+++ Please find the English version below +++
Mit dem Urteil im Fall Russmedia vom 2. Dezember 2025 hat der Europäische Gerichtshof (EuGH) klargestellt, dass ein Online-Marktplatz für den Inhalt der dort veröffentlichten Anzeigen Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist, sofern er ein Eigeninteresse an der Verbreitung von personenbezogenen Inhalten hat.
Die Entscheidung verpflichtet verantwortliche Betreiber solcher Plattformen, nach Kenntnis von rechtswidrigen Inhalten wirksame Schutzmaßnahmen zu implementieren. Diese Maßnahmen müssen geeignet sein, die Entfernung der betreffenden Inhalte sicherzustellen und eine erneute Veröffentlichung zu verhindern. Für den Online-Marktplatz hat der EuGH darüber hinaus entschieden, dass der Betreiber verpflichtet ist, Vorkehrungen zu treffen, die darauf hinwirken, dass rechtswidrige Veröffentlichungen sensibler Daten verhindert werden.
Der Umfang dieser Maßnahmen zur Entfernung und Eindämmung rechtswidriger personenbezogener Inhalte richtet sich nach den jeweiligen Risiken für die kollidierenden Grundrechte, die mit der Veröffentlichung zusammenhängen.
Übertragbarkeit auf Social-Media-Plattformen
Diese Grundsätze des Russmedia-Urteils sind auf Social-Media-Plattformen übertragbar, wenn diese Plattformen Verantwortliche nach der DSGVO sind, weil sie personenbezogene Inhalte im eigenen Interesse verbreiten. Diese Verantwortlichkeit entsteht insbesondere dann, wenn die Plattformen personenbezogene Inhalte zu Werbezwecken oder aus anderen kommerziellen Interessen nutzen, die über die reine Bereitstellung des Dienstes für die Nutzenden hinausgehen. Dies ist regelmäßig der Fall, wenn Algorithmen, Rankings oder vergleichbare Mechanismen eingesetzt werden, die auf die eigenen wirtschaftlichen Interessen der Plattform ausgerichtet sind. Davon ist bei Plattformen wie Facebook, Instagram und Youtube auszugehen.
Welche Pflichten haben verantwortliche Social-Media-Plattformen?
Wird eine Social-Media-Plattform auf dieser Grundlage als datenschutzrechtlich Verantwortliche eingestuft, entsteht die Pflicht, risikobasierte Maßnahmen zu ergreifen, die darauf hinwirken, rechtswidrig veröffentlichte personenbezogene Inhalte zu entfernen und deren Veröffentlichung zu verhindern.
Daraus folgt aber keine allgemeine Überwachungspflicht für nutzergenerierte Inhalte oder eine generelle Identifizierungspflicht für Nutzende. Das Grundrecht auf freie Meinungsäußerung setzt hier klare Grenzen.
Wenn ein Betroffener einen rechtswidrigen personenbezogenen Inhalt bei der verantwortlichen Social-Media-Plattform meldet, ist diese verpflichtet, diesen zu entfernen. Zusätzlich müssen angemessene Maßnahmen ergriffen werden, um zu verhindern, dass dieser rechtswidrige personenbezogene Inhalt weiterverbreitet wird. Das muss auch für erkennbar inhaltsgleiche rechtswidrige Veröffentlichungen im Rahmen der Verantwortlichkeit der Social-Media-Plattform gelten.
Vor Veröffentlichung können verantwortliche Social-Media-Plattformen verpflichtet sein, Maßnahmen vorzuhalten, die darauf hinwirken, dass sensible personenbezogene Inhalte nicht ohne Rechtsgrundlage verbreitet werden. Um die Verwirklichung der Meinungsäußerungsfreiheit zu gewährleisten, kann eine anlasslose Vorabprüfung durch die verantwortliche Social-Media-Plattform regelmäßig nicht bei privaten Nutzern vorgesehen sein.
Für kommerzielle Konten oder von Organisationen betriebene Profile ist das Schutzinteresse der Nutzenden weniger stark ausgeprägt. In diesen Fällen sind Social-Media-Plattformen verpflichtet, angemessene Maßnahmen zu ergreifen, um rechtswidrigen Veröffentlichungen sensibler Daten vorzubeugen. Dazu kann die Identitätsfeststellung der kommerziellen Nutzenden ebenso gehören wie die Prüfung, ob eine gesetzliche Ausnahme für die Veröffentlichung sensibler Daten vorliegt.
Konsequenzen für die Praxis
Die aus dem Russmedia-Urteil abgeleitete Pflicht, Schutzmaßnahmen gegen die rechtswidrige Veröffentlichung sensibler Daten vorzusehen, gilt also grundsätzlich auch für Social-Media-Plattformen.
Die konkrete Ausgestaltung dieser Pflicht erfordert jedoch eine Abwägung, welche die Art des Kontos, die Art der veröffentlichten Inhalte, die betroffenen Grundrechte sowie den Umfang der erforderlichen Maßnahmen berücksichtigt.
Social-Media-Plattformen, die als Verantwortliche im Sinne der DSGVO agieren, sind daher gefordert, ihre internen Prozesse und technischen Systeme an die Anforderungen aus der Russmedia-Entscheidung anzupassen.
Die ausführliche Bewertung des HmbBfDI finden Sie hier.
+++
CJEU ruling on Russmedia: New standards for the responsibility of social media platforms
In its judgment in the case of Russmedia of 2 December 2025, the European Court of Justice (CJEU) held that an online marketplace is a controller within the meaning of the General Data Protection Regulation (GDPR) in respect of the personal data contained in advertisements published on its online marketplace, where it pursues its own interests in the dissemination of such data.
The ruling requires operators of such platforms to implement effective safeguards upon becoming aware of unlawful content. These measures must be appropriate for ensuring the removal of the content in question and preventing its republication. The CJEU further held that the operator of an online marketplace is obliged to take precautions aimed at preventing the unlawful publication of sensitive data.
The scope of these measures to remove and prevent unlawful personal data must be determined in light of the respective risks to the conflicting fundamental rights associated with the publication.
Applicability to social media platforms
These principles, as established by the CJEU in Russmedia, are equally applicable to social media platforms if such platforms qualify as controllers under the GDPR because they disseminate personal data for their own purposes. Controllership can particularly be presumed where the platforms use personal data for advertising or other commercial interests that go beyond the mere provision of the service to users. This is typically the case where algorithms, rankings or similar mechanisms are used serving the platform’s own economic interests. This can be assumed in the case of platforms such as Facebook, Instagram and YouTube.
What are the obligations of responsible social media platforms?
Where a social media platform is classified as a controller under GDPR, the platform is required to take risk-based measures aimed at removing unlawfully published personal content and preventing its further dissemination.
This does not entail a general obligation to monitor user-generated content or to identify users in all cases, as the fundamental right to freedom of expression imposes clear limits.
If a data subject reports unlawful personal content to the responsible social media platform, the platform is obliged to remove it without undue delay. In addition, appropriate measures must be taken to prevent this unlawful personal content from being further disseminated. This must also apply to unlawful publications with recognisably identical content within the scope of the social media platform’s responsibility.
Prior to publication, responsible social media platforms may be required to have measures in place to ensure that sensitive personal data is not disseminated without a legal basis. To safeguard the right to freedom of expression, social media platforms cannot, as a rule, be expected to carry out unsolicited prior vetting of private users. For commercial accounts or profiles operated by organisations, the need to protect users is less pronounced. In such cases, social media platforms are obliged to take appropriate measures to prevent the unlawful publication of sensitive data. This may include verifying the identity of commercial users as well as checking whether a legal exception applies to the publication of sensitive data.
Implications for practice
The obligation to provide protective measures against the unlawful publication of sensitive data, derived from the Russmedia judgment, also applies in principle to social media platforms.
The specific form and extent of this obligation must be determined on in an assessment that takes into account the type of account, the nature of the published content, the fundamental rights affected, and the scope of the necessary measures.
Social media platforms acting as controllers within the meaning of the GDPR are therefore required to adapt their internal processes and technical systems to the requirements set out by the CJEU.
You can find the detailed assessment of the Hamburg DPA here (in German only).
