Behördenpräsenz auf Social Media: Verantwortung lässt sich nicht deaktivieren 

Darf eine Gemeindeverwaltung auf Instagram aktiv sein? Darf ein Ministerium eine Facebook-Seite betreiben? Die Antwort lautet: ja, aber mit erheblichen Bedingungen. 

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI ) hat am 3. Juni 2026 einen Handlungsrahmen für die Nutzung von Social Media durch öffentliche Stellen veröffentlicht, der die Anforderungen so konkret fasst wie bisher keine vergleichbare Behördenpublikation. 

Die Leitlinien sind zwar formal auf Rheinland-Pfalz ausgerichtet, setzen aber Maßstäbe, die bundesweit relevant sind. 

Niklas Niggemeier
Niklas Niggemeier
Datenschutz Berater

Zusammengefasst: 
 

  • Öffentliche Stellen sind beim Betrieb von Social-Media-Auftritten gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO, auch wenn sie die plattformseitigen Nutzungsstatistiken deaktivieren. Die bloße Eröffnung einer Seite genügt, um die datenschutzrechtliche Mitverantwortung zu begründen. 

  • Das neue Cross-Media-Gebot verlangt, dass alle Informationen einer öffentlichen Stelle auch außerhalb der Plattform abrufbar sein müssen. Niemand darf auf Social Media angewiesen sein, um Behördeninformationen zu erhalten. 

  • Jeder Betrieb eines Social-Media-Angebots erfordert ein schriftliches Nutzungskonzept mit konkreter Begründung der Plattformwahl. Der LfDI kann dieses im Rahmen einer Prüfung anfordern. 

Was der LfDI verlangt 

Der Handlungsrahmen fasst zusammen, was EuGH-Rechtsprechung, DSK-Beschlüsse und DSGVO für öffentliche Stellen im Social-Media-Betrieb konkret bedeuten. Ausgangspunkt ist die gemeinsame Verantwortlichkeit: Wer eine Fanpage oder einen Kanal auf einer Social-Media-Plattform betreibt, ist nach dem EuGH-Urteil C‑210/16 von 2018 mitverantwortlich für die Datenverarbeitung, die durch den Besuch dieser Seite ausgelöst wird, unabhängig davon, ob er selbst Cookies setzt oder Statistiken abruft.  

Neu und praktisch bedeutsam ist das Cross-Media-Gebot: Die bloße Kenntnisnahme von Informationen einer Behörde darf nicht von einer Registrierung auf einer Social-Media-Plattform abhängen. Alle Inhalte, die auf einem Social-Media-Kanal veröffentlicht werden, müssen parallel auch über einen plattformunabhängigen Kanal, in der Regel die eigene Website, zugänglich sein. Darauf ist im Social-Media-Auftritt ausdrücklich hinzuweisen. 

Gilt das auch für uns als Unternehmen? 

Der Handlungsrahmen richtet sich formal an öffentliche Stellen. Die Grundsätze zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, zur Rechtsgrundlagenpflicht und zu den Informationspflichten gelten jedoch für jeden Betreiber einer Social-Media-Präsenz, gleich ob Behörde oder Unternehmen. Wer eine Facebook-Seite oder einen Instagram-Auftritt betreibt, ist Verantwortlicher im datenschutzrechtlichen Sinne und muss eine tragfähige Rechtsgrundlage für die damit verbundene Datenverarbeitung nachweisen können. 

Brauchen wir ein Nutzungskonzept? 

Für öffentliche Stellen schreibt der LfDI ein schriftliches Konzept vor, das die Plattformwahl begründet, Zuständigkeiten für Redaktion und Betroffenenrechte benennt und in regelmäßigen Abständen bewertet wird. Für Unternehmen besteht keine formale Pflicht zu einem solchen Dokument, aber die inhaltlichen Fragen, die das Konzept beantwortet, stellt auch die Aufsichtsbehörde in einer Prüfung: Welchem Zweck dient der Kanal, auf welcher Rechtsgrundlage, und wie werden Betroffenenrechte gewährleistet? 

Jetzt handeln oder abwarten? 

Der LfDI folgt der Linie der gemeinsamen Verantwortlichkeit ausdrücklich und hält an ihr fest, obwohl das Verwaltungsgericht Köln die gegenteilige Position im Fall des Bundespresseamts im Juli 2025 vertreten hat (VG Köln, Urteil vom 17. Juli 2025, Az. 13 K 1419/23). Dabei wurde entschieden, dass der bloße Betrieb einer Facebook-Fanpage keine gemeinsame Verantwortlichkeit mit Meta begründet, wenn der Betreiber keinen Einfluss auf die Datenverarbeitung durch die Plattform nimmt.  

Die BfDI hat jedoch Berufung eingelegt, das Urteil ist nicht rechtskräftig, und der LfDI RLP hält ausdrücklich an der EuGH-Linie fest.  

Wer jetzt auf Basis eines erstinstanzlichen Urteils auf ein Datenschutzkonzept verzichtet, setzt darauf, dass die Berufungsinstanz dieselbe Linie hält. Das ist ein kalkuliertes Risiko, kein gesicherter Rechtsstand. 

Wie wir Sie begleiten 

Wir prüfen mit Ihnen, ob Ihre Social-Media-Auftritte den aktuellen datenschutzrechtlichen Anforderungen entsprechen: von der Rechtsgrundlage über die gemeinsame Verantwortlichkeit bis zur Datenschutzerklärung im Kanal. Das kann als Einzelprüfung starten oder Teil einer laufenden Compliance-Begleitung werden. In einem kurzen Gespräch klären wir, wo Ihre Social-Media-Präsenzen datenschutzrechtlich stehen und welche Schritte jetzt sinnvoll sind.

Share