Wohl fast alle Facebook-Nutzer betroffen

Unklar ist hingegen, wie groß die Zahl der tatsächlich ausgelesenen Nutzerprofile ist. Bislang war es möglich, über die Eingabe einer E-Mail-Adresse oder einer Telefonnummer ein Facebook-Profil zu finden. Was beispielsweise hilfreich ist, um gleichnamige Nutzer besser unterscheiden zu können. Einem Bericht der Washington Post zufolge können Kriminelle versucht haben, mit Hilfe von Telefonnummern und E-Mail-Adressen, die in Datenbanken bereits gehandelt würden, an weitere Nutzerinformationen zu gelangen. Mit solchen vervollständigten Profilen sei es einfacher, einen Identitätsdiebstahl zu begehen.

Eine solche Suchmöglichkeit ist standardmäßig aktiv, kann aber vom Nutzer deaktiviert werden. Facebook machte keine Angaben darüber, wie viele Prozent seiner Mitglieder die Suchmöglichkeit deaktiviert haben. Zuckerberg räumte in der Telefonkonferenz aber ein: "Ich gehe davon aus, dass bei jedem, der diese Einstellung aktiviert hatte, irgendjemand zu irgendeinem Zeitpunkt auf diesem Weg auf die öffentlichen Informationen zugegriffen hat." Auf die Frage, warum Facebook nicht früher über die Missbrauchsversuche informiert habe, sagte Zuckerberg: "Das haben wir uns erst in den vergangenen Tagen bei einer Revision unseres Gesamtsystems angesehen und besser verstanden."

Abfrage-Bots technisch nicht stoppen

Zuckerberg räumte in der Telefonkonferenz weiter ein, dass es technisch nicht möglich sei, diese Abfrage-Bots zu stoppen. Die "böswilligen Akteure" nutzten Hunderttausende unterschiedlicher IP-Adressen, so dass sie jede Adresse nur für wenige Anfragen verwendeten. Daher sei es besser gewesen, diese Suchmöglichkeit ganz abzuschalten. Angesichts des "Ausmaßes und der Raffinesse" der beobachteten Aktivitäten geht Facebook davon aus, dass die Profile der meisten Facebook-Nutzer auf diese Weise ausgelesen worden sein könnten, schreibt Schroepfer.

Ebenfalls unklar bleibt, ob und in welcher Form die neuen EU-Datenschutzregeln für alle Facebook-Mitglieder weltweit umgesetzt werden sollen. Während Zuckerberg in einem Interview Reuters zunächst gesagt hatte, die Regelungen würden nur "im Geiste" angewandt, sagte er in der Telefonkonferenz: "Wir beabsichtigen, überall dieselben Einstellungen zur Verfügung zu stellen, nicht nur in Europa. Wird es genau das gleiche Format geben? Wahrscheinlich nicht. Wir müssen herausfinden, was in den verschiedenen Märkten mit den verschiedenen Gesetzen und verschiedenen Orten sinnvoll ist." Zuckerberg bezeichnete die Datenschutzregeln als "sehr positiv".

"Jahrelange Anstrengung" erforderlich

Eine Facebook-Sprecherin sagte auf Nachfrage von Techcrunch, dass es tatsächlich darum gehe, sämtliche Vorgaben der Datenschutzgrundverordnung weltweit umzusetzen, nicht nur bestimmte Einstellungen. Dazu gehört beispielsweise die Möglichkeit, seine Daten in einem Standardformat exportieren oder löschen zu können. Sollten lokale Gesetze allerdings im Widerspruch zur EU-Verordnung stehen, könnten die europäischen Regeln nicht umgesetzt werden.

Persönliche Konsequenzen will Zuckerberg aus den aktuellen Datenschutzproblemen nicht ziehen. Er sehe sich immer noch am besten geeignet, das Unternehmen zu führen. Allerdings habe Facebook seine Verantwortlichkeiten nicht im erforderlichen Maße erkannt. Eine schnelle Verbesserung der aktuellen Situation sei aber nicht mit einem "Fingerschnips" zu erzielen. "Ich denke, das wird eine jahrelange Anstrengung erfordern."

Das Problem für den Facebook-Chef: Solche Versprechen gab er schon 2011 ab, nachdem die US-Verbraucherschutzbehörde FTC die damaligen Datenschutzpraktiken untersucht hatte. Sollte die FTC in ihrer neuen Prüfung nun feststellen, dass Facebook sich nicht an die Vereinbarungen gehalten hat, könnte das sehr teuer werden.