Die Frage, ob Facebook-Fanpages datenschutzkonform betrieben werden können, ist seit der Rechtsprechung zur gemeinsamen Verantwortlichkeit kein Randthema. Wer die Betreiberpflichten im größeren Zusammenhang einordnen will, findet die breitere Vertiefung im Datenschutzrecht; wenn zusätzlich Plattformpraxis, Unternehmensauftritte und kanalbezogene Folgefragen im Vordergrund stehen, führt Social-Media-Recht näher.
Schneller Einstieg
- Der Ausgangsbeitrag behandelt den Moment, in dem Facebook die Seiten-Insights-Ergänzung veröffentlicht hat.
- Rechtlich drehte sich der Streit um die gemeinsame Verantwortlichkeit zwischen Plattform und Fanpage-Betreiber nach Art. 26 DSGVO.
- Für die heutige Bewertung genügt der historische Stand des Jahres 2018 nicht mehr allein; maßgeblich sind inzwischen insbesondere EuGH, BVerwG, DSK und die Entwicklungen bis 2025.
Stand April 2026
Der Ausgangsbeitrag bildet den Stand unmittelbar nach Veröffentlichung der Seiten-Insights-Ergänzung ab. Für die heutige Einordnung ist wichtig: Der EuGH hat die gemeinsame Verantwortlichkeit des Fanpage-Betreibers für die Verarbeitung im Zusammenhang mit Seiten-Insights bejaht; das Bundesverwaltungsgericht hat 2019 klargestellt, dass eine Datenschutzbehörde den Betrieb einer Facebook-Fanpage untersagen kann, wenn die von Facebook bereitgestellte Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist.
Die Datenschutzkonferenz hält das von Meta vorgelegte Addendum weiterhin nicht für ausreichend und sah 2022 einen datenschutzkonformen Betrieb von Facebook-Fanpages nicht als nachweisbar an. Zugleich hat das Verwaltungsgericht Köln 2025 in einem Verfahren der öffentlichen Hand nach Abschaltung der Statistikfunktion eine gemeinsame Verantwortlichkeit verneint; die BfDI hat gegen dieses Urteil Berufung eingelegt und betont selbst, dass erst eine höchstrichterliche Entscheidung oder eine gesetzliche Regelung endgültige Rechtssicherheit schaffen kann.
Der Beitrag bleibt damit als historische Einordnung des damaligen Wendepunkts relevant. Er ist aber kein Freibrief für den laufenden Betrieb von Fanpages. Für Unternehmen kommt es weiterhin auf belastbare Transparenz, Rechtsgrundlagen, Rollenklärung, Drittlandbezug und die tatsächliche Plattformkonfiguration an.
Facebook veröffentlicht Seiten-Insights-Ergänzung
Datenschutzrecht. Endlich: Facebook veröffentlicht die "Seiten-Insights-Ergänzung bezüglich des Verantwortlichen" und übernimmt "sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten".
Ausdrücklich heißt es von Facebook:
"Facebook Ireland bleibt alleinig verantwortlich für die Verarbeitung solcher personenbezogenen Daten im Zusammenhang mit Seiten-Insights, die nicht unter diese Seiten-Insights-Ergänzung fallen. Diese Seiten-Insights-Ergänzung gewährt dir kein Recht, die Offenlegung von im Zusammenhang mit Facebook-Produkten verarbeiteten personenbezogenen Daten von Facebook-Nutzern zu verlangen, einschließlich für Seiten-Insights, welche wir dir bereitstellen."
Zwar sind noch alle nicht offenen Fragen geklärt, aber Betreiber von Facebook Fanpages können wohl endlich aufatmen.
Zu den Hintergründen:
Mit Urteil vom 05. Juni 2018 hatte der EuGH eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber einer Facebook-Fanpage für die ordnungsgemäße Erhebung und Verarbeitung persoenenbezogener Daten festgestelllt.
Wir berichteten.
Nach dem Vorliegen des Urteils dauerte es nicht lange, bis die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) sich positionierte und einen dringenden Handlungsbedarf für die Betreiber feststellte. Gleichzeitig wies die DSK darauf hin, dass nicht zu verkennen sei, dass die Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur erfüllen könnten, wenn Facebook selbst an der Lösung mitwirke und ein datenschutzkonformes Produkt anbiete, das die Rechte der Betroffenen wahre.
Wie also sollen Betreiber von Fagebook-Fanpages nun einen rechtskonformen Betrieb, der die datenschutzrechtlichen Anforderungen der DSGVO erfüllt, sicherstellen? Was bedeutet eine solche gemeinsame Verantwortlichkeit von Betreiber der Fanpage und Facebook?
Wie häufig hilft ein Blick ins Gesetz, hier in die DSGVO:
Allgemein bekannt ist zunächst der sogenannte Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Wie die meisten Unternehmer wissen, ist ein solcher dann erforderlich, wenn es sich – kurz gesagt – um eine beauftragte Verarbeitung von personenbezogenen Daten handelt. Voraussetzung für das Vorliegen einer solchen ist jedenfalls eine sogenannte Weisungsgebundenheit bei der Ausführung der Verarbeitung. Damit ist klar, dass nicht der Postbote, der ein Paket ausliefert und auch nicht die Reinigungskraft oder Handwerker, die Arbeiten im Unternehmen durchführen, unter die Regelungen der Auftragsverarbeitungsverarbeitung fallen. Diese verarbeiten keine personenbezogenen im Auftrag und nach Weisung des Unternehmers. Vielmehr können diese Personengruppen bei der Ausführung der für den Unternehmer zu verrichtenden Tätigkeit mit personenbezogenen Daten in Berührung kommen. Letzteres ist ein klarer Fall für die Notwendigkeit der Vereinbarung einer Verschwiegenheitsverpflichtung, nicht hingegen für die Vereinbarung eines AVV.
Eher unbekannt, jedoch keinesfalls nicht zu vernachlässigen, ist im Gegensatz zur Auftragsverarbeitung, die sogenannte „Joint Control“ nach Art. 26 DSGVO: Ist nämlich keine der Vertragsparteien im Sinne des Art. 28 DSGVO von der anderen zu einer weisungsgebunden Datenverabeitung beauftragt, sondern verarbeiten beide Parteien in gemeinsamer Verantwortung personenbezogene Daten, spricht man von einer Joint Control gemäß Art. 26 Abs. S. 1 DSGVO. Kennzeichnend für die Joint-Control ist also, dass nicht eine Person alleine über die Zwecke und Mittel der Verarbeitung entscheidet und es keine hierarchische Struktur gibt, wie sie die Auftragsverarbeitung kennzeichnet. Die an der Verarbeitung Teilnehmenden trifft vielmehr eine gemeinsame Verantwortung. Art. 26 Abs. 2 DSGVO regelt sodann die Anforderungen an entsprechendes Vertragswerk.
Eben das Vorliegen einer solchen gemeinsamen Verantwortung im Sinne des Art. 26 DSGVO hat der EUGH in seinem Urteil 05.06.2018 festgestellt.
Was heißt das für den Betrieb meiner Facebook Fanpage in der Praxis?
Eben das hat sich auch die DSK gefragt und am 05.09.2018 einen „Beschluss zu Facebook Fanpages“ herausgegeben. Nach einer kurzen Erläuterung der Problemstellung enthält der Beschluss im Anhang einen Fragenkatalog (in unserer Kanzlei aus gegebenem Anlass als ein sehr unbeliebtes Instrument bekannt), den es auch vom Betreiber der Fanpage zu beantworten gilt.
Haben Sie auch alle Fragen beantwortet? Schnell dürfte vielmehr klar werden, dass die Beantwortung doch, formulieren wir es mal vorsichtig, eine kleine Herausforderung darstellt. Ohne die Mithilfe von Facebook, dürften die Fragen schlicht nicht beantwortbar sein.
Facebook selbst hatte schon im Juni angekündigt, dass eine Vereinbarung nach Art. 26 DSGVO zur Verfügung gestellt werden sollte. Gestern gab es einige Pressemitteilungen, wonach dieses geschehen sein solle. Tatsächlich hat Facebook dann auch gestern die angekündigte "Seiten-Insights-Ergänzung bezüglich des Verantwortlichen" veröffentlicht. Diese beantwortet zwar noch nicht alle Fagen aus dem Fragebogen, enthält aber doch Regelungen, wonach Facebook die Verantwortung für den Betrieb der Fanpages, soweit es um Daten geht, die zur statistischen Auswertung genutzt werden, immerhin im Innenverhältnis übernimmt. Ob dies den Aufsichtsbehörden nun reichen wird oder wie die Seiten-Insights-Ergänzung bezüglich des Verantwortlichen zum Inhalt eines Vertrages zwischen Betreiber und Facebook werden soll, bleibt in den nächsten Tagen abzuwarten.
Wir werden weiter berichten.
Wenn Sie weitere Fragen zu Ihren Betreiberpflichten haben oder generelle Fragen zur Umsetzung der DSGVO haben, wenden Sie sich an uns. Wir helfen gerne und jederzeit.
Worauf es für Betreiber heute ankommt
- Die Rollenfrage muss sauber getrennt werden: Fanpage-Betrieb ist nicht automatisch Auftragsverarbeitung. Wo Plattform und Betreiber jeweils eigene Zwecke und Mittel prägen, reicht ein AVV nicht aus.
- Ein Urteil zur öffentlichen Hand nach Abschaltung einer Statistikfunktion ersetzt keine pauschale Entwarnung für Unternehmen mit laufenden Facebook-Auftritten.
- Wer die laufende Betreiberpraxis strukturiert prüfen will, sollte Rechtsgrundlage, Transparenz, Art. 26-Konstellation, Endgerätezugriffe, Drittlandbezug und interne Nachweise zusammen betrachten.
- Für die breitere Einordnung dieser Pflichten ist das Datenschutzrecht die zentrale Vertiefung; für kanal- und plattformbezogene Anschlussfragen ist Social-Media-Recht die nähere Route.
Der Schwerpunkt dieses Beitrags liegt auf der historischen Einordnung der damaligen Facebook-Ergänzung. Die praktische Bewertung eines laufenden Unternehmensauftritts verlangt eine aktuelle Einzelprüfung.
Offizielle Quellen und weiterführende Hinweise
- EuGH, Urteil vom 05.06.2018 – C-210/16
- Bundesverwaltungsgericht, Pressemitteilung Nr. 62/2019 vom 11.09.2019
- DSK, Beschluss „Zur Task Force Facebook-Fanpages“ vom 23.03.2022
- DSK, FAQ zu Facebook-Fanpages
- BfDI, Fanpage-Verfahren geht in die nächste Runde (22.08.2025)
- BfDI, Soziale Netzwerke rechtmäßig nutzen – So geht’s
Zuständige Rechtsanwälte bei ITMR
Wenn es um gemeinsame Verantwortlichkeit, Betreiberpflichten, Datenschutzhinweise und die Schnittstelle zwischen Plattformbetrieb und Unternehmenskommunikation geht, liegt der Schwerpunkt bei ITMR an der Verbindung von Datenschutz- und Plattformfragen.
- Jean Paul P. Bohne, LL.M., MM – Datenschutzrecht, Social-Media-Recht und digitale Kommunikationskonstellationen.
- Andreas Buchholz – Datenschutzrecht und operative DSGVO-Strukturen im Unternehmen.
DSGVO: Aktueller Stand Facebook Fanpages und Betreiberpflichten