Das Urteil des EuGH vom 05.06.2018 war ein Wendepunkt für Unternehmensauftritte in sozialen Netzwerken: Wer eine Facebook-Fanpage betreibt und die von Meta bereitgestellten Insights nutzt, ist datenschutzrechtlich nicht nur Zuschauer. Die größere Einordnung der Betreiberpflichten gehört in das Datenschutzrecht; bei kanalbezogenen Fragen zu Unternehmensauftritten auf Plattformen knüpft Social Media Recht an.
Worum es hier geht
Im Kern um die Frage, ob Fanpage-Betreiber für Tracking, Auswertung und Informationspflichten mitverantwortlich sind.
Für wen das relevant ist
Für Unternehmen, Vereine, Verbände und öffentliche Stellen, die Facebook-Seiten als Kommunikationskanal einsetzen.
Warum der Beitrag wichtig bleibt
Der Text dokumentiert den Ausgangspunkt der Debatte um gemeinsame Verantwortlichkeit, Transparenzpflichten und Plattformrisiken.
Stand April 2026
Der Kern dieses Beitrags ist weiterhin relevant: Die gemeinsame Verantwortlichkeit rund um Facebook-Fanpages ist seit dem EuGH-Urteil nicht erledigt. Das Bundesverwaltungsgericht hat 2019 klargestellt, dass eine Datenschutzaufsicht die Deaktivierung einer Fanpage anordnen kann, wenn die von Facebook bereitgestellte Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Die Datenschutzkonferenz hat 2022 außerdem hervorgehoben, dass Betreiber die Rechtskonformität des Fanpage-Betriebs nicht sicher nachweisen können und das von Meta vorgelegte Addendum die Anforderungen an Art. 26 DSGVO aus ihrer Sicht nicht erfüllt.
Neu hinzugekommen ist, dass das Verwaltungsgericht Köln im Juli 2025 den Bescheid gegen die Fanpage der Bundesregierung aufgehoben hat; die BfDI hat hiergegen im August 2025 Berufung angekündigt. Die Lage ist deshalb nicht abgeschlossen. Der Beitrag ist heute vor allem als historischer Ausgangspunkt für die gemeinsame Verantwortlichkeit zu lesen, während die praktische Rechtslage bei Fanpages weiterhin mit erheblicher Unsicherheit verbunden bleibt.
DSGVO: Gemeinsame Verantwortlichkeit
Mit großer Spannung war die Entscheidung nicht nur bei den Datenschutzrechtlern, sondern in der Unternehmer-Welt erwartet worden: Dürfen wir unsere Facebook-Fanpages aus datenschutzrechtlicher Sicht überhaut weiter betreiben?
Mit Urteil von heute, den 05.06.2018 hat die große Kammer des europäischen Gerichtshofes (EuGH) in der Rechtssache C 210/16 entschieden:
Betreiber von Facebook-Fanpages sind gemeinsam mit Facebook dafür verantwortlich, wie Daten erhoben und verarbeitet werden.
Die Begründung:
Der Betreiber einer Facebook-Fanpage erhalte einen detaillierten Einblick in die Besucherstatistiken und erfahre eine Vielzahl von Merkmalen, darunter auch demografische. Deaktivieren ließe sich die Erfassung dieser Merkmale nicht. Daher steht für den EuGH fest: Neben Facebook selbst ist der Betreiber verantwortlich. Der EuGH führt aus:
"Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien. Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.
Unter diesen Umständen trägt die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu bei, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, wie der Generalanwalt in den Nrn. 75 und 76 seiner Schlussanträge ausgeführt hat, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist."
Die Folgen:
Für uns Facebook-Fanpage-Betreiber heißt das, dass wir unsere Nutzer künftig informieren müssen, welche Daten Facebook denn bei Besuch unserer Fanpage erhebt und wie Facebook diese verarbeitet.
Für die Nutzer heißt dies, dass diese gegen datenschutzrechtliche Verstöße nicht nur gegen Facebook, sondern auch gegen den Betreiber der Fanpage vorgehen dürfen.
Sicher ist letzteres gut für den Nutzer. Wie aber soll der Betreiber über Datenströme informieren, deren Fluss rauszufinden nicht gerade ein Leichtes ist.
Die rechtskonforme Lösung sähe derzeitig also so aus, dass die Fanpages abgeschaltet werden sollten, wenn der Betreiber risikolos agieren möchte.
Allerdings wird das Bundesverwaltungsgericht, welches die Frage dem EuGH vorgelegt hatte, nunmehr noch zu klären haben, ob denn überhaupt ein Verstoß gegen Datenschutz von Facebook vorgelegen hat. Bis diese Entscheidung vorliegt, können noch einige Monate vergehen.
Wir halten Sie über die aktuelle Entwicklung auf dem Laufenden.
Was davon heute fortgilt
Die Mitverantwortung bleibt der Ausgangspunkt
Fanpage-Betreiber können sich nicht ohne Weiteres darauf zurückziehen, dass sämtliche Datenverarbeitung allein auf Plattformebene stattfindet.
Pflichten enden nicht bei der eigenen Timeline
Im Fokus stehen Transparenz, Rechtsgrundlagen, die Zuordnung gemeinsamer Verantwortlichkeit und der Umgang mit Insights, Tracking und Drittlandbezügen.
Die praktische Lage ist weiterhin sensibel
Die Linie der Aufsichtsbehörden ist streng, einzelne neuere Verfahren sind noch nicht letztinstanzlich abgeschlossen und schaffen deshalb keine belastbare Entwarnung.
Wer die Maßstäbe zu gemeinsamer Verantwortlichkeit, Transparenzpflichten, Rechtsgrundlagen und aufsichtsbehördlicher Praxis systematisch einordnen will, findet die größere Vertiefung im Datenschutzrecht.
Praktisch empfiehlt sich bei bestehenden Fanpages eine nüchterne Prüfung der eigenen Informationspflichten, der eingebundenen Funktionen, der genutzten Auswertungen und der Frage, ob der konkrete Kommunikationszweck den verbleibenden datenschutzrechtlichen Risiken standhält.
Offizielle Quellen und Hinweise
- EuGH, Pressemitteilung Nr. 81/18 zum Urteil C-210/16 vom 05.06.2018
Ausgangspunkt der gemeinsamen Verantwortlichkeit bei Facebook-Fanpages. - Bundesverwaltungsgericht, Pressemitteilung Nr. 62/2019 vom 11.09.2019
Zur Möglichkeit einer Deaktivierungsanordnung bei schwerwiegenden Datenschutzmängeln. - DSK-Beschluss zur Task Force Facebook-Fanpages vom 23.03.2022
Aufsichtsbehördliche Bewertung der datenschutzrechtlichen Problemlage. - DSK, FAQ zu Facebook-Fanpages vom 22.06.2022
Zur gemeinsamen Verantwortlichkeit, Art. 26 DSGVO und den offenen Umsetzungsfragen. - BfDI, Pressemitteilung vom 22.08.2025 zum Berufungsverfahren
Zur fortbestehenden Rechtsunsicherheit nach dem Verfahren um die Fanpage der Bundesregierung.
Zuständige Rechtsanwälte bei ITMR
Für die rechtliche Einordnung von Datenschutzpflichten bei Plattformauftritten, Unternehmensseiten und Social-Media-Prozessen sind bei ITMR insbesondere folgende Ansprechpartner naheliegend:
Jean Paul P. Bohne, LL.M., MM
Partner · Fachanwalt für IT-Recht · Fachanwalt für Urheber- und MedienrechtDatenschutzrechtliche und medienrechtliche Einordnung digitaler Geschäftsmodelle, Plattform- und Kommunikationsprozesse.
Timocin Can
RechtsanwaltSocial-Media-Recht, IT-Recht und praktische Fragen rund um Unternehmensauftritte auf Plattformen.
Der EuGH hat entschieden: Aus für Facebook-Fanpages?