Einem Bericht der Süddeutschen Zeitung zufolge hat der Blutspendedienst des Bayerischen Roten Kreuzes dem sozialen Netzwerk Facebook fahrlässig Zugang zu höchstsensiblen Daten von möglichen Spendern verschafft.
Facebook Pixel als Ursache für die Datenpanne?
Die betroffenen Personen haben auf der Webseite des Blutspendedienstes einen sogenannten „Spende-Check“ durchführen. Mithilfe des Spende-Checks wird die Spendefähigkeit einer Person ermittelt. Die Betroffenen müssen hierbei Angaben zu höchst persönlichen Daten machen: beispielsweise ob sie an Krebs erkrankt sind, mit HIV infiziert sind, an Diabetes leiden, oder ob sie schon mal einen Schwangerschaftsabbruch haben durchführen lassen. Zudem wurde danach gefragt, ob der Interessent Drogen konsumiere.
Der Spende-Check des Bayerischen Roten Kreuzes ist so konfiguriert worden, dass jeder Nutzer eine Frage mit einem einfachen Ja oder einem Nein beantworten kann. In seinem Ursprung erweist sich die Webseite des Blutspendedienstes als datenschutzfreundlich. Die persönlichen Daten der Interessenten werden im Browser ausgewertet und das Ergebnis wird auf direktem Wege dem möglichen Spender übermittelt. Die Daten werden nicht auf der Webseite des Blutspendedienstes abgespeichert.
Unglücklicherweise nutzte der Blutspendedienst jedoch Facebooks Marketing Pixel. Facebook Pixel ermöglicht Werbetreibenden die Handlungen ihrer Besucher auf ihrer Webseite zu messen. Er kann alle Handlungen, die auf einer Webseite vorgenommen werden, nachverfolgen. Somit wurde jeder Klick auf einen „Ja“ oder „Nein“ Button an das soziale Netzwerk übermittelt. Die Ursache hierfür sei eine Funktion von Facebook, die sich „Automatic Configuration“ nennt. Mit einem einfachen Mausklick hätte die Funktion durch den Spendedienst jedoch abgeschaltet werden können. In den Fällen, in denen die Betroffenen zusätzlich in ihrem Facebook Profil eingeloggt waren, konnte Facebook die in Erfahrung gebrachten Daten mit dem jeweiligen Profil verbinden.
Folgen für den Blutspendedienst
Allein das bloße Verwenden von Facebook Pixel ohne eine entsprechende Einwilligung durch den Betroffenen, kann nicht ganz unerhebliche Folgen nach sich ziehen. Aufgrund seines fahrlässigen Handelns könnte der Blutspendedienst des Bayerischen Roten Kreuzes mindestens zur Zahlung eines Bußgelds wegen Verstoßes gegen die Datenschutz-Grundverordnung verpflichtet werden. Nach eigenen Angaben des Blutspendedienstes sei das Landesamt für Datenschutz bereits informiert und die Übermittlung der Daten abgeschaltet worden.
Es könnten tausende Nutzer betroffen sein
Wie viele Nutzer tatsächlich betroffen sind, ist noch unklar. Es spenden jedenfalls jährlich 250.000 Menschen Blut. Der Blutspendedienst machte keine Angaben dazu, ob die Daten bei Facebook wieder gelöscht oder ob Betroffene benachrichtigt werden. Mithilfe der Daten könnte das soziale Netzwerk Werbungen an die Interessen des Konsumenten anpassen. Vor allem für Versicherungen seien personenbezogene Daten von großem Vorteil. „Für die Verwendung des Pixels haben wir klare Regeln für Werbetreibende: Es dürfen keine sensiblen Nutzerdaten wie Informationen zur Gesundheit oder Finanzen an uns geschickt werden.“, so ein Facebook-Sprecher. Zudem wurde Facebook lediglich die Information, ob jemand den „Ja“ oder „Nein“ Button betätigt hat, übermittelt. Um Informationen über mögliche Krankheiten des Nutzers in Erfahrung bringen zu können, wäre zunächst eine Auswertung durch Facebook vonnöten.
Nichtsdestotrotz ist Vorsicht geboten. Den Nutzern wird empfohlen in ihren Systemeinstellungen ihres Browsers die Facebook Cookies abzuschalten.
Ob der Blutspendedienst künftig tatsächlich zur Zahlung eines Bußgeldes verpflichtet wird und ob die personenenbezigenen Daten wieder gelöscht werden können, ist abzuwarten.
Quellen:
- Eva-Maria Weiß, Daten von Blutspendern an Facebook übermittelt, Heise-Online, 27.08.2019, abrufbar unter: https://www.heise.de/newsticker/meldung/Daten-von-Blutspendern-an-Facebook-uebermittelt-4506648.html, zuletzt abgerufen am: 09.09.2019
- Matthias Ebert, Blutspendedienst übermittelt heikle Daten an Facebook, Süddeutsche Zeitung, 27.08.2019, abrufbar unter: https://www.sueddeutsche.de/digital/blutspende-brk-facebook-patientendaten-1.4576563, zuletzt abgerufen am: 09.09.2019.
- Florian Litterst, Wie du den Facebook Pixel richtig einsetzt und deine Kampagnen rockst, de, 06.09.2016, abrufbar unter: https://www.adsventure.de/facebook-pixel/, zuletzt abgerufen am 09.09.2019.
- Hanno Böck, Blutspendedienst übermittelt privtate Daten an Facebook, de, 27.08.2019, abrufbar unter: https://www.golem.de/news/tracking-blutspendedienst-uebermittelt-private-daten-an-facebook-1908-143457.html, zuletzt abgerufen am 09.09.2019.