Die Datenschutzbeauftragten haben sich nachdrücklich dafür eingesetzt, dass Facebook Personenbilder nur dann biometrisch erfasst und speichert, wenn die abgebildeten Personen zuvor darin eingewilligt haben. Facebook hat sich dem lange Zeit verschlossen. Einige deutsche Datenschutzbeauftragte, vor allem der hamburgische, dann aber auch der schleswig-holsteinische und der rheinland-pfälzische Datenschutzbeauftragte, hatten ein förmliches Untersagungsverfahren nach dem Bundesdatenschutzgesetz gegen Facebook eingeleitet. Die Vereinigung der europäischen Datenschutzbeauftragten (die „Art. 29-Gruppe") hat im März 2012 eine förmliche Stellungnahme verabschiedet, in der sie klar gefordert hat, Gesichtserkennungssysteme nur auf der Grundlage der informierten Einwilligung der Abgebildeten einzusetzen.

Im September 2012 ist Facebook dieser Forderung schließlich nachgekommen: Für seine europäischen Nutzerinnen und Nutzer wurde die Praxis eingestellt, wonach Bilder auch ohne jede Kenntnis der Abgebildeten biometrisch erfasst worden sind.

Dies war zwar ein wichtiger Schritt zu mehr Datenschutz bei Facebook. Allerdings ist nicht sicher, ob Facebook seine Pläne zur Nutzung der Gesichtserkennungsfunktion auch in Europa nicht erneut aufgreifen wird.

Im Übrigen ändert es nichts an der Tatsache, dass Facebook aufgrund der großen Unbekümmertheit seiner Mitglieder mittlerweile über mehr als 40 Milliarden Fotos verfügt, mit deren Hilfe zwischenzeitlich eine halbe Milliarde Menschen weltweit identifiziert werden konnten. Facebook verfügt also über die weltweit größte biometrische Datenbank. Die Zugriffe des amerikanischen Geheimdienstes auf die Datenbanken von Facebook haben gezeigt, wie schnell auch staatliche Stellen von solchen Datenschätzen für ihre eigenen Zwecken profitieren können.

Presseberichten zufolge setzt Facebook eine Software gegenüber den eigenen Mitgliedern ein, die in Facebook-Chats und -Nachrichten nach Anhaltspunkten für mögliche Sexualstraftaten sucht. Neben verdächtigen Formulierungen werden dazu bestimmte Aspekte in der Beziehung der beteiligten Facebook-Mitglieder (z.B. das unterschiedliche Alter der Kommunikationspartnerinnen und -partner) herangezogen.

Aus dem Umstand, dass Facebook eine solche Überwachung unter dem Gesichtspunkt möglicher Sexualstraftaten durchführt, lässt sich leicht schlussfolgern, dass eine inhaltliche Überprüfung der Chats auch aus anderen Gründen und unter anderen Gesichtspunkten erfolgt, zumindest erfolgen kann. Über die notwendigen technischen Hilfsmittel verfügt Facebook ganz offensichtlich.

Ein solches Vorgehen ist rechtswidrig. Facebook hat das Telekommunikationsgeheimnis zu wahren, das dem Diensteerbringer untersagt, sich Kenntnis vom Inhalt der Telekommunikation zu verschaffen. Facebook informiert seine Mitglieder nicht über seine entsprechenden Aktivitäten und holt erst recht nicht ihr Einverständnis für eine solche Auswertung ihrer Kommunikation ein. Völlig unklar ist auch, ob und wie lange solche ja lediglich vagen Verdachtsfälle gespeichert bleiben und an wen die Daten weitergegeben werden. Es ist zu befürchten, dass auch deutsche Facebook-Mitglieder in diese Überwachung einbezogen sind. Schriftliche Anfragen deutscher Datenschutzbeauftragter an Facebook, um das Verfahren weiter aufzuklären, sind leider erfolglos geblieben.

Der für die europäische Facebook-Niederlassung in Dublin zuständige irische Datenschutzbeauftragte führte im Herbst 2011 ein Audit durch. Der am 21. Dezember 2011 veröffentlichte Bericht dokumentierte zwar einige besorgniserregende Mängel, die der irische Datenschutzbeauftragte jedoch nicht als Aussage einer fehlenden Rechtskonformität von Facebook verstanden wissen wollte. Der irische Datenschutzbeauftragte hat darauf hingewiesen, dass er im Rahmen des Audits primär einen „best practice approach“ verfolgt habe und der formelle Abschluss des Audits erst nach der Evaluation der bis Mitte des Jahres 2012 mit Facebook vereinbarten Nachbesserungen vorgesehen sei. Der Folgebericht vom 21. September 2012 benannte einige Verbesserungen und bestätigte im Übrigen die vorläufig gewonnenen Erkenntnisse.

Die in den Berichten beschriebenen Mängel sowie die dort wiedergegebenen Einlassungen Facebooks belegen aus der Sicht des LfDI, dass Facebook häufig hinter anerkannten Datenschutzstandards zurückbleibt. Insbesondere in Bezug auf die Sammlung der Daten von Nicht-Facebook-Mitgliedern und bezüglich der Facebook-Gesichtserkennung vertreten deutsche Datenschutzbeauftragte eine andere Rechtsauffassung als ihr irischer Kollege. Auch erscheint die Vorgehensweise, nur nach dem „Prinzip Hoffnung“ auf Verbesserungen hinzuwirken, ohne wegen deutlicher Rechtsverstöße Sanktionsmittel einzusetzen („best practice approach“), fragwürdig.

Derzeit verfolgt die Studentenorganisation „europe versus facebook“ ihr Anliegen, Facebook zu zwingen, sich an europäisches Datenschutzrecht zu halten, auf dem Rechtsweg in Irland weiter.