Der lange Arm der Mitgliedstaaten

Es reicht nicht nur, sich an das Recht seines Landes und der EU zu halten – Internetdienste müssen sich auch dort dem Recht fügen, wo sie nutzbar sind, bekräftigt der EuGH. Max-Julian Wiedemann und Clara Louisa Veelken erklären, was das bedeutet.

EU-Mitgliedstaaten dürfen Diensteanbietern aus anderen EU-Ländern in Bereichen wie etwa Pornografie oder Blitzer-Meldern einen Riegel vorschieben. Einen Verstoß gegen das Herkunftslandsprinzip sieht der EuGH darin nicht, wie er in seinem Urteil am Dienstag klarstellte (Urteil vom 16.06.2026 – C‑188/24 und C‑190/24). Zugleich betont der Gerichtshof, dass Anbieter von Diensten der Informationsgesellschaft für Inhalte und Informationen verantwortlich blieben, wenn sie diese kontrollierten.

Der Entscheidung zugrunde lagen zwei französische Regelungskomplexe, die auf den ersten Blick wenig miteinander zu tun haben. Zum einen befasste sich der EuGH mit der Zulässigkeit von Altersüberprüfungen für Webseiten mit pornografischen Inhalten. Zum anderen prüfte er die Untersagung der Weiterverbreitung von Hinweisen auf Verkehrskontrollen.

Tschechische Porno-Website ohne Altersverifikation

In der Rechtssache C‑188/24 wandten sich die in der Tschechischen Republik ansässigen Unternehmen WebGroup Czech Republic und NKL Associates s.r.o., die Porno-Webseiten betreiben, gegen französische Vorgaben zum Schutz Minderjähriger vor pornografischen Inhalten im Netz. Nach französischem Recht ist es strafbar, pornografische Inhalte so zu verbreiten oder zugänglich zu machen, dass Minderjährige sie sehen oder wahrnehmen können. Eine bloße Erklärung des Nutzers, volljährig zu sein, genügt nach französischem Recht nicht, um dieser Strafbarkeit zu entgehen. Anbieter entsprechender Webseiten müssen daher technische Mechanismen einsetzen, um Minderjährige wirksam am Zugang zu hindern. 

Die französische Regulierungsbehörde für audiovisuelle und digitale Kommunikation (ARCOM) konnte auf dieser Grundlage gegen Anbieter vorgehen, die solche Schutzmechanismen nicht einsetzten. WebGroup Czech Republic und NKL Associates s.r.o. hielten dem entgegen, Frankreich dürfe ihnen als Anbietern mit Sitz in einem anderen Mitgliedsstaat nicht ohne Weiteres eigene nationale Anforderungen auferlegen. 

Der französische Conseil d’État (Staatsrat) legte dem EuGH deshalb mehrere Fragen zur Auslegung der E-Commerce-Richtlinie (Richtlinie 2000/31/EG über den elektronischen Geschäftsverkehr) vor. Konkret sollte der EuGH entscheiden, ob eine Pflicht zur Altersverifikation aus dem koordinierten Bereich der E-Commerce-Richtlinie herausfalle, wenn sie an allgemeine strafrechtliche Vorschriften anknüpfe. Zweitens wollte das französische Gericht wissen, ob eine solche Pflicht in den koordinierten Bereich falle, obwohl sich die Verpflichtung auf keines der Sachgebiete bezieht, die durch die Harmonisierungsbestimmungen des Kapitels II der E-Commerce-Richtlinie geregelt werden. Drittens fragte das vorlegende Gericht, ob der Schutz Minderjähriger und ihrer Grundrechte eine weitergehende nationale Anwendung gegenüber ausländischen Anbietern rechtfertigen könne.

Blitzer-Warndienst im Fokus französischer Behörden

Gegenstand der zweiten Rechtssache C‑190/24 war der Fahrerassistenz- und Navigationsdienst Coyote System, der u.a. einen Blitzer-Warndienst anbietet. Solche Dienste beruhen darauf, dass Nutzerinnen und Nutzer Blitzerstandorte melden, die anschließend an andere Nutzerinnen und Nutzer weitergegeben werden. Nach französischem Recht kann Betreibern untersagt werden, bestimmte Informationen über Verkehrskontrollen weiterzuverbreiten. So soll verhindert werden, dass sich Verkehrsteilnehmerinnen und -teilnehmer Kontrollen entziehen, die etwa auch der Ergreifung gesuchter Personen dienen. 

Auch hier legte das Gericht dem EuGH die Frage vor, ob dieses nationale Verbot für geolokalisierte Fahrerassistenz- und Navigationsdienste in den koordinierten Bereich der E-Commerce-Richtlinie falle, obwohl es keines der in Kapitel II ausdrücklich harmonisierten Themen betrifft. Frankreich hatte geltend gemacht, die Maßnahme diene nicht der Regulierung eines Online-Dienstes als solchem, sondern der Wirksamkeit polizeilicher Kontrollen und damit der öffentlichen Ordnung und Sicherheit. Zweitens wollte das französische Gericht wissen, ob ein solches Verbot auch dann dem Herkunftslandprinzip der Richtlinie unterliege, wenn es verhindern soll, dass gesuchte Personen oder Gefährder Verkehrskontrollen umgehen. Dabei sei zu beachten, dass die E-Commerce-Richtlinie den Mitgliedstaaten gerade nicht die Möglichkeit nehmen solle, ihre nationalen strafrechtlichen Vorschriften anzuwenden, um Ermittlungs- und andere Maßnahmen zu ergreifen, die zur Aufklärung und Verfolgung von Straftaten erforderlich sind (vgl. Erwägungsgrund 26 der E-Commerce-Richtlinie).

Abschließend stellte sich die Frage nach der Auslegung von Art. 15 der E-Commerce-Richtlinie in diesem Zusammenhang. Der Anbieter des Navigationssystems hatte versucht, sich auf diese Regelung zu berufen, wonach den Anbietern von Hosting-Diensten keine allgemeine Verpflichtung auferlegt werden darf, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tat hinweisen.

Herkunftslandprinzip als unionsrechtlicher Prüfungsmaßstab

Dreh- und Angelpunkt der Verfahren war das Herkunftslandprinzip des Art. 3 der E-Commerce-Richtlinie. Danach unterliegen Dienste der Informationsgesellschaft im koordinierten Bereich – also dem Bereich, den die Richtlinie zu regeln beabsichtigt – grundsätzlich nur dem Recht des Mitgliedstaats, in dem die Anbieter niedergelassen sind. Für diese heißt das vereinfacht, dass sie nicht allein deshalb sämtliche nationalen Vorgaben jedes EU-Staates erfüllen müssen, weil ihr Dienst dort abrufbar ist. Das Herkunftslandprinzip ist immer wieder Gegenstand von EuGH-Entscheidungen. In der Vergangenheit entschied der EuGH auf Grundlage des Prinzips beispielsweise in diesem Zusammenhang, dass Mitgliedstaaten nicht berechtigt seien, ausländischen Anbietern von Kommunikationsplattformen generell-abstrakte Verpflichtungen zur Löschung von Inhalten aufzuerlegen (vgl. C-376/22). 

Andere Mitgliedstaaten dürfen die Dienstleistungsfreiheit von Anbietern nur unter den Voraussetzungen von Art. 3 Abs. 4 und Abs. 5 der E-Commerce-Richtlinie beschränken. Entscheidend war daher für den vorliegenden Fall, ob die französischen Verpflichtungen in den "koordinierten Bereich" der Richtlinie nach Art. 2 Buchst. h fallen.

Der EuGH bejahte das für beide Streitsachen. Sowohl die Pflicht zur Alterskontrolle als auch das Verbot der Weiterverbreitung von Kontrollhinweisen fallen nach seiner Ansicht in den koordinierten Bereich des Art. 2 Buchst. h der E-Commerce-Richtlinie, obwohl diese Maßnahmen nicht zu den ausdrücklich harmonisierten Materien der Richtlinie gehören.

Regulierung als Voraussetzung für nationale Sicherheit und Ordnung

Obwohl die Maßnahmen in den Anwendungsbereich des Herkunftslandprinzips fallen, sah der EuGH dennoch keinen Verstoß. Vielmehr hielt er für beide Maßnahmen die Ausnahmeregelung des Art. 3 Abs. 4 der E-Commerce-Richtlinie für anwendbar. Nach Art. 3 Abs. 4 der E-Commerce-Richtlinie dürfen die Mitgliedstaaten ausnahmsweise Maßnahmen gegenüber ausländischen Anbietern ergreifen, sofern dies insbesondere aus Gründen der öffentlichen Ordnung und der öffentlichen Sicherheit erforderlich und verhältnismäßig ist. Notwendig ist darüber hinaus, dass die Maßnahmen auf bestimmte Dienste der Informationsgesellschaft abzielen, die den genannten Zielen tatsächlich zuwiderlaufen, und durch individuelle Entscheidungen umgesetzt werden. In der Regel ist es überdies geboten, den Niederlassungsstaat vor dem Ergreifen der Maßnahmen selbst um Hilfe zu ersuchen. 

Ob all diese Voraussetzungen im vorliegenden Fall erfüllt sind, liegt aber außerhalb des Prüfungsrahmens des EuGH im Vorlageverfahren. Die Begutachtung dieser Anforderungen im Einzelfall ist damit Sache des französischen Staatsrats, der nun erneut über die Verfahren zu entscheiden hat. 

Kein Host-Provider-Privileg für Blitzer-Warner

Coyote System hatte in seinem Verfahren angeführt, die französischen Regelungen verstießen außerdem gegen Art. 15 der E-Commerce-Richtlinie, der Anbieter von Plattformen von der Pflicht befreit, dort von Dritten verbreitete Inhalte proaktiv zu prüfen. Das Unternehmen übe keine Kontrolle über den Inhalt der von den Nutzerinnen und Nutzern eingegebenen Meldungen aus, sondern leite diese unverändert an die anderen Nutzerinnen und Nutzer weiter, argumentierte Coyote. Das französische Gericht wollte daher wissen, ob Art. 15 einer Regelung entgegensteht, nach der Betreiber eines Fahrerassistenz- oder Navigationsdienstes verpflichtet sind, bestimmte Arten von Nachrichten oder Hinweisen vorab zu überprüfen, bevor sie weitergegeben werden. 

Der EuGH wies die Argumentation des Dienstes nun zurück: Coyote System könne sich nicht auf die Host-Provider-Privilegierung in Art. 15 der E-Commerce-Richtlinie berufen. Wer gespeicherte Nutzerinformationen nicht nur technisch-passiv vorhalte, sondern mithilfe eines Algorithmus bestimme, unter welchen Bedingungen, in welcher Weise und in welcher Rangfolge sie verbreitet würden, sei kein neutraler Hosting-Anbieter. 

Herkunftslandprinzip ist kein Universal-Schutzschild

Die Entscheidung hat Auswirkungen, die über Pornoseiten und Navigationsdienste hinausgehen. Sie macht erstens deutlich, dass das Herkunftslandprinzip kein pauschaler Schutzschild gegen nationale Maßnahmen ist. Der EuGH stellt klar, dass Mitgliedstaaten auch gegenüber im EU-Ausland niedergelassenen Anbietern Maßnahmen ergreifen können, wenn sie die Voraussetzungen des Art. 3 Abs. 4 der E-Commerce-Richtlinie einhalten. Das ist insbesondere der Fall, wenn sie ihre Maßnahmen berechtigterweise auf besonders gewichtige Schutzgüter wie den Jugendschutz oder die öffentliche Sicherheit stützen. 

Für Anbieter digitaler Dienste steigt damit der Druck, bei grenzüberschreitenden Geschäftsmodellen nicht nur das Recht des Sitzstaats, sondern auch mögliche unionsrechtlich zulässige Einzelmaßnahmen anderer Mitgliedstaaten im Blick zu behalten. Es verfestigt sich damit eine Entwicklung, wonach Diensteanbieter in der EU ihre Geschäftsmodelle so ausgestalten müssen, dass diese nicht nur im Einklang mit den harmonisierten EU-Vorgaben stehen, sondern auch spezifische mitgliedsstaatliche Verpflichtungen einhalten. In der Praxis bedeutet das häufig, dass eine einheitliche Lösung in der EU nur dann möglich ist, wenn die Vorgaben des am strengsten regulierenden Mitgliedsstaates eingehalten werden. 

Daneben stellt der EuGH noch einmal die strengen Anforderungen an das Hosting-Provider-Privileg klar. Je stärker ein Dienst Inhalte nicht nur speichert, sondern die Sichtbarkeit und Verbreitung der Nutzerinhalte aktiv steuert, desto schwieriger wird es, sich auf die Privilegierungen eines neutralen Hosting-Anbieters zu berufen.