Aristotelis Zervos
Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.
Das Verwaltungsgericht Köln hat dem Bundespresseamt mit Urteil vom 17.07.2025 (13 K 1419/23) den Weiterbetrieb der Facebook-Fanpage für die Bundesregierung erlaubt. Gegenstand des Verfahrens war insbesondere die Frage, ob der Betrieb einer „Facebook-Fanpage” durch eine Bundesbehörde datenschutzrechtlich zulässig ist und in welchem Umfang eine gemeinsame Verantwortlichkeit mit der Betreiberin des Netzwerks besteht.
Bundespresseamt klagt gegen BfDI wegen Facebook-Fanpage
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI, seit 3.09.24 Die BfDI) hatte dem Bundespresseamt mit Bescheid vom 17. Februar 2023 den weiteren Betrieb seiner offiziellen Facebook-Fanpage untersagt. Gleichzeitig ergingen mehrere Verwarnungen wegen datenschutzrechtlicher Verstöße.
Der BfDI begründete die Verfügung damit, dass beim Betrieb der Fanpage personenbezogene Daten der Nutzer verarbeitet und an Facebook übermittelt würden, ohne dass eine hinreichende Rechtsgrundlage nach Art. 6 DSGVO bzw. eine wirksame Einwilligung nach § 25 Abs. 1 TTDSG vorliege. Konkret kritisierte die Behörde:
- Beim Aufruf der Fanpage würden Cookies gesetzt und ausgelesen, die eine Profilbildung ermöglichten.
- Das Bundespresseamt habe damit gegen seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verstoßen.
- Trotz Gesprächen (u. a. 2021/2022) sei keine rechtmäßige Lösung gefunden worden, auch wenn Facebook ab April 2022 die „Insights“-Statistik deaktivierte .
Das Bundespresseamt wehrte sich gegen den Bescheid und berief sich auf seine Pflicht zur Öffentlichkeitsarbeit. Meta als Betreiberin von Facebook sah ihre unternehmerische Freiheit und Dienstleistungsfreiheit nach der EU-Grundrechtecharta verletzt.
Lese-Tipp: Fast 800 Millionen Euro – EU verhängt Megastrafe gegen Meta
Keine gemeinsame Verantwortlichkeit nach TTDSG
Im Kern des Urteils ging es um die Untersagung des Betriebs der Fanpage. Der BfDI hatte argumentiert, dass das Bundespresseamt nach § 25 TTDSG verpflichtet gewesen sei, eine Einwilligung der Nutzer einzuholen. Das VG Köln stellte jedoch fest, dass Adressat dieser Norm nur derjenige ist, der tatsächlich das Setzen oder Auslesen von Cookies veranlasst. Diese Vorgänge steuert ausschließlich die Plattform, in diesem Fall Meta, aber nicht das Bundespresseamt. Auch die Abschaltung der „Insights“-Funktion von Facebook im April 2022 zeigte, dass die wesentlichen technischen Mittel außerhalb des Einflussbereichs der Behörde lagen. Das Gericht kam daher zu dem Ergebnis, dass das Bundespresseamt kein tauglicher Adressat für ein solches Verbot war.
Ebenfalls verwarf das Gericht die Annahme für eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Zwar sei das Bundespresseamt durch das Betreiben der Fanpage mitursächlich an der Verarbeitung beteiligt. Für eine gemeinsame Verantwortung müssten aber sowohl Zwecke als auch Mittel der Verarbeitung zusammen festgelegt werden. Dies ist nach Ansicht des Gerichts hier nicht der Fall. Die reine Nutzung der Plattform mit der Veröffentlichung eigener Inhalte reiche nicht aus.
Auch die Verwarnungen der Aufsichtsbehörde hielten der gerichtlichen Überprüfung nicht stand. Zwar ist die Verwarnung als Abhilfemaßnahme grundsätzlich zulässig und soll künftige Rechtskonformität fördern. Sie kann jedoch nur an Verantwortliche oder Auftragsverarbeiter gerichtet werden, die im Zeitpunkt ihres Erlasses noch für die beanstandete Verarbeitung zuständig sind. Da dies beim Bundespresseamt nicht mehr gegeben war, erklärte das Gericht die Verwarnungen für rechtswidrig. Die Klage der Plattformbetreiberin gegen diese Verwarnungen war im Übrigen unzulässig, da sie selbst nicht Adressatin war.
Wegen der grundsätzlichen Bedeutung der aufgeworfenen Fragen, insbesondere ob Fanpage-Betreiber ohne eigene Einflussmöglichkeiten gleichwohl als gemeinsam verantwortlich gelten, ließ das VG Köln die Berufung zu.
Bedeutung der Entscheidung für Fanpage-Betreiber
Das Urteil des VG Köln hat weitreichende Bedeutung für den Betrieb von Social-Media-Fanpages durch öffentliche Stellen und Unternehmen. Es verdeutlicht zunächst, dass die bloße Nutzung einer Plattform nicht automatisch eine datenschutzrechtliche Mitverantwortung für sämtliche technischen Prozesse der Plattform auslöst. Damit grenzt das Gericht die Verantwortung deutlich enger ein, als es manche Aufsichtsbehörden bislang angenommen haben.
Zugleich macht die Entscheidung deutlich, dass die Vorschrift des § 25 TTDSG zielgerichtet auszulegen ist: Verantwortlich ist allein derjenige, der unmittelbar für das Setzen oder Auslesen von Informationen auf den Endgeräten der Nutzer sorgt. Behörden oder Unternehmen, die weder Einfluss auf den technischen Ablauf noch auf die eingesetzten Mittel haben, können daher nicht Adressat einschneidender Untersagungsverfügungen sein.
Besonders hervorzuheben ist auch die restriktive Auslegung für eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Das Gericht betont, dass hierfür eine gemeinsame Festlegung sowohl der Zwecke als auch der Mittel erforderlich ist. Eine bloße Mitursächlichkeit oder das Bereitstellen von Inhalten reicht nicht. Dies hat erhebliche praktische Konsequenzen für alle Organisationen, die Social-Media-Angebote nutzen, ohne die dahinterliegenden technischen Prozesse steuern zu können.
Schließlich enthält das Urteil auch eine wichtige Aussage zur Reichweite der Befugnisse der Aufsichtsbehörden: Verwarnungen können nur dann wirksam ausgesprochen werden, wenn die adressierte Stelle zum Zeitpunkt des Erlasses tatsächlich noch Verantwortlicher ist. Damit schränkt das Gericht die Möglichkeit ein, Verstöße allein vergangenheitsbezogen zu sanktionieren.
Die Entscheidung stärkt somit die Rechtssicherheit für öffentliche Stellen und Unternehmen, die Social-Media-Fanpages betreiben, ohne selbst Einfluss auf die datenschutzrechtlich relevanten Mechanismen der Plattformen nehmen zu können. Zugleich zwingt sie die Aufsichtsbehörden zu einer präziseren Adressierung ihrer Maßnahmen.
Gemeinsame Verantwortlichkeit: BfDI geht in Berufung
Offen bleibt, ob und in welchem Umfang höhere Instanzen diese Linie bestätigen werden. Die BfDI hat gegen das Urteil des Verwaltungsgerichts Köln vom 17.07.2025 Berufung eingelegt. Damit wird das Verfahren der nächsthöheren Instanz, dem Oberverwaltungsgericht Münster, vorgelegt. Die zugelassene Berufung wird mit Spannung erwartet.
Quelle: Urteil Verwaltungsgericht Köln 13 K 1419/23 vom 17.07.2025
Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.
German 
English 
Italian 
French