So der Generalanwalt des EuGH in seinen Schlussanträgen vom 6. Februar 2025 (Az.: C-492/23) in einem Vorabentscheidungsersuchen eines rumänischen Gerichts. Inhaltlich wurden personenbezogenen Daten einer natürlichen Person gegen deren Willen und ohne deren Wissen für eine Anzeige des Angebotes von sexuellen Dienstleistungen auf einem Online-Marktplatz veröffentlicht. Der Generalanwalt für in der Begründung seiner Ausführung zur Eigenschaft des Auftragsverarbeiters und damit verbundener Pflichten unter anderem aus:
„…Daher übt der Betreiber eines Online-Marktplatzes wie Russmedia offenbar nicht im Eigeninteresse Einfluss auf die Festlegung des Zwecks und der Mittel der Verarbeitung personenbezogener Daten aus, die möglicherweise in den auf diesem Online-Marktplatz veröffentlichten Anzeigen enthalten sind. Wenn der Betreiber an der Verarbeitung dieser Daten beteiligt ist, handelt er als Auftragsverarbeiter im Auftrag eines inserierenden Nutzers und unter dessen Verantwortung. Unter diesen Umständen sind die Nutzer eines Hosting-Diensts als „Verantwortliche“ im Sinne der DSGVO einzustufen(49).
116. In Anbetracht der Besonderheit des vorliegenden Falles sind einige zusätzliche Erläuterungen zu meinen bisherigen Ausführungen angezeigt.
117. Erstens ist es unabhängig von der Frage, ob unter der DSGVO eine betroffene Person als Verantwortlicher für die Verarbeitung ihrer eigenen personenbezogenen Daten angesehen werden kann(50), wichtig zu beachten, dass im vorliegenden Fall die Person, die die streitige Anzeige online gestellt hat, nicht selbst von den in dieser Anzeige enthaltenen Daten betroffen war.
118. Zweitens behält sich Russmedia gemäß den allgemeinen Nutzungsbedingungen ihres Online-Marktplatzes das Recht vor, die im Auftrag der inserierenden Nutzer gespeicherten Informationen zu nutzen. Russmedia darf sie kopieren, verbreiten, übermitteln, veröffentlichen, vervielfältigen, ändern, übersetzen, an Partner weitergeben und jederzeit entfernen, ohne dass es insoweit eines Grundes bedarf. Sobald ein solcher Schritt in Bezug auf die in einer Anzeige enthaltenen Daten eingeleitet wird, könnte diese Gesellschaft als Verantwortliche für einen bestimmten Verarbeitungsvorgang mit allen sich daraus ergebenden Pflichten und Verantwortlichkeiten angesehen werden. Denn eine Person kann für Verarbeitungsvorgänge verantwortlich sein, für die sie die Zwecke und Mittel festlegt. Dagegen kann, unbeschadet einer etwaigen insoweit im nationalen Recht vorgesehenen zivilrechtlichen Haftung, diese Person für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als im Sinne der DSGVO verantwortlich angesehen werden(51).
119. Drittens entsprechen meine Erwägungen der Position der Artikel-29-Datenschutzgruppe(52) in ihrer Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16. Februar 2010(53). Denn nach Ansicht dieser Arbeitsgruppe ist ein Internetanbieter, der Speicherdienste anbietet, grundsätzlich ein Auftragsverarbeiter der von seinen Kunden online veröffentlichten personenbezogenen Daten, da diese den Anbieter für das Hosting und die Wartung ihrer Internetseite beauftragen. Verarbeitet ein solcher Anbieter die von ihm gespeicherten Daten hingegen für eigene Zwecke, wird er in Bezug auf die betreffenden Verarbeitungsvorgänge zum Verantwortlichen. Dies entspricht auch der Position des Europäischen Datenschutzausschusses in seinen am 7. Juli 2021 angenommenen Leitlinien 07/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der DSGVO(54), wonach ein Hosting-Anbieter, der weder bestimmt, ob es sich bei den von ihm gehosteten Daten um personenbezogene Daten handelt, noch Daten auf andere Weise verarbeitet als durch Speicherung, im Auftrag seines Kunden ein Auftragsverarbeiter ist…“
Hinweis des Autors:
In den meisten Fällen folgt der EuGH der Ansicht des Generalanwaltes. Das Urteil des EuGH steht in dieser Sache allerdings noch aus.