Nicht nur in Indien hat Facebook in dieser Woche Probleme bekommen, sondern auch in Frankreich: Die dortige Datenschutzbehörde CNIL hat die Praktiken des Unternehmens untersucht und mehrere Verstöße gegen das französische Datenschutzgesetz festgestellt.

Facebook soll demnach personenbezogene Nutzerdaten immer noch auf der Basis von Safe Harbor in die USA übermitteln, obwohl der Europäische Gerichtshof (EuGH) die Regelung im Oktober für ungültig erklärt hatte. Nach Angaben des Unternehmens basiert die Datenübertragung in die USA allerdings noch auf anderen Verfahren, die nicht von dem Urteil des EuGHs betroffen sind. 

Das Vorgehen der Franzosen ist mit belgischen, spanischen, niederländischen und den deutschen Datenschützern aus Hamburg abgestimmt. Die fünf Behörden hatten im März 2015 die Untersuchung gestartet.

Auch in Deutschland unklar

Der Hamburgische Datenschutzbeauftragte Johannes Caspar pflichtet seinen französischen Kollegen bei: "Momentan können wir nicht eindeutig sagen, auf welcher rechtlichen Basis Facebook Daten in die USA sendet. Wir haben die deutsche Facebook-Niederlassung angefragt und erwarten eine Antwort bis zum 15. Februar."

Der Nachfolger von Safe Harbor, der EU-US Privacy Shield, soll Unternehmen jene Rechtssicherheit bieten, die nach dem EuGH-Urteil nötig ist. Allerdings sind wichtige Details zwischen der EU-Kommission und der US-Regierung offenbar noch nicht ausverhandelt. Der endgültige Text soll nun bis Ende Februar stehen.

Daten über Nicht-Nutzer gesammelt

Die französischen Datenschützer stören sich zudem an der Art, wie Facebook Daten auch von Nicht-Mitgliedern sammelt. Wenn die eine öffentliche Facebook-Seite besuchen, etwa eine Veranstaltungsseite, speichert Facebook ein Cookie im Browser, ohne den Besucher zu informieren. Der Cookie sammelt Informationen über das Nutzerverhalten auf Websites, die einen Like-Button verwenden und sendet die Daten an Facebook.

In Belgien ist man in der Sache schon weiter. Im November hat ein Gericht Facebook verboten, Daten von belgischen Internetnutzern zu erfassen, die kein Facebook-Konto besitzen. Das Soziale Netzwerk musste die Nutzer ohne Profil daraufhin blockieren, will das Urteil aber anfechten.

Kein Einverständnis

Die Begründung von Facebook ist kurios: Im Urteilstext kämen englische Wörter vor, zum Beispiel Homepage oder Cookie. In Belgien müssen aber alle Urteile in den offiziellen Landessprachen verfasst werden, also in Niederländisch, Französisch und Deutsch. Das sei ein letzter verzweifelter Versuch von Facebook, urteilten Anwälte im Gespräch mit Politico.

Zusätzlich beschweren sich die französischen Datenschützer darüber, dass Facebook Daten über die sexuelle Orientierung sowie über religiöse und politische Einstellungen sammelt, ohne das explizite Einverständnis der Nutzer einzuholen. Außerdem würden die Nutzer nicht ausreichend über ihre Rechte und die Verwendung der personenbezogenen Daten aufgeklärt.

Drei Monate Zeit

Weiterhin setze Facebook Cookies ein, die zu Werbezwecken verwendet werden. Auch hier werde eigentlich die Zustimmung der Nutzer benötigt. Facebook nutze die gesammelten Daten, um personalisierte Werbung anzuzeigen. Abschalten lasse sich die Funktion nicht, beklagen die Datenschützer.

CNIL hat Facebook eine Frist von drei Monaten gesetzt. Sollte das Unternehmen bis dahin nicht die französischen Datenschutzbestimmungen einhalten, könnten sich die Datenschützer gezwungen sehen, Sanktionen zu verhängen. Facebook und viele andere Unternehmen fürchten, dass Europas Datenschützer ihnen die Datenübertragungen in die USA im Extremfall vorerst ganz untersagen könnten.