Revolution beim Vorgehen gegen Fake-Accounts und Deepfakes: Warum Plattformen laut EuGH jetzt sofort haften
Wer im Internet Opfer von Fake-Accounts, Deepfakes oder einem anderen Missbrauch von personenbezogenen Daten wie Videos, Bildern oder Namensnennung wird, stößt bisher bei den Plattformen leider zu oft auf taube Ohren. Der Einstellung war: „Wir löschen es erst, wenn du es meldest; auf den von uns vorgegebenen Wegen.“ Social Media Plattformen wie Instagram, Facebook, TikTok oder X zogen sich jahrelang auf ihr sogenanntes Provider-Privileg zurück. Sie sahen sich als reine „Postboten“ von Inhalten, die für die Briefe (den Content) ihrer Nutzer nicht verantwortlich sind. Betroffene mussten den Plattformen Rechtsverstöße zur Kenntnis bringen.
Nach Artikel 6 des Digital Services Act (DSA) genießen Hosting-Dienste wie YouTube oder Facebook eine bedingte Haftungsfreistellung für Nutzerinhalte. Diese greift solange, wie die Betreiber keine Kenntnis von Rechtsverstößen haben. Um diesen Schutz aufrechtzuerhalten, sind sie jedoch verpflichtet, illegale Inhalte nach einer Meldung unverzüglich zu löschen oder zu sperren.
Ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) vom 2. Dezember 2025 gegen den Betreiber Russmedia Digital (C‑492/23) hat dieses Prinzip nun erschüttert. Für Betroffene bedeutet das: Die Rechte gegenüber Plattformen sind massiv gestärkt worden.
Der Fall: Schmutzkampagne auf einem Online-Marktplatz
Ausgangspunkt war eine besonders bösartige Form des Identitätsdiebstahls: Ein Unbekannter schaltete auf einem Online-Marktplatz Anzeigen, in denen eine Frau fälschlicherweise für sexuelle Dienstleistungen warb – inklusive ihres echten Fotos und ihrer Telefonnummer.
Obwohl der Betreiber die Anzeige nach einer Meldung schnell löschte, blieb der Schaden groß, da die Daten bereits auf andere Seiten kopiert worden waren. Die Frau klagte auf Schadensersatz – und der EuGH musste entscheiden: Reicht „Löschen nach Meldung“ wirklich aus, um einem Schadensersatzanspruch zu entgehen?
Die juristische Wende: DSGVO schlägt Haftungsprivileg
Der Kern des Urteils liegt in der Bewertung des Verhältnisses zweier Gesetze: dem Digital Services Act (DSA) (früher eCommerce-Richtlinie) und der Datenschutz-Grundverordnung (DSGVO).
- Die Plattform als „Mit-Täter“ (Gemeinsame Verantwortlichkeit)
Der EuGH stellte fest, dass Plattformbetreiber wie Russmedia (oder eben Meta und X) nicht nur passive Dienstleister sind. Da sie:
- sich beispielsweise über die AGB weitreichende Rechte an deinen Inhalten einräumen lassen,
- die Daten für eigene Werbezwecke nutzen und
- die Art der Darstellung (Dauer, Publikum) festlegen,
sind sie rechtlich gesehen „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO. Das bedeutet: Sie haften für die Rechtmäßigkeit der Datenverarbeitung auf ihrer Seite.
Ein Fake-Profil ist weit mehr als nur ein Ärgernis – es ist ein massiver Verstoß gegen die Datenschutz-Grundverordnung (DSGVO). Jedes Mal, wenn ein Täter einen Namen nutzt oder ein Foto hochlädt, findet eine Verarbeitung personenbezogener Daten statt. Da hierzu selten eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) gegeben wurde und ein solcher Betrug niemals als „berechtigtes Interesse“ des Täters durchgeht, fehlt jede Rechtsgrundlage. Zudem verstößt ein Fake-Account gegen den Grundsatz der Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO), da er eine falsche Identität vorspiegelt. Das EuGH-Urteil stellt klar: Da die Plattform diese unrichtige und nicht genehmigte Datenverarbeitung auf ihrer Infrastruktur erst ermöglicht und kommerziell verwertet, steht sie als „Verantwortliche“ in der Pflicht – und haftet für diesen Rechtsbruch.
- Das Ende des „Wegschauens“ (Kein Provider-Privileg)
Bisher galt nach Art. 6 DSA, dass Plattformen erst haften, wenn sie von einem Rechtsverstoß wissen (Notice-and-Takedown). Der EuGH hat nun klargestellt: Dieses Privileg gilt nicht für den Datenschutz. Sobald personenbezogene Daten (wie Namen, Bilder in einem Deepfake oder die ganze Identität in einem Fake-Profil) im Spiel sind, greift die DSGVO voll durch. Und die DSGVO kennt keine Haftungsbefreiung für Unwissenheit.
Was bedeutet das für Deepfakes und Fake-Accounts?
Plattformen haften unter Umständen ab dem Moment der Veröffentlichung eines Fake-Accounts oder eines Deepfakes, wenn sie keine ausreichenden Schutzmaßnahmen getroffen haben. Für rein „illegale Inhalte“ (z. B. Urheberrechsverletzungen oder Beleidigungen) bleibt das Prinzip aus Art. 6 DSA meist bestehen. Sobald aber personenbezogene Daten im Spiel sind, müssen Facebook, TikTok & Co. laut EuGH nun viel aktiver werden und dürfen nicht mehr warten, bis eine Meldung auf den rechtswidrigen Missstand hinweist. Bilder und Videos – insbesondere in Form von Deepfakes oder Fake-Accounts – sind in der Regel personenbezogene Daten im Sinne der DSGVO. Damit unterliegt eine rechtswidrige Verarbeitung durch einen Verantwortlichen – dazu zählt nach Ansicht des EuGH neben dem Täter eben auch eine Plattform, die sich umfassende Rechte an den Daten seiner Nutzer einräumen lässt – in erster Linie nicht dem Haftungsprivileg des Art. 6 DSA, sondern der unprivilegierten Haftung nach der DSGVO.
Das Unterlassen der rechtswidrigen Verarbeitung solcher Daten, also die Entfernung von Fake-Accounts und Deepfakes sollte diesem Urteil folgend für betroffene Nutzer effizienter vorzubringen und durchzusetzen sein. Selbiges dürfte für Schadensersatzansprüche gelten.
Der EuGH hat den Schutz der digitalen Identität über die Bequemlichkeit der Plattformen gestellt. Das Prinzip „Erst posten, später prüfen“ ist rechtlich nicht mehr haltbar, sobald persönlichen Daten missbraucht werden.
Der Volltext des Urteils ist abrufbar unter: https://curia.europa.eu/juris/document/document.jsf?text=&docid=306764&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=15316896