FACEBOOK- & INSTAGRAM-FANPAGES DSGVO-KONFORM BETREIBEN

02.07.2026

Illustration eines modernen Home-Office-Arbeitsplatzes mit einem Laptop, der Social-Media-Dashboards anzeigt.

Fanpages sind ein wirksamer Kanal für Sichtbarkeit – aber datenschutzrechtlich seit Jahren ein Dauerbrenner. Dieser Beitrag bringt Sie auf den Stand 2026 und zeigt, was Vereine, KMU und kirchliche Einrichtungen heute konkret tun müssen – inklusive der jüngsten Urteile, Bußgelder und einer Klick-Anleitung für die wichtigsten Einstellungen in Facebook und Instagram.

1        DAS PROBLEM IN DER PRAXIS

Wer eine Facebook- oder Instagram-Seite betreibt, ist seit dem EuGH-Urteil (C-210/16, 05.06.2018) gemeinsam mit Meta verantwortlich für die Verarbeitung der Besucher:innendaten[1]. Die Datenschutzkonferenz (DSK) und die Konferenz der Diözesandatenschutzbeauftragten halten an dieser Linie fest. Ein vollständig datenschutzkonformer Betrieb ist aus Sicht der Aufsicht bis heute nur eingeschränkt möglich.

Praxisbeispiel: Eine Organisation betreibt eine Facebook- und Instagram-Seite, um Öffentlichkeitsarbeit für die Organisation zu betreiben und postet hierfür Fotos. Sobald eine Person die Seite besucht, setzt Meta Cookies und verarbeitet IP-Adresse, Gerätedaten und Verhaltensdaten – unabhängig davon, ob die Person ein Meta-Konto hat.

Aktuelle Entwicklungen:

  • VG Köln, Urteil vom 17.07.2025 (Az. 13 K 1419/23): verneint die gemeinsame Verantwortlichkeit im Einzelfall. Das Urteil ist noch nicht rechtskräftig, Berufung wird erwartet.

  • Instagram-Direktnachrichten: Seit 08.05.2026 wird die optionale Ende-zu-Ende-Verschlüsselung in Instagram-DMs nicht mehr unterstützt – wer DMs für echte Prozesse (Mitgliederanfragen, Kundenservice) nutzt, muss seine Risikobewertung anpassen. Details im Blogbeitrag „Instagram-DMs ohne Ende-zu-Ende-Verschlüsselung: Was tun?“, online verfügbar unter https://www.datafreshup.de/blog/instagram-e2ee, 12.06.2026.

CTA: Benötigen Sie Unterstützung bei der Bewertung Ihrer Social-Media-Präsenz? Sichern Sie sich Ihr kostenloses Erstgespräch unter Termin buchen oder per Mail an info@datafreshup.de.

2       DIE UMSETZUNG SCHRITT FÜR SCHRITT

2.1       BESTANDSAUFNAHME UND VERANTWORTLICHKEITEN KLÄREN

  • Welche Seiten betreiben wir (Facebook, Instagram, ggf. Threads)? Wer hat Admin-Rechte?

  • Wer ist intern für Pflege, Betroffenenanfragen und Datenschutzthemen zuständig?

  • Welche Rechtsordnung gilt für unsere Organisation – DSGVO oder KDG? Diese Vorfrage entscheidet über die einschlägigen Normen (Art. 26 DSGVO bzw. § 28 KDG) und die zuständige Aufsichtsbehörde (Landesbehörde bzw. Katholische Datenschutzaufsicht).

2.2      JOINT-CONTROLLER-VEREINBARUNGEN MIT META DOKUMENTIEREN

Die Seiten-Insights-Ergänzung gilt automatisch, sobald Sie eine Fanpage betreiben. Sie müssen diese auf der Website von Meta abrufen, archivieren und im Verzeichnis der Verarbeitungstätigkeiten (VdV) abbilden.

2.3     DATENSCHUTZHINWEIS AUF DER FACEBOOK-FANPAGE HINTERLEGEN (KLICK-ANLEITUNG FÜR BROWSER)

  1. In Ihrer Facebook-Seite oben links auf Profilbild/Seitenname → „Seite verwalten“ klicken.

  2. Linke Seitenleiste: „Einstellungen“ öffnen.

  3. „Details zur Seite“ (bzw. „Info“) auswählen.

  4. In der linken Seitenleiste „Infos zu Datenschutz und Rechtlichem“ anklicken

  5. Im Feld „Impressum“ Kurztext und URL Ihres Impressums eintragen. Lesen Sie hierzu 2.5.

  6. Im Feld „Datenschutzrichtlinie“ die URL Ihrer Fanpage-Datenschutzerklärung eintragen (nur URL möglich). Lesen Sie hierzu 2.5.

  7. Zusätzlich im öffentlichen Info-Bereich „Beschreibung“ (Bio) beide Links als Textverlinkung wiederholen, damit sie auch in der mobilen Ansicht sichtbar sind.

Tipp: Hier greifen viele auch auf einen sogenannten Linkbaum / Linktree zurück. Dies ist eine Übersicht über wichtige (rechtliche) Infos (beispielsweise Impressum, AGBs, Datenschutzerklärung, Informationspflichten etc.). Dieser kann über einen externen Dienstleister gebucht werden oder als kostengünstige Alternative auf der eigenen Webseite als Landingpage angelegt werden. Beispiel: https://www.datafreshup.de/linktree

2.4     DATENSCHUTZHINWEIS AUF INSTAGRAM HINTERLEGEN (KLICK-ANLEITUNG FÜR BROWSER)

Instagram bietet kein dediziertes Datenschutz-Feld. So machen Sie Pflichtinformationen zugänglich:

  1. Auf das Profilbild klicken.

  2.  „Profil bearbeiten“ öffnen.

  3. Im Feld „Website“ entweder direkt die URL Ihrer Datenschutzerklärung oder einen Linktree eintragen, der Impressum und Datenschutzhinweis bündelt. Lesen Sie hierzu 2.3 und 2.5.

  4. In der Bio einen kurzen Hinweistext ergänzen (z. B. „Datenschutz & Impressum: Link in Bio“).

  5. Bei einem Business- oder Creator-Konto unter „Profil bearbeiten“ → „Kontaktoptionen“ geschäftliche E-Mail und Adresse pflegen – das erleichtert die Wahrnehmung der Betroffenenrechte.

  6. Instagram-DMs: Aktivieren Sie auf Geräten, die wirklich notwendig sind, die persönliche Verschlüsselungssicherung. Vermeiden Sie ab Mai 2026 die Übermittlung sensibler Daten über Instagram-DMs – Hintergründe und Alternativen im Blogbeitrag „Instagram-DMs ohne Ende-zu-Ende-Verschlüsselung: Was tun?“, online verfügbar unter https://www.datafreshup.de/blog/instagram-e2ee, 12.06.2026.

2.5      DATENSCHUTZINFORMATION AUF WEBSITE HINTERLEGEN

Jede Organisation mit einer Facebook oder Instagram Page muss ihrer Transparenzpflicht nachkommen. Hierfür einen Absatz zum jeweiligen Netzwerk in Ihre Datenschutzerklärung auf der Webseite sowie die Verwendung des Impressums für die Social-Media Plattformen aufnehmen.

2.5.1      DATENSCHUTZERKLÄRUNG

  • In die Datenschutzerklärung der Website der Organisation wird ein neues Kapitel „Facebook Fanpage“ oder „Instagram Kanal“ hinzugefügt. Dies wird, soweit Sie unser Produkt WebCare by DataReporter integriert haben, automatisch durch WebCare bereitgestellt.

  • Sie haben noch keine WebCare Lizenz bei uns gebucht? Sprechen Sie uns gerne an. Hier finden Sie unsere aktuellen Produktpräsentationen: https://t1p.de/datafreshup_praesentationen.

  • Danach können Sie wie unter 2.3. und 2.4. beschrieben die Verlinkung auf die Datenschutzerklärung der Website vornehmen. Es ist aber auch jederzeit möglich eine ausführliche Datenschutzinformation für Social-Media als eigenes Dokument bei uns anzufordern, um auf Ihre speziellen Bedürfnisse und Formulierungswünsche einzugehen.

2.5.2     IMPRESSUM

Damit das Impressum der Website der Organisation ebenso für Social-Media-Profile gültig wird, muss dies zusätzlich im Impressum angegeben sein. Setzen Sie, soweit möglich einen Anker/Tag, um unmittelbar auf diesen Absatz im Impressum zu verlinken.

Eine mögliche Vorlage könnte wie folgt lauten:

GÜLTIGKEIT DES IMPRESSUMS FÜR SOCIAL-MEDIA-PROFILE DES VEREINS

Das Impressum dieser Website der [FIRMIERUNG] gilt auch für folgende Social-Media-Profile:

2.6     BETROFFENENANFRAGEN AN META WEITERLEITEN

Nach der Seiten-Insights-Ergänzung übernimmt Meta die primäre Verantwortung für Auskunfts-, Berichtigungs- und Löschanfragen zu Insights-Daten. Das Anfrageformular im eingeloggten Zustand (Facebook Betroffenenformular, online verfügbar unter: https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fhelp%2Fcontact%2F308592359910928, 12.06.2026) können Sie über die Hilfeseiten von Meta aufrufen, Anfrage und Datum dokumentieren, Bearbeitung an Meta abgeben. Ihre Pflichten gemäß Art. 12 DSGVO/ § 14 KDG bestehen fort.

2.7      INSIGHTS- UND WERBE-EINSTELLUNGEN PRÜFEN

  • Facebook: In den Insights-Berichten prüfen, welche Auswertungen Sie wirklich nutzen, und nicht benötigte Berichte aus der Reporting-Routine streichen (Datenminimierung).

  • Meta-Ads: Wenn Sie Anzeigen schalten, dokumentieren Sie Zielgruppenmerkmale und Reichweiten – Gerichte haben 2026 bestätigt, dass Aufsichtsbehörden diese Daten anfordern dürfen.

2.8     EINBINDUNG AUF DER EIGENEN WEBSITE PRÜFEN

  • Social-Plugins (Like-Button, eingebettete Posts/Reels), Meta-Pixel und Conversions API erst nach aktiver Einwilligung über das Consent-Banner laden (§ 25 TDDDG). Hier gibt es viele europäische Hersteller, die bereits die Grundsätze „Datenschutzfreundliche Voreinstellungen“ und „Datensparsamkeit“ berücksichtigen.

  • Reine Textlinks auf Ihre Fanpage sind ohne Consent zulässig.

2.9     VDV-EINTRAG „SOCIAL MEDIA“ ANLEGEN

2.10   REGELMÄSSIGE ÜBERPRÜFUN

  • Mindestens jährlich oder anlassbezogen bei rechtlichen Änderungen sollte die VAT „Social-Media“ sowie die Plattformen einer Überprüfung unterzogen werden.

  • Sie möchten auf dem Laufenden bleiben und keine wichtigen rechtlichen Änderungen verpassen? Dann abonnieren Sie gerne unseren Newsletter unter https://www.datafreshup.de/newsletter-signup.

Typische Fehler – und wie Sie sie vermeiden:

  1. „WIR VERLINKEN META IN DER DATENSCHUTZERKLÄRUNG DER WEBSITE – DAS REICHT.“ → Falsch. Eigener Hinweis direkt auf der Fanpage/im Instagram-Profil erforderlich.

  2. „DAS VG KÖLN HAT DOCH ENTSCHIEDEN, DASS WIR NICHT VERANTWORTLICH SIND.“ → Riskant. Einzelfall, nicht rechtskräftig, Aufsicht hält dagegen.

  3. „INSTAGRAM-DMS SIND VERSCHLÜSSELT.“ → Seit 08.05.2026 nicht mehr automatisch – sensible Anfragen über sichere Kanäle abwickeln. (Blogbeitrag „Instagram-DMs ohne Ende-zu-Ende-Verschlüsselung: Was tun?“, online verfügbar unter https://www.datafreshup.de/blog/instagram-e2ee, 12.06.2026.)

3       WIE GEHE ICH WEITER VOR?

  • Seiten-Insights-Ergänzung als PDF archivieren und im VdV hinterlegen.

  • Datenschutz- und Impressums-URL in den Facebook-Seiteneinstellungen eintragen (siehe 2.4 & 2.5) und auf Instagram über Bio/Linkbaum zugänglich machen (siehe 2.4 & 2.5).

  • DPF-Zertifizierung von Meta einmalig prüfen unter www.dataprivacyframework.gov/s/participant-search und Prüfdatum dokumentieren.

  • Internen Prozess für Betroffenenanfragen festlegen (Weiterleitung an Meta).

  • Hinweis zu Instagram-DMs intern kommunizieren und sichere Alternativkanäle benennen.

  • Mittelfristig Risikoanalyse / ggf. DSFA durchführen und dokumentieren sowie Alternativkanäle prüfen (Newsletter, Mastodon, Website-Blog).

4      FAZIT UND NÄCHSTE SCHRITTE

Facebook- und Instagram-Fanpages sind mit klarer Dokumentation, transparenter Information auf der Seite selbst und Bewusstsein für die unsichere Rechtslage weiterhin nutzbar. Die jüngsten Urteile sind beide angegriffen bzw. nicht rechtskräftig. Wer jetzt umsichtig dokumentiert und die Einstellungen sauber pflegt, ist unabhängig vom Ausgang der Verfahren auf der sicheren Seite.

Ihr nächster Schritt: Prüfen Sie oder gemeinsam mit Ihrer Datenschutzbeauftragten in den Seiteneinstellungen Impressum und Datenschutzlink korrekt hinterlegt sind, ob die Verarbeitung „Social Media“ im VdV für Facebook und Instagram getrennt abgebildet ist, und ob Ihre interne Kommunikation auf den Wegfall der Instagram-DM-Verschlüsselung reagiert.

Jetzt Audit anfragen und Status quo prüfen: Termin buchen.



QUELLEN & DER RECHTLICHE RAHMEN IM SCHNELLDURCHLAUF

Folgende Normen sind maßgeblich:

[1] Die Definition und Abgrenzung zur gemeinsamen Verantwortlichkeit finden Sie in unserem Blogbeitrag „Haftungsfalle DSGVO: Verantwortlicher, AV & Art. 26 sicher abgrenzen“, online verfügbar unter https://www.datafreshup.de/blog/abgrenzungverantwortlichkeit, 12.06.2026.

DataFreshup GmbH

Hauptstraße 19
92345 Dietfurt a.d.Altmühl
Deutschland

Social Media

DataFreshup GmbH

Hauptstraße 19
92345 Dietfurt a.d.Altmühl
Deutschland

Social Media


DataFreshup GmbH

Hauptstraße 19
92345 Dietfurt a.d.Altmühl
Deutschland

Social Media