Die irische Datenschutzbehörde DPC hat mit Facebook zwar zahlreiche Änderungen im Umgang mit Nutzerdaten ausgehandelt, kann aber keinen Verstoß des Unternehmens gegen irisches und europäisches Datenschutzrecht erkennen. Deutsche Datenschützer äußern sich dazu zurückhaltend bis enttäuscht.

Mehrfach wurden Facebook in den letzten Jahren Verstöße gegen europäisches Datenschutzrecht vorgeworfen. Weil Facebook sein europäisches Hauptquartier in Irland unterhält, war die irische Datenschutzbehörde den Vorwürfen seit Oktober in einer Betriebsprüfung nachgegangen. Sie kommt zu dem Ergebnis , "dass Facebook Irland sich an das Datenschutzrecht hält, und dieser Bericht stellt diese Rechtskonformität fest".

Die Untersuchung war vor allem von der Studenteninitiative "Europe versus Facebook" gefordert worden, die 22 Anzeigen gegen das Unternehmen gestellt hatte. Diese sieht in den Prüfergebnissen nun einen "Riesenerfolg", da viele ihrer Forderungen übernommen worden seien: So hat sich Facebook unter anderem verpflichtet, Daten aus Klicks auf Werbeanzeigen nach zwei Jahren zu löschen, Suchanfragen innerhalb von Facebook nach sechs Monaten. Die Datenschutzrichtlinien sollen überarbeitet werden, die Einwilligung, von anderen Nutzern auf Fotos markiert zu werden, wird deutlicher und öfter eingeblendet. Binnen sechs Monaten sollen diese und andere Änderungen umgesetzt werden, da prüft die DPC erneut.

Für den Bundesdatenschutzbeauftragten Peter Schaar ist es "von entscheidender Bedeutung, dass das Unternehmen die in dem Bericht genannten Anforderungen zügig umsetzt, etwa im Hinblick auf die kurzfristige Löschung von Nutzerdaten, mehr Transparenz und verbesserte Entscheidungsmöglichkeiten der Betroffenen darüber, wie mit ihren Daten umgegangen wird".

Der schleswig-holsteinische Landesdatenschützer Thilo Weichert wurde deutlicher: Er könne "nicht ganz die Schlussfolgerungen des Berichts verstehen, der eine Vielzahl von Datenschutzmängeln benennt, ohne deren Rechtswidrigkeit festzustellen". So erfolgt laut dem Bericht die gesamte zentrale Datenverarbeitung in den USA. Nutzer hätten nur unzulängliche Informationen und fehlende Wahlmöglichkeiten. Außerdem dokumentiert der Bericht, dass von Mitgliedern und auch von Nichtmitgliedern Daten gesammelt werden, die zu einer Profilbildung genutzt werden könnten. Facebook legt allerdings großen Wert auf die Feststellung, dass diese "Schattenprofile" nicht angelegt würden. Weichert stört auch, dass zu löschende Daten nicht umgehend und unwiederbringlich gelöscht würden. Die Schlussfolgerung der Iren, darin keine Rechtsverstöße zu sehen, zeige "ein erstaunliches Verständnis für angebliche Zwänge, die Facebook geltend macht".

Weichert sieht in den Prüfergebnissen eine Bestätigung dessen, was seine Behörde bereits festgestellt habe, allerdings habe seine Behörde die Mängel nach deutschem Datenschutzrecht bewertet. Unzufrieden ist er mit der Untersuchungsmethode der Iren: Er sei enttäuscht, dass keine umfassende Quellcodeanalyse der Datenauswertungen bei Facebook, etwa für die Funktion "Facebook Insights", zu erkennen sei, mit der Facebook die Daten seiner Nutzer analysiert. Dem Bericht nach seien nur einzelne Teile geprüft worden. Die irische Behörde verlasse sich, so Weichert "anscheinend oft ungeprüft auf die Aussagen und Zusicherungen von Facebook". Seine Behörde habe nun von Facebook detaillierte Informationen angefordert und wolle die Reichweitenanalyse "Insights" auf Ebene des Quellcodes prüfen.