Facebook vs. Bundepresseamt - VG Köln entscheidet

Die digChatGPT_Image_23._Juli_2025_08_03_21.pngitale Präsenz von Unternehmen und Behörden im Internet ist heute selbstverständlich. Doch mit der zunehmenden Nutzung von Social Media Plattformen und eigenen Webseiten wachsen auch die datenschutzrechtlichen Herausforderungen. Ein aktuelles Urteil des Verwaltungsgerichts Köln (VG Köln, Az. 13 K 141/23) beleuchtet exemplarisch die Fallstricke, die sich beim Betrieb von Facebook-Fanpages ergeben, insbesondere im Hinblick auf die Erhebung von Nutzerdaten mittels Cookies. Dieses Urteil, das die Bundesregierung als Betreiberin einer Fanpage betrifft, hat weitreichende Implikationen – nicht nur für öffentliche Stellen, sondern auch für jedes Unternehmen im E-Commerce, das soziale Medien nutzt oder Tracking-Technologien einsetzt. Es unterstreicht einmal mehr die Notwendigkeit eines wasserdichten Datenschutzes und einer transparenten Informationspolitik für Besucher und Kunden.

Die digitale Präsenz und ihre datenschutzrechtlichen Schattenseiten: Der Fall der Facebook-Fanpage

Kaum eine moderne Organisation, sei es ein großes Unternehmen, ein lokaler Handwerksbetrieb oder eine Bundesbehörde, kommt heute ohne eine Präsenz in den sozialen Medien aus. Plattformen wie Facebook bieten eine große Reichweite und direkte Interaktionsmöglichkeiten mit der Zielgruppe, seien es Kunden, Bürger oder Interessenten. Doch die vermeintliche Einfachheit der Nutzung birgt komplexe rechtliche Risiken, insbesondere im Bereich des Datenschutzes. Das jüngste Urteil des Verwaltungsgerichts Köln ist ein weiteres Puzzlestück in einer Reihe von Entscheidungen, die sich mit der datenschutzrechtlichen Verantwortung beim Betrieb von Social Media Fanpages auseinandersetzen.

Was ist eine Fanpage aus datenschutzrechtlicher Sicht?

Eine Facebook-Fanpage ist mehr als nur ein digitales Schaufenster. Sie ist eine datenintensive Umgebung. Wenn Nutzer eine Fanpage besuchen, werden diverse Informationen über ihr Verhalten und ihre Geräte erfasst. Dazu gehören beispielsweise die IP-Adresse, Informationen über den verwendeten Browser und das Betriebssystem, die Verweildauer auf der Seite, welche Beiträge angesehen oder geklickt wurden und vieles mehr. Diese Daten dienen Facebook dazu, umfassende Profile über seine Nutzer zu erstellen und den Betreibern der Fanpages sogenannte "Insights"-Daten zu liefern – anonymisierte Statistiken über die Besucher und deren Interaktion. Diese Insights sind für die Betreiber extrem wertvoll, um ihre Inhalte und Marketingstrategien zu optimieren. Genau hier setzt die datenschutzrechtliche Problematik an.

Die Revolution des „Gemeinsamen Verantwortlichen“: Eine EU-weite Entwicklung

Bevor wir uns dem Kölner Urteil widmen, ist es entscheidend, einen Blick auf die Grundpfeiler zu werfen, auf denen es fußt. Die Europäische Union hat mit der Datenschutz-Grundverordnung (DSGVO) den Datenschutz in Europa maßgeblich gestärkt. Ein Kernkonzept, das in diesem Kontext für Social Media Fanpages von entscheidender Bedeutung wurde, ist das der „gemeinsamen Verantwortlichkeit“ gemäß Art. 26 DSGVO.

Dieses Konzept besagt, dass, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen, sie gemeinsam verantwortlich sind. Das bedeutet im Klartext: Nicht nur Facebook selbst ist für die Datenverarbeitung verantwortlich, sondern auch der Betreiber der Fanpage, da er durch das Einrichten und Betreiben der Fanpage aktiv zu dieser Datenverarbeitung beiträgt und aus ihr Vorteile zieht (z.B. die genannten Insights-Daten).

Die Weichen hierfür stellte der Europäische Gerichtshof (EuGH) mit zwei wegweisenden Urteilen:

  1. EuGH-Urteil "Wirtschaftsakademie Schleswig-Holstein" (C-210/16 vom 5. Juni 2018): Dieses Urteil war das erste, das festlegte, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Fanpage-Besucher verantwortlich ist. Der EuGH argumentierte, dass der Betreiber einer Fanpage Facebook die Möglichkeit gibt, Cookies auf den Geräten der Besucher zu platzieren, und dass die erhobenen Daten (auch wenn sie nur aggregiert als "Insights" zur Verfügung gestellt werden) der Fanpage zugutekommen.
  2. EuGH-Urteil "Fashion ID" (C-40/17 vom 29. Juli 2019): Dieses Urteil bestätigte und erweiterte die Prinzipien der gemeinsamen Verantwortlichkeit, diesmal im Kontext des Facebook "Like"-Buttons auf Websites. Es wurde klargestellt, dass auch das bloße Einbinden eines Social-Media-Plugins, das die Übermittlung von Nutzerdaten an den Plattformbetreiber ermöglicht, eine gemeinsame Verantwortlichkeit begründen kann.

Diese Urteile haben die rechtliche Landschaft für Betreiber von Online-Präsenzen grundlegend verändert. Sie machten deutlich, dass man sich nicht einfach hinter den Allgemeinen Geschäftsbedingungen großer Plattformen verstecken kann, sondern eine eigenständige datenschutzrechtliche Verantwortung trägt.

Das Urteil des VG Köln (13 K 141/23): Bundesregierung im Visier der Datenschutzbehörden

Die genaue Sachlage des Kölner Urteils betraf eine Facebook-Fanpage der Bundesregierung, genauer gesagt des Presse- und Informationsamtes der Bundesregierung (BPA). Die Bundesnetzagentur (BNetzA) – die in Deutschland auch für die Durchsetzung der Vorschriften des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) (inzwischen TDDDG) zuständig ist – hatte festgestellt, dass auf der Fanpage der Bundesregierung Cookies gesetzt und Nutzerdaten erhoben wurden, ohne dass die erforderliche Einwilligung der Nutzer vorlag. Die BNetzA forderte das BPA daraufhin auf, die Fanpage datenschutzkonform zu betreiben oder den Betrieb einzustellen.

Die Kernpunkte der Entscheidung des VG Köln:

  1. Cookies setzen keine gemeinsame Verantwortlichkeit: Nach Ansicht des VG Köln liegt zwischen dem BPA und Meta keine gemeinsame Verantwortlichkeit im Hinblick auf die Nutzung der Cookies vor. Hintergrund ist vor allem die Tatsache, dass kein ausreichender Zusammenhang zwischen dem Betrieb der Fanpage und den Cookies besteht. Die Cookies können nach Ansicht des VG Köln auf jeder Fanpage gesetzt worden sein und sind daher vom Betreiber der Page unabhängig.
  2. Bloße Möglichkeit der Datenverarbeitung reicht nicht aus: Nach Ansicht des VG reicht die bloße Möglichkeit der Datenverarbeitung nicht aus um von einer "gemeinsamen Festlegung der Mittel der Datenverarbeitung" auszugehen.

Fazit und Ausblick

Welche Implikationen das Urteil auf den Betrieb von Social-Media Pages hat, wird sich erst in Zukunft zeigen. Zu erwarten ist, dass der Instanzenzug weiter getrieben wird. Eine klare Öußerung zur gemeinsamen Verantwortlichkeit des Seitenbetreibers im Hinblick auf die eigene Fanpage wird vom VG Köln in den bisher vorliegenden Informationen nur rudimentär behandelt.

Für den E-Commerce bedeutet dies eine fortwährende Herausforderung und Verpflichtung zur Sorgfalt. Wer online agiert, muss sich der Verantwortung für die Daten seiner Kunden und Besucher bewusst sein. Ein lückenloser Datenschutz, Transparenz und eine proaktive Herangehensweise sind nicht nur rechtliche Pflichten, sondern auch wichtige Vertrauensfaktoren im Wettbewerb. Kunden werden zunehmend sensibler für den Schutz ihrer Daten und bevorzugen Anbieter, die hier vorbildlich agieren.

Die digitale Welt entwickelt sich rasant, und die Rechtsprechung versucht, Schritt zu halten. Unternehmen sind gut beraten, nicht abzuwarten, sondern kontinuierlich ihre digitalen Prozesse auf Konformität zu überprüfen und anzupassen. Nur so lassen sich Risiken minimieren und das Vertrauen der Nutzer gewinnen und erhalten.

Autor
Benjamin Schmidt
Benjamin Schmidt
Counsel - Dipl. Jur. - Externer Datenschutzbeauftragter (TÜV)
Herr Schmidt gehört der DURY GRUPPE bereits seit Juni 2015 an und ist seit Januar 2016 Mitarbeiter bei DURY LEGAL. Neben seiner juristischen Ausbildung ist Herr Schmidt auch zertifizierter externer Datenschutzbeauftragter (TÜV). In dieser Funktion betreut er unsere Mandanten im Bereich E-Commerce, Datenschutz und IT-Recht.