Mehrere europäische Datenschutzbehörden haben sich Facebook vorgeknöpft. Nicht einmal die Vorgaben für Passwörter finden Gnade, von der Datenübertragung in die USA ganz abgesehen.

Die französische Datenschutzbehörde CNIL hat das weltgrößte soziale Netzwerk Facebook.com wegen zahlreicher Datenschutzverstöße gerügt. In einem 16-seitigen Schreiben (englisch) weist die CNIL auf zahlreiche Praktiken hin, mit denen europäische oder französische Vorgaben verletzt würden. Dabei geht es unter anderem darum, dass weiterhin personenbezogene Daten von Nutzern in die USA transferiert werden, obwohl das dafür maßgebliche Safe-Harbor-Abkommen nicht mehr gültig ist. Facebook wies die Vorwürfe auf Anfrage von Golem.de teilweise zurück.

Das Vorgehen der französischen Behörde erfolgt im Einklang mit belgischen, spanischen, niederländischen und deutschen Datenschützern, wobei im Falle Deutschlands die Hamburger Datenschutzbehörde zuständig ist. Die fünf Behörden hatten im März 2015 die Untersuchung gestartet. Dem Schreiben vom 26. Januar 2016 zufolge hat Facebook nun drei Monate Zeit, die Vorstöße abzustellen. Sollte das nicht passieren, könne ein Berichterstatter eingesetzt werden und fordern, dass ein CNIL-Komitee entsprechende Sanktionen verhängt.
Passwortvorgaben nicht streng genug

Konkret fordert die CNIL von Facebook elf Punkte, die bis Ende April erfüllt werden müssten. Demnach darf das soziale Netzwerk die Daten seiner Nutzer nicht mehr ohne legale Basis für Werbezwecke verwenden oder Nichtmitglieder über das bereits in Belgien verbotene Datr-Cookie tracken. Zudem sollen IP-Adressen von Nutzern spätestens nach sechs Monaten gelöscht werden. Ebenfalls beanstandet werden die Vorgaben für Passwörter: Diese seien nicht streng genug, um sichere Passwörter zu erzeugen. Da ein Passwort aus nur sechs Zeichen bestehen könne und weder Großbuchstaben noch Sonderzeichen vorgeschrieben seien, stelle dies ein Sicherheitsrisiko für die Daten der Nutzer und einen Verstoß gegen das französische Datenschutzgesetz dar.

Darüber hinaus fordert die CNIL, dass Facebook in mehreren Bereichen die Nutzer umfassender über die Verwendung ihrer Daten informieren oder die Zustimmung zur Datenverarbeitung einholen müsse. Facebook platziere 13 Cookies beim Besuch der Website. Zwar würden die Nutzer aufgefordert, dem Einsatz der Cookies zuzustimmen. Jedoch würden sie nicht darüber informiert, dass diese zu Werbezwecken eingesetzt würden oder modifiziert werden könnten.
Facebook verweist auf Standardvertragsklauseln

Facebook wies die Vorwürfe zum Teil zurück. Es treffe nicht zu, dass die Nutzerdaten nur auf Basis des Safe-Harbor-Abkommens transferiert würden, sagte Facebook-Sprecher Stefan Stojanow auf Anfrage von Golem.de. Zwar beziehe sich Facebook in seinen Datenschutzbestimmungen (Punkt VI) weiterhin auf das Abkommen, doch sei zwischen der internationalen Firmenzentrale in Irland und dem Mutterkonzern in den USA schon seit längerem eine sogenannte Standardvertragsklausel vereinbart worden, auf deren Basis die Daten übertragen würden.

Die EU-Datenschützer hatten in der vergangenen Woche beschlossen, dass die persönlichen Daten von EU-Bürgern weiterhin auf Basis solcher Klauseln in die USA transferiert werden dürfen. Bis das Nachfolgeabkommen für Safe Harbor, der EU-US-Privatsphärenschild, in Kraft tritt, dürften noch einige Wochen vergehen.

In einer Stellungnahme teilte das Unternehmen mit, die Rüge zunächst prüfen zu müssen. Auf den ersten Blick beträfen die beanstandeten Punkte nicht nur Facebook, sondern viele andere Internetfirmen. Das soziale Netzwerk appellierte an die EU und die USA, verlässliche Methoden für einen legalen Datentransfer zur Verfügung zu stellen.