Unternehmen und öffentliche Stellen, die soziale Netzwerke nutzen, müssen datenschutzrechtlichen Anforderungen Rechnung tragen. Die Erfahrung der Aufsichtsbehörden zeigt, dass der Schutz der Privatsphäre von den Betreibern sozialer Netzwerke nicht immer hinreichend beachtet wird.

Häufig vertrauen die Nutzenden den Betreibern dieser Dienste sehr persönliche Informationen an. Auch die Vielfalt der Informationen, die innerhalb eines Netzwerkes aktiv eingestellt oder über die Nutzerinnen und Nutzer erhoben werden, ermöglicht einen tiefen Einblick in deren persönliche Lebensgestaltung.

Social Media - Dienste  wie Facebook, Twitter oder Whatsapp  sind zu einem  wesentlichen Bestandteil im beruflichen und privaten Informations - und  Kommunikationsverhalten vieler Nutzerinnen und Nutzer geworden. Hierbei handelt  es sich um Telemedien nach § 1 Abs. 1 Telemediengesetz (TMG). Bei Social Media - Diensten handelt es sich vielfach um mehrstufige  Anbieterverhältnisse , bei  denen  der  jeweilige  Informations - oder  Kommunikationsdienst auf einer Plattform angebot en wird, die Dritte bereitstellen und  bei denen Daten der Nutzerinnen und Nutzer im Rahmen eigener Geschäftszwecke  verarbeitet werden.  Dies macht Social Media - Dienste aus Nutzerperspektive schwer  durchschaubar und aus rechtlicher Sicht häufig problematisch , gerade im Hinblick auf  Verantwortlichkeiten. 

Nach der Entscheidung des Europäischen Gerichtshofs zur Facebook Fanpages (C-210/16 vom 5.6.2018) hat der Europäische Gerichtshof klargestellt, dass hinsichtlich des Betriebs von Facebook-Fanpages jedenfalls eine gemeinsame datenschutzrechtliche Verantwortung des Anbieters Facebook und des Fanpage-Betreibers besteht. Staatliche Stellen unterliegen darüber hinaus einer verfassungsrechtlichen Bindung  an Recht und  Gesetz  (Rechtsstaatsprinzip) und stehen aufgrund ihrer  gesellschaftlichen  Vorbildfunktion in einer besonderen Verantwortung. In ihrer Entschließung vom 6.6.2018 weist die Datenschutzkonferenz  darauf hin, dass dabei Folgendes zu beachten ist:

• Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
• Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur erfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
• Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
• Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können. 

Angesichts datenschutzrechtlicher  Defizite bei einer Reihe von Social Media - Plattformen sollten öffentliche Stellen ihre  dortigen Angebote daher auf Datensparsamkeit bei der Verarbeitung von  Nutzungsdaten  und auf eine aktive Information der Nutzerinnen und Nutzer  ausrichten. Fehlende Widerspruchsmöglichkeiten  beim Social Media - Dienst selbst  sind durch  Maßnahmen der öffentlichen Stellen wie  Information und Aufklärung ,  einen Hinweis auf die eigenverantwortliche Nutzung und  auf  das Angebot alternativer  Kommunikationskanäle zu kompensieren , um die Nutzerinnen und Nutzer in die Lage  zu versetzen, über ihre Daten tatsächlich selbst bestimmen zu können (siehe Handlungsrahmen des LfDI zu Sozialen Netzwerken).