Gründe

1 Das Vorabentscheidungsersuchen betrifft die Auslegung der Art. 12 bis 15 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) (ABl. 2000, L 178, S. 1) sowie von Art. 2 Abs. 4, von Art. 4 Nrn. 7 und 11, von Art. 5 Abs. 1 Buchst. b und f, von Art. 6 Abs. 1 Buchst. a sowie der Art. 7, 24 und 25 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

2 Es ergeht im Rahmen eines Rechtsstreits zwischen X, einer natürlichen Person, auf der einen Seite und der Russmedia Digital SRL sowie der Inform Media Press SRL (im Folgenden zusammen: Russmedia) auf der anderen Seite über eine Klage auf Ersatz des immateriellen Schadens, welcher der Klägerin des Ausgangsverfahrens aufgrund der unrechtmäßigen Verarbeitung ihrer personenbezogenen Daten sowie der Verletzung ihres Rechts am eigenen Bild, auf Schutz der Ehre und des Privatlebens entstanden sei.

Rechtlicher Rahmen

Unionsrecht

Richtlinie 2000/31

3 In den Erwägungsgründen 14, 42, 46 und 52 der Richtlinie 2000/31 heißt es:

…

…

…

4 Art. 1 („Zielsetzung und Anwendungsbereich“) der Richtlinie 2000/31 bestimmt:

„(1)  Diese Richtlinie soll einen Beitrag zum einwandfreien Funktionieren des Binnenmarktes leisten, indem sie den freien Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten sicherstellt.

…

(5)  Diese Richtlinie findet keine Anwendung auf

…

…“

5 Abschnitt 4 („Verantwortlichkeit der Vermittler“) von Kapitel II der Richtlinie 2000/31 umfasste in der auf den Ausgangsrechtsstreit anwendbaren Fassung die Art. 12 bis 15 dieser Richtlinie. Die Art. 12 und 13 der Richtlinie betreffen nach ihren jeweiligen Überschriften die „Reine Durchleitung (Mere conduit“) und die Speicherform des „Caching“.

6 Art. 14 („Hosting“) der Richtlinie lautete:

„(1)  Die Mitgliedstaaten stellen sicher, dass im Fall eines Dienstes der Informationsgesellschaft, der in der Speicherung von durch einen Nutzer eingegebenen Informationen besteht, der Diensteanbieter nicht für die im Auftrag eines Nutzers gespeicherten Informationen verantwortlich ist, sofern folgende Voraussetzungen erfüllt sind:

(2)  Absatz 1 findet keine Anwendung, wenn der Nutzer dem Diensteanbieter untersteht oder von ihm beaufsichtigt wird.

(3)  Dieser Artikel lässt die Möglichkeit unberührt, dass ein Gericht oder eine Verwaltungsbehörde nach den Rechtssystemen der Mitgliedstaaten vom Diensteanbieter verlangt, die Rechtsverletzung abzustellen oder zu verhindern, oder dass die Mitgliedstaaten Verfahren für die Entfernung einer Information oder die Sperrung des Zugangs zu ihr festlegen.“

7 Art. 15 („Keine allgemeine Überwachungspflicht“) dieser Richtlinie sah vor:

„(1)  Die Mitgliedstaaten erlegen Anbietern von Diensten im Sinne der Artikel 12, 13 und 14 keine allgemeine Verpflichtung auf, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.

(2)  Die Mitgliedstaaten können Anbieter von Diensten der Informationsgesellschaft dazu verpflichten, die zuständigen Behörden unverzüglich über mutmaßliche rechtswidrige Tätigkeiten oder Informationen der Nutzer ihres Dienstes zu unterrichten, oder dazu verpflichten, den zuständigen Behörden auf Verlangen Informationen zu übermitteln, anhand deren die Nutzer ihres Dienstes, mit denen sie Vereinbarungen über die Speicherung geschlossen haben, ermittelt werden können.“ DSGVO

8 In den Erwägungsgründen 4, 10, 39, 51, 74, 75, 78 und 85 der DSGVO heißt es:

…

…

…

…

…

…

9 Art. 1 („Gegenstand und Ziele“) Abs. 2 DSGVO bestimmt:

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

10 Art. 2 („Sachlicher Anwendungsbereich“) Abs. 4 DSGVO sieht vor:

„Die vorliegende Verordnung lässt die Anwendung der Richtlinie [2000/31] und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.“

11 In Art. 4 („Begriffsbestimmungen“) DSGVO heißt es:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

…

…

…“

12 Kapitel II („Grundsätze“) DSGVO umfasst u. a. deren Art. 5 bis 9.

13 Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO sieht vor:

„(1)  Personenbezogene Daten müssen

…

…

(2)  Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

14 Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 Unterabs. 1 DSGVO bestimmt:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

…“

15 Art. 7 („Bedingungen für die Einwilligung“) Abs. 1 DSGVO sieht vor:

„Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“

16 Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) DSGVO bestimmt:

„(1)  Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder [zur] sexuellen Orientierung einer natürlichen Person ist untersagt.

(2)  Absatz 1 gilt nicht in folgenden Fällen:

…“

17 Art. 13 („Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“) Abs. 1 Buchst. a DSGVO sieht vor:

„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

18 Art. 14 („Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“) Abs. 1 Buchst. a DSGVO bestimmt:

„Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

19 In Art. 17 („Recht auf Löschung [‚Recht auf Vergessenwerden‘]“) Abs. 1 und 2 DSGVO, der zu deren Kapitel III („Rechte der betroffenen Person“) gehört, heißt es:

„(1)  Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

…

…

(2)  Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.“

20 Kapitel IV („Verantwortlicher und Auftragsverarbeiter“) der DSGVO enthält unter einem Abschnitt 1 („Allgemeine Pflichten“) u. a. die Art. 24 bis 26 DSGVO.

21 Art. 24 („Verantwortung des für die Verarbeitung Verantwortlichen“) Abs. 1 dieser Verordnung lautet:

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

22 Art. 25 („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) Abs. 1 und 2 dieser Verordnung sieht vor:

„(1)  Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

(2)  Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“

23 Art. 26 („Gemeinsam Verantwortliche“) Abs. 1 DSGVO lautet:

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“

24 Art. 32 („Sicherheit der Verarbeitung“) DSGVO lautet:

„(1)  Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

(2)  Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3)  Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4)  Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“

25 Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 bis 3 DSGVO sieht vor:

„(1)  Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2)  Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3)  Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

26 Art. 94 DSGVO bestimmt:

„(1)  Die [Richtlinie 95/46] wird mit Wirkung vom 25. Mai 2018 aufgehoben.

(2)  Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. …“

Rumänisches Recht

27 Art. 11 der Legea nr. 365/2002 privind comerțul electronic (Gesetz Nr. 365/2002 über den elektronischen Geschäftsverkehr) vom 7. Juni 2002 (Monitorul Oficial al României, Teil I, Nr. 483 vom 5. Juli 2002) in der durch die Legea nr. 121/2006 pentru modificarea și completarea Legii nr. 365/2002 privind comerțul electronic (Gesetz Nr. 121/2006 zur Änderung und Ergänzung des Gesetzes Nr. 365/2002 über den elektronischen Geschäftsverkehr) vom 4. Mai 2006 (Monitorul Oficial al României, Teil I, Nr. 403 vom 10. Mai 2006) geänderten Fassung (im Folgenden: Gesetz Nr. 365/2002) sieht vor:

„(1)  Diensteanbieter unterliegen den gesetzlichen Bestimmungen über die zivil- und strafrechtliche Verantwortlichkeit sowie über Ordnungswidrigkeiten, sofern in diesem Gesetz nichts anderes bestimmt ist.

(2)  Diensteanbieter sind für die Informationen verantwortlich, die sie selbst bereitstellen oder die in ihrem Auftrag bereitgestellt werden.

(3)  Diensteanbieter sind nicht verantwortlich für die Informationen, die sie unter den in den Art. 12 bis 15 genannten Voraussetzungen übermitteln, speichern oder zu denen sie Zugang gewähren.“

28 Art. 14 („Dauerhafte Speicherung von Informationen, Hosting“) dieses Gesetzes lautet:

„(1)  Besteht ein Dienst der Informationsgesellschaft in der Speicherung von durch einen Nutzer dieses Dienstes eingegebenen Informationen, haftet der Diensteanbieter nicht für die im Auftrag eines Nutzers gespeicherten Informationen, sofern eine der folgenden Voraussetzungen vorliegt:

(2)  Abs. 1 findet keine Anwendung, wenn der Nutzer dem Diensteanbieter untersteht oder von ihm beaufsichtigt wird.

(3)  Die Bestimmungen dieses Artikels lassen die Möglichkeit unberührt, dass ein Gericht oder eine Verwaltungsbehörde vom Diensteanbieter verlangt, die Verletzung des Datenschutzes abzustellen oder eine solche Verletzung zu verhindern, oder dass staatliche Verfahren zur Begrenzung oder Sperrung des Zugangs zu Informationen festgelegt werden.“

29 Die Normele metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (Durchführungsbestimmungen zum Gesetz Nr. 365/2002 über den elektronischen Geschäftsverkehr), genehmigt durch die Hotărârea Guvernului nr. 1.308 privind aprobarea Normelor metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (Regierungsbeschluss Nr. 1.308 zur Genehmigung der Durchführungsbestimmungen zum Gesetz Nr. 365/2002 über den elektronischen Geschäftsverkehr) vom 20. November 2002 (Monitorul Oficial al României, Teil I, Nr. 877 vom 5. Dezember 2002) sehen in Art. 11 Abs. 1 vor:

„Anbieter von Diensten der Informationsgesellschaft, die die in den Art. 12 bis 15 des Gesetzes [Nr. 365/2002] vorgesehenen Dienste erbringen, sind nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überprüfen oder aktiv nach Daten über augenscheinlich rechtswidrige Tätigkeiten oder Informationen im Bereich der von ihnen angebotenen Dienste der Informationsgesellschaft zu suchen.“

Ausgangsrechtsstreit und Vorlagefragen

30 Russmedia Digital, eine Gesellschaft rumänischen Rechts, ist Eigentümerin der Website www.publi24.ro, eines Online-Marktplatzes, auf dem Werbeanzeigen, die u. a. den Verkauf von Waren oder die Erbringung von Dienstleistungen in Rumänien betreffen, kostenlos oder kostenpflichtig veröffentlicht werden können.

31 Die Klägerin des Ausgangsverfahrens macht geltend, dass eine nicht identifizierte dritte Person am 1. August 2018 auf dieser Website eine irreführende und schadensstiftende Anzeige veröffentlicht habe, in der sie als Anbieterin sexueller Dienstleistungen dargestellt worden sei. Die Anzeige enthalte u. a. Fotos der Klägerin des Ausgangsverfahrens, die ohne ihre Einwilligung verwendet würden, sowie ihre Telefonnummer. Diese Anzeige sei in der Folge unverändert auf anderen Websites mit Werbeinhalt aufgenommen worden, auf denen sie unter Angabe der ursprünglichen Quelle online gestellt worden sei. Nachdem Russmedia Digital von der Klägerin des Ausgangsverfahrens kontaktiert worden sei, habe sie weniger als eine Stunde nach Eingang des Antrags diese Anzeige von ihrer Website entfernt. Die nämliche Anzeige bleibe jedoch auf anderen Internetseiten verfügbar, die sie übernommen hätten.

32 Da die Klägerin des Ausgangsverfahrens der Ansicht war, dass die im Ausgangsverfahren in Rede stehende Anzeige ihre Rechte am eigenen Bild, auf Schutz der Ehre, des guten Rufs und des Privatlebens verletze sowie gegen die Vorschriften über die Verarbeitung personenbezogener Daten verstoße, erhob sie bei der Judecătoria Cluj-Napoca (Gericht erster Instanz Cluj-Napoca [Klausenburg], Rumänien) Klage gegen Russmedia. Dieses Gericht verurteilte Russmedia zur Zahlung von Schadenersatz in Höhe von 7.000 Euro für den immateriellen Schaden, der durch die Verletzung des Rechts am eigenen Bild, auf Schutz der Ehre und des guten Rufs sowie durch die Verletzung des Rechts der Klägerin des Ausgangsverfahrens auf Achtung ihres Privatlebens und durch die unrechtmäßige Verarbeitung ihrer personenbezogenen Daten entstanden sei.

33 Russmedia hat gegen dieses Urteil Berufung eingelegt. Das Tribunalul Specializat Cluj (Fachgericht Cluj, Rumänien) gab dieser Berufung statt und entschied, dass die Klage der Klägerin des Ausgangsverfahrens unbegründet sei, da die im Ausgangsverfahren in Rede stehende Anzeige nicht von Russmedia stamme, die nur einen Hostingdienst für diese Anzeige erbringe, ohne dass Russmedia an ihrem Inhalt aktiv beteiligt gewesen wäre. Daher sei die in Art. 14 Abs. 1 Buchst. b des Gesetzes Nr. 365/2002 vorgesehene Haftungsbefreiung auf Russmedia anwendbar. In Bezug auf die Verarbeitung der personenbezogenen Daten war dieses Gericht der Ansicht, dass ein Anbieter von Diensten der Informationsgesellschaft nicht verpflichtet sei, die von ihm übermittelten Informationen zu kontrollieren oder aktiv nach Daten über augenscheinlich rechtswidrige Tätigkeiten oder Informationen zu suchen. Es entschied insoweit, dass Russmedia nicht vorgeworfen werden könne, keine Maßnahmen getroffen zu haben, um die Online-Verbreitung der im Ausgangsverfahren in Rede stehenden diffamierenden Anzeige zu verhindern, da sie diese Anzeige auf Verlangen der Klägerin des Ausgangsverfahrens rasch gelöscht habe.

34 Letztere legte gegen dieses Urteil ein Rechtsmittel bei der Curtea de Apel Cluj (Berufungsgericht Cluj, Rumänien) ein und vertrat die Ansicht, dass sich das Tribunalul Specializat Cluj (Fachgericht Cluj) auf eine fehlerhafte Auslegung des Gesetzes Nr. 365/2002 gestützt habe. Die Klägerin des Ausgangsverfahrens macht u. a. geltend, dass dieses Gericht, da es sich bei dem fraglichen Gesetz nicht um eine lex specialis gegenüber der DSGVO handele, die Anwendbarkeit dieser Verordnung im vorliegenden Fall hätte prüfen müssen. Darüber hinaus sei die Rolle von Russmedia nicht darauf beschränkt, ihren Kunden eine spezielle technische Vorrichtung für den Zugang zum Hosting-Server zur Verfügung zu stellen. Das Unternehmen spiele auch eine verwaltende Rolle, indem es auf inhaltlicher Ebene zum Zweck einer guten Informationsverwaltung tätig werde. Russmedia speichere und verarbeite als Betreiberin der im Ausgangsverfahren in Rede stehenden Website den Inhalt der Informationen. Die Speicherung der Daten sowie ihre Bereitstellung für die Öffentlichkeit in einer bestimmten Form beinhalte eine Analyse der in den Anzeigen enthaltenen Daten und Informationen. Hieraus erhelle, dass Russmedia an der Verwaltung und Verbreitung des Inhalts der Anzeigen unmittelbar beteiligt sei. Folglich seien die Bestimmungen von Art. 14 des Gesetzes Nr. 365/2002 im vorliegenden Fall nicht anwendbar.

35 Darüber hinaus macht die Klägerin des Ausgangsverfahrens geltend, dass die Haftungsbefreiung eines solchen Anbieters nicht gelte, wenn die Verantwortlichkeit aufgrund anderer Rechtsakte wie etwa der DSGVO festgestellt werde. Russmedia habe die personenbezogenen Daten der Klägerin des Ausgangsverfahrens ohne ihre Einwilligung veröffentlicht und ermögliche es durch den Betrieb ihrer Website jedermann, jedwede Art von Anzeigen, u. a. Anzeigen, die die Sicherheit der personenbezogenen Daten nicht gewährleisteten und die endgültige Löschung der online veröffentlichten Daten unmöglich machten, zu veröffentlichen.

36 Russmedia ihrerseits hält die Entscheidung des Tribunalul Specializat Cluj (Fachgericht Cluj) für richtig. Die Klägerin des Ausgangsverfahrens habe nicht dargetan, inwiefern die DSGVO eine spezialgesetzliche Regelung darstelle, die die Anwendung der einschlägigen Bestimmungen des Gesetzes Nr. 365/2002 verhindere.

37 Die Curtea de Apel Cluj (Berufungsgericht Cluj), das vorlegende Gericht, das in der vorliegenden Rechtssache als Rechtsmittelgericht entscheidet, dessen Entscheidung endgültig ist, hält es für erforderlich, u. a. die Grenzen der Haftungsbefreiung eines Anbieters von Diensten der Informationsgesellschaft wie Russmedia nach der Richtlinie 2000/31 zu bestimmen.

38 Unter Bezugnahme auf die einschlägige Rechtsprechung des Gerichtshofs stellt das vorlegende Gericht fest, dass zwar nach dieser Rechtsprechung die Betreiber von Online-Marktplätzen nicht verpflichtet seien, eine vorherige Überprüfung der von den inserierenden Nutzern platzierten Informationen oder Anzeigen vorzunehmen, dass aber dennoch die Haftungsbefreiung dieser Betreiber von Bedingungen abhängig sei. So könne sich nach dem Urteil vom 12. Juli 2011, L’Oréal u. a. (C‑324/09, EU:C:2011:474), ein Betreiber von Onlinediensten nicht auf die in Art. 14 Abs. 1 der Richtlinie 2000/31 vorgesehene Haftungsbefreiung berufen, wenn er Kenntnis von Tatsachen oder Umständen gehabt habe, auf deren Grundlage ein sorgfältiger Wirtschaftsteilnehmer die Rechtswidrigkeit der fraglichen Verkaufsangebote hätte feststellen müssen, und wenn er, falls eine solche Kenntnis vorgelegen habe, nicht unverzüglich gemäß Art. 14 Abs. 1 Buchst. b dieser Richtlinie tätig geworden sei. Ebenso gehe aus dem Urteil vom 11. September 2014, Papasavvas (C‑291/13, EU:C:2014:2209), hervor, dass die in den Art. 12 bis 14 der Richtlinie 2000/31 vorgesehenen Beschränkungen der zivilrechtlichen Verantwortlichkeit nicht den Fall einer Gesellschaft erfassten, die über eine Website verfüge, auf der die elektronische Fassung einer Zeitung veröffentlicht werde, da diese Gesellschaft, die durch die Einnahmen aus der auf dieser Website verbreiteten kommerziellen Werbung vergütet werde, von den veröffentlichten Informationen Kenntnis habe und eine Kontrolle über sie ausübe.

39 Das vorlegende Gericht weist allerdings darauf hin, dass sich die genannte Rechtsprechung nur auf online veröffentlichte Angebote beziehe, deren Rechtswidrigkeit sich aus der Prüfung von Tatsachen und Umständen ergebe, die dem Verantwortlichen nach der Veröffentlichung der fraglichen Anzeige ausdrücklich mitgeteilt worden seien. Mithin habe der Gerichtshof noch keine Gelegenheit gehabt, eine Sachlage wie die des Ausgangsverfahrens zu prüfen, in der der Inhalt der veröffentlichten Anzeige offensichtlich rechtswidrig und für die betroffene Person profund schadensstiftend gewesen sei.

40 Das vorlegende Gericht fragt sich in diesem Zusammenhang, ob eine Plattform, um zur Löschung offensichtlich rechtswidriger und schwer schadensstiftender Inhalte verpflichtet zu sein, zuvor eine Meldung erhalten haben müsse. Im vorliegenden Fall sei die im Ausgangsverfahren in Rede stehende Anzeige ohne Überprüfung der Identität des inserierenden Nutzers und offensichtlich ohne Einholung der Einwilligung der Klägerin des Ausgangsverfahrens veröffentlicht worden.

41 Im Übrigen sei die Anzeige, um die es im Ausgangsverfahren gehe, zwar nach einer Meldung seitens der Klägerin des Ausgangsverfahrens von der ursprünglichen Website gelöscht worden, doch sei der Inhalt dieser Anzeige einschließlich der Kontaktdaten und Fotos der Klägerin des Ausgangsverfahrens vollständig auf zahlreichen anderen Websites unter Angabe der ursprünglichen Quelle übernommen worden. Der Schaden, den die Klägerin des Ausgangsverfahrens erlitten habe, habe sich dadurch verstetigt und sei noch immer gegenwärtig. Das vorlegende Gericht weist in diesem Zusammenhang darauf hin, dass die angeblich angebotenen sexuellen Dienstleistungen mit schweren Straftaten in Verbindung gebracht werden könnten, die vom Codul penal (Strafgesetzbuch) geahndet würden, wie z.B. Zuhälterei und Menschenhandel.

42 Das vorlegende Gericht stellt klar, dass Russmedia gemäß den allgemeinen Nutzungsbedingungen ihres Online-Marktplatzes zwar kein Eigentumsrecht an den Inhalten der veröffentlichten Anzeigen beanspruche, sich aber das Recht vorbehalte, diese Inhalte zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln, zu veröffentlichen, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines triftigen Grundes bedürfte.

43 Daher hat die Curtea de Apel Cluj (Berufungsgericht Cluj) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

Zu den Vorlagefragen

44 Nach ständiger Rechtsprechung ist es im Rahmen der durch Art. 267 AEUV geschaffenen Zusammenarbeit zwischen den nationalen Gerichten und dem Gerichtshof dessen Aufgabe, dem nationalen Gericht eine für die Entscheidung des bei ihm anhängigen Rechtsstreits dienliche Antwort zu geben. Hierzu hat der Gerichtshof die ihm vorgelegten Fragen gegebenenfalls umzuformulieren. Er hat insoweit aus dem gesamten vom einzelstaatlichen Gericht vorgelegten Material, insbesondere der Begründung der Vorlageentscheidung, diejenigen Elemente des Unionsrechts herauszuarbeiten, die unter Berücksichtigung des Gegenstands des Rechtsstreits einer Auslegung bedürfen (vgl. in diesem Sinne Urteile vom 29. November 1978, Redmond, 83/78, EU:C:1978:214, Rn. 26, vom 28. November 2000, Roquette Frères, C‑88/99, EU:C:2000:652, Rn. 18, und vom 30. April 2024, M. N. [EncroChat], C‑670/22, EU:C:2024:372, Rn. 78).

45 Die Fragen des vorlegenden Gerichts zielen in ihrer Gesamtheit darauf ab, zum einen festzustellen, ob der Betreiber eines Online-Marktplatzes wie etwa Russmedia, der es seinen Nutzern ermöglicht, anonym und kostenlos bzw. kostenpflichtig Anzeigen auf seinem Online-Marktplatz zu platzieren, gegen seine Verpflichtungen aus der DSGVO verstoßen hat, wenn eine auf seinem Online-Marktplatz veröffentlichte Anzeige personenbezogene Daten, insbesondere sensible, unter Verstoß gegen diese Verordnung enthält, und zum anderen, ob die Art. 12 bis 15 der Richtlinie 2000/31 über die Verantwortlichkeit der Vermittler auf einen solchen Betreiber anwendbar sind.

46 Um auf diese Fragen eine sachdienliche Antwort zu geben, sind in einem ersten Schritt die Fragen 2 bis 4 zu prüfen, mit denen geklärt werden soll, welche Verpflichtungen den Betreiber eines Online-Marktplatzes bei einer Sachlage wie der im Ausgangsverfahren in Rede stehenden nach der DSGVO treffen; im Zuge dessen sind diese Fragen so umzuformulieren, dass sie sich nur auf die Auslegung dieser Verordnung beziehen. In einem zweiten Schritt wird zu prüfen sein, ob sich ein solcher Betreiber auf die Art. 12 bis 15 der Richtlinie 2000/31 berufen kann, was im Wesentlichen Gegenstand der ersten Frage ist.

Zu den Fragen 2 bis 4 betreffend die Auslegung der DSGVO

Vorbemerkungen

47 Vorab ist erstens festzustellen, dass ausweislich des Vorabentscheidungsersuchens die in Rede stehende Anzeige die Klägerin des Ausgangsverfahrens als Anbieterin sexueller Dienstleistungen darstellte und dass diese Anzeige u.a. Fotos der Klägerin des Ausgangsverfahrens enthielt, die ohne ihre Einwilligung verwendet wurden, sowie ihre Telefonnummer.

48 Es steht fest, dass solche Informationen personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO darstellen: Hierunter sind nach der Begriffsbestimmung dieser Vorschrift „alle Informationen [zu verstehen], die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen“, wobei klargestellt wird, dass „als identifizierbar … eine natürliche Person angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

49 Nach ständiger Rechtsprechung kommt nämlich darin, dass die Wendung „alle Informationen“ in der Definition des Begriffs „personenbezogene Daten“ in Art. 4 Nr. 1 DSGVO Verwendung findet, das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (Urteil vom 3. April 2025, Ministerstvo zdravotnictví [Daten über den Vertreter einer juristischen Person], C‑710/23, EU:C:2025:231, Rn. 21 und die dort angeführte Rechtsprechung).

50 Darüber hinaus sieht Art. 9 Abs. 1 DSGVO bei diesen personenbezogenen Daten eine spezielle Schutzregelung für besondere Kategorien von Daten vor, darunter Daten zum Sexualleben oder zu der sexuellen Orientierung einer natürlichen Person.

51 Der Gerichtshof hat klargestellt, dass der Zweck von Art. 9 Abs. 1 DSGVO darin besteht, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die aufgrund der besonderen Sensibilität der Daten, die Gegenstand der Verarbeitungen sind, einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta verbürgten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen können (Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 41 und die dort angeführte Rechtsprechung).

52 Ein solcher verstärkter Schutz erfordert jedoch zwangsläufig, für solche „sensiblen Daten“ ein weites Begriffsverständnis zugrunde zu legen. Demnach hat der Gerichtshof entschieden, dass Art. 9 Abs. 1 DSGVO für Verarbeitungen gilt, die sich nicht nur auf die intrinsisch sensiblen Daten beziehen, auf welche diese Vorschrift Bezug nimmt, sondern auch auf Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben (Urteil vom 5. Juni 2023, Kommission/Polen [Unabhängigkeit und Privatleben von Richtern], C‑204/21, EU:C:2023:442, Rn. 344 und die dort angeführte Rechtsprechung).

53 Im Rahmen dieses weiten Begriffsverständnisses können Daten, die das Sexualleben oder die sexuelle Orientierung einer natürlichen Person betreffen, nicht deshalb ihre Einstufung als „sensible Daten“ im Sinne von Art. 9 Abs. 1 DSGVO einbüßen, weil sie ihrer Art nach unwahr und schadensstiftend sind.

54 Zweitens ist festzustellen, dass die in Rede stehende Verarbeitung in der Veröffentlichung dieser Anzeige und damit dieser Daten auf dem Online-Marktplatz von Russmedia besteht. Denn der Vorgang, der darin besteht, personenbezogene Daten auf einer Website zu zeigen, stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 der DSGVO dar (Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, Rn. 65 und die dort angeführte Rechtsprechung).

55 Drittens ist darauf hinzuweisen, dass sich die Fragen 2 bis 4 darauf beziehen, dass der Betreiber des in Rede stehenden Online-Marktplatzes für die Verarbeitung personenbezogener Daten verantwortlich ist. Es zeigt sich jedoch, dass die personenbezogenen Daten, deren Veröffentlichung Gegenstand des Ausgangsrechtsstreits ist, von einem anonymen inserierenden Nutzer in die fragliche Anzeige eingefügt wurden, ohne dass dieser Betreiber einen konkreten Einfluss auf den Inhalt dieser Anzeige ausgeübt hätte und ohne dass er sich ihres irreführenden und schadensstiftenden Charakters bewusst gewesen wäre. Daher sind Klarstellungen zu den Begriffen „Verantwortlicher“ und „gemeinsam Verantwortliche“ im Sinne von Art. 4 Nr. 7 bzw. von Art. 26 DSGVO vorzunehmen.

56 Der Begriff „Verantwortlicher“ wird in Art. 4 Nr. 7 DSGVO weit definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

57 Durch diese weite Definition soll im Einklang mit dem Ziel der DSGVO ein wirksamer Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten gewährleistet werden (Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 29 und die dort angeführte Rechtsprechung).

58 Somit kann jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung solcher Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für diese Verarbeitung Verantwortlicher angesehen werden (Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras , C‑683/21, EU:C:2023:949, Rn. 30 und die dort angeführte Rechtsprechung).

59 Zudem verweist der Begriff des „Verantwortlichen“, da er sich, wie Art. 4 Nr. 7 DSGVO ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt (vgl. in diesem Sinne Urteil vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 67 und die dort angeführte Rechtsprechung).

60 Art. 26 DSGVO, der sich in den begrifflichen Rahmen des „Verantwortlichen“ nach Art. 4 Nr. 7 DSGVO einfügt, sieht im Wesentlichen vor, dass zwei oder mehr Verantwortliche, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, als „gemeinsam Verantwortliche“ für diese Verarbeitung einzustufen sind.

61 Eine solche gemeinsame Verantwortlichkeit erfordert nicht notwendigerweise das Vorliegen gemeinsamer Entscheidungen über die Festlegung der Zwecke und Mittel der Verarbeitung der betreffenden personenbezogenen Daten. Der Gerichtshof hat nämlich entschieden, dass die Mitwirkung an der Entscheidung über diese Zwecke und Mittel verschiedene Formen annehmen und sich sowohl aus einer gemeinsamen Entscheidung von zwei oder mehr Einrichtungen als auch aus übereinstimmenden Entscheidungen ergeben kann, die sich in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Festlegung der Verarbeitungszwecke und ‑mittel auswirkt (vgl. in diesem Sinne Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 43).

62 Insoweit setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach Art. 4 Nr. 7 DSGVO nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (Urteile vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 69 und die dort angeführte Rechtsprechung, sowie vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 42).

63 Im selben Sinne hat der Gerichtshof klargestellt, dass aus einer gemeinsamen Verantwortlichkeit nicht zwangsläufig folgt, dass die verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten eine gleichwertige Verantwortlichkeit trifft. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (vgl. in diesem Sinne Urteile vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 66 und die dort angeführte Rechtsprechung, sowie vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 42).

64 Im vorliegenden Fall steht fest, dass der inserierende Nutzer, der die irreführende, schadensstiftende und personenbezogene Daten der Klägerin des Ausgangsverfahrens enthaltende Anzeige auf dem von Russmedia betriebenen Online-Marktplatz platzierte, als derjenige anzusehen ist, der über die Zwecke und Mittel der Verarbeitung dieser Daten hauptsächlich entschieden hat, und daher unter den Begriff des „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 DSGVO fällt.

65 Gleichwohl ist erwiesen, dass diese Anzeige nur dank dem von Russmedia betriebenen Online-Marktplatz im Internet veröffentlicht und den Internetnutzern somit zugänglich gemacht wurde.

66 Zwar ergibt sich aus der in Rn. 58 des vorliegenden Urteils angeführten Rechtsprechung, dass eine Person nur dann als „Verantwortlicher“ für die Verarbeitung personenbezogener Daten eingestuft werden kann, wenn sie diese Verarbeitung aus Eigeninteresse beeinflusst, doch ist festzustellen, dass dies u.a. dann der Fall sein kann, wenn der Betreiber eines Online-Marktplatzes relevante personenbezogene Daten zu kommerziellen Zwecken oder Werbezwecken veröffentlicht, die über die bloße Erbringung einer Dienstleistung, die er dem inserierenden Nutzer erbringt, hinausgehen.

67 Im vorliegenden Fall geht aus der Vorlageentscheidung hervor, dass Russmedia auf ihrem Online-Marktplatz aus kommerziellem Eigeninteresse heraus Anzeigen veröffentlicht. Insoweit werden Russmedia durch die allgemeinen Nutzungsbedingungen dieses Marktplatzes große Freiräume eingeräumt, um die auf diesem Marktplatz veröffentlichten Informationen zu nutzen. Insbesondere behält sich Russmedia nach den Angaben des vorlegenden Gerichts das Recht vor, veröffentlichte Inhalte zu nutzen, zu verbreiten, zu übermitteln, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen, ohne dass es insoweit eines „triftigen Grundes“ bedürfte. Russmedia veröffentlicht daher die in den Anzeigen enthaltenen personenbezogenen Daten nicht oder nicht nur für die inserierenden Nutzer, sondern verarbeitet diese Daten und kann zu ihren eigenen Werbezwecken und aus kommerziellen Eigeninteressen Profit aus ihnen ziehen.

68 Somit ist davon auszugehen, dass Russmedia aus Eigeninteresse auf die Veröffentlichung der personenbezogenen Daten der Klägerin des Ausgangsverfahrens im Internet Einfluss genommen und damit an der Festlegung der Zwecke dieser Veröffentlichung und somit der Zwecke der in Rede stehenden Verarbeitung mitgewirkt hat.

69 Diese Feststellung wird nicht dadurch in Frage gestellt, dass offensichtlich der irreführende und schadensstiftende Zweck, den der inserierende Nutzer mit der Veröffentlichung der im Ausgangsverfahren in Rede stehenden Anzeige verfolgt hat, ohne Mitwirkung von Russmedia festgelegt wurde. An der Festlegung desjenigen Zwecks der Verarbeitung, der darin bestand, den Internetnutzern die in der im Ausgangsverfahren fraglichen Anzeige enthaltenen personenbezogenen Daten zugänglich zu machen, um aus diesen Veröffentlichungen Profit zu ziehen, hat Russmedia nämlich mitgewirkt. Darüber hinaus hat Russmedia es erleichtert, dass solche Daten ohne Einwilligung der betroffenen Person veröffentlicht wurden, indem das Unternehmen es ermöglicht hat, anonym Anzeigen auf ihrem Online-Marktplatz zu platzieren.

70 Außerdem hat Russmedia dadurch, dass das Unternehmen dem inserierenden Nutzer seinen Online-Marktplatz, der der Veröffentlichung der im Ausgangsverfahren in Rede stehenden Anzeige gedient hat, zur Verfügung gestellt hat, an der Festlegung der Mittel dieser Veröffentlichung mitgewirkt.

71 Der Gerichtshof hat nämlich im Wesentlichen bereits entschieden, dass an der Festlegung der Mittel zur Verarbeitung diejenige natürliche oder juristische Person beteiligt ist, die das Erheben und die Übermittlung von personenbezogenen Daten maßgeblich beeinflusst, oder auch eine Person, die durch ihre Parametrierung entsprechend ihren Zielen der Steuerung oder Förderung ihrer Tätigkeiten auf die Verarbeitung solcher Daten Einfluss nimmt (vgl. in diesem Sinne Urteile vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, Rn. 36, sowie vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 78). Gleiches gilt für eine Suchmaschine, wenn ihre Tätigkeit insofern maßgeblichen Anteil an der weltweiten Verbreitung personenbezogener Daten hat, als sie diese Daten in organisierter und aggregierter Weise online öffentlich zugänglich macht (vgl. in diesem Sinne Urteil vom 8. Dezember 2022, Google [Auslistung eines angeblich unrichtigen Inhalts], C‑460/20, EU:C:2022:962, Rn. 50 und die dort angeführte Rechtsprechung).

72 Daher ist festzustellen, dass der Betreiber eines Online-Marktplatzes wie Russmedia, wenn er die Parameter für die Verbreitung der Anzeigen, die personenbezogene Daten enthalten können, nach Maßgabe des Zielpublikums festlegt, die Darstellung, die Dauer dieser Verbreitung oder die Rubriken, in denen die veröffentlichten Informationen strukturiert werden, festlegt oder das Ranking organisiert, von dem die Einzelheiten einer solchen Verbreitung abhängen, an der Festlegung der wesentlichen Mittel zur Veröffentlichung der betreffenden personenbezogenen Daten mitwirkt und damit maßgeblich auf die weltweite Verbreitung dieser Daten Einfluss nimmt.

73 Insoweit kann der Inhalt der allgemeinen Nutzungsbedingungen des betreffenden Online-Marktplatzes Anhaltspunkte dafür liefern, dass der Betreiber dieses Marktplatzes die betreffende Verarbeitung personenbezogener Daten maßgeblich beeinflusst und somit die Mittel dieser Verarbeitung festlegt. Dies scheint für die allgemeinen Nutzungsbedingungen des Online-Marktplatzes von Russmedia zu gelten, in denen sich Russmedia u.a. das Recht vorbehält, die in den Anzeigen enthaltenen Informationen einschließlich der darin enthaltenen personenbezogenen Daten zu verbreiten, zu übermitteln, zu veröffentlichen, zu löschen oder auch zu vervielfältigen.

74 Jedenfalls kann sich der Betreiber eines Online-Marktplatzes als für die Verarbeitung personenbezogener Daten Verantwortlicher nicht mit der Begründung seiner Verantwortung entziehen, dass er den Inhalt der auf diesem Marktplatz veröffentlichten Anzeige nicht selbst festgelegt hat. Es liefe nämlich nicht nur dem klaren Wortlaut, sondern auch dem Zweck von Art. 4 Nr. 7 DSGVO zuwider, der darin besteht, durch eine weite Definition des Begriffs „Verantwortlicher“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten, wenn ein solcher Betreiber allein aus diesem Grund von dieser Definition ausgenommen würde.

75 Daher ist festzustellen, dass das vorlegende Gericht seine Fragen 2 bis 4 zu Recht auf die Prämisse gestützt hat, dass der Betreiber des Online-Marktplatzes bei einer Sachlage wie der im Ausgangsverfahren in Rede stehenden im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten verantwortlich ist, die in einer auf diesem Online-Marktplatz veröffentlichten Anzeige enthalten sind.

76 Im Licht der Gesamtheit der vorstehenden Vorbemerkungen sind diese Fragen nun zu beantworten.

Zu den Fragen 2 und 3

77 Mit seinen Fragen 2 und 3, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 5 Abs. 2 sowie die Art. 24 bis 26 DSGVO dahin auszulegen sind, dass der Betreiber eines Online-Marktplatzes – als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten, die in auf seinem Online-Marktplatz veröffentlichten Anzeigen enthalten sind – vor der Veröffentlichung der Anzeigen verpflichtet ist, diejenigen zu identifizieren, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, zu prüfen, ob der inserierende Nutzer, der im Begriff ist, eine solche Anzeige online zu stellen, die Person ist, deren sensible Daten in dieser Anzeige enthalten sind, und, wenn dies nicht der Fall ist, die Veröffentlichung der Anzeige mangels ausdrücklicher Einwilligung der betroffenen Person abzulehnen, da eine solche Veröffentlichung zu einer schwerwiegenden Verletzung der in den Art. 7 und 8 der Charta garantierten Rechte dieser Person auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten führen könnte.

78 Gemäß Art. 1 Abs. 2 DSGVO und im Licht der Erwägungsgründe 4 und 10 hat diese Verordnung u.a. zum Ziel, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten; dieses Schutzrecht wird auch in Art. 8 der Charta anerkannt und steht in engem Zusammenhang mit dem in Art. 7 der Charta verankerten Recht auf Achtung des Privatlebens (vgl. in diesem Sinne Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, Rn. 61 und die dort angeführte Rechtsprechung).

79 Zu diesem Zweck legt erstens Kapitel II der DSGVO die Grundsätze für die Verarbeitung personenbezogener Daten fest, die der Verantwortliche einhalten muss. Insbesondere muss jede Verarbeitung personenbezogener Daten den in den Art. 5 und 6 dieser Verordnung genannten Grundsätzen für die Verarbeitung von Daten und den Voraussetzungen für die Rechtmäßigkeit der Verarbeitung entsprechen (vgl. in diesem Sinne Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, Rn. 62 und die dort angeführte Rechtsprechung).

80 Nach Art. 5 Abs. 1 Buchst. a DSGVO sind personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise zu verarbeiten. Aus Art. 5 Abs. 1 Buchst. d DSGVO ergibt sich, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Daher sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Nach Art. 5 Abs. 1 Buchst. f dieser Verordnung müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung.

81 Was die Voraussetzungen für die Rechtmäßigkeit der Verarbeitung angeht, so enthält, wie der Gerichtshof bereits entschieden hat, Art. 6 Abs. 1 Unterabs. 1 DSGVO eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein (vgl. in diesem Sinne Urteil vom 9. Januar 2025, Mousse, C‑394/23, EU:C:2025:2, Rn. 25 und die dort angeführte Rechtsprechung).

82 Insbesondere ist die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung dazu für einen oder mehrere bestimmte Zwecke gegeben hat. Nach Art. 7 Abs. 1 dieser Verordnung muss der Verantwortliche in diesem Fall nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Liegt keine solche Einwilligung vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt, kann eine solche Verarbeitung gleichwohl gerechtfertigt sein, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt (Urteil vom 9. Januar 2025, Mousse, C‑394/23, EU:C:2025:2, Rn. 26 und die dort angeführte Rechtsprechung).

83 Zu diesen Grundsätzen und Bedingungen kommen besondere Anforderungen für sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO hinzu, deren Verarbeitung grundsätzlich verboten ist (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 73).

84 Von diesem Verbot kann nur abgewichen werden, wenn eine der in Art. 9 Abs. 2 Buchst. a bis j dieser Verordnung vorgesehenen Ausnahmen erfüllt ist. Unter diesen Ausnahmen, die eng auszulegen sind, sieht Art. 9 Abs. 2 Buchst. a DSGVO vor, dass das Verbot der Verarbeitung sensibler Daten nicht gilt, wenn die betroffene Person in die Verarbeitung ihrer sensiblen personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann dieses Verbot durch die Einwilligung der betroffenen Person nicht aufgehoben werden.

85 Zweitens präzisiert Kapitel IV der DSGVO den Umfang der Pflichten, die den für die Verarbeitung personenbezogener Daten Verantwortlichen in Anwendung des in Art. 5 Abs. 2 DSGVO verankerten Grundsatzes der Rechenschaftspflicht treffen.

86 Nach dem Wortlaut dieser Bestimmung ist der Verantwortliche für die Einhaltung von Abs. 1 dieses Artikels verantwortlich und muss nachweisen können, dass jeder der dort genannten Grundsätze eingehalten worden ist; mithin obliegt ihm hierfür die Beweislast (Urteil vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C‑60/22, EU:C:2023:373, Rn. 53 und die dort angeführte Rechtsprechung).

87 Dieser Grundsatz der Rechenschaftspflicht wird insbesondere in Art. 24 DSGVO konkretisiert (vgl. in diesem Sinne Urteil vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 43 und die dort angeführte Rechtsprechung). Dieser verlangt, dass der Verantwortliche für diese Verarbeitung unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass diese Verarbeitung gemäß dieser Verordnung erfolgt ist.

88 Art. 5 Abs. 2 und Art. 24 DSGVO erlegen dem für die Verarbeitung personenbezogener Daten Verantwortlichen eine allgemeine Rechenschaftspflicht sowie Compliance-Pflichten auf. Sie verpflichten diesen Verantwortlichen, zur Wahrung des Rechts auf Datenschutz geeignete Maßnahmen zu ergreifen, um etwaigen Verstößen gegen die Vorschriften der DSGVO vorzubeugen (vgl. in diesem Sinne Urteil vom 27. Oktober 2022, Proximus [Öffentliche elektronische Teilnehmerverzeichnisse], C‑129/21, EU:C:2022:833, Rn. 81).

89 In diesem Sinn schreibt Art. 25 Abs. 1 DSGVO dem Verantwortlichen vor, sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen zu treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. Außerdem sieht Art. 25 Abs. 2 DSGVO, der sich auf den Datenschutz durch Voreinstellung bezieht, u.a. vor, dass die geeigneten technischen und organisatorischen Maßnahmen, die der Verantwortliche zu diesem Zweck zu treffen hat, sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der betroffenen natürlichen Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

90 Handelt es sich bei den verarbeiteten personenbezogenen Daten um sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO, muss der Verantwortliche bei der Bestimmung der geeigneten Maßnahmen im Sinne der Art. 24 und 25 DSGVO u.a. berücksichtigen, dass ein Verstoß gegen die in Kapitel II dieser Verordnung in Bezug auf die Verarbeitung solcher Daten aufgestellten Grundsätze einen besonders schwerwiegenden Eingriff in die in den Art. 7 und 8 der Charta garantierten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen kann.

91 Die Fragen 2 und 3, wie sie in Rn. 77 des vorliegenden Urteils umformuliert worden sind, sind im Hinblick auf die Gesamtheit all dieser Hinweise zu prüfen.

92 Was erstens die Frage betrifft, ob der Betreiber eines Online-Marktplatzes die Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, identifizieren muss, bevor er sie veröffentlicht, so ist darauf hinzuweisen, dass, wie sich aus den Rn. 64 und 75 des vorliegenden Urteils ergibt, dieser Betreiber und der inserierende Nutzer, der eine solche Anzeige auf diesem Online-Marktplatz platziert hat, als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO anzusehen sind, wenn die betreffende Anzeige dort veröffentlicht wird.

93 Daraus folgt, dass sowohl der Betreiber als auch der inserierende Nutzer verpflichtet sind, für die Einhaltung der Verpflichtungen aus Art. 5 Abs. 2 sowie aus den Art. 24 und 25 DSGVO zu sorgen. Insbesondere müssen sie in der Lage sein, den Nachweis zu erbringen, dass die in der betreffenden Anzeige enthaltenen personenbezogenen Daten rechtmäßig veröffentlicht werden, d.h., dass die betroffene Person in eine solche Veröffentlichung eingewilligt hat, es sei denn, sie können sich auf eine andere in Art. 6 Abs. 1 DSGVO vorgesehene Voraussetzung berufen. Handelt es sich bei den betroffenen personenbezogenen Daten um sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO, so muss die Einwilligung in eine solche Veröffentlichung, wie sich aus Rn. 84 des vorliegenden Urteils ergibt, ausdrücklich erfolgen. Ebenso müssen die Verantwortlichen nach dem in Art. 5 Abs. 1 Buchst. d DSGVO aufgestellten Richtigkeitsgrundsatz in der Lage sein, die Richtigkeit der betreffenden personenbezogenen Daten nachzuweisen.

94 Zur Bestimmung, welches spezifisch die geeigneten technischen und organisatorischen Maßnahmen sind, die der Betreiber eines Online-Marktplatzes als gemeinsam für die Verarbeitung personenbezogener Daten Verantwortlicher gemäß den Art. 24 und 25 zu treffen hat, um sich zu vergewissern und in der Lage zu sein, nachzuweisen, dass die Veröffentlichung der in einer Anzeige enthaltenen sensiblen Daten im Einklang mit dieser Verordnung erfolgt ist, muss darauf hingewiesen werden, dass diesen Bestimmungen zu entnehmen ist, dass die Geeignetheit solcher Maßnahmen konkret zu bewerten ist, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der fraglichen Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Person, die ihr eigen sind (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 96).

95 Hierzu ist festzustellen, dass die Veröffentlichung personenbezogener Daten auf einem Online-Marktplatz erhebliche Risiken für die Rechte und Freiheiten der betroffenen Person mit sich bringt, da sie diese Daten grundsätzlich jedem Internetnutzer zugänglich macht. Außerdem können diese Daten, sobald sie auf einem Online-Marktplatz veröffentlicht worden sind, kopiert und auf anderen Websites wiedergegeben werden, so dass es sich für die betroffene Person als schwierig oder sogar unmöglich erweisen kann, ihre tatsächliche Löschung aus dem Internet zu erwirken.

96 Die mit einer solchen Veröffentlichung verbundenen Risiken sind umso schwerwiegender, wenn es sich um sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO handelt. Wie im 51. Erwägungsgrund der DSGVO ausdrücklich dargelegt wird, verdienen personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, nämlich einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, Rn. 75). Die Verarbeitung solcher Daten kann, wie in Rn. 90 des vorliegenden Urteils ausgeführt, einen besonders schweren Eingriff in die in den Art. 7 und 8 der Charta garantierten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen. Darüber hinaus ist es sehr wahrscheinlich, dass eine Verletzung dieser Rechte durch die Veröffentlichung einer Anzeige, die sensible Daten enthält, eintritt, wenn der inserierende Nutzer selbst nicht die betroffene Person ist und der Online-Marktplatz es ermöglicht, solche Anzeigen anonym zu platzieren.

97 Da der Betreiber eines Online-Marktplatzes wie des im Ausgangsverfahren in Rede stehenden weiß oder wissen müsste, dass Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, im Allgemeinen von inserierenden Nutzern auf seinem Online-Marktplatz veröffentlicht werden können, ist dieser Betreiber als Verantwortlicher daher verpflichtet, schon bei der Konzeption seines Dienstes geeignete technische und organisatorische Maßnahmen zu treffen, um solche Anzeigen vor ihrer Veröffentlichung zu identifizieren und so in der Lage zu sein, zu überprüfen, ob die in ihnen enthaltenen sensiblen Daten im Einklang mit den in Kapitel II dieser Verordnung festgelegten Grundsätzen veröffentlicht werden. Wie sich nämlich u.a. aus Art. 25 Abs. 1 DSGVO ergibt, obliegt ihm die Verpflichtung, solche Maßnahmen durchzuführen, nicht nur zum Zeitpunkt der Verarbeitung, sondern bereits zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung und damit sogar schon, bevor auf seinem Online-Marktplatz unter Verstoß gegen diese Grundsätze sensible Daten veröffentlicht werden, da mit dieser Verpflichtung gerade solche Verstöße verhindert werden sollen.

98 Was zweitens die Frage betrifft, ob der Betreiber eines Online-Marktplatzes als für die Verarbeitung der sensiblen Daten, die in den auf seiner Website veröffentlichten Anzeigen enthalten sind, mit dem inserierenden Nutzer gemeinsam Verantwortlicher die Identität dieses inserierenden Nutzers vor der Veröffentlichung überprüfen muss, so ist darauf hinzuweisen, dass sich aus Art. 9 Abs. 1 in Verbindung mit Abs. 2 Buchst. a DSGVO ergibt, dass die Veröffentlichung solcher Daten verboten ist, es sei denn, die betroffene Person hat ausdrücklich in die Veröffentlichung der fraglichen Daten auf diesem Online-Marktplatz eingewilligt oder eine der anderen in Art. 9 Abs. 2 Buchst. b bis j vorgesehenen Ausnahmen ist erfüllt, was vorliegend jedoch nicht der Fall zu sein scheint.

99 Insoweit kann es zwar eine ausdrückliche Einwilligung im Sinne von Art. 9 Abs. 2 Buchst. a DSGVO darstellen, dass eine betroffene Person eine Anzeige mit ihren sensiblen Daten auf einem Online-Marktplatz platziert, doch liegt eine solche Einwilligung nicht vor, wenn diese Anzeige von einem Dritten platziert wird, es sei denn, dieser kann nachweisen, dass die betroffene Person ausdrücklich in die Veröffentlichung dieser Anzeige auf dem betreffenden Online-Marktplatz eingewilligt hat. Um sich vergewissern und nachweisen zu können, dass die in Art. 9 Abs. 2 Buchst. a DSGVO vorgesehenen Anforderungen erfüllt sind, muss der Betreiber des Marktplatzes daher vor der Veröffentlichung einer solchen Anzeige prüfen, ob der inserierende Nutzer, der im Begriff ist, diese Anzeige zu platzieren, diejenige Person ist, deren sensible Daten in dieser Anzeige enthalten sind, was voraussetzt, dass die Identität dieses inserierenden Nutzers erhoben wird.

100 Außerdem ergibt sich aus Art. 13 Abs. 1 Buchst. a und Art. 14 Abs. 1 Buchst. a DSGVO, dass die für die Verarbeitung personenbezogener Daten Verantwortlichen der betroffenen Person in jedem Fall ihre Namen und Kontaktdaten mitteilen müssen.

101 Schließlich ist darauf hinzuweisen, dass Art. 26 DSGVO die gemeinsam Verantwortlichen einer nämlichen Verarbeitung personenbezogener Daten verpflichtet, ihre jeweiligen Verpflichtungen in transparenter Form festzulegen, um sicherzustellen, dass die in dieser Verordnung vorgesehenen Anforderungen eingehalten werden. Eine solche Verpflichtung erwiese sich aber als unmöglich zu erfüllen, wenn einer der für diese Verarbeitung Verantwortlichen gegenüber dem anderen anonym bleiben könnte.

102 Aus dem Vorstehenden ergibt sich somit, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher für die Veröffentlichung sensibler Daten, die in einer auf seinem Online-Marktplatz veröffentlichten Anzeige enthalten sind, gemeinsam mit dem inserierenden Nutzer verpflichtet ist, die Identität dieses inserierenden Nutzers zu erheben und zu prüfen, ob dieser diejenige Person ist, deren sensible Daten in dieser Anzeige enthalten sind.

103 Insoweit geht, wie der Generalanwalt in Nr. 132 seiner Schlussanträge im Wesentlichen ausgeführt hat, aus dem 75. Erwägungsgrund der DSGVO hervor, dass die Verarbeitung personenbezogener Daten insbesondere im Fall eines Identitätsbetrugs Risiken für die Rechte und Freiheiten der betroffenen Personen mit sich bringen kann, die dadurch daran gehindert werden könnten, die sie betreffenden personenbezogenen Daten zu kontrollieren. Denn in der Regel wird eine Identität missbräuchlich verwendet, um betrügerische Handlungen zum Schaden der betroffenen Person oder Dritter durchzuführen.

104 Unter diesen Umständen und auch unter Berücksichtigung der Erwägungen in den Rn. 95 und 96 des vorliegenden Urteils muss der Betreiber eines Online-Marktplatzes, um sich zu vergewissern und nachweisen zu können, dass die in Anzeigen enthaltenen sensiblen Daten den Anforderungen der DSGVO entsprechend verarbeitet werden, in Anwendung der Art. 24 und 25 dieser Verordnung geeignete technische und organisatorische Maßnahmen vorsehen, die es ihm ermöglichen, vor der Veröffentlichung dieser Anzeigen nicht nur die Identität des inserierenden Nutzers zu erheben, sondern sie auch zu überprüfen, und zwar insbesondere, um feststellen zu können, ob dieser diejenige Person ist, deren sensible Daten in den Anzeigen enthalten sind. Solche Maßnahmen müssen es, wie der Generalanwalt in Nr. 134 seiner Schlussanträge ausgeführt hat, u.a. ermöglichen, zum einen das Risiko zu begrenzen, dass personenbezogene Daten unrechtmäßig verarbeitet werden, und zum anderen der gegen Treu und Glauben verstoßenden Nutzung eines solchen Online-Marktplatzes dadurch entgegenzuwirken, dass dem Eindruck, sich vor Strafe in Sicherheit wähnen zu können, Grenzen gesetzt werden und mithin ein Anreiz für die inserierenden Nutzer geschaffen wird, sich, wenn sie Anzeigen veröffentlichen, die personenbezogene Daten enthalten, an die Anforderungen der DSGVO zu halten.

105 Was schließlich drittens die Frage betrifft, ob der Betreiber eines Online-Marktplatzes die Veröffentlichung einer Anzeige, die sensible Daten enthält, ablehnen muss, wenn sich – nach einer solchen Überprüfung der Identität des inserierenden Nutzers, der im Begriff ist, diese Anzeige zu platzieren – herausstellt, dass dieser nicht die Person ist, deren sensible Daten in der Anzeige enthalten sind, so ist festzustellen, dass sich aus den Rn. 98 und 99 des vorliegenden Urteils ergibt, dass in einem solchen Fall nicht ausgeschlossen werden kann, dass diese Veröffentlichung unter Verstoß gegen das in Art. 9 Abs. 1 DSGVO vorgesehene Verbot der Verarbeitung solcher Daten erfolgt. Sofern ein solcher inserierender Nutzer nicht rechtlich hinreichend nachweisen kann, dass die betroffene Person im Sinne von Art. 9 Abs. 2 Buchst. a dieser Richtlinie ausdrücklich in die Veröffentlichung der fraglichen Daten auf diesem Online-Marktplatz eingewilligt hat oder dass eine der anderen in Art. 9 Abs. 2 Buchst. b bis j vorgesehenen Ausnahmen erfüllt ist, muss der Betreiber dieses Online-Marktplatzes daher die Veröffentlichung der fraglichen Anzeige verweigern, was er durch geeignete technische und organisatorische Maßnahmen sicherstellen muss.

106 Nach alledem ist auf die Fragen 2 und 3 zu antworten, dass Art. 5 Abs. 2 sowie die Art. 24 bis 26 DSGVO dahin auszulegen sind, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden, vor der Veröffentlichung der Anzeigen und mittels geeigneter technischer und organisatorischer Maßnahmen verpflichtet ist,

• Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, zu identifizieren,

• zu prüfen, ob es sich bei dem inserierenden Nutzer, der im Begriff ist, eine solche Anzeige zu platzieren, um die Person handelt, deren sensible Daten in dieser Anzeige enthalten sind, und, wenn dies nicht der Fall ist,

• deren Veröffentlichung zu verweigern, es sei denn, der inserierende Nutzer kann nachweisen, dass die betroffene Person im Sinne von Art. 9 Abs. 2 Buchst. a der Richtlinie ausdrücklich in die Veröffentlichung der fraglichen Daten auf diesem Online-Marktplatz eingewilligt hat oder dass eine der anderen in Art. 9 Abs. 2 Buchst. b bis j vorgesehenen Ausnahmen erfüllt ist.

Vierte Frage

107 In der vierten Frage geht es im Wesentlichen darum, ob ein Betreiber eines Online-Marktplatzes als Verantwortlicher verpflichtet ist, Schutzmaßnahmen zu treffen, die geeignet sind, das Kopieren und die Weiterverbreitung von Anzeigen mit sensiblen Daten, die auf seinem Online-Marktplatz veröffentlicht werden, zu verhindern oder einzuschränken.

108 Im vorliegenden Fall geht aus dem Vorabentscheidungsersuchen hervor, dass zum einen die irreführende und schadensstiftende Anzeige, um die es im Ausgangsverfahren geht, auf anderen Websites mit Werbeinhalten übernommen wurde, die sie unter Angabe der ursprünglichen Quelle veröffentlicht haben, und dass sich Russmedia zum anderen in den allgemeinen Nutzungsbedingungen ihres Online-Marktplatzes u.a. das Recht vorbehält, die Inhalte der dort veröffentlichten Anzeigen zu übermitteln und sie an Partner weiterzugeben. Insoweit gibt das vorlegende Gericht nicht an, ob Russmedia diese Anzeige vorsätzlich an diese anderen Websites übermittelt hat bzw. ob sie diese Veröffentlichungen zumindest im Wege von Verträgen erlaubt hat – oder ob diese Veröffentlichungen vielmehr auf von Russmedia nicht genehmigten Kopien der ursprünglichen Anzeige beruhen.

109 Wenn der erstere Fall erwiesen wäre, würde diese Übermittlung eine neue Verarbeitung personenbezogener Daten darstellen, für die Russmedia Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO wäre. Diese Verarbeitung müsste von der Veröffentlichung der im Ausgangsverfahren in Rede stehenden irreführenden und schadensstiftenden Anzeige durch den inserierenden Nutzer auf dem Online-Marktplatz von Russmedia unterschieden werden.

110 Es ist nämlich zwischen den verschiedenen Verarbeitungen personenbezogener Daten innerhalb derselben Kette von Vorgängen zu unterscheiden, um der Notwendigkeit Rechnung zu tragen, für jede Person, die als Verantwortlicher für die Verarbeitung personenbezogener Daten eingestuft werden kann, den Grad der Verantwortlichkeit, der ihr zugerechnet werden kann, individuell zu beurteilen. Das hängt damit zusammen, dass eine natürliche oder juristische Person, um als gemeinsam Verantwortlicher angesehen werden zu können, eigenständig der Definition des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO entsprechen muss (Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 41 und die dort angeführte Rechtsprechung).

111 Daraus folgt, dass wenn eine spätere Übermittlung der personenbezogenen Daten im Rahmen von Verbreitungsverträgen zwischen dem Betreiber des Online-Marktplatzes, auf dem die betreffenden personenbezogenen Daten ursprünglich veröffentlicht wurden, und den Betreibern anderer Websites erfolgt, der erstgenannte Betreiber grundsätzlich der einzige Verantwortliche für die in dieser Übermittlung bestehende Verarbeitung ist. In jedem Fall ist jeder Verantwortliche allein oder gemeinsam gehalten, alle sich aus der DSGVO ergebenden Verpflichtungen zu erfüllen.

112 Nach diesen Klarstellungen ist die vierte Frage dahin zu verstehen, dass sie einen Fall betrifft, in dem Russmedia die im Ausgangsverfahren in Rede stehende irreführende und schadensstiftende Anzeige nicht an andere Websites mit Werbeinhalt übermittelt hat und somit diesen nachfolgenden Veröffentlichungen nicht zugestimmt hat.

113 Außerdem ist auch darauf hinzuweisen, dass sich diese Frage im Wesentlichen darauf bezieht, in welchem Umfang einen für die Verarbeitung personenbezogener Daten Verantwortlichen eine Schutzpflicht trifft. Art. 32 DSGVO hat speziell die Sicherheit der Verarbeitung zum Gegenstand. Er konkretisiert und präzisiert einen spezifischen Aspekt der in Art. 24 dieser Verordnung genannten Anforderungen, der mit Art. 5 Abs. 2 dieser Verordnung die Verantwortlichkeit des Verantwortlichen allgemein festlegt.

114 Unter diesen Umständen ist davon auszugehen, dass das vorlegende Gericht mit seiner vierten Frage im Wesentlichen wissen möchte, ob Art. 32 DSGVO dahin auszulegen ist, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden, verpflichtet ist, Schutzmaßnahmen zu treffen, die geeignet sind, um zu verhindern, dass dort veröffentlichte Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden.

115 Art. 32 Abs. 1 DSGVO sieht vor, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter – unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen – geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

116 Nach Art. 32 Abs. 2 DSGVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten.

117 Der Gerichtshof hat entschieden, dass die Bezugnahme in Art. 32 Abs. 1 und 2 DSGVO auf ein „dem Risiko angemessenes Schutzniveau“ und ein „angemessenes Schutzniveau“ zeigt, dass mit der DSGVO ein Risikomanagementsystem eingeführt und in ihr in keiner Weise behauptet wird, dass sie das Risiko von Verletzungen des Schutzes personenbezogener Daten beseitigt (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 29).

118 Somit ergibt sich aus dem Wortlaut von Art. 32 in Verbindung mit Art. 24 DSGVO, dass Art. 32 DSGVO dem Verantwortlichen lediglich vorschreibt, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie irgend möglich zu verhindern. Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in diesen Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:986, Rn. 30).

119 Insoweit ist bei der Bestimmung des konkreten Risikos, das die betreffende Verarbeitung darstellt, die etwaige Sensibilität der verarbeiteten personenbezogenen Daten zu berücksichtigen. Wie in den Rn. 51 und 90 des vorliegenden Urteils ausgeführt, besteht der erhöhte Schutz, der in Art. 9 Abs. 1 DSGVO für bestimmte Kategorien von Daten aufgrund ihrer besonderen Sensibilität vorgesehen ist, nämlich darin, dass die Verarbeitung solcher Daten einen besonders schweren Eingriff in die durch die Art. 7 und 8 der Charta verbürgten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen kann (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 41 und die dort angeführte Rechtsprechung).

120 Sobald jedoch eine Anzeige, die personenbezogene Daten enthält, im Internet steht und somit bereits weltweit zugänglich ist, birgt die Verbreitung dieser Daten u.a. die Gefahr eines Verlusts der Kontrolle über die betreffenden personenbezogenen Daten, die, wenn sie eintritt, den in der DSGVO zugunsten der betroffenen Person vorgesehenen Rechten und Garantien, zu denen in erster Linie das in Art. 17 DSGVO vorgesehene Recht auf Löschung gehört, jede praktische Wirksamkeit nimmt.

121 Werden sensible Daten online veröffentlicht, ist der Verantwortliche daher nach Art. 32 DSGVO verpflichtet, alle technischen und organisatorischen Maßnahmen zu treffen, um ein Sicherheitsniveau zu gewährleisten, das geeignet ist, einen Verlust der Kontrolle über diese Daten wirksam zu verhindern.

122 Dabei muss der Verantwortliche u.a. alle nach dem Stand der Technik verfügbaren technischen Maßnahmen in Betracht ziehen, die die Kopie und Replikation des Online‑Inhalts blockieren können.

123 Hingegen ist noch klarzustellen, dass die Art. 24 und 32 DSGVO nicht dahin verstanden werden können, dass eine unrechtmäßige Verbreitung ursprünglich online veröffentlichter personenbezogener Daten für die Schlussfolgerung ausreicht, dass die von dem betreffenden Verantwortlichen getroffenen Maßnahmen nicht im Sinne dieser Bestimmungen geeignet waren, ohne dass ihm die Möglichkeit eingeräumt wird, den Gegenbeweis zu erbringen (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 31).

124 Im vorliegenden Fall geht aus der Vorlageentscheidung hervor, dass die im Ausgangsverfahren in Rede stehende irreführende und schadensstiftende Anzeige trotz ihrer Löschung auf dem Online-Marktplatz von Russmedia immer noch online auf anderen Websites abrufbar ist, ohne dass die Klägerin des Ausgangsverfahrens offenbar ihre Löschung erwirken könnte.

125 Es zeigt sich jedoch, dass dieser Verlust der Kontrolle auf die unrechtmäßige ursprüngliche Veröffentlichung der im Ausgangsverfahren in Rede stehenden irreführenden und schadensstiftenden Anzeige unter Verstoß gegen die Anforderungen der DSGVO zurückzuführen ist. In jedem Fall war Russmedia verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Sicherheitsniveau gemäß Art. 32 DSGVO zu gewährleisten und Kopien dieser Anzeige so weit wie möglich zu blockieren. Es wird Sache des vorlegenden Gerichts sein, zu prüfen, ob dies vorliegend der Fall war.

126 Nach alledem ist auf die vierte Frage zu antworten, dass Art. 32 DSGVO dahin auszulegen ist, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden, verpflichtet ist, geeignete technische und organisatorische Schutzmaßnahmen zu treffen, um zu verhindern, dass dort veröffentlichte Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, auf anderen Websites kopiert und unrechtmäßig veröffentlicht werden.

Zur ersten Frage: Auslegung der Richtlinie 2000/31

127 Wie in den Rn. 45 und 46 des vorliegenden Urteils ausgeführt, möchte das vorlegende Gericht ferner wissen, ob sich der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht wurden, in Bezug auf einen Verstoß gegen die Verpflichtungen aus Art. 5 Abs. 2 sowie aus den Art. 24 bis 26 und 32 DSGVO, die in den Rn. 106 und 126 des vorliegenden Urteils festgestellt worden sind, auf die Art. 12 bis 15 der Richtlinie 2000/31 über die Verantwortlichkeit der Vermittler berufen kann.

128 Daher stellt sich die Frage nach dem Zusammenspiel dieser beiden Unionsrechtsakte. Insbesondere ist zu prüfen, ob die Art. 12 bis 15 der Richtlinie 2000/31 in die in der DSGVO vorgesehene Haftungsregelung eingreifen können.

129 Hierzu ist zum einen festzustellen, dass die Richtlinie 2000/31 nach ihrem Art. 1 Abs. 5 Buchst. b keine Anwendung auf Fragen betreffend die Dienste der Informationsgesellschaft findet, die von den Richtlinien 95/46 und 97/66 erfasst werden.

130 Diese Bestimmung ist vom Gerichtshof dahin ausgelegt worden, dass Fragen, die mit dem Schutz der Vertraulichkeit der Kommunikation und personenbezogener Daten zusammenhängen, anhand der DSGVO und der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) zu beurteilen sind, die an die Stelle der Richtlinie 95/46 bzw. der Richtlinie 97/66 getreten sind, wobei der Schutz, den die Richtlinie 2000/31 gewährleisten soll, auf keinen Fall die Anforderungen, die sich aus der DSGVO und der Richtlinie 2002/58 ergeben, beeinträchtigen darf (Urteil vom 6. Oktober 2020, La Quadrature du Net u.a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 200 und die dort angeführte Rechtsprechung).

131 Daraus folgt insbesondere, dass die etwaige Inanspruchnahme der in Art. 14 Abs. 1 der Richtlinie 2000/31 vorgesehenen Befreiung, auf die sich der Betreiber eines Online-Marktplatzes in Bezug auf die auf seiner Website gehosteten Informationen berufen könnte, nicht in die Regelung der DSGVO eingreifen kann, die für einen solchen Betreiber wie für jeden anderen Wirtschaftsteilnehmer gilt, der in den Anwendungsbereich dieser Verordnung fällt.

132 Gleiches gilt für Art. 15 der Richtlinie 2000/31, wonach die Mitgliedstaaten den Diensteanbietern hinsichtlich der Erbringung der u.a. in Art. 14 dieser Richtlinie genannten Dienste keine allgemeine Überwachungspflicht auferlegen dürfen. Im Übrigen kann die Verpflichtung des Betreibers eines Online-Marktplatzes, die sich aus der DSGVO ergebenden Anforderungen zu erfüllen, jedenfalls nicht als eine solche allgemeine Überwachungspflicht eingestuft werden.

133 Zum anderen sieht Art. 2 Abs. 4 DSGVO vor, dass die Verordnung die Anwendung der Richtlinie 2000/31 und zwar insbesondere der Vorschriften der Art. 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt lässt.

134 Art. 2 Abs. 4 DSGVO ist dahin zu verstehen, dass der Umstand, dass ein Wirtschaftsteilnehmer Träger von in der DSGVO vorgesehenen Pflichten ist, nicht automatisch ausschließt, dass sich dieser Wirtschaftsteilnehmer in anderen Fragen als solchen, die den Schutz personenbezogener Daten betreffen, auf die Art. 12 bis 15 der Richtlinie 2000/31 berufen kann.

135 Somit ergibt sich aus Art. 1 Abs. 5 Buchst. b der Richtlinie 2000/31 in Verbindung mit Art. 2 Abs. 4 DSGVO, dass die Bestimmungen dieser Richtlinie, insbesondere ihre Art. 12 bis 15, nicht in die Regelung der DSGVO eingreifen können.

136 Nach alledem ist auf die erste Frage zu antworten, dass Art. 1 Abs. 5 Buchst. b der Richtlinie 2000/31 und Art. 2 Abs. 4 DSGVO dahin auszulegen sind, dass sich der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht wurden, in Bezug auf einen Verstoß gegen die Verpflichtungen aus Art. 5 Abs. 2 sowie aus den Art. 24 bis 26 und 32 DSGVO nicht auf die Art. 12 bis 15 der Richtlinie 2000/31 über die Verantwortlichkeit der Vermittler berufen kann.

Kosten

137 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt: