei einer Verletzung des Schutzes personenbezogener Daten durch einen „Dritten“ im Sinne von Art. 4 Nr. 10 dieser Verordnung kann sich der Verantwortliche oder der Auftragsverarbeiter auf der Grundlage von Art. 82 Abs. 3 derselben Verordnung von seiner Haftung befreien, indem er nachweist, dass kein Kausalzusammenhang zwischen seiner etwaigen Verletzung der Pflicht zum Datenschutz und dem der natürlichen Person entstandenen Schaden besteht(92).

181. Ich bin der Ansicht, dass Art. 82 Abs. 3 DSGVO keine Haftungsfreistellung darstellt, die eine vergleichbare Funktion wie Art. 14 Abs. 1 der Richtlinie 2000/31 erfüllt.

182. Art. 14 Abs. 1 der Richtlinie 2000/31 findet nämlich nur Anwendung, wenn ein Vermittler nach den für ihn geltenden Vorschriften für Informationen verantwortlich gemacht werden kann, die im Auftrag der Nutzer seines Vermittlungsdiensts gespeichert wurden. Die Frage nach der Anwendbarkeit dieser Bestimmung stellt sich daher nur, wenn die in den geltenden Vorschriften festgelegten Voraussetzungen der Haftung dieses Anbieters für die gespeicherten Informationen erfüllt sind. Die Voraussetzungen für das Recht auf Schadenersatz nach Art. 82 DSGVO sind in den Abs. 1 bis 3 dieses Artikels festgelegt. Art. 82 Abs. 3 dieser Verordnung enthält nur eine Voraussetzung für diese Haftung(93). Denn die Haftung des Verantwortlichen nach Art. 82 dieser Verordnung hängt vom Vorliegen eines ihm unterlaufenen Fehlverhaltens ab, das vermutet wird, sofern er nicht gemäß Abs. 3 nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist(94).

183. Ein Auftragsverarbeiter, der nach Art. 82 DSGVO haftbar gemacht werden kann, ist daher nicht von der Inanspruchnahme der Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 ausgeschlossen.

184. Allerdings kann ein Auftragsverarbeiter nach Art. 82 Abs. 2 Satz 2 DSGVO nur dann haftbar gemacht werden, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat. Die Pflichten und Verantwortlichkeiten des Betreibers eines Online-Marktplatzes, der hinsichtlich der Daten, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind, als Auftragsverarbeiter handelt, stehen daher vor allem mit Art. 32 der genannten Verordnung in Zusammenhang(95).

185. Allerdings ist, wie bereits erwähnt, nicht klar ersichtlich, ob Russmedia im Ausgangsrechtsstreit für einen Verstoß gegen die DSGVO nach Art. 82 dieser Verordnung oder nach den nationalen Vorschriften zur Verantwortung gezogen werden kann. Wenn die Haftung für einen Verstoß gegen die genannte Verordnung aufgrund nationaler Vorschriften ausgelöst werden kann (so dass Art. 82 Abs. 3 derselben Verordnung nicht anwendbar wäre), spricht noch weniger dafür, die betroffene Gesellschaft von der Inanspruchnahme der Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 auszuschließen.

186. Ich komme zu dem Schluss, dass ein Akteur, der als Auftragsverarbeiter an der Verarbeitung personenbezogener Daten beteiligt ist und wegen eines Verstoßes gegen die DSGVO zur Verantwortung gezogen werden kann, die Haftungsfreistellung nach Art. 14 Abs. 1 der Richtlinie 2000/31 in Anspruch nehmen kann. Meine Schlussfolgerung hinsichtlich des Verhältnisses zwischen diesen beiden Instrumenten des Unionsrechts ändert daher nichts an meinen Vorschlägen für die Beantwortung der Vorlagefragen.

V.      Ergebnis

187. Nach alledem schlage ich dem Gerichtshof vor, die von der Curtea de Apel Cluj (Berufungsgericht Cluj, Rumänien) zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:

1.      Art. 14 Abs. 1 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“)

ist dahin auszulegen, dass

ein Anbieter eines Dienstes der Informationsgesellschaft, der darin besteht, den Nutzern einen Online-Marktplatz zur Verfügung zu stellen, auf dem kostenlos oder kostenpflichtig Anzeigen veröffentlicht werden, von der in dieser Bestimmung vorgesehenen Haftungsfreistellung auch dann erfasst wird, wenn er in den allgemeinen Nutzungsbedingungen des Online-Marktplatzes angibt, dass er zwar kein Eigentumsrecht an diesen Inhalten beansprucht, sich jedoch das Recht vorbehält, die bereitgestellten, veröffentlichten, hochgeladenen oder übermittelten Inhalte zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln, zu veröffentlichen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines Grundes bedarf, vorausgesetzt, dieser Anbieter unternimmt keine Schritte, die dazu führen, dass er seine Eigenschaft als neutraler Hosting-Anbieter verliert.

2.      Art. 5 Abs. 1 Buchst. f, Art. 6 Abs. 1 Buchst. a und die Art. 7, 24 und 25 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

ein Anbieter von Diensten der Informationsgesellschaft, dessen Tätigkeit darin besteht, auf einer Internetseite kostenlose oder kostenpflichtige Anzeigen im Auftrag seiner Nutzer zu hosten, in Bezug auf die personenbezogenen Daten, die in den auf seinem Online-Marktplatz veröffentlichten Anzeigen enthalten sind, als Auftragsverarbeiter handelt. In diesem Rahmen ist er nicht verpflichtet, den Inhalt der veröffentlichten Anzeigen zu überprüfen oder Sicherheitsmaßnahmen zu ergreifen, die geeignet sind, das Kopieren oder die Weiterverbreitung des Inhalts von über ihn veröffentlichten Anzeigen zu verhindern oder zu beschränken. Indessen hat er geeignete organisatorische und technische Maßnahmen zu treffen, um die Sicherheit der Verarbeitung gegenüber Dritten zu gewährleisten. Hingegen handelt er in Bezug auf die personenbezogenen Daten der inserierenden Nutzer, die auf seiner Internetseite registriert sind, als Verantwortlicher. In diesem Rahmen hat er die Identität dieser inserierenden Nutzer zu überprüfen.

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---