HvJ EU Russmedia: platforms verantwoordelijk voor persoonsgegevens in advertenties

Het Hof van Justitie van de EU heeft op 2 december 2025 een belangrijke uitspraak (Russmedia, C-492/23) gedaan over de verantwoordelijkheid van online platforms voor advertenties met persoonsgegevens. De uitspraak laat zien dat platforms onder de Algemene Verordening Gegevensbescherming (“AVG”) vergaande verplichtingen kunnen hebben bij de verwerking van die persoonsgegevens.

Op een Roemeense online marktplaats van Russmedia werd een advertentie geplaatst waarin een vrouw – zonder haar toestemming – werd gepresenteerd als aanbieder van seksuele diensten, met haar foto’s en telefoonnummer. Hoewel het platform de advertentie snel verwijderde nadat de vrouw klaagde, was deze inmiddels al verspreid via andere websites. De vrouw stelde het platform aansprakelijk wegens (onder andere) onrechtmatige verwerking van haar persoonsgegevens.

Het Hof oordeelt dat een platformexploitant onder omstandigheden kan kwalificeren als (gezamenlijk) verwerkingsverantwoordelijke onder de AVG voor persoonsgegevens in door gebruikers geplaatste advertenties, bijvoorbeeld wanneer het platform de publicatie organiseert, parameters voor verspreiding bepaalt of ruime (commerciële) gebruiksrechten heeft ten aanzien van de content. Die kwalificatie kan belangrijke gevolgen hebben. Volgens het Hof moet een platform in dat geval vóór publicatie door middel van passende technische en organisatorische maatregelen controleren of advertenties gevoelige persoonsgegevens bevatten, en zo ja, nagaan of de adverteerder zelf de betrokkene is of diens uitdrukkelijke toestemming heeft. Als die toestemming ontbreekt, moet het platform publicatie weigeren en passende technische maatregelen nemen om verdere verspreiding te beperken. Daarnaast maakt het Hof duidelijk dat platforms zich niet kunnen beroepen op de hosting-aansprakelijkheidsbeperkingen uit de Digital Services Act (“DSA”) wanneer zij hun verplichtingen onder de AVG niet naleven.

Voor slachtoffers van misbruik van hun persoonsgegevens – bijvoorbeeld bij deepfakes of het ongeautoriseerd gebruik van foto’s in advertenties – biedt de uitspraak extra bescherming: zij kunnen in bepaalde gevallen ook het platform aanspreken als (mede)verwerkingsverantwoordelijke onder de AVG. Voor platforms verschuift de nadruk van een reactief notice-and-takedownmodel naar meer preventieve controlemaatregelen, zoals checks bij het uploaden van advertenties en verificatie van gebruikersidentiteit. Tegelijkertijd kan dit spanning opleveren met de positie van platforms onder de DSA, omdat actieve inhoudelijke controles de vraag oproepen of een platform nog een voldoende neutrale rol heeft om zich op de aansprakelijkheidsbeperkingen voor hostingdiensten onder de DSA te beroepen (bij content die om andere redenen dan strijd met de AVG onrechtmatig is). Deze verhouding tussen AVG-verplichtingen en DSA-safe harbors zal in toekomstige rechtspraak verder moeten uitkristalliseren. Platforms doen er hoe dan ook goed aan hun werking en verificatie- en moderatieprocessen in het licht van deze uitspraak te (her)beoordelen.

Lisa Peek

AdvertisingDaphne VrielingHvJ, HvJEU, Russmedia, AVG, persoonsgegevens