In der datenschutzrechtlichen Debatte um die Zulässigkeit von Fanpages auf sozialen Netzwerken galt bislang als nahezu gesichert, dass Betreiber und Plattformanbieter gemeinsam im Sinne von Art. 26 DSGVO für die Datenverarbeitung verantwortlich sind.
In einer aktuellen Entscheidung hat sich das Verwaltungsgericht Köln (Urteil vom 17.07.2025 – 13 K 1419/23, nicht rechtskräftig) mit der datenschutzrechtlichen Verantwortlichkeit für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb einer behördlichen „Fanpage“ in einem sozialen Netzwerk befasst. Im Zentrum standen Fragen zur Anwendbarkeit des § 25 TTDSG, zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO sowie zur datenschutzrechtlichen Relevanz von Cookie-Bannern und den ihnen zugrunde liegenden Datenverarbeitungsprozessen.
Sachverhalt
Die Klage richtete sich gegen eine datenschutzrechtliche Untersagungsverfügung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), die dem Bundespresseamt als Betreiberin einer Facebook-Fanpage der Bundesregierung die weitere Verarbeitung personenbezogener Daten untersagte. Hintergrund war das Setzen verschiedener Cookies (insbesondere „c-user“, „datr“ und „fr“) durch die Plattformbetreiberin Meta Platforms Ireland Limited (Klagepartei zu 2), auch auf Fanpages. Die Beklagte nahm das Bundespresseamt als gemeinsam Verantwortliche nach Art. 26 DSGVO in Anspruch und sah insbesondere Verstöße gegen Art. 5 Abs. 1 DSGVO sowie § 25 TTDSG als gegeben an. Strittig war unter anderem, ob das Bundespresseamt durch den Betrieb der Fanpage kausal für das Setzen der Cookies sei und ob die technischen und inhaltlichen Vorgaben des Cookie-Banners eine wirksame Einwilligung im Sinne der gesetzlichen Anforderungen gewährleisteten.
Juristische Analyse
Verantwortlichkeit nach § 25 TTDSG
Das VG Köln stellt in seiner Entscheidung klar, dass Adressat der Einwilligungspflicht nach § 25 Abs. 1 Satz 1 TTDSG allein derjenige ist, der kausal die Ausführung desjenigen Quellcodes veranlasst, welcher das Speichern oder Auslesen von Informationen in der Endeinrichtung des Nutzers bewirkt. Ein hinreichender Ursachenzusammenhang zwischen der Betätigung einer natürlichen oder juristischen Person und dem Fernzugriff auf die Endeinrichtung muss demnach bestehen. Diese kausale Verursachung bejahte das Gericht für die Plattformbetreiberin Meta, verneinte sie aber für das Bundespresseamt. Letzteres nehme weder in technischer noch in funktionaler Hinsicht Einfluss auf das Setzen der Cookies.
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Eine zentrale Weichenstellung erfolgt in der Auseinandersetzung mit der Frage, ob zwischen dem Bundespresseamt und Meta Platforms Ireland eine gemeinsame Verantwortlichkeit besteht. Das VG Köln greift dabei die wesentlichen Kriterien des EuGH aus den Entscheidungen „Wirtschaftsakademie“ und „Fashion ID“ auf, betont jedoch die Notwendigkeit einer tatsächlichen gemeinsamen Festlegung sowohl der Zwecke als auch der Mittel der Datenverarbeitung. Die bloße Mitverursachung durch das Anlegen einer Fanpage genüge nicht. Nach Auffassung der Kammer fehlt es bereits an einer gemeinsamen Zweckfestlegung, da das Informationsinteresse der Bundesregierung keinen wirtschaftlichen, sondern einen hoheitlichen Charakter habe. Auch eine gemeinsame Festlegung der Mittel sei nicht ersichtlich, da insbesondere keine Parametrierung der statistischen Auswertungen („Insights“) mehr durch das Bundespresseamt erfolge. Die Abschaltung dieser Funktion sei hier von zentraler Bedeutung.
Damit widerspricht das VG Köln der weitreichenden Interpretation der gemeinsamen Verantwortlichkeit, wie sie von der Datenschutzkonferenz vertreten wird. Die Entscheidung setzt sich zudem ab von der Linie, die das Bundesverwaltungsgericht und das OVG Schleswig-Holstein auf Basis älterer Sachverhaltslagen gezogen hatten, in denen der Seitenbetreiber noch Einfluss auf die Datenverarbeitung hatte.
Rechtsgrundlage der Datenverarbeitung und Anforderungen an die Einwilligung
Weiter befasst sich das VG Köln mit der Frage, ob die Cookie-Banner der Plattformbetreiberin eine wirksame Einwilligung nach § 25 Abs. 1 Satz 1 TTDSG begründen. Entscheidend sei eine transparente, spezifische und freiwillige Einwilligung. Das Gericht stellt fest, dass Meta zwar interaktive Banner einsetzt, diese jedoch aufgrund ihrer Gestaltung (farbliche Hervorhebung, unzureichende Trennung zwischen notwendigen und optionalen Cookies, keine klar erkennbare Ablehnmöglichkeit) den Anforderungen nicht gerecht werden.
Auch die Information über Zwecke, Anbieter und Speicherdauer der einzelnen Cookies sei unzureichend. Unklar bleibe insbesondere, ob die Einwilligung sich auf § 25 TTDSG oder Art. 6 DSGVO beziehe. Eine wirksame Einwilligung scheitere damit auch aus formellen Gründen.
Adressat der datenschutzrechtlichen Maßnahme
Schließlich klärt das Gericht, dass eine Verwarnung nach Art. 58 Abs. 2 Buchst. b DSGVO nur gegen denjenigen gerichtet werden kann, der im Zeitpunkt der Maßnahme (noch) Verantwortlicher ist. Da das Bundespresseamt mit der Abschaltung der Insights-Funktion einen entscheidenden Einflussbereich aufgegeben hatte, war es zum Zeitpunkt des angegriffenen Verwaltungsakts nicht mehr verantwortlich im datenschutzrechtlichen Sinne.
Für öffentliche Stellen und private Akteure gleichermaßen bedeutet das Urteil eine gewisse Entlastung – jedenfalls, soweit sich deren Plattformnutzung auf passive oder rein inhaltliche Angebote beschränkt, ohne in technische Steuerungsvorgänge einzugreifen. Gleichwohl bleibt abzuwarten, ob sich die vom VG Köln formulierte restriktive Linie auch in der obergerichtlichen oder unionsrechtlichen Judikatur durchsetzen wird. Bis dahin steht die datenschutzrechtliche Zukunft institutioneller Social-Media-Präsenz weiter unter dem Vorzeichen normativer Unsicherheit.
Resümee
Das Urteil des VG Köln markiert einen bedeutsamen dogmatischen Gegenakzent zur weiten Auslegung der gemeinsamen Verantwortlichkeit im Kontext behördlicher Social-Media-Nutzung. Es betont die Notwendigkeit einer tatsächlichen Mitwirkung bei Zweck und Mittel der Datenverarbeitung für die Zurechnung datenschutzrechtlicher Pflichten. Die Entscheidung verdeutlicht zugleich die strengen Anforderungen an Einwilligungen im Cookie-Kontext und ruft die Praxis zur kritischen Überprüfung bestehender Banner-Implementierungen auf. Sie dürfte auch in der laufenden Debatte um die Vereinbarkeit öffentlicher Kommunikation über privatwirtschaftlich betriebene Plattformen mit dem Datenschutzrecht erhebliche Relevanz entfalten.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Cyberfähigkeiten von Israel und Iran - 7. März 2026
- Irans Cyberfähigkeiten und Hacker - 7. März 2026
- Biometrische Überwachung im Iran - 7. März 2026
