EuGH-Urteil: Was Online-Marktplätze jetzt bei DSGVO-Werbung leisten müssen

KI für Marketing & Vertrieb: Der deutsche Leitfaden••By 3L3C

Der EuGH zwingt Online-Marktplätze, Anzeigen datenschutzrechtlich aktiv zu prüfen. Was das Urteil für DSGVO, KI, Marketing und Plattformbetreiber in Deutschland bedeutet.

DSGVOOnline-MarktplätzeDatenschutzKI im MarketingPlattformhaftungDigital Services Act
Share:

EuGH-Urteil: Warum dieses DSGVO-Thema 2026 richtig wehtun kann

Der Europäische Gerichtshof hat Anfang Dezember 2025 eine klare Linie gezogen: Online-Marktplätze haften für die personenbezogenen Daten in Anzeigen Dritter. Und zwar nicht nur „im Notfall“, sondern aktiv und präventiv.

Für Betreiber von Plattformen, Classifieds, Portalen und Marktplätzen – von Kleinanzeigen-Seiten über Immobilien- und Jobbörsen bis hin zu Nischen-B2B-Plattformen – ist das ein echter Wendepunkt. Wer Anzeigen schaltet oder vermittelt, muss sich ab sofort wie ein vollverantwortlicher „Datenchef“ verhalten.

Dieser Beitrag ordnet das Urteil praxisnah ein, zeigt, was es konkret für Marketing, Vertrieb und Plattformbetreiber in Deutschland bedeutet – und skizziert, wie sich das Ganze mit KI sauber, effizient und DSGVO-konform organisieren lässt.

Was der EuGH konkret entschieden hat – in Klartext

Der EuGH hat im Verfahren C‑492/23 (Plattform publi24.ro) entschieden: Der Betreiber eines Online-Marktplatzes ist Verantwortlicher nach DSGVO für die Verarbeitung personenbezogener Daten in den Anzeigen, die auf seiner Plattform erscheinen.

Das heiĂźt:

  • Es reicht nicht mehr zu sagen: „Das ist nur User-Content, wir hosten das nur.“
  • Die Plattform gilt als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
  • Dies gilt besonders fĂĽr sensible Daten (Art. 9 DSGVO):
    • Gesundheitsdaten
    • Daten zur sexuellen Orientierung und zum Sexualleben
    • politische Meinungen und religiöse Ăśberzeugungen

Kernaussage: Wenn eine Anzeige nur dank der Plattform online ist, trägt der Betreiber Verantwortung für die Datenverarbeitung – inklusive Prüfplichten.

Der Ausgangsfall: Irreführende Sex-Anzeige in Rumänien

Auf der rumänischen Plattform publi24.ro wurde eine Anzeige geschaltet, in der unter Name, Foto und Telefonnummer einer Frau angebliche sexuelle Dienstleistungen beworben wurden. Die Betroffene hatte damit nichts zu tun.

  • Die Anzeige wurde nach Aufforderung rasch gelöscht.
  • Zu spät: Kopien landeten auf anderen Websites und blieben dort verfĂĽgbar.
  • Die Frau klagte u.a. wegen Verletzung von Persönlichkeitsrechten und Datenschutz.

Im Kern wollte das Gericht wissen: Trägt der Marktplatz Verantwortung, obwohl ein Dritter die Anzeige aufgegeben hat? Der EuGH sagt: Ja.

Neue Pflichten für Online-Marktplätze: Das verlangt der EuGH jetzt

Der EuGH bleibt nicht abstrakt, sondern wird erstaunlich konkret. Plattformbetreiber müssen technische und organisatorische Maßnahmen (TOM) einführen, um Anzeigen mit sensiblen Daten vor der Veröffentlichung zu erkennen und ggf. zu blockieren.

1. Pflicht zur aktiven VorabprĂĽfung sensibler Daten

Plattformen mĂĽssen kĂĽnftig:

  • Anzeigen automatisiert vorscannen, z. B. mit Filtern oder KI-Modellen, um sensible Inhalte zu erkennen.
  • Verdachtsfälle manuell prĂĽfen, bevor sie live gehen.
  • Veröffentlichung verweigern, wenn
    • die betroffene Person nicht selbst inseriert oder
    • keine ausdrĂĽckliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) vorliegt und
    • keine andere DSGVO-Ausnahme greift (z. B. besondere rechtliche Grundlage).

Die Verarbeitung sensibler Daten ist grundsätzlich verboten, es sei denn, eine der engen Ausnahmen in Art. 9 DSGVO greift. Dieses Verbot gilt jetzt ausdrücklich auch für Anzeigen auf Plattformen.

2. Identitäts-Check des Inserenten

Der EuGH fordert nicht nur Content-Prüfung, sondern auch eine Plausibilitätskontrolle der Identität:

  • Ist die Person, die die Anzeige aufgibt, wirklich die Person, auf die sich die sensiblen Daten beziehen?
  • Wenn nein: Liegt eine dokumentierte Einwilligung dieser Person vor?

Für die Praxis bedeutet das: Registrierungsprozesse, Verifizierung und Dokumentation der Einwilligung werden deutlich wichtiger – vor allem in sensiblen Kategorien (Erotik, Gesundheit, Politik, Religion, Beratungsleistungen u. ä.).

3. Schutz vor Weiterverbreitung der sensiblen Anzeigen

Der EuGH verlangt außerdem Präventionsmaßnahmen gegen unrechtmäßiges Kopieren und Verbreiten:

  • Anti-Scraping-MaĂźnahmen (Rate Limits, Bot-Detection, technische HĂĽrden)
  • Wasserzeichen oder Tracking-Mechanismen fĂĽr Bilder
  • Vertragsklauseln und AGB-Regelungen gegen unautorisierte Wiederverwendung von Anzeigen

Natürlich lässt sich das Kopieren von Inhalten nie vollständig verhindern. Aber: Plattformen müssen zeigen können, dass sie ernsthafte technische und organisatorische Schutzmaßnahmen getroffen haben.

4. Kein Ausweg ĂĽber die E-Commerce-Richtlinie

Viele Plattformen haben sich bislang auf die Haftungsprivilegien der E-Commerce-Richtlinie berufen („reiner Hosting-Provider“). Der EuGH macht deutlich:

  • DSGVO-Pflichten haben Vorrang.
  • Die Haftungsfreistellungen der E-Commerce-Richtlinie entbinden nicht von der Rolle als Verantwortlicher fĂĽr die Datenverarbeitung.

Gerade in Kombination mit dem Digital Services Act (DSA) und bestehenden Urteilen zu Google Ads entsteht so ein immer dichteres Netz an PrĂĽf- und Sorgfaltspflichten fĂĽr Plattformen.

Was heiĂźt das fĂĽr Marketing- und Vertriebsplattformen in Deutschland?

Für deutsche Unternehmen ist das Urteil mehr als nur ein Datenschutzdetail. Es betrifft ganz direkt das tägliche Geschäft mit Online-Werbung, Leadgenerierung und Plattform-Modellen.

Betroffene Geschäftsmodelle

Konkret betroffen sind u. a.:

  • Kleinanzeigen-Portale (lokale Marktplätze, Classifieds)
  • Immobilien-, Auto- und Jobportale
  • B2B-Marktplätze (z. B. Dienstleister-Plattformen)
  • Plattformen mit Nutzerprofilen und Inseraten (z. B. Dating, Coaching, Ă„rzte-/Beraterverzeichnisse)
  • Portale, auf denen Agenturen im Auftrag ihrer Kunden Anzeigen einspielen

Sobald personenbezogene oder sogar sensible Daten in Anzeigen vorkommen, greift das Urteil.

Typische Stolperfallen im Alltag

Ein paar Beispiele aus der Praxis, wo es kritisch werden kann:

  • Eine Dating-Plattform lässt Anzeigen mit expliziten Hinweisen auf Sexualpraktiken, sexuelle Orientierung oder Fetische automatisch live gehen – ohne Einwilligungsnachweis.
  • Ein Gesundheitsportal erlaubt Anzeigen, in denen konkrete Diagnosen, Behinderungen oder Therapieformen mit Namen und Foto der Person dargestellt werden.
  • Ein politisches Kampagnenportal veröffentlicht Anzeigen mit klar zuordenbaren politischen Meinungen einzelner Personen – ohne Dokumentation der Einwilligung.

Nach dem EuGH-Urteil sind das keine Bagatellen mehr, sondern klare DSGVO-Risiken mit BuĂźgeld- und Schadensersatzpotenzial.

Wie Plattformen jetzt reagieren sollten: 7 konkrete Schritte

Die gute Nachricht: Mit einem strukturierten Ansatz lässt sich das Urteil praktikabel und skalierbar umsetzen – gerade, wenn Sie moderne KI-Tools klug einsetzen.

1. Risikoanalyse nach Kategorien der Anzeigen

Startpunkt ist immer eine systematische Risikoanalyse:

  • Welche Anzeigen-Kategorien gibt es auf der Plattform?
  • Wo kommen typischerweise sensible Daten vor (Erotik, Gesundheit, Politik, Religion, Gewerkschaft, soziale Bewegungen)?
  • Welche Kategorien sind „unkritisch“ (z. B. reine Produktanzeigen ohne Personenbezug)?

Ergebnis sollte ein Risikoprofil je Kategorie sein – daraus leiten Sie Prüfintensität und Freigabeprozesse ab.

2. KI-gestĂĽtztes Screening sensibler Inhalte

Manuelles Prüfen jeder Anzeige ist unrealistisch. Hier spielt KI ihre Stärken aus:

  • Natural Language Processing (NLP) zur Erkennung sensibler Begriffe und Kontexte in Texten
  • Bilderkennung fĂĽr Nacktheit, erotischen Kontext, politische Symbole etc.
  • Risikoscores, die Anzeigen automatisch in „unbedenklich“, „prĂĽfen“ und „blockieren“ einteilen

Wichtig ist dabei:

  • KI nie als „Black Box“ laufen lassen, sondern menschliche Freigabe fĂĽr Risikofälle einbauen.
  • KI-Modelle regelmäßig nachschulen und dokumentieren (Stichwort: Rechenschaftspflicht der DSGVO).

3. Klarere Onboarding- und Einwilligungsprozesse

Inserenten müssen verstehen, dass sie nicht mehr alles gefahrlos posten können. Sinnvolle Maßnahmen:

  • Kategoriebasierte Hinweise: Wer in sensiblen Kategorien inseriert, bekommt aktive Risiko-Hinweise angezeigt.
  • Explizite Einwilligungsabfragen: „Ich bestätige, dass ich die betroffene Person bin oder ihre dokumentierte Einwilligung habe.“
  • Zusätzliche Nachweise in Hochrisiko-Bereichen (z. B. Verifizierung von Anbietern im Erotik- oder Gesundheitsbereich).

Das ist nicht nur DSGVO-Compliance, sondern schützt auch die Plattformmarke vor Reputationsschäden.

4. Technische SchutzmaĂźnahmen gegen Kopieren

Einen 100%-Schutz gibt es nicht, aber Sie sollten zeigen können, dass Sie es ernst meinen.

Mögliche Maßnahmen:

  • Rate-Limits und Captchas gegen massenhaftes Scraping
  • Technische HĂĽrden fĂĽr automatisierte Download-Skripte
  • Wasserzeichen oder Fingerprinting bei Bildern
  • Monitoring auffälliger Zugriffe

Der Punkt ist: Der EuGH erwartet erkennbaren Präventionswillen – technisch und organisatorisch.

5. Prozesse für Meldungen, Löschung und Nachverfolgung

Selbst mit Prävention passieren Fehler. Daher brauchen Sie:

  • Niedrigschwellige Meldemöglichkeiten („Anzeige melden“-Button, Hotline, E-Mail)
  • Klare SLAs fĂĽr Reaktionszeiten (z. B. innerhalb von 24 Stunden)
  • Dokumentierte Abläufe zur Entfernung und zur Nachverfolgung möglicher Kopien

Je klarer Ihre Prozesse, desto besser stehen Sie im Ernstfall da – auch gegenüber Aufsichtsbehörden.

6. Zusammenarbeit von Datenschutz, Marketing und Vertrieb

Viele Plattformen hängen noch in Silos: Marketing erstellt Kampagnen, Vertrieb akquiriert Inserenten, Datenschutz schaut „hinten raus mal drüber“. Das funktioniert mit diesem Urteil nicht mehr.

Besser ist ein integrierter Ansatz:

  • Datenschutz by Design in die Produkt- und Kampagnenplanung
  • Gemeinsame Richtlinien fĂĽr „rote Linien“ bei Anzeigen
  • Schulung von Vertrieb und Customer Success: Was darf man Kunden zusagen – und was nicht?

7. Dokumentation als Rettungsanker

Sollte es zu Beschwerden oder Verfahren kommen, zählt eine Frage besonders: Können Sie nachweisen, dass Sie Ihrer Verantwortung ernsthaft nachgekommen sind?

Dazu gehören:

  • Richtlinien, Prozesse, Arbeitsanweisungen
  • Protokolle von PrĂĽfungen, Risikoeinstufungen und Löschaktionen
  • Dokumentation von KI-Modellen, Trainingsdaten-Strategie und Fehlerraten

Wer hier sauber aufgestellt ist, reduziert das Risiko empfindlicher BuĂźgelder deutlich.

Wie KI fĂĽr Marketing & Vertrieb hilft, DSGVO-Pflichten zu stemmen

Im Rahmen unseres Leitfadens „KI für Marketing & Vertrieb“ sehe ich in diesem EuGH-Urteil vor allem eines: ohne KI ist diese neue Prüflast für viele Plattformen praktisch nicht zu stemmen.

KI als Compliance-Booster, nicht als Risikoquelle

Richtig eingesetzt, hilft KI dabei,

  • Anzeigeninhalte zu klassifizieren und zu bewerten,
  • Verstöße frĂĽhzeitig zu erkennen,
  • manuelle Teams gezielt auf kritische Fälle zu fokussieren.

Der Knackpunkt ist die Architektur:

  • KI-Modelle als Vorsortierer, nicht als alleiniger Entscheider
  • Transparente Regeln („Wenn sensibler Begriff + Personenbezug → manuelle PrĂĽfung“)
  • DSGVO-konforme Verarbeitung der Inhalte im KI-System (Speicherorte, Löschkonzepte, Pseudonymisierung)

Positiver Nebeneffekt: Bessere Leadqualität

Spannender Nebeneffekt für Marketing & Vertrieb: Wer Anzeigen stärker kontrolliert, verbessert automatisch die Qualität des Marktplatzes:

  • Weniger Fake-Anzeigen → höheres Vertrauen der Nutzer
  • Bessere Schutzmechanismen → starke Marke, weniger Shitstorms
  • Sauber strukturierte Daten aus der KI-PrĂĽfung → bessere Segmentierung und zielgerichtetere Angebote

Wer KI primär als Compliance-Werkzeug einführt, gewinnt im zweiten Schritt ein sehr sauberes Datenfundament für leistungsfähiges Performance-Marketing und Vertrieb.

Fazit: DSGVO-Prüfung von Anzeigen wird Pflicht – und zur Chance

Das EuGH-Urteil zur Haftung von Online-Marktplätzen für Anzeigen Dritter ist keine Randnotiz, sondern ein Signal: Passives Durchwinken von User-Anzeigen ist vorbei. Wer Plattformen betreibt, muss Verantwortung für die darin verarbeiteten personenbezogenen und sensiblen Daten übernehmen.

Wer das jetzt ignoriert, riskiert Bußgelder, Schadensersatzklagen und vor allem nachhaltige Reputationsschäden. Wer es ernst nimmt, kann dagegen seine Plattform professionalisieren – und KI so einsetzen, dass Datenschutz, Nutzervertrauen und Vertriebserfolg zusammenpassen.

Wenn Sie eine Plattform oder ein Anzeigen-Ökosystem betreiben und wissen wollen, wie Sie KI-gestützte Prüfprozesse DSGVO-sicher und marketingtauglich aufsetzen können, dann ist jetzt der richtige Zeitpunkt, Ihre Strategie für 2026 neu zu justieren.