Online marktplaats kan verwerkingsverantwoordelijke zijn door persoonsgegevens in getoonde advertenties

HvJ EU 2 december 2025, IT 5091; RB 3963; ECLI:EU:C:2025:935 (X tegen Russmedia Digital, Inform Media Press). Russmedia Digital, is eigenaar van de website www.publi24.ro, een onlinemarktplaats waarop kosteloos of tegen vergoeding advertenties kunnen worden gepubliceerd over met name de verkoop van goederen of het verlenen van diensten in Roemenië. Verzoekster in het hoofdgeding voert aan dat een niet-geïdentificeerde derde op 1 augustus 2018 op die website een misleidende en schadelijke advertentie heeft geplaatst waarin werd beweerd dat zij seksuele diensten aanbood. De advertentie bevatte met name foto’s van verzoekster in het hoofdgeding, die zonder haar toestemming werden gebruikt, maar ook haar telefoonnummer. Deze advertentie is vervolgens letterlijk overgenomen op andere reclamewebsites, waar zij met vermelding van de oorspronkelijke bron online is geplaatst. De Roemeense rechter stelde prejudiciële vragen, die het Hof eerst herformuleert.  

Het Hof oordeelt dat een exploitant van een onlinemarktplaats (zoals Russmedia) onder de AVG als verwerkingsverantwoordelijke kan worden aangemerkt wanneer persoonsgegevens in advertenties op zijn platform worden gepubliceerd. Dit geldt ook wanneer de advertentie is geplaatst door een derde en zonder medeweten van de exploitant. In het besproken geval bevatte een advertentie zonder toestemming van de betrokkene foto’s, een telefoonnummer en verwijzingen naar seksuele diensten. De AVG vereist dat de exploitant vóór publicatie nagaat of een advertentie gevoelige gegevens bevat, of de adverteerder de betrokkene is, en of er uitdrukkelijke toestemming bestaat. Zo niet, dan moet publicatie worden geweigerd. Ook is hij verplicht technische en organisatorische maatregelen te treffen om verspreiding van deze gegevens (ook naar andere websites) te voorkomen. De verantwoordelijkheid geldt zelfs als de exploitant niet de inhoud van de advertentie bepaalt, zolang hij invloed uitoefent op de publicatie en commerciële doelen nastreeft. Verder kan de exploitant zich niet beroepen op de aansprakelijkheidsbeperkingen uit de e-commercerichtlijn (richtlijn 2000/31/EG) voor tussenpersonen om aan AVG-verplichtingen te ontsnappen. De verplichtingen uit de AVG (zoals transparantie, juistheid, beveiliging en bescherming van gevoelige gegevens) blijven leidend. 

Het Hof (Grote kamer) verklaart voor recht:

1)      Artikel 5, lid 2, en de artikelen 24 tot en met 26, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moeten aldus worden uitgelegd dat

de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, gehouden is om, voorafgaand aan de publicatie van de advertenties en door middel van passende technische en organisatorische maatregelen,

–        na te gaan welke advertenties gevoelige gegevens bevatten in de zin van artikel 9, lid 1, AVG,

–        na te gaan of de adverterende gebruiker die een dergelijke advertentie wil plaatsen de persoon is wiens gevoelige gegevens in die advertentie zijn opgenomen en, indien dit niet het geval is,

–        de publicatie ervan te weigeren, tenzij die adverterende gebruiker kan aantonen dat de betrokkene uitdrukkelijk toestemming heeft gegeven in de zin van dat artikel 9, lid 2, onder a), om de gegevens in kwestie op die onlinemarktplaats te publiceren of een van de andere uitzonderingen van artikel 9, lid 2, onder b) tot en met j), van toepassing is.

2)      Artikel 32 van verordening 2016/679

moet aldus worden uitgelegd dat

de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van deze verordening van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, verplicht is om passende technische en organisatorische beveiligingsmaatregelen te treffen om te voorkomen dat de gepubliceerde advertenties die gevoelige gegevens in de zin van artikel 9, lid 1, van die verordening bevatten, worden gekopieerd en onrechtmatig op andere websites worden gepubliceerd.

3)      Artikel 1, lid 5, van richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt („richtlijn inzake elektronische handel”) en artikel 2, lid 4, van verordening 2016/679

moeten aldus worden uitgelegd dat

de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van verordening 2016/679 van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, zich ten aanzien van de niet-naleving van de verplichtingen die voortvloeien uit artikel 5, lid 2, alsmede de artikelen 24 tot en met 26 en 32 van die verordening, niet kan beroepen op de artikelen 12 tot en met 15 van die richtlijn betreffende de aansprakelijkheid van dienstverleners die als tussenpersoon optreden.