In seinem Urteil C-492/23 vom 2. Dezember 2025 (Russmedia) äussert sich der Europäische Gerichtshof zu der Frage, ob ein Hosting-Provider, namentlich die Russmedia, proaktiv gegen persönlichkeitsverletzende Inhalte vorgehen muss, wenn er als datenschutzrechtlich Verantwortlicher qualifiziert wird. Einige scheinen das Ende des Haftungsprivilegs zu sehen, gemäss welchem solche Dienstleister nur nach einer Notifizierung gegen rechtswidrige und ihnen unbekannte Inhalte vorgehen müssen (notice-and-take-down). Dies scheint jedoch auf einem falschen Verständnis der Argumentation des EuGH zu basieren.
In diesem Beitrag ordnen wir diese Argumentationen ein und erläutern zudem die rechtliche Situation in der Schweiz.
Das Haftungsprivileg in der EU
Bereits mit der eCommerce-Richtlinie, welche seit dem Jahr 2000 in Kraft ist, wurde in der EU der Grundsatz "Keine Haftung ohne Kenntnis" eingeführt. Kurz gesagt bedeutet dies, dass ein Dienstleister nicht für die von einem Nutzer veröffentlichten Inhalte haftet, wenn
- die fragliche Dienstleistung nur darin besteht, eben jene Inhalte im Auftrag des Nutzers zu speichern (Hosting);
- er keine tatsächliche Kenntnis von rechtswidrigen Inhalten hat; und
- er rechtswidrige Inhalte zügig entfernt oder sperrt, wenn er davon Kenntnis erlangt.
Dieses Privileg rechtfertigt sich dadurch, dass der Hosting-Provider eine rein passive, technische und neutrale Rolle einnimmt.
Mittlerweile wurde diese Haftungsregelung in den Digital Services Act (DSA) übernommen und gilt dort in der gleichen Form weiter.
Was ist im Fall Russmedia passiert?
Auslöser war eine Anzeige auf einem Online-Portal von Russmedia. Ein anonymer Nutzer verwendete echte Fotos der Betroffenen sowie deren private Handynummer, um (fälschlicherweise) sexuelle Dienstleistungen anzubieten. Zwar entfernte Russmedia die Anzeige innert Kürze, nachdem die Betroffene sie dazu aufgefordert hatte. Dennoch machte diese in weiterer Folge vor dem zuständigen Gericht einen immateriellen Schaden geltend, den sie von Russmedia einforderte. Der Fall zog sich auf nationaler Ebene über mehrere Instanzen, bevor er schlussendlich vor dem EuGH landete.
Dem EuGH wurden mehrere Fragen vorgelegt, die zusammengefasst darauf abzielten, eine Antwort auf die folgende Problemstellung zu erhalten: Kann sich ein Hosting-Provider, der die von den Nutzern veröffentlichten Inhalte auch für eigene kommerzielle Zwecke nutzt, weiterhin auf das Haftungsprivileg stützen oder muss er sicherstellen, dass im Zusammenhang mit den veröffentlichten Personendaten das Datenschutzrecht (namentlich die Datenschutz-Grundverordnung, DSGVO) eingehalten wird?
Was sagt der EuGH?
Zunächst einmal kann festgehalten werden, dass der EuGH zum Schluss kam, dass Russmedia für die auf dem Online-Portal publizierten Inhalte als datenschutzrechtlich (Mit-)Verantwortliche gilt. Konkret behielt sich Russmedia vor, veröffentlichte Inhalte "zu nutzen, zu verbreiten, zu übermitteln, zu vervielfältigen, zu ändern, zu übersetzen, an Partner weiterzugeben und jederzeit zu entfernen". Nach Ansicht des Gerichts liefert bereits dieser Vorbehalt in den Nutzungsbedingungen entscheidende "Anhaltspunkte" dafür, dass Russmedia die Daten nicht nur für den inserierenden Nutzer, sondern auch aus kommerziellem Eigeninteresse verarbeitet und somit an der Festlegung der Zwecke und Mittel der ursprünglichen Veröffentlichung mitwirkt. Hinzu kommt, dass nach Auffassung des EuGH Russmedia durch die tatsächliche Festlegung der Parameter für die Verbreitung der Anzeigen auf ihrer Plattform nach Massgabe des Zielpublikums sowie unter anderem auch die Festlegung der Darstellung und der Dauer der Veröffentlichung massgeblich auf die weltweite Verbreitung der in den Anzeigen enthaltenen Personendaten Einfluss nimmt.
Der vermeintliche "Hammer" des Urteils liegt aber darin, dass der EuGH in weiterer Folge zum Schluss gelangt, dass ein Hosting-Provider, der sich für die publizierten Inhalte als datenschutzrechtlich Verantwortlicher zeichnet, sich nicht auf das Haftungsprivileg der eCommerce-Richtlinie (heute des DSA) berufen kann. Russmedia hätte somit nach Meinung des EuGH proaktiv besondere Kategorien von Personendaten (wie im fraglichen Fall Angaben über das Sexualleben) identifizieren und sicherstellen müssen, dass diese nur von der betroffenen Person selbst oder mit deren Einwilligung publiziert werden. Zusätzlich hätte Russmedia mit angemessenen technischen Massnahmen das Kopieren und die Verbreitung dieser Daten verhindern müssen.
Auf die Frage, ob Russmedia von den fraglichen Personendaten tatsächlich Kenntnis genommen hat, d.h. ob sie die strittige Anzeige tatsächlich für eigene kommerzielle Zwecke genutzt hat, ging der EuGH nicht ein. Vielmehr begründet der EuGH seine Auffassung damit, dass Fragen, die von der Richtlinie 95/46/EG (die Vorgängerin der heutigen DSGVO) erfasst werden, ausdrücklich vom Geltungsbereich der eCommerce-Richtlinie (welche zum Zeitpunkt der Veröffentlichung der strittigen Anzeige galt) ausgenommen wurden (Art. 1(5)(b) sowie der Erwägungsgrund 14 der eCommerce-Richtlinie).
Auch der heutige DSA lässt die Vorschriften der DSGVO im Übrigen ausdrücklich unberührt (Art. 2(4)(g) DSA); es ist daher davon auszugehen, dass der EuGH auch unter dem neuen Regime des DSA gleich entschieden hätte.
Wie ist die Argumentation des EuGH einzuordnen?
Das Urteil und die Begründung sind nachvollziehbar und in der Sache sicherlich im Sinne des europäischen Gesetzgebers.
Allerdings geht der EuGH in seiner Argumentation auf einen wichtigen Punkt nicht ein: Ein Dienstleister kann ohnehin nur dann vom Haftungsprivileg der eCommerce-Richtlinie/des DSA profitieren, wenn seine Dienstleistung darin besteht, die "von einem Nutzer bereitgestellten Informationen in dessen Auftrag zu speichern" (vgl. Art. 14(1) eCommerce-Richtlinie und Art. 3(g)(iii) DSA). Das Privileg bezieht sich also klarerweise nur auf das Hosting an sich.
Das bedeutet das Folgende:
- Nutzt der Hosting-Provider die veröffentlichten Inhalte für eigene kommerzielle Zwecke, so kann zumindest diese nachfolgende eigene Nutzung nicht mehr als "Hosting"-Dienst gelten. Es ist klar, dass das Haftungsprivileg für eine solche nachgelagerte Bearbeitung nicht zur Anwendung gelangen kann.
- Der Dienstleister verlässt aber auch dann seine passive Intermediärrolle, und muss folgerichtig das Haftungsprivileg verlieren, wenn er massgebliche Entscheidungen über das "Warum" und "Wie" der Veröffentlichung der Daten auf seiner Plattform mitbestimmt und damit für diesen Vorgang datenschutzrechtlich zumindest mitverantwortlich wird. Diese Sichtweise entspricht der gefestigten Rechtsprechung des EuGH, gemäss welcher Plattformbetreiber regelmässig mit dem Nutzer für die Veröffentlichung oder Erhebung der Daten als gemeinsame Verantwortliche qualifiziert werden, sofern sie über die Funktion und Parametrierung der Plattform massgeblich über die Datenerhebung und -bearbeitung mitbestimmen (vgl. Facebook-Fanpage-Urteil (C-210/16) und Fashion ID-Urteil (C-40/17).
Es muss darauf hingewiesen werden, dass der EuGH die Rolle von Russmedia als Mitverantwortliche nicht allein deshalb bejaht, weil sich das Unternehmen in seinen Nutzungsbedingungen das Recht vorbehielt, die von Dritten eingestellten Inhalte für eigene Zwecke zu verwenden; er betrachtet diesen Umstand vielmehr als Indiz. Ein entscheidendes Kriterium für die Annahme einer gemeinsamen Verantwortlichkeit war stattdessen auch in diesem Fall die aktive und bestimmende Mitwirkung an der Veröffentlichung der Nutzerinhalte, die sich aus der konkreten Ausgestaltung und Parametrierung der Plattform ergab. Indem Russmedia die technischen und organisatorischen Rahmenbedingungen für die Veröffentlichung der Daten schuf und damit eigene wirtschaftliche Interessen verfolgte, beeinflusste es die Zwecke und Mittel der Bearbeitung massgeblich mit. Auch in Anwendung der Rechtsprechung des EuGH im Russmedia-Urteil wird ein Dienstleister somit nicht nur darum zum (Mit-)Verantwortlichen, wenn er sich vertraglich vorbehält, die veröffentlichten Inhalte für eigene Zwecke zu nutzen; es braucht auch eine weitergehende Mitbestimmung.
Auch die Regelung in der eCommerce-Richtlinie/im DSA, dass das jeweils anwendbare Datenschutzrecht unberührt bleibt und auf welche sich der EuGH im Russmedia-Urteil stützt, muss vor diesem Hintergrund verstanden werden: Wer nach der DSGVO verpflichtet wird, die Rechtmässigkeit einer Datenbearbeitung sicherzustellen, soll sich nicht gestützt auf das Haftungsprivileg davor drücken können.
Das Gesagte dürfte vorwiegend für Online-Marktplätze, soziale Netzwerke und ähnliche Dienste von Relevanz sein, da hier einerseits ein inhärentes Interesse des Dienstleisters an der Organisation und Aufbereitung der von Nutzern veröffentlichten Inhalte besteht, beispielsweise um die Attraktivität der eigenen Plattform zu steigern. Andererseits wirkt der Dienstleister bei solchen Plattformen oft stärker an der Ausgestaltung der Datenerhebung und -bearbeitung mit, als dies beispielsweise bei einem reinen Webhosting-Anbieter der Fall ist, dessen Leistung sich primär auf die Zurverfügungstellung von Speicherplatz beschränkt.
Es stellt sich somit die Frage, ob der Dienstleister sich auf die rein passive, technische und automatische Speicherung von Informationen beschränken muss, wenn er nicht Gefahr laufen möchte, für rechtswidrige Inhalte seiner Nutzer haftbar gemacht zu werden. Der Erwägungsgrund 22 des DSA liefert hierzu zumindest gewisse Indizien, indem dort ausgeführt wird, dass ein Hosting-Dienstleister die von den Nutzern bereitgestellten und auf deren Veranlassung gespeicherten Informationen indexieren und katalogisieren kann, um diese über eine auf seiner Plattform integrierte Suchfunktion auffindbar zu machen, ohne dass ihm allein dadurch eine tatsächliche Kenntnis der Inhalte angelastet werden kann. Diese Klarstellung ist von zentraler Bedeutung, da sie anerkennt, dass bestimmte, über die reine Speicherung hinausgehende Tätigkeiten für die Erbringung eines funktionalen und nutzerfreundlichen Dienstes unerlässlich sind. Es ist damit davon auszugehen, dass eine Zusatzfunktion oder -dienstleistung, die zwar über eine reine Speicherung hinausgeht, aber immer noch dem Zweck des Nutzers dient – nämlich der effektiven Zugänglichmachung seiner Inhalte für Dritte – nicht per se dazu führt, dass der Dienstleister sich nicht mehr auf das Haftungsprivileg berufen kann. Der entscheidende Massstab ist, ob der Dienstleister eine neutrale, technische und passive Rolle beibehält oder ob er eine aktive Rolle einnimmt, die ihm Kenntnis von oder Kontrolle über die spezifischen Inhalte verleiht. Solange die Zusatzfunktion (wie die Indexierung) automatisiert und ohne redaktionelle oder kuratierende Eingriffe erfolgt, die auf eine inhaltliche Auseinandersetzung schliessen lassen, bleibt der passive Charakter des Dienstes gewahrt.
Die Parallele zum Datenschutzrecht, insbesondere zur Abgrenzung zwischen Verantwortlichem und Auftragsbearbeiter, untermauert diese Schlussfolgerung. Sofern eine solche Zusatzfunktion oder -dienstleistung so ausgestaltet wird, dass die damit zusammenhängende Bearbeitung von Personendaten ausschliesslich für die Zwecke und auf Weisung des Nutzers erfolgt, gilt der Hosting-Provider aus datenschutzrechtlicher Sicht nicht als Verantwortlicher, sondern als Auftragsverarbeiter (vgl. Art. 4 Ziff. 8 DSGVO). Eine Einordnung des Hosting-Providers als Auftragsbearbeiter kann als ein starkes Indiz dafür gelten, dass der er auch im Sinne des heutigen DSA eine passive Rolle einnimmt und sich weiterhin auf das Haftungsprivileg berufen kann. Die Argumentation des EuGH im Russmedia-Urteil stützt diese Sichtweise.
Zusammengefasst kann somit gesagt werden, dass die "Sprengkraft" des Russmedia-Urteils nicht darin liegt, dass der EuGH das Haftungsprivileg untergräbt, sondern darin, dass er einen Aspekt der Providerhaftung aufnimmt, der in der Praxis möglicherweise bisher übersehen worden ist. Es muss unserer Ansicht nach auch weiterhin möglich sein, dass sich Hosting-Provider eine eigene Nutzung der veröffentlichten Nutzerinhalte vorbehalten. Unter Anbetracht der Argumentation des EuGH im Russmedia-Urteil ist es Hosting-Provider jedoch zu empfehlen, solche Nutzungen klar als eigene Bearbeitungsvorgänge auszuweisen und abzugrenzen, um so weit als möglich den Anschein einer Mitwirkung bei der Veröffentlichung der Inhalte durch den Nutzer zu reduzieren.
Wie wäre der Sachverhalt in der Schweiz zu beurteilen?
Im Gegensatz zur EU kennt die Schweiz keine spezifische Haftungsregelung für Hosting-Provider oder ähnliche Dienstleister, wie sie etwa heute im DSA verankert ist. Auch der Entwurf des neuen Bundesgesetzes über Kommunikationsplattformen und Suchmaschinen (KomPG), welchen der Bundesrat Ende Oktober 2025 in die Vernehmlassung gegeben hat, sieht nur eine Pflicht von Kommunikationsplattformen zur Einrichtung eines Meldeverfahrens vor, jedoch keine damit zusammenhängende Haftungserleichterung.
Die zivilrechtliche Verantwortlichkeit von Hosting-Provider für persönlichkeitsverletzende Inhalte ihrer Nutzer richtet sich somit nach den allgemeinen Bestimmungen des Deliktsrechts in Art. 41 ff. Obligationenrecht (OR), des Persönlichkeitsschutzes in Art. 28 ff. Zivilgesetzbuch (ZGB) sowie des Datenschutzgesetzes (DSG). Für Ansprüche betroffener Personen bei Datenschutzverletzungen, die zugleich eine Persönlichkeitsverletzung darstellen, verweist das DSG seinerseits auf die Bestimmungen der Art. 28 ff. ZGB.
Aus dem Zusammenspiel dieser Normen ergibt sich das folgende, differenzierte Verantwortlichkeits- und Haftungsregime:
- Eine in ihrer Persönlichkeit verletzte Person kann gemäss Art. 28 und 28a ZGB von jedem, der an der Verletzung mitwirkt, die Beseitigung des widerrechtlichen Zustands verlangen. Gemäss bundesgerichtlicher Rechtsprechung führt bereits das blosse Mitwirken objektiv bereits zu einer Verletzung, selbst wenn der Handelnde sich dessen nicht bewusst ist oder nicht bewusst sein kann (BGE 141 III 513, E. 5.3.1. m.w.H.). In einem jüngeren Entscheid kam das Handelsgericht Zürich zum Schluss, dass der Betreiber einer Suchmaschine zwar das Auffinden persönlichkeitsverletzender Inhalte begünstigen würde, dies aber nicht in einem hinreichend engen Zusammenhang mit der Tat selbst stehe; ein "Wirken" genüge nicht, es brauche die tatsächliche "Mitwirkung" (Urteil des Handelsgerichts Zürich HG220030-O vom 21. August 2024, E. 3.2.4.2.6).
- Werden persönlichkeitsverletzende Inhalte auf der Plattform eines Hosting-Providers veröffentlicht, so stellt dieser die technische Infrastruktur für die Verletzung zur Verfügung. Im Gegensatz zum Betreiber einer Suchmaschine steht sein Dienst in erheblich engerem Zusammenhang mit den verletzenden Inhalten und wirkt damit kausal an deren Verbreitung und Aufrechterhaltung mit, selbst wenn er keine konkrete Kenntnis der darauf publizierten Inhalte hat. Diese Form der Mitwirkung genügt, um regelmässig einen Beseitigungsanspruch direkt gegen den Hosting-Provider zu begründen. Die betroffene Person kann folglich vom Dienstleister die Löschung oder Beseitigung der verletzenden Inhalte verlangen. Dieser Anspruch besteht verschuldensunabhängig und greift auch dann, wenn der Hosting-Provider aus datenschutzrechtlicher Sicht lediglich als Auftragsbearbeiter für den Nutzer agiert.
- Damit die betroffene Person gegenüber dem Hosting-Dienstleister jedoch auch einen Anspruch auf Schadenersatz oder Genugtuung nach Art. 41 ff. OR in Verbindung mit Art. 28a Abs. 3 ZGB geltend machen kann, muss nebst dem Schaden und der Widerrechtlichkeit und dem Kausalzusammenhang ein Verschulden des Providers nachgewiesen werden. In der herrschenden Lehre und in Anlehnung an die Rechtsentwicklung im Ausland wird ein solches Verschulden (in der Regel Fahrlässigkeit) erst dann angenommen, wenn der Hosting-Provider trotz eines ausreichend konkreten und substanziierten Hinweises auf die offensichtlich rechtswidrigen Inhalte untätig bleibt und diese nicht unverzüglich entfernt oder sperrt. Es gilt somit auch in der Schweiz de facto eine notice-and-take-down Pflicht, die auch in massgeblichen Branchen-Standards verankert wurde (vgl. beispielsweise den Code of Conduct Hosting (CCH), der von Schweizer Hosting-Unternehmen unter der Federführung der Swico erarbeitet wurde). Solange der Hosting-Provider keine Kenntnis von der Rechtsverletzung hat und nach erfolgter Meldung umgehend handelt, ist er durch dieses Haftungsprivileg vor Schadenersatzansprüchen geschützt. Soweit ersichtlich, wurde diese Auffassung jedoch noch nicht gerichtlich bestätigt.
- Das erwähnte Haftungsprivileg ist auch in der Schweiz an die Voraussetzung geknüpft, dass der Provider eine passive Rolle als blosser technischer Intermediär einnimmt. Nutzt der Hosting-Provider die von seinen Nutzern veröffentlichten Inhalte – insbesondere Personendaten – auch für eigene Zwecke (z.B. für personalisierte Werbung, zur Erstellung von Nutzerprofilen, für eigene Analysen oder zur Weitergabe an Dritte), verlässt er diese passive Rolle. Er macht sich die Inhalte zu eigen und wird, gleich wie in der EU, für die nachgelagerte Bearbeitung datenschutzrechtlich zum Verantwortlichen im Sinne des DSG und haftet auch vollumfänglich für allfällige Persönlichkeitsverletzungen.
- Aktuell sind uns keine Urteile bekannt, in welchen sich ein Schweizer Gericht mit der Frage auseinandergesetzt hätte, ab welchem Grad an "Mitbestimmung" ein Hosting-Provider auch für die Veröffentlichung von Nutzerinhalten auf seiner Plattform (mit-)verantwortlich wird. Erfahrungsgemäss orientieren sich Schweizer Gerichte jedoch an der Rechtsprechung der EU, weshalb eine sehr hohe Wahrscheinlichkeit besteht, dass ein Provider wie Russmedia auch in der Schweiz für die Veröffentlichung von Nutzerinhalten als datenschutzrechtlich Mitverantwortlicher qualifiziert werden würde. Allerdings dürfte auch in der Schweiz gelten, dass ein Provider nicht alleine durch den Umstand, dass er sich die Verwendung von Nutzerhinhalten zu eigenen Zwecken vertraglich vorbehält, zum Mitverantwortlichen für die Veröffentlichung wird, sondern dass es weitere konkrete Mitwirkungshandlungen bedarf.
- Als (Mit-)Verantwortlicher für die Veröffentlichung der Nutzerinhalte hat der Provider proaktiv und von Beginn an die Einhaltung der datenschutzrechtlichen Grundsätze sicherzustellen. Dazu gehören insbesondere die Pflicht zur Gewährleistung der Rechtmässigkeit der Datenbearbeitung (Art. 6 Abs. 1 und 2 DSG) und der Richtigkeit der bearbeiteten Personendaten (Art. 6 Abs. 5 DSG). Er muss also aus eigenem Antrieb sicherstellen, dass die von ihm für eigene Zwecke genutzten Daten rechtmässig erhoben wurden und inhaltlich korrekt sind. Diese proaktiven, gesetzlichen Pflichten eines Verantwortlichen stehen im Widerspruch mit der reaktiven Natur des notice-and-take-down-Prinzips. Ein Verantwortlicher kann sich nicht darauf berufen, er habe von der Persönlichkeitsverletzung "nichts gewusst". Seine Rolle gebietet ihm, die Rechtmässigkeit der von ihm zu verantwortenden Datenbearbeitungen zu prüfen. Das Unterlassen einer solchen Prüfung begründet bereits den Vorwurf der Fahrlässigkeit, wenn der Provider sich durch die Ausgestaltung seiner Dienste und Nutzungsbedingungen eine aktive Rolle vorbehält. Das Haftungsprivileg, das für den passiven Intermediär geschaffen wurde, kann daher für den Provider, der sich die Daten durch die Mitgestaltung der Datenbearbeitung sowie auch (aber nicht allein) einen Nutzungsvorbehalt zu eigen macht, auch nach den in der Schweiz herrschenden Grundsätzen keine Geltung beanspruchen.
Es ist nach den oben dargelegten Punkten daher wahrscheinlich, dass ein Schweizer Gericht im Russmedia-Fall zu einem analogen Ergebnis wie der EuGH gelangen würde, sofern dem Hosting-Provider eine Mitverantwortung an der Veröffentlichung der Nutzerinhalte nachgewiesen wird. Auch Schweizer Hosting-Providern ist damit zu empfehlen, Schritte zu unternehmen, um eine solche (Mit-)Verantwortung für die Nutzerinhalte möglichst zu unterbinden. Dazu gehört auch, eine allfällige eigene Nutzung gegenüber der Veröffentlichung durch den Nutzer klar abzugrenzen, um nicht den Anschein einer Mitwirkung entstehen zu lassen. Ist eine Mitwirkung und damit Mitverantwortung unumgänglich (beispielsweise, weil sie dem Geschäftsmodell inhärent ist), sind robuste Compliance-Prozesse zu implementieren, um die Einhaltung der datenschutzrechtlichen Pflichten des Hosting-Providers als Verantwortlicher zu gewährleisten und so Haftungsrisiken zu minimieren.
Autorin: Sarah Bischof
