FACEBOOK- & INSTAGRAM-FANPAGES DSGVO-KONFORM BETREIBEN
02.07.2026

Fanpages sind ein wirksamer Kanal für Sichtbarkeit – aber datenschutzrechtlich seit Jahren ein Dauerbrenner. Dieser Beitrag bringt Sie auf den Stand 2026 und zeigt, was Vereine, KMU und kirchliche Einrichtungen heute konkret tun müssen – inklusive der jüngsten Urteile, Bußgelder und einer Klick-Anleitung für die wichtigsten Einstellungen in Facebook und Instagram.
1 DAS PROBLEM IN DER PRAXIS
Wer eine Facebook- oder Instagram-Seite betreibt, ist seit dem EuGH-Urteil (C-210/16, 05.06.2018) gemeinsam mit Meta verantwortlich für die Verarbeitung der Besucher:innendaten[1]. Die Datenschutzkonferenz (DSK) und die Konferenz der Diözesandatenschutzbeauftragten halten an dieser Linie fest. Ein vollständig datenschutzkonformer Betrieb ist aus Sicht der Aufsicht bis heute nur eingeschränkt möglich.
Praxisbeispiel: Eine Organisation betreibt eine Facebook- und Instagram-Seite, um Öffentlichkeitsarbeit für die Organisation zu betreiben und postet hierfür Fotos. Sobald eine Person die Seite besucht, setzt Meta Cookies und verarbeitet IP-Adresse, Gerätedaten und Verhaltensdaten – unabhängig davon, ob die Person ein Meta-Konto hat.
Aktuelle Entwicklungen:
VG Köln, Urteil vom 17.07.2025 (Az. 13 K 1419/23): verneint die gemeinsame Verantwortlichkeit im Einzelfall. Das Urteil ist noch nicht rechtskräftig, Berufung wird erwartet.
Instagram-Direktnachrichten: Seit 08.05.2026 wird die optionale Ende-zu-Ende-Verschlüsselung in Instagram-DMs nicht mehr unterstützt – wer DMs für echte Prozesse (Mitgliederanfragen, Kundenservice) nutzt, muss seine Risikobewertung anpassen. Details im Blogbeitrag „Instagram-DMs ohne Ende-zu-Ende-Verschlüsselung: Was tun?“, online verfügbar unter https://www.datafreshup.de/blog/instagram-e2ee, 12.06.2026.
CTA: Benötigen Sie Unterstützung bei der Bewertung Ihrer Social-Media-Präsenz? Sichern Sie sich Ihr kostenloses Erstgespräch unter Termin buchen oder per Mail an info@datafreshup.de.
2 DIE UMSETZUNG SCHRITT FÜR SCHRITT
2.1 BESTANDSAUFNAHME UND VERANTWORTLICHKEITEN KLÄREN
Welche Seiten betreiben wir (Facebook, Instagram, ggf. Threads)? Wer hat Admin-Rechte?
Wer ist intern für Pflege, Betroffenenanfragen und Datenschutzthemen zuständig?
Welche Rechtsordnung gilt für unsere Organisation – DSGVO oder KDG? Diese Vorfrage entscheidet über die einschlägigen Normen (Art. 26 DSGVO bzw. § 28 KDG) und die zuständige Aufsichtsbehörde (Landesbehörde bzw. Katholische Datenschutzaufsicht).
2.2 JOINT-CONTROLLER-VEREINBARUNGEN MIT META DOKUMENTIEREN
Die Seiten-Insights-Ergänzung gilt automatisch, sobald Sie eine Fanpage betreiben. Sie müssen diese auf der Website von Meta abrufen, archivieren und im Verzeichnis der Verarbeitungstätigkeiten (VdV) abbilden.
Abrufbar bei Facebook unter https://de-de.facebook.com/legal/terms/page_controller_addendum, 12.06.2026, als PDF-A mit Abrufdatum speichern und im VdV hinterlegen.
Für Instagram-Insights gelten die für Metaprodukten unter https://de-de.facebook.com/legal/terms/page_controller_addendum, 12.06.2026, Prüfen Sie ebenso unter https://privacycenter.instagram.com/policy, 12.06.2026, die jeweils aktuelle Informationsseite zu Insights und die Verarbeitung durch Meta Platforms Ireland.
2.3 DATENSCHUTZHINWEIS AUF DER FACEBOOK-FANPAGE HINTERLEGEN (KLICK-ANLEITUNG FÜR BROWSER)
In Ihrer Facebook-Seite oben links auf Profilbild/Seitenname → „Seite verwalten“ klicken.
Linke Seitenleiste: „Einstellungen“ öffnen.
„Details zur Seite“ (bzw. „Info“) auswählen.
In der linken Seitenleiste „Infos zu Datenschutz und Rechtlichem“ anklicken
Im Feld „Impressum“ Kurztext und URL Ihres Impressums eintragen. Lesen Sie hierzu 2.5.
Im Feld „Datenschutzrichtlinie“ die URL Ihrer Fanpage-Datenschutzerklärung eintragen (nur URL möglich). Lesen Sie hierzu 2.5.
Zusätzlich im öffentlichen Info-Bereich „Beschreibung“ (Bio) beide Links als Textverlinkung wiederholen, damit sie auch in der mobilen Ansicht sichtbar sind.
Tipp: Hier greifen viele auch auf einen sogenannten Linkbaum / Linktree zurück. Dies ist eine Übersicht über wichtige (rechtliche) Infos (beispielsweise Impressum, AGBs, Datenschutzerklärung, Informationspflichten etc.). Dieser kann über einen externen Dienstleister gebucht werden oder als kostengünstige Alternative auf der eigenen Webseite als Landingpage angelegt werden. Beispiel: https://www.datafreshup.de/linktree
2.4 DATENSCHUTZHINWEIS AUF INSTAGRAM HINTERLEGEN (KLICK-ANLEITUNG FÜR BROWSER)
Instagram bietet kein dediziertes Datenschutz-Feld. So machen Sie Pflichtinformationen zugänglich:
Auf das Profilbild klicken.
„Profil bearbeiten“ öffnen.
Im Feld „Website“ entweder direkt die URL Ihrer Datenschutzerklärung oder einen Linktree eintragen, der Impressum und Datenschutzhinweis bündelt. Lesen Sie hierzu 2.3 und 2.5.
In der Bio einen kurzen Hinweistext ergänzen (z. B. „Datenschutz & Impressum: Link in Bio“).
Bei einem Business- oder Creator-Konto unter „Profil bearbeiten“ → „Kontaktoptionen“ geschäftliche E-Mail und Adresse pflegen – das erleichtert die Wahrnehmung der Betroffenenrechte.
Instagram-DMs: Aktivieren Sie auf Geräten, die wirklich notwendig sind, die persönliche Verschlüsselungssicherung. Vermeiden Sie ab Mai 2026 die Übermittlung sensibler Daten über Instagram-DMs – Hintergründe und Alternativen im Blogbeitrag „Instagram-DMs ohne Ende-zu-Ende-Verschlüsselung: Was tun?“, online verfügbar unter https://www.datafreshup.de/blog/instagram-e2ee, 12.06.2026.
2.5 DATENSCHUTZINFORMATION AUF WEBSITE HINTERLEGEN
Jede Organisation mit einer Facebook oder Instagram Page muss ihrer Transparenzpflicht nachkommen. Hierfür einen Absatz zum jeweiligen Netzwerk in Ihre Datenschutzerklärung auf der Webseite sowie die Verwendung des Impressums für die Social-Media Plattformen aufnehmen.
2.5.1 DATENSCHUTZERKLÄRUNG
In die Datenschutzerklärung der Website der Organisation wird ein neues Kapitel „Facebook Fanpage“ oder „Instagram Kanal“ hinzugefügt. Dies wird, soweit Sie unser Produkt WebCare by DataReporter integriert haben, automatisch durch WebCare bereitgestellt.
Sie haben noch keine WebCare Lizenz bei uns gebucht? Sprechen Sie uns gerne an. Hier finden Sie unsere aktuellen Produktpräsentationen: https://t1p.de/datafreshup_praesentationen.
Danach können Sie wie unter 2.3. und 2.4. beschrieben die Verlinkung auf die Datenschutzerklärung der Website vornehmen. Es ist aber auch jederzeit möglich eine ausführliche Datenschutzinformation für Social-Media als eigenes Dokument bei uns anzufordern, um auf Ihre speziellen Bedürfnisse und Formulierungswünsche einzugehen.
2.5.2 IMPRESSUM
Damit das Impressum der Website der Organisation ebenso für Social-Media-Profile gültig wird, muss dies zusätzlich im Impressum angegeben sein. Setzen Sie, soweit möglich einen Anker/Tag, um unmittelbar auf diesen Absatz im Impressum zu verlinken.
Eine mögliche Vorlage könnte wie folgt lauten:
GÜLTIGKEIT DES IMPRESSUMS FÜR SOCIAL-MEDIA-PROFILE DES VEREINS
Das Impressum dieser Website der [FIRMIERUNG] gilt auch für folgende Social-Media-Profile:
2.6 BETROFFENENANFRAGEN AN META WEITERLEITEN
Nach der Seiten-Insights-Ergänzung übernimmt Meta die primäre Verantwortung für Auskunfts-, Berichtigungs- und Löschanfragen zu Insights-Daten. Das Anfrageformular im eingeloggten Zustand (Facebook Betroffenenformular, online verfügbar unter: https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fhelp%2Fcontact%2F308592359910928, 12.06.2026) können Sie über die Hilfeseiten von Meta aufrufen, Anfrage und Datum dokumentieren, Bearbeitung an Meta abgeben. Ihre Pflichten gemäß Art. 12 DSGVO/ § 14 KDG bestehen fort.
2.7 INSIGHTS- UND WERBE-EINSTELLUNGEN PRÜFEN
Facebook: In den Insights-Berichten prüfen, welche Auswertungen Sie wirklich nutzen, und nicht benötigte Berichte aus der Reporting-Routine streichen (Datenminimierung).
Meta-Ads: Wenn Sie Anzeigen schalten, dokumentieren Sie Zielgruppenmerkmale und Reichweiten – Gerichte haben 2026 bestätigt, dass Aufsichtsbehörden diese Daten anfordern dürfen.
2.8 EINBINDUNG AUF DER EIGENEN WEBSITE PRÜFEN
Social-Plugins (Like-Button, eingebettete Posts/Reels), Meta-Pixel und Conversions API erst nach aktiver Einwilligung über das Consent-Banner laden (§ 25 TDDDG). Hier gibt es viele europäische Hersteller, die bereits die Grundsätze „Datenschutzfreundliche Voreinstellungen“ und „Datensparsamkeit“ berücksichtigen.
Reine Textlinks auf Ihre Fanpage sind ohne Consent zulässig.
2.9 VDV-EINTRAG „SOCIAL MEDIA“ ANLEGEN
Beschreiben Sie die Verarbeitungstätigkeit „Social-Media“ in Ihrem Verzeichnis der Verarbeitungstätigkeiten unter Einbeziehung der Vorgaben der Aufsichtsbehörden
unter Datenschutzkonferenz: Beschluss Facebook Fanpages, online verfügbar unter: https://www.datenschutzkonferenz-online.de/media/dskb/DSK_Beschluss_Facebook_Fanpages.pdf, 12.06.2026.
unter Datenschutzkonferenz: Kurzgutachten Facebook Fanpages: https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/DSK_Kurzgutachten_Facebook-Fanpages_V1_18.03.2022.pdf
Im VdV müssen Sie für jede Social-Media-Plattform einzeln folgendes mindestens erfassen: Verarbeitungszweck, Rechtsgrundlage, Empfängerkategorien (Meta Platforms Ireland, Meta Platforms Inc.), Drittlandübermittlung (DPF), Löschfristen, TOM, Joint-Controller-Vereinbarung verlinken. Wir unterstützen Sie hier gerne.
2.10 REGELMÄSSIGE ÜBERPRÜFUN
Mindestens jährlich oder anlassbezogen bei rechtlichen Änderungen sollte die VAT „Social-Media“ sowie die Plattformen einer Überprüfung unterzogen werden.
Sie möchten auf dem Laufenden bleiben und keine wichtigen rechtlichen Änderungen verpassen? Dann abonnieren Sie gerne unseren Newsletter unter https://www.datafreshup.de/newsletter-signup.
Typische Fehler – und wie Sie sie vermeiden:
„WIR VERLINKEN META IN DER DATENSCHUTZERKLÄRUNG DER WEBSITE – DAS REICHT.“ → Falsch. Eigener Hinweis direkt auf der Fanpage/im Instagram-Profil erforderlich.
„DAS VG KÖLN HAT DOCH ENTSCHIEDEN, DASS WIR NICHT VERANTWORTLICH SIND.“ → Riskant. Einzelfall, nicht rechtskräftig, Aufsicht hält dagegen.
„INSTAGRAM-DMS SIND VERSCHLÜSSELT.“ → Seit 08.05.2026 nicht mehr automatisch – sensible Anfragen über sichere Kanäle abwickeln. (Blogbeitrag „Instagram-DMs ohne Ende-zu-Ende-Verschlüsselung: Was tun?“, online verfügbar unter https://www.datafreshup.de/blog/instagram-e2ee, 12.06.2026.)
3 WIE GEHE ICH WEITER VOR?
Seiten-Insights-Ergänzung als PDF archivieren und im VdV hinterlegen.
Datenschutz- und Impressums-URL in den Facebook-Seiteneinstellungen eintragen (siehe 2.4 & 2.5) und auf Instagram über Bio/Linkbaum zugänglich machen (siehe 2.4 & 2.5).
DPF-Zertifizierung von Meta einmalig prüfen unter www.dataprivacyframework.gov/s/participant-search
und Prüfdatum dokumentieren.Internen Prozess für Betroffenenanfragen festlegen (Weiterleitung an Meta).
Hinweis zu Instagram-DMs intern kommunizieren und sichere Alternativkanäle benennen.
Mittelfristig Risikoanalyse / ggf. DSFA durchführen und dokumentieren sowie Alternativkanäle prüfen (Newsletter, Mastodon, Website-Blog).
4 FAZIT UND NÄCHSTE SCHRITTE
Facebook- und Instagram-Fanpages sind mit klarer Dokumentation, transparenter Information auf der Seite selbst und Bewusstsein für die unsichere Rechtslage weiterhin nutzbar. Die jüngsten Urteile sind beide angegriffen bzw. nicht rechtskräftig. Wer jetzt umsichtig dokumentiert und die Einstellungen sauber pflegt, ist unabhängig vom Ausgang der Verfahren auf der sicheren Seite.
Ihr nächster Schritt: Prüfen Sie oder gemeinsam mit Ihrer Datenschutzbeauftragten in den Seiteneinstellungen Impressum und Datenschutzlink korrekt hinterlegt sind, ob die Verarbeitung „Social Media“ im VdV für Facebook und Instagram getrennt abgebildet ist, und ob Ihre interne Kommunikation auf den Wegfall der Instagram-DM-Verschlüsselung reagiert.
Jetzt Audit anfragen und Status quo prüfen: Termin buchen.
QUELLEN & DER RECHTLICHE RAHMEN IM SCHNELLDURCHLAUF
Folgende Normen sind maßgeblich:
Art. 26 DSGVO / § 28 KDG – gemeinsame Verantwortlichkeit. Meta stellt hierfür die „Seiten-Insights-Ergänzung“ bereit, die als Joint-Controller-Vereinbarung dient. Vergleichbare Joint-Control-Vereinbarungen gibt es auch für Instagram, LinkedIn und XING.
Abrufbar bei Facebook unter https://de-de.facebook.com/legal/terms/page_controller_addendum, 12.06.2026, als PDF-A mit Abrufdatum speichern und im VdV hinterlegen.
Für Instagram-Insights gelten die für Metaprodukten unter https://de-de.facebook.com/legal/terms/page_controller_addendum, 12.06.2026, Prüfen Sie ebenso unter https://privacycenter.instagram.com/policy, 12.06.2026, die jeweils aktuelle Informationsseite zu Insights und die Verarbeitung durch Meta Platforms Ireland.
Art. 13 DSGVO / § 15 KDG – Informationspflichten gegenüber Besucher:innen.
Art. 6 Abs. 1 DSGVO / § 6 KDG – Rechtsgrundlage der Verarbeitung.
Art. 45 ff. DSGVO / §§ 40 ff. KDG – Angemessenheitsbeschluss USA.
§ 25 TDDDG – Cookies und vergleichbare Technologien benötigen vor dem Setzen grundsätzlich eine Einwilligung.
Entschließungen der Aufsichtsbehörde:
Datenschutzkonferenz: Beschluss Facebook Fanpages, online verfügbar unter: https://www.datenschutzkonferenz-online.de/media/dskb/DSK_Beschluss_Facebook_Fanpages.pdf, 12.06.2026.
Datenschutzkonferenz: Kurzgutachten Facebook Fanpages: https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/DSK_Kurzgutachten_Facebook-Fanpages_V1_18.03.2022.pdf
EuG, Urteil vom 03.09.2025, Rs. T-553/23 (Latombe/Kommission): Klage gegen den EU-US Data Privacy Framework (DPF)-Angemessenheitsbeschluss abgewiesen. Meta Platforms Inc. ist seit 2023 zertifiziert – Übermittlungen auf Grundlage von Art. 45 DSGVO bzw. § 40 KDG bleiben zulässig. Latombe hat jedoch Rechtsmittel vor dem EuGH eingelegt, daher steht die abschließende Klärung noch aus.
Wie eine Datenwelt ohne Angemessenheitsbeschluss mit den USA aussehen könnte, haben wir uns in unserem Blogbeitrag „Was passiert, wenn Das EU-US Data Privacy Framework kippt?“, online verfügbar unter: https://www.datafreshup.de/blog/was-passiert-wenn-dpf-kippt, 12.06.2026. überlegt.Blogbeitrag „Instagram-DMs ohne Ende-zu-Ende-Verschlüsselung: Was tun?“, online verfügbar unter https://www.datafreshup.de/blog/instagram-e2ee, 12.06.2026.
[1] Die Definition und Abgrenzung zur gemeinsamen Verantwortlichkeit finden Sie in unserem Blogbeitrag „Haftungsfalle DSGVO: Verantwortlicher, AV & Art. 26 sicher abgrenzen“, online verfügbar unter https://www.datafreshup.de/blog/abgrenzungverantwortlichkeit, 12.06.2026.


