VG Köln zu Facebook-Fanpages: Gemeinsame Verantwortlichkeit infrage gestellt

Mit Urteil vom 17. Juli 2025 hat das Verwaltungsgericht Köln (VG Köln) Position zur datenschutzrechtlichen Verantwortlichkeit beim Betrieb von Facebook-Fanpages bezogen und einen Untersagungsbescheid der Bundesbeauftragen für den Datenschutz und die Informationssicherheit (BfDI) gegen das Bundespresseamt (BPA) aufgehoben.

Diese Entscheidung wirft grundsätzliche Fragen zur Reichweite der gemeinsamen Verantwortlichkeit im Sinne des Art. 26 der Datenschutz-Grundverordnung (DSGVO) auf und zieht damit erneut die Aufmerksamkeit auf die Diskussion rund um die datenschutzrechtliche Haftung bei der Nutzung sozialer Netzwerke.

Hintergrund: Streit um die Facebook-Seite der Bundesregierung

Hintergrund des Verfahrens ist die Facebook-Fanpage der Bundesregierung, welche durch das Bundespresseamt (BPA) betrieben wird. Die BfDI hatte im Februar 2023 per Bescheid den Betrieb dieser Seite untersagt, da die Cookie-Einwilligungsvorgaben als nicht datenschutzkonform bewertet wurden. Die zentrale Rechtsfrage des Verfahrens betrifft das Vorliegen einer gemeinsamen Verantwortlichkeit zwischen dem Betreiber der Fanpage und dem Plattformbetreiber Meta gemäß Art. 26 DSGVO.

Das VG Köln stellte fest, dass das BPA nicht gemeinsam mit Meta für die fragliche Datenverarbeitung verantwortlich ist. Der entscheidende Punkt: Das BPA könne weder die Platzierung der Cookies noch deren Auswertung beeinflussen, weshalb auch keine gemeinsame Festlegung der Zwecke und Mittel im Sinne der DSGVO vorliege.

Widerspruch zur EuGH-Rechtsprechung?

Diese Auslegung steht in einem Spannungsverhältnis zur Rechtsprechung des Europäischen Gerichtshofs (EuGH). Bereits im Jahr 2018 hatte der EuGH im Fall „Wirtschaftsakademie“ entschieden, dass Betreiber von Facebook-Fanpages unter bestimmten Umständen gemeinsam mit Meta für Datenschutzverstöße verantwortlich gemacht werden können. Das VG Köln hingegen verfolgt eine restriktivere Auslegung der gemeinsamen Verantwortlichkeit und betont, dass diese nur dann vorliegt, wenn tatsächlich Einfluss auf die Verarbeitung von personenbezogenen Daten genommen wird und nicht allein aufgrund der Ermöglichung der Datenverarbeitung.

Rechtsunsicherheit bleibt bestehen

Die BfDI hat Berufung gegen das Urteil des VG Köln vor dem Oberverwaltungsgericht Münster eingelegt, sodass das Verfahren in die nächste Instanz geht. Das Berufungsverfahren wird nun erste Klarheit darüber schaffen, ob die Kölner Auslegung der gemeinsamen Verantwortlichkeit Bestand hat oder ob sich eine weitreichendere Interpretation durchsetzt. Für Unternehmen sowie öffentliche Stellen, die Social-Media-Auftritte betreiben, bleibt die Rechtslage vorerst weiterhin unklar.

Bis zur endgültigen Klärung empfiehlt die BfDI in ihrer jüngst veröffentlichten Handreichung zur rechtssicheren Social-Media-Nutzung, eine klare Unterscheidung zwischen den Anforderungen aus der eigenen Datenverarbeitung und der möglichen gemeinsamen Verantwortlichkeit vorzunehmen. Die Einhaltung der datenschutzrechtlichen Anforderungen an die eigene Datenverarbeitung sollte bereits jetzt sichergestellt sein.

Praxistipp

Betreiber von Social-Media-Auftritten sollten die weitere Entwicklung des Verfahrens aufmerksam verfolgen und ihre Compliance-Strategie entsprechend flexibel anpassen. Eine vollständige Rechtssicherheit wird jedoch erst mit einer höchstrichterlichen Entscheidung oder einer gesetzgeberischen Klarstellung erreicht werden können.

Ihre Ansprechpartner in unserem Büro Dresden im Zusammenhang mit dem Datenschutzrecht sind:

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Ansgar Strewe

Rechtsanwältin und Fachanwältin für IT-Recht sowie für Urheber- und Medienrecht Heike Nikolov

Rechtsanwältin Anne Graurock

Wirtschaftsjuristin im Bereich Datenschutz & Compliance Aleksandra Friemel, LL.M.