Haftung für Nutzer-Content: Warum der EuGH vor allem Meta trifft – und nicht den kleinen Hoster

Mit seinem Urteil vom 2. Dezember 2025 (C-492/23) hat der EuGH die Rechtslage zur Verantwortlichkeit von Plattformbetreibern erneut konkretisiert: Das Hosting-Privileg des DSA schützt nicht automatisch vor datenschutzrechtlicher Mitverantwortung, wenn der Betreiber in die Zwecke oder Mittel der Verarbeitung eingreift (vgl. EuGH-Pressemitteilung Nr. 150/2025). Quelle: EuGH, Pressemitteilungen

Auf den ersten Blick sorgte dies für Befürchtungen, nun könnten alle Webhoster in Mitverantwortung nach Art. 26 DSGVO geraten. Ein genauerer Blick zeigt jedoch: Das Urteil baut auf einer Linie des EuGH seit 2018 (Facebook-Fanpages, C-210/16) auf und trifft in der Praxis vor allem große Plattformen – nicht die klassischen kleinen Hoster. (Siehe EuGH, C-210/16, Pressemitt. 2018.)

Worum ging es im EuGH-Fall?

Im rumänischen Ausgangsfall veröffentlichte ein Dritter anonym eine fingierte Anzeige mit sensiblen Angaben („sexuelle Dienstleistungen“) auf einer Plattform des Russmedia-Konzerns. Die betroffene Person verklagte den Plattformbetreiber auf Schadensersatz nach der DSGVO. Das Berufungsgericht legte die Frage dem EuGH vor, ob und in welchem Umfang das Hosting-Privileg dem Datenschutz entgegensteht. Der EuGH entschied, dass Datenschutzrecht durch das DSA unberührt bleibt und bei Vorliegen bestimmter Umstände Mitverantwortung bejaht werden kann (C-492/23). EuGH, Nr. 150/2025

Warum diese Logik vor allem Meta & Co. trifft

• Große Plattformen kuratieren Inhalte, empfehlen sie algorithmisch weiter und behalten sich weitreichende Nutzungsrechte in ihren AGB vor.
• Sie verarbeiten und monetarisieren Nutzerdaten aktiv und beeinflussen Sichtbarkeit und Reichweite – damit greifen sie in Zwecke und Mittel der Verarbeitung ein.
• Genau diese Merkmale hatte der EuGH in früheren Entscheidungen (u. a. C-210/16) bereits als Indiz für gemeinsame Verantwortung betrachtet.

Daher ist die Entscheidung praktisch auf Geschäftsmodelle wie Meta, YouTube, TikTok oder X zugeschnitten: Plattformen, die Inhalte formen, ordnen und algorithmisch verbreiten, stehen am ehesten in der Sphäre gemeinsamer datenschutzrechtlicher Verantwortung. Nuanciert: Es handelt sich um eine Wahrscheinlichkeitsprognose, nicht um eine Automatik – vorausgesetzt, die konkreten Umstände (Algorithmen, AGB-Rechte, Kuratierung) liegen nachweisbar vor. (Vergleiche auch die Berichterstattung zur Künast-Sache und dem BGH-Verfahren VI ZR 64/24.) Erläuterung bei RSW/Beck • BGH-Aktenzeichen VI ZR 64/24 (Künast)

Warum kleine Hoster und technische Dienstleister weiterhin geschützt sind

Der entscheidende Trennungsfaktor ist die Rolle in der Datenverarbeitung. Klassische technische Dienstleister agieren in der Regel als Auftragsverarbeiter (Art. 28 DSGVO), nicht als gemeinsame Verantwortliche. Solange folgende Voraussetzungen eingehalten werden, ändert sich für sie kaum etwas:

1. Abschluss eines klaren Auftragsverarbeitungsvertrags (AVV), der Zweck und Mittel trennt.
2. Keine redaktionelle oder kuratorische Funktion: keine Algorithmus-Steuerung, keine Reichweitenmanipulation, keine eigenständige Gestaltung oder Bewertung von Inhalten.
3. AGB und Vertragsgestaltung dokumentieren die Rolle als rein technischer Dienstleister und schließen Verantwortungsübernahme für Inhalte aus.

Wenn diese Kriterien erfüllt sind, verbleibt die datenschutzrechtliche Verantwortung beim Kunden, der die Inhalte einstellt und über Zwecke entscheidet. Das entspricht der langjährigen Praxis (vgl. klassische Entscheidungen, etwa der Porsche-/mobile.de-Fall aus 2003, LG Köln, 28 O 706/02). LG Köln 26.11.2003

Graduelle Verschiebung statt plötzlicher Revolution

Die Formulierung „stille Revolution“ war bewusst pointiert – sachlich treffender ist jedoch: eine graduelle Verschiebung. Die EuGH-Entscheidungen seit 2018 haben schrittweise die Grenzen zwischen bloßem Hosting und aktiver Verantwortlichkeit ausdifferenziert. Das bedeutet nicht, dass plötzlich alle Hoster zur Überwachung verpflichtet werden; es bedeutet, dass Plattformen, die aktiv in die Verarbeitung eingreifen, zunehmend rechtlich zur Verantwortung gezogen werden. (Siehe EuGH C-210/16 und C-492/23.)

Praxisfrage: Trifft das auch kleine Unternehmen?

Kurz: Wahrscheinlich nicht, solange sie sich an die klassische Auftragsverarbeiter-Rolle halten. In der Praxis richtet sich das Urteil vornehmlich gegen Geschäftsmodelle mit algorithmischer Inhaltssteuerung und weitreichenden AGB-Rechten. Kleinunternehmer, Agenturen und reine Hoster, die einen sauberen AVV schließen und keine redaktionelle Rolle übernehmen, bleiben weitgehend unberührt.

Fazit und Tipp

Das EuGH-Urteil vom 2. Dezember 2025 stärkt den Opferschutz gegenüber rechtswidriger Verbreitung personenbezogener Daten und trifft damit vor allem die großen Plattformbetreiber. Für kleine Host-Dienstleister gilt weiterhin die praktikable Regel: AVV abschließen, Rolle vertraglich klar halten, keine Kuratierung vornehmen.

Quellen & weiterführende Links:

• EuGH, Pressemitteilung Nr. 150/2025 (Urteil C-492/23). curia.europa.eu (Presse)
• EuGH, C-210/16 (Facebook-Fanpages) – Pressemitt. 05.06.2018. PDF-Pressemitt. C-210/16
• BGH-Verfahren Künast vs. Meta, VI ZR 64/24 (Wartezeit / Bezug zu C-492/23). dejure.org
• Bericht: RSW/Beck – Analyse Künast/Meta & Löschpflichten. rsw.beck.de
• Frühere Praxisbeispiele (LG Köln, Porsche/mobile.de, 2003). dejure.org – LG Köln 28 O 706/02