Der Datenschutzbeauftragte des Bundeslandes Hamburg, Dr. Johannes Caspar, ist der Ansicht, dass die von Facebook jüngst eingeführte automatische Gesichtserkennung in ihrer aktuellen Form gegen europäisches und deutsches Datenschutzrecht verstößt.
Die Funktion besteht in einer automatisierten Erkennung biometrischer Merkmale auf Fotos von zuvor identifizierten Personen (z.B. durch Facebook-Kontakte). Caspar kritisiert, dass anhand dieses Verfahrens biometrische Daten über Millionen Nutzer erhoben und zentralisiert abgespeichert werden können, während biometrische Daten allgemein als "empfindliche" Daten eingestuft werden (das luxemburgische Datenschutzgesetz verlangt in diesem Zusammenhang beispielsweise eine Genehmigung für die Erhebung solcher Daten, insofern diese zur Identifizierung von Personen dienen).
Caspar kritisiert darüber hinaus auch, dass die Erhebung nicht per "opt-in" geschieht (also mit dem vorherigen Einverständnis der betroffenen Personen), sondern per "opt-out" (die betroffene Person hat also lediglich die Möglichkeit zum nachträglichen Einspruch), dies um so mehr, da das von Facebook angebotene "opt-out"-Verfahren schwerfällig und nicht sehr nutzerfreundlich zu sein scheint.
Caspar fordert Facebook daher auf, die europäischen Datenschutzvorschriften einzuhalten (insbesondere in Bezug auf das Recht auf informationelle Selbstbestimmung der betroffenen Personen) oder aber die erhobenen biometrischen Daten zu löschen und die Gesichtserkennung nicht mehr einzusetzen.