tracking newsletter notwendige dienste cookies facebook gemeinsame verantwortlichkeit

Zulässigkeit von Facebook-Fanpages – Urteil des VG Köln zur gemeinsamen Verantwortlichkeit

/von

Über die datenschutzrechtlichen Diskussionen rund um Facebook-Fanpages haben wir schon öfter berichtet: etwa zu den Forderungen der Aufsichtsbehörden zur Abschaltung von Fanpages (hier), zur Frage einer datenschutzkonformen Nutzung (hier) sowie zu den Pflichten aus einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO (hier) und einem viel beachteten EuGH-Urteil (hier).

Jetzt gibt es Neuigkeiten, die es in sich haben: Das Verwaltungsgericht Köln hat in seinem Urteil Az. 13 K 1419/23 vom 17. Juli 2025 entschieden, dass das Bundespresseamt (im Folgenden BPA) nicht gemeinsam mit Meta für problematische Datenverarbeitungen auf Facebook verantwortlich ist. Hintergrund war eine Untersagung des Betriebs der Fanpage des BPA durch den damaligen Bundesdatenschutzbeauftragten (im Folgenden BfDI) aus dem Jahr 2023. Begründung: Es gebe keine wirksame Rechtsgrundlage für die Datenverarbeitung durch Facebook sowie keine hinreichende Einwilligung für die Verwendung nicht unbedingt erforderlicher Cookies und Trackingtechnologien. Aufgrund der angenommenen gemeinsamen Verantwortlichkeit, habe nach Ansicht der Behörde nicht nur Meta, sondern auch das BPA selbst für die Einholung wirksamer Einwilligungen (Art. 7 DSGVO) zu sorgen.

Hintergrund: Die Auffassung der Aufsichtsbehörden

Die deutschen Aufsichtsbehörden – allen voran der damalige Bundesdatenschutzbeauftragte Ulrich Kelber – gingen bislang von einer klaren Linie aus: Wer eine Facebook-Fanpage betreibt, ist gemeinsam mit Meta verantwortlich für die Verarbeitung personenbezogener Daten der Seitenbesucher*innen. Dies betreffe nicht nur die inhaltliche Gestaltung der Fanpage, sondern auch technische Aspekte wie das Speichern und das Auslesen von Daten auf den Nutzer*innenendgeräten, zum Beispiel in Form von Cookies.

Nach ihrer Auffassung ist der Betrieb einer Fanpage ohne vorherige wirksame Einwilligung der Nutzer*innen in die Speicherung und Auswertung bestimmter Tracking- und Marketingdaten nicht zulässig. Der BfDI stütze sich dabei auf die EuGH-Entscheidung in der Rechtssache „Wirtschaftsakademie“ (Urteil vom 05.06.2018, Az. C-210/16), in der der Gerichtshof eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen einem Bildungsanbieter und Facebook annahm, weil der Fanpage-Betreiber damals über die sogenannten „Insights“-Funktionen gezielt Einfluss auf die Datenauswertung nehmen konnte. Diese Steuerungsmöglichkeiten hätten es ermöglicht, Zielgruppen nach bestimmten demografischen oder geografischen Merkmalen zu segmentieren.

Für die Behörden stand fest: Auch wenn Facebook inzwischen technische Änderungen vorgenommen hat, bleibe der Seitenbetreiber mittelbar in den Datenerhebungsprozess eingebunden, da der Kontakt zwischen Nutzer*in und Plattform überhaupt erst durch den Betrieb der Fanpage zustande kommt. In dieser Logik sei der Betreiber verpflichtet, mit Meta eine Vereinbarung nach Art. 26 DSGVO zu schließen und für die Rechtmäßigkeit der Verarbeitung zu sorgen.

Urteil des Verwaltungsgericht Köln: Alleinige Verantwortung bei Meta

Das Verwaltungsgericht Köln sah das anders. Der Betrieb einer Fanpage allein, so die Richter*innen, sei kein aktiver Beitrag zu den beanstandenden Datenverarbeitungen. Die notwendige gemeinsame Festlegung der Zwecke und Mittel nach Art. 26 DSGVO fehle. Entscheidend: Das BPA kann weder beeinflussen, ob und wie Meta Cookies setzt, noch wie die daraus gewonnenen Daten genutzt werden.

Die Speicherung dieser Cookies erfolgt bei jedem Facebook-Besuch – egal, ob auf der Seite des BPA oder anderswo. Damit gibt es keinen konkreten Zusammenhang zwischen der Tätigkeit des BPA und dem Cookie-Einsatz.

Das Gericht grenzte sich ausdrücklich von der EuGH-Rechtsprechung ab:

  • „Wirtschaftsakademie“ (2018): Damals hatten Fanpage-Betreiber noch echte Steuerungsmöglichkeiten, die heute nicht mehr existieren.
  • „Fashion ID“ (2019): Hier ging es um den „Gefällt-mir“-Button und die aktive Einbindung von Facebook-Code in eine eigene Webseite – eine vollkommen andere Situation als bei einer einfachen Fanpage, die auf den Meta-Servern betrieben wird.

Fazit des Verwaltungsgerichts Köln: Meta trägt die Verantwortung allein. Die Untersagung der Fanpage war daher rechtswidrig.

Was das bedeutet – und was nicht

Das Urteil ist für viele Behörden und Unternehmen zunächst ein Befreiungsschlag. Es schwächt die bisherige Linie der deutschen Aufsichtsbehörden und stellt klar: Wer keine direkte Einflussmöglichkeit auf die kritischen Verarbeitungsschritte hat, ist auch nicht automatisch mitverantwortlich.

Aber: Das heißt nicht, dass die Vorgehensweise von Facebook nun als rechtmäßig gilt. Ob Metas Consent Management rechtskonform war, hat das Gericht nicht entschieden. Diese Frage bleibt strittig – nur eben ohne Folgen für den Fanpage-Betreiber.

Praktisch bedeutet das: Betreiber*innen müssen nicht für Datenschutzverstöße von Meta einstehen, wenn diese komplett außerhalb ihres Einflussbereichs liegen. Meta selbst ist weiterhin in der Pflicht – auch wenn es für deutsche Behörden schwierig bleibt, gegen ein Unternehmen mit Sitz in den USA durchzugreifen.

Handlungsempfehlung

Als Handlungsempfehlung bietet es sich an, den Betrieb von Social-Media-Präsenzen weiterhin kritisch zu hinterfragen und regelmäßig zu prüfen, ob technische oder organisatorische Maßnahmen zur besseren Transparenz und Rechtskonformität umgesetzt werden können. Dazu zählen insbesondere

  • klare und gut auffindbare Hinweise, in denen die Rolle des Plattformbetreibers und die eigenen Verantwortlichkeiten differenziert dargestellt werden
  • leicht verständliche und regelmäßig aktualisierte Datenschutzhinweise gemäß Artt. 12 ff. DSGVO
  • die Vermeidung unnötiger Tracking- oder Analysefunktionen, soweit diese nicht zwingend für den Betrieb erforderlich sind
  • regelmäßige Überprüfung der eingesetzten Plug-ins, Widgets und eingebundenen Inhalte auf datenschutzrechtliche Risiken

Diese Maßnahmen helfen nicht nur, rechtliche Risiken zu reduzieren, sondern stärken auch das Vertrauen der Nutzer*innen. Wer die Transparenz und den Schutz personenbezogener Daten ernst nimmt, kann Social-Media-Angebote weiterhin nutzen, ohne unnötige Angriffsflächen für datenschutzrechtliche Beanstandungen zu bieten.

Fazit

Für die Praxis bedeutet das Urteil zunächst eine gewisse Entspannung. Behörden und Unternehmen, die eine Fanpage betreiben, müssen aktuell nicht befürchten, allein deshalb von Aufsichtsbehörden zur Abschaltung gezwungen zu werden. Dennoch ist Vorsicht geboten: Das Urteil ist noch nicht rechtskräftig, die Berufung zum Oberverwaltungsgericht Münster wurde zugelassen. Sollte das Verfahren in die nächste Instanz gehen oder gar vor dem EuGH langen, könnte sich die Bewertung erneut ändern.

Es darf auch nicht vergessen werden, dass das Besondere an diesem Fall nicht darin liegt, dass die Datenverarbeitungspraktiken von Facebook bzw. Meta für rechtmäßig erklärt wurden. Über diese Frage hat das Verwaltungsgericht Köln nicht entschieden. Anders als in den bekannten Entscheidungen „Wirtschaftsakademie“ (EuGH, 05.06.2018, Az. C-210/16) und „Fashion ID“ (EuGH, 29.07.2019, Az. C-40/17) wurde lediglich für den Betrieb von Fanpages keine gemeinsame Verantwortlichkeit festgestellt. Stattdessen sieht das Verwaltungsgericht Köln den Betreiber einer Fanpage in einer getrennten Rolle, die nicht automatisch mit einer Haftung für die Datenschutzverstöße des Plattformanbieters verbunden ist.