Fast drei Monate lang hat die irische Datenschutzbehörde DPC analysiert, ob Facebook irisches und europäisches Datenschutzrecht verletzt oder nicht. Nun hat sie einen ersten Bericht über die Betriebsprüfung und die Gespräche mit Facebook vorgelegt. Die Kernaussage: Das Unternehmen hält sich an irische und europäische Richtlinien. Facebook verspricht dennoch zahlreiche Änderungen, um Nutzer besser zu informieren, was mit ihren Daten geschieht. Weitere Änderungen will das Unternehmen zumindest überdenken.

149 Seiten umfasst der vollständige Bericht der DPC, 77 weitere Seiten die technische Analyse einzelner Facebook-Funktionen. Diese Berichte sind deshalb so wichtig, weil Facebook seinen europäischen Hauptsitz in Dublin hat und sich auf irisches und europäisches Datenschutzrecht beruft.

Gary Davis, der die Untersuchung leitete, lobt zunächst die Bereitschaft von Facebook, Änderungen vorzunehmen, um die europäischen Datenschutzrichtlinien nicht nur zu erfüllen, sondern sogar "Musterlösungen" ( best practice ) zu bieten. Der wichtigste Satz in dem 149-Seiten-Papier aber steht auf Seite vier: "Die Empfehlungen in diesem Bericht implizieren nicht, dass das derzeitige Vorgehen von Facebook Irland nicht dem irischen Datenschutzrecht entspricht.

Grundsätzlich wollte die Behörde untersuchen,

- ob Facebook Nutzerdaten "fair" sammelt,
- ob die Nutzer verständliche Informationen darüber bekommen, wie ihre Daten verarbeitet werden,
- ob Facebook unverhältnismäßig viele Daten sammelt
- ob die Daten sicher vorgehalten und auch wirklich gelöscht werden, wenn sie nicht mehr gebraucht werden
- ob Facebook seinen Nutzern – mit wenigen Ausnahmen – einen Zugang zu allen persönlichen Daten gewährt.

Weiterhin überprüfte die Behörde, ob sich durch die Gesichtserkennung und das Markieren anderer Nutzer, durch den "Gefällt-mir"-Button und Apps von Drittanbietern weitere datenschutzrechtliche Probleme ergeben.

Einige dieser Punkte standen auf der Liste von Davis, weil die Initiative "Europe versus Facebook", gegründet vom Wiener Jurastudenten Max Schrems, insgesamt 22 Beschwerden bei der Behörde eingereicht hat. Schrems hatte unter anderem beklagt, dass er nach einem Antrag auf Herausgabe seiner persönlichen Daten längst nicht alles bekommen habe , was Facebook über ihn gespeichert hat.

Doch die Datenschutzbehörde kommt zu einem anderen Schluss als Schrems. Er und seine Mitstreiter bei "Europe versus Facebook" zeigen sich in einer ersten Reaktion zwar überglücklich, doch streng genommen, kommt ihnen Facebook nur ein wenig entgegen. Die DPC gibt sich zum Beispiel damit zufrieden, dass Facebook daran arbeiten will, auf Anfrage der Nutzer mehr Daten herauszugeben als bisher. Zu wenig Daten aber waren es nach Ansicht der DPC offenbar nicht.

Solche Aussagen ziehen sich durch den gesamten Bericht, die DPC zeigt sich sehr liberal. So will sie Facebook nicht darüber belehren, ob Opt-in -Funktionen in den Privatsphäre-Einstellungen besser wären als die bisherige Praxis, zunächst einmal fast alles zu aktivieren, also bestenfalls ein Opt-out anzubieten. Facebook möge das einfach "überdenken".