Die Pressemitteilung des BGH:
Bundesgerichtshof: Aussetzung des Verfahrens zur Haftung des Betreibers eines sozialen Netzwerks
für von seinen Nutzern eingestellte rechtswidrige Inhalte
Der VI. Zivilsenat hat am 18. Februar 2025 über wechselseitige Revisionen verhandelt, in denen sich die Frage stellt, welche Ansprüche gegen den Betreiber eines sozialen Netzwerks Betroffenen zustehen, über die auf der Plattform dieses Netzwerks falsche Tatsachenbehauptungen verbreitet werden. Hinsichtlich des Sachverhalts und des bisherigen Prozessverlaufs wird auf die Pressemitteilung Nr. 027/2025 vom 6. Februar 2025 hingewiesen.
Nach ausführlicher Erörterung in der mündlichen Verhandlung hat der VI. Zivilsenat am Ende der Sitzung das Verfahren analog § 148 ZPO bis zu der Entscheidung des Gerichtshofs der Europäischen Union in dem dort anhängigen Verfahren C-492/23 ausgesetzt.
Vorinstanzen:
LG Frankfurt a.M. - Entscheidung vom 8. April 2022 - 2-03 O 188/21
OLG Frankfurt a.M. - Entscheidung vom 25. Januar 2024 - 16 U 65/22
EuGH-Generalanwalt
Schlussansträge vom 06.02.2025 C-492/23
Russmedia Digital und Inform Media Press
Der EuGH-Generalanwalt hat sich vorliegend mit der Haftung des Betreibers eines Online-Marktplatzes nach der DSGVO und der Richtlinie über den elektronischen Geschäftsverkehr befasst.
Die Pressemitteilung des EuGH: Elektronischer Geschäftsverkehr und DSGVO: Generalanwalt Szpunar nimmt Klarstellungen zur Haftung des Betreibers eines Online-Marktplatzes vor
Im Jahr 2018 wurde auf der Website Publi24.ro (Website der Gesellschaft Russmedia), einem Online-Marktplatz, eine Anzeige veröffentlicht, aus der hervorging, dass eine Person (X) sexuelle Dienstleistungen anbiete. Die Anzeige enthielt Fotos und eine Telefonnummer, die aus den sozialen Netzwerken des Opfers stammten und die ohne seine Zustimmung verwendet wurden. Russmedia entfernte zwar die Anzeige rasch, doch wurde sie auf andere Websites kopiert. X erhob Klage gegen Russmedia.
Das Berufungsgericht Cluj (Rumänien) hat den Gerichtshof der Europäischen Union angerufen, um die Haftung des Betreibers eines Online-Marktplatzes für diesen Fall zu klären.
Generalanwalt Maciej Szpunar geht in seinen Schlussanträgen, um die Vorlagefragen des vorlegenden Gerichts zu beantworten, auf den Zusammenhang zwischen der Richtlinie über den elektronischen Geschäftsverkehr und der Datenschutz-Grundverordnung (DSGVO) ein.
In Bezug auf die Richtlinie über den elektronischen Geschäftsverkehr weist er darauf hin, dass ein Betreiber eines Online-Marktplatzes wie Russmedia in den Genuss einer Haftungsbefreiung für den Inhalt der auf seinem Marktplatz veröffentlichten Anzeigen kommen könne, sofern seine Rolle neutral und rein technisch bleibe.
Dies gelte nicht, wenn aktiv in die Verwaltung der Inhalte, deren Änderung oder die Werbung für die Inhalte eingegriffen werde.
Zur DSGVO stellt der Generalanwalt klar, dass der Betreiber eines Online-Marktplatzes für die in den Anzeigen enthaltenen personenbezogenen Daten als Auftragsverarbeiter agiere. Folglich sei der Betreiber nicht verpflichtet, vor der Veröffentlichung systematisch den Inhalt der Anzeigen zu überprüfen. Er müsse jedoch organisatorische und technische Maßnahmen zum Schutz dieser Daten ergreifen. Demgegenüber vertritt der Generalanwalt die Ansicht, dass der Betreiber des Online-Marktplatzes in Bezug auf die personenbezogenen Daten der auf diesem Online-Marktplatz registrierten inserierenden Nutzer als Verantwortlicher handele und in diesem Rahmen die Identität der inserierenden Nutzer überprüfen müsse.
Die Irische Datenschutzbehörde hate eine Bußgeld in Höhe von 251 Millionen EURO gegen Meta wegen Datenschutzverstößen im Zusammenhang mit einem Facebook-Datenleck verhängt.
Die Pressmeitteilung der Irischen Datenschutzbehörde: Irish Data Protection Commission fines Meta €251 Million
The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018.
This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform. The breach was remedied by MPIL and its US parent company shortly after its discovery.
The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million.
The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.
The DPC’s final decisions record the following findings of infringement of the GDPR:
Decision 1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million.
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million.
Decision 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million.
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million.
DPC Deputy Commissioner Graham Doyle commented:
“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.”
The DPC will publish the full decision and further related information in due course.
