So sagte Facebook zu, die Verwendung von Nutzerdaten durch Dritte künftig genauer zu kontrollieren. Das gilt auch für Facebooks eigene Dienste wie WhatsApp oder Instagram. Das Unternehmen muss überdies klar und sichtbar seine Verwendung von Gesichtserkennungstechnologie offenlegen. Sollte Facebook solche Software über den derzeitigen Stand hinaus zum Einsatz bringen, müssen die Nutzer dem zustimmen.

Telefonnummern, die Facebook-Nutzer zur Sicherheit hinterlegt haben, etwa für die Zwei-Faktor-Authentifizierung, dürfen nicht für Werbung verwendet werden. Passwörter müssen verschlüsselt werden und der Konzern muss in regelmäßigen Abständen überprüfen, dass diese nicht irgendwo im Klartext gespeichert sind, damit sie nicht zu leichter Beute für Hacker werden. Das Unternehmen muss überdies ein umfassendes Programm zur Sicherung von Daten einführen.

Facebook hat sich außerdem mit der FTC auf eine Reihe von Kontrollmechanismen geeinigt. Dazu gehört es, ein unabhängiges Datenschutzkomitee einzurichten. Dessen Mitglieder sollen von einem ebenfalls unabhängigen Nominierungsausschuss vorgeschlagen werden und können nur durch eine qualifizierte Mehrheit im Verwaltungsrat von Facebook gefeuert werden. Das soll laut FTC eine „uneingeschränkte Kontrolle“ durch Unternehmensgründer Mark Zuckerberg verhindern. Das Komitee wird in regelmäßigen Abständen an die Facebook-Führung berichten.

Facebook-Chef Zuckerberg und spezielle Datenschutzbeauftragte müssen außerdem vierteljährliche Berichte vorlegen, die nachweisen, dass sich das Unternehmen an seine Datenschutzauflagen hält. Sollte Zuckerberg dabei falsche Angaben machen, könnte das zivil- und strafrechtliche Folgen für ihn haben.

Um die Transparenz zu erhöhen, haben sich Konzern und Verbraucherschutzbehörde geeinigt, dass die FTC und andere Kontrollinstanzen Zugang zu Facebooks Entscheidungen in Sachen Datenschutz bekommen. Ein unabhängiger Gutachter wird sich vier Mal im Jahr mit dem Datenschutz-Komitee treffen, sowohl mit den Facebook-Managern als auch ohne diese. Dieser Gutachter soll das Datenschutzprogramm bewerten und alle zwei Jahre seine Einschätzung an die FTC weitergeben.

Auch die Unternehmensführung von Facebook soll vierteljährlich das Datenschutz-Komitee informieren. Sollten dabei Probleme auftauchen, kann das Komitee Änderungen vorschlagen. Der Konzern verpflichtet sich, vor Veröffentlichung jedes neuen Produktes oder Dienstes erst abzuwägen, ob es dabei zu Problemen mit dem Datenschutz kommen könnte. Eine Stellungnahme dazu ist Teil der vierteljährlichen Datenschutzberichte.

Sollten künftig Daten von 500 oder mehr Nutzern des sozialen Netzwerks missbräuchlich verwendet worden sein, muss das Unternehmen die Behörden innerhalb von 30 Tagen darüber informieren. Bis das Problem vollständig untersucht oder gelöst ist, sind weitere Berichte alle 30 Tage vorzulegen.

Facebook hat sich in einem Blogbeitrag zur Einigung mit der FTC geäußert: „Mit dieser Vereinbarung möchten wir nicht nur den Anforderungen der Regulierungsbehörden genügen, sondern auch das Vertrauen der Menschen zurückgewinnen“. Das Unternehmen räumte außerdem ein, dass es seine „Arbeitsweise grundlegend überdenken müsse“. Den Produktentwicklern werde künftig mehr Verantwortung auferlegt.

Bei Facebook hatte es in den vergangenen Jahren etliche spektakuläre Datenschutzpannen gegeben. Die FTC konzentriert sich vor allem auf den Skandal um Cambridge Analytica im März 2018. Damals schöpfte die Datenanalyse-Firma persönliche Informationen von rund 87 Millionen Facebook-Nutzern ohne deren Zustimmung ab. Ziel der Aktion war es, deren Stimmabgabe bei den US-Wahlen im Jahr 2016 im Sinne von Auftraggebern zu beeinflussen.