Insbesondere in Blogs und Onlinemagazinen von verschiedenen größeren Zeitungen wurde Kritik am studiVZ laut. Dies ging soweit, dass Ende 2006 sogar vereinzelt Studentenvertreter vor der Benutzung von studiVZ warnten.Daraufhin begann studiVZ Anfang 2007 mit der Diskussion eines Verhaltenskodex, dem eine Änderung der Allgemeinen Geschäftsbedingungen (AGB) und technische Verbesserungen folgten. Seit Mai 2007 ist studiVZ zudem Mitglied der Freiwillige Selbstkontrolle Multimedia-Diensteanbieter e. V. (FSM). Folgende Punkte wurden oder werden kritisiert:
Datenschutz
Personalisierte Werbung
Nach dem Verkauf der Plattform an die Holtzbrinck-Gruppe wurde im Dezember 2007 die Veränderung der Allgemeinen Geschäftsbedingungen angekündigt und an die einzelnen Nutzer verschickt. Die Nutzer konnten den neuen Bedingungen bis zum 9. Januar 2008 zustimmen, um die Plattform weiterhin zu nutzen. Nutzern, die ihre Zustimmung verweigerten, wurde der Account gesperrt und erst wieder zugänglich gemacht, wenn eine Zustimmung erteilt wird. Eine Löschung der gesperrten Accounts, welche für den 31. März 2008 angekündigt war, ist bislang aber unterblieben. Stattdessen wurde „auf vielfachen Wunsch“ die Frist zur Zustimmung bis zum 30. Juni, und dann bis zum 8. Juli, 24:00 Uhr, verlängert. Auch zu diesem Termin wurden die Accounts nicht gelöscht. Die neuen Allgemeinen Geschäftsbedingungen räumen studiVZ die Möglichkeit zur Personalisierung von Werbeinhalten ein. Dies ermöglicht es Werbekunden, Nutzern auf Basis ihrer Interessen angepasste Werbeinformationen – auch über andere Kommunikationskanäle – zuzustellen. Datenschützer kritisierten dieses Vorgehen scharf, denn ist die Zugriffsberechtigung erst einmal erteilt, war es laut dem ersten Entwurf der Allgemeinen Geschäftsbedingungen nachträglich kaum noch möglich, die Vermarktung der Daten einzuschränken. Mit der zweiten, überarbeiteten Version wurde dies teilweise wieder zurückgenommen, so dass ein Widerspruch gegen personalisierte Werbung auch bei Verbleib im studiVZ möglich ist. Den aktuellen Allgemeinen Geschäftsbedingungen zufolge können Benutzerprofile – entgegen der Berichterstattung in manchen Medien – auch wieder vollständig gelöscht werden. Die Pläne von studiVZ lösten Diskussionen unter Nutzern und in den Medien aus, in deren Verlauf das Unternehmen versuchte, die schwerwiegendsten Kritikpunkte zurückzunehmen.
Herausgabe von persönlichen Daten an Ermittlungsbehörden
Die erwähnten Änderungen der AGB im Dezember 2007 erfolgten nach Angaben der Geschäftsführung von studiVZ auch aus ermittlungstechnischen Gründen: Der Kriminalpolizei und Landeskriminalämtern werden angeforderte persönliche Nutzerdaten übermittelt, sofern diese Rechtsverstöße vermuten und zum Beispiel Klarnamen der Nutzer wünschen, um weitere Untersuchungen durchführen zu können. Dabei werden nur die Nutzungsdaten derjenigen gespeichert, die der Speicherung Ihrer Daten nicht widersprochen haben, wie der Geschäftsführer von studiVZ, Marcus Riecke, ausführt: „Wir stehen da zwischen den Fronten. Auf der einen Seite der Datenschutz, auf der anderen Seite die Ermittler. Das Telemediengesetz verbietet uns, ohne Zustimmung der Nutzer Nutzungsdaten zu speichern. So hat der BGH vorigen Herbst entschieden. Die Kripo- und LKA-Beamten verlangen aber genau diese Daten von uns, die wir laut Datenschützern nicht speichern dürfen. Deshalb haben wir die Nutzer der Speicherung der Nutzungsdaten zustimmen lassen. […] Gott sei Dank dürfen wir bei Ermittlungsersuchen solche Daten nun herausgeben. Nutzungsdaten speichern wir bei allen Nutzern, die uns das erlaubt haben durch ihre Einwilligung.“
Missbrauchsgefahr durch Dritte
Websites mit vielen persönlichen Benutzerdaten wie studiVZ bergen grundsätzlich die Gefahr, dass unberechtigte Dritte Data-Mining betreiben. So war es beispielsweise zwei Studenten am US-amerikanischen MIT-College möglich, mithilfe eines automatischen Skripts über 70.000 Facebook-Benutzerprofile herunterzuladen. Auch für studiVZ wird Identitätendiebstahl durch Kombination der Daten mit anderen sozialen Netzwerken befürchtet. Tatsächlich gelang es am 9. Dezember 2006, insgesamt 1.074.574 studiVZ-Profile herunterzuladen und damit anschließend eine Analyse der Profilinformationen zu erstellen. Des Weiteren wurde ein Programm veröffentlicht, welches es ermöglichte, alle nach der Anmeldung auf studiVZ frei zugänglichen Daten zu speichern und Freundschaftsverbindungen grafisch darzustellen. Solch ein automatisierter Zugriff auf die Seite wird mithilfe sogenannter Captchas seit dem Dezember 2006 erschwert.
Im Februar 2007 gab es erneut einen Angriff auf die Website, bei dem es dem Angreifer gelungen sein soll, unmittelbaren Zugriff auf die Datenbank des Systems zu erhalten und so auch an nicht veröffentlichte Daten wie Passwörter und E-Mail-Adressen der Nutzer zu gelangen. studiVZ hat daraufhin die Passwörter aller Mitglieder zurückgesetzt und musste die Seite erneut mehrere Stunden vom Netz nehmen.
Privatsphäre
Dem Nutzer werden Optionen angeboten, die es erlauben, den Zugriff auf sensible Informationen einzuschränken, allerdings sind diese standardmäßig deaktiviert. Infolgedessen geben viele Benutzer ihr volles Profil der Öffentlichkeit preis. Je nach Einstellungsoptionen für die Privatsphäre bleiben nur bestimmte Informationen (bspw. der Name) für Betrachter des Profils sichtbar; für Freunde können weitere Details zugänglich gemacht werden (wie beispielsweise Verlinkungen auf Fotos). Anmelden kann sich jeder, der über eine gültige E-Mail-Adresse verfügt.
Beim Anlegen eines eigenen Fotoalbums kann der Benutzer wählen, ob dieses Album nur für ihn, für alle Personen mit denen er befreundet ist, oder für alle Benutzer sichtbar gemacht werden soll.
Gespeicherte Bilder
Ein weiterer Kritikpunkt ist die Verwaltung der von Benutzern in Fotoalben hochgeladenen Bilder: studiVZ speichert diese Bilder in Verzeichnissen auf einem Webserver, wobei ein Teil des Bild-URL mithilfe eines Hash-Algorithmus bestimmt wird. Das hat zur Konsequenz, dass sämtliche Bilder – auch diejenigen, die vom Benutzer ausdrücklich als privat markiert wurden – für jeden Internetnutzer öffentlich zugänglich sind, sobald die (entsprechende) URL des jeweiligen Bildes bekannt ist. Diese URL lässt sich jedoch kaum unbefugt ermitteln.
Geschäftsgebaren
Plagiatsvorwürfe
studiVZ wurde auch dafür kritisiert, ein bis in die Details von Funktion, Aufbau und Aussehen gehender Nachbau von Facebook zu sein. Sowohl Funktionsumfang als auch graphische Gestaltung ähneln der amerikanischen Plattform stark. Bis Anfang Oktober 2006 war in allen Quelltexten der Seiten von studiVZ ein Verweis auf ein Stylesheet mit dem Namen myfb.css zu finden, was zu der Vermutung führte, es sei direkt von Facebook kopiert worden. Die Kontakt- und Grußfunktion mit dem Fantasiewort „Gruscheln“ erinnert an „Poking“ (dt. anstupsen) auf Facebook oder dem „Zublinzeln“ oder „Zulächeln“ auf Datingseiten und das zugehörige PHP-Skript wurde auch auf studiVZ anfänglich unter dem Namen poke.php ausgeführt. Eine Fehlermeldung hat außerdem die Benennung eines Programmordners mit dem Namen „fakebook“ zutage gebracht. Am 19. Juli 2008 reichte Facebook wegen des „Missbrauchs von Facebooks geistigem Eigentum“ Klage bei einem US-Bezirksgericht in San José (Kalifornien) ein.
Domain-Grabbing
Im November 2006 wurde bekannt, dass die Geschäftsführung von studiVZ im Sommer ausländische Domains der deutschen Mitbewerber Unister und Studylounge (unter anderen unister.at und studylounge.co.uk) registriert hatte. Nach Veröffentlichung dieses in der Internetbranche als Domaingrabbing missbilligten Vorgehens entschuldigte sich studiVZ öffentlich und gab die Domains frei.
Abmahnverhalten
In die Kritik kam studiVZ auch mit seinem Abmahnverhalten, wobei das Kürzel VZ einen besonderen Stellenwert besitzt. Vor allem die Abmahnung von Studenten – der eigentlichen Zielgruppe des studiVZ – mit einer Kostennote von etwa 2.000 Euro stieß auf Kritik. Hier handelte es sich um das Projekt ErstiVZ, einer Seite von Studenten für Studienanfänger der Westfälischen Wilhelms-Universität in Münster. Andere Abmahnungen richteten sich ebenfalls an Projekte, die das angebliche Markenrecht von studiVZ verletzten (BewerberVZ, FussballerVZ, PokerVZ, Abitur-VZ und FickenVZ).
Kontrolle der Inhalte
Auf die Meldung bedenklicher Gruppen und Profile durch Benutzer der Plattform wurde nicht immer in der von den Kritikern erwarteten Form reagiert. So wurde am 23. November 2006 bekannt, dass eine Gruppe nur für Männer mit dem Ziel, jeden Monat die schönste Studentin zu wählen, existierte. In dem Gruppenforum wurden auch öffentlich in den Profilen angegebene Daten wie Name, Hochschule oder Bilder von einzelnen Studentinnen gepostet. Zwei derart „ausgezeichnete“ Studentinnen haben sich als Reaktion darauf abgemeldet. Auf Beschwerden diesbezüglich hat studiVZ nicht mit einer Löschung reagiert. Vielmehr hat der Bearbeiter offenbar für sich und den Geschäftsführer Michael Brehm um Aufnahme in die zwischenzeitlich 700 Mitglieder zählende Gruppe gebeten. Daneben gab und gibt es aber auch vergleichbare Gruppen, in denen Studentinnen sich über die attraktivsten Männerprofile austauschten.
Auch bei dem Ableger schülerVZ ist es nicht möglich, sämtliche Inhalte zu kontrollieren. So erstattete der Vater einer Schülerin „Strafanzeige wegen der Verbreitung pornographischen Materials und wegen Volksverhetzung“.