Facebooks Verhalten wird von deutschen Datenschützern heftig kritisiert. „Facebook übernimmt immer erst dann Verantwortung, wenn das Unternehmen dazu gezwungen wird“, erklärt Bundesjustizministerin Katarina Barley. So sei es auch jetzt wieder. Sie rät allen Nutzern, ihre Passwörter zu ändern. Der Vize-Fraktionschef der Grünen, Konstantin von Notz, sagt, die jüngsten Meldungen fügen sich nahtlos in das Bild eines Konzerns ein, der seit Jahren den eigenen Profit vor den Schutz der Daten seiner Nutzer stelle. Facebook habe noch immer nicht begriffen, welche Bedeutung dem Datenschutz und der IT-Sicherheit im digitalen Zeitalter zukomme, so Notz.

„Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr“, kritisiert der Bundesdatenschutzbeauftragte Ulrich Kelber. „Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen. Damit setzt Facebook seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert“, so der Datenschutzbeauftragte. Das soziale Netzwerk habe die Passwörter auf keinen Fall in unverschlüsselter Form speichern dürfen, sagt Kelber. Der Datenschutzbeauftragte von Baden-Württemberg habe ein deutsches Unternehmen vor einigen Monaten wegen eines ähnlichen Vergehens mit einer Geldbuße belegt.

Auch der vorliegende Fall solle penibel von den Datenschutzaufsichtsbehörden untersucht werden, so Kelber. Zum einen müsse geklärt werden, ob Facebook gegen Meldevorschriften nach der Datenschutz-Grundverordnung (DSGVO) verstoßen habe, da das Problem bereits seit Januar bekannt gewesen sein soll. „Unabhängig davon wird die in Europa zuständige irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch im europäischen Datenschutzausschuss über den Fall diskutieren“, sagt Kelber. Rasche Aufklärung fordert auch der Hamburger Datenschützer Johannes Caspar. Facebook habe das Problem gemäß der DSGVO innerhalb von 72 Stunden den Datenschutzbehörden melden müssen, so Caspar.

Kurz bevor Facebook den Fehler selbst einräumte, hat der IT-Sicherheitsexperte Brian Krebs in seinem Blog von dem Fall berichtet. Er schrieb unter Berufung auf einen nicht namentlich genannten Facebook-Insider, dass mehr als 20 000 Mitarbeiter des Online-Netzwerks auf die Nutzer-Passwörter hätten zugreifen können. Insgesamt könnten 200 bis 600 Millionen Facebook-Nutzer betroffen sein. Laut Krebs untersucht Facebook noch, wie viele Nutzer genau betroffen sind. Ein ehemaliger Facebook-Techniker versicherte dem IT-Fachportal Motherboard, dass der Fehler sehr wahrscheinlich unbeabsichtigt war. Der Zugang zu Nutzerdaten sei in dem Unternehmen jedoch stark eingeschränkt. Daher könne es lange dauern, bis so ein Fehler entdeckt werde. Auch Twitter und der Online-Entwicklerdienst GitHub hatten im vergangenen Jahr Fehler eingeräumt, durch die Passwörter intern unverschlüsselt gespeichert wurden.

Facebook-Chef Mark Zuckerberg hat erst vor Kurzem versprochen, in Zukunft mehr auf die Privatsphäre seiner Nutzer zu achten. Denn der Konzern hat den Ruf, fahrlässig mit Nutzerdaten umzugehen. Den größten Schnitzer leistete sich Facebook mit dem Datenskandal um die Firma Cambridge Analytica. An das Unternehmen leitete der Entwickler einer Umfrage-App vor mehr als vier Jahren Informationen von Facebook-Nutzern unrechtmäßig weiter. Dabei ging es nicht nur um die Daten der rund 300 000 Umfrage-Teilnehmer, sondern auch um die ihrer Facebook-Freunde. Das Online-Netzwerk ließ zu, dass Cambridge Analytica Unmengen an Daten über Jahre hinweg sammelte. Britische Datenschutzbehörden verhängten deswegen eine Geldstrafe von 500 000 Pfund (565 000 Euro) gegen Facebook. Die britischen Behörden bemängelten auch, dass der Konzern nicht genug zur Aufklärung der Affäre und für den Schutz seiner Mitglieder getan hätte.