Blutspendedienst des Bayerischen Roten Kreuzes übermittelt höchstsensible Daten an Facebook

Veröffentlicht am Veröffentlicht in Datenschutz

Einem Bericht der Süddeutschen Zeitung zufolge hat der Blutspendedienst des Bayerischen Roten Kreuzes dem sozialen Netzwerk Facebook fahrlässig Zugang zu höchstsensiblen Daten von möglichen Spendern verschafft.

Facebook Pixel als Ursache für die Datenpanne?

Die betroffenen Personen haben auf der Webseite des Blutspendedienstes einen sogenannten „Spende-Check“ durchführen. Mithilfe des Spende-Checks wird die Spendefähigkeit einer Person ermittelt. Die Betroffenen müssen hierbei Angaben zu höchst persönlichen Daten machen: beispielsweise ob sie an Krebs erkrankt sind, mit HIV infiziert sind, an Diabetes leiden, oder ob sie schon mal einen Schwangerschaftsabbruch haben durchführen lassen. Zudem wurde danach gefragt, ob der Interessent Drogen konsumiere.

Der Spende-Check des Bayerischen Roten Kreuzes ist so konfiguriert worden, dass jeder Nutzer eine Frage mit einem einfachen Ja oder einem Nein beantworten kann. In seinem Ursprung erweist sich die Webseite des Blutspendedienstes als datenschutzfreundlich. Die persönlichen Daten der Interessenten werden im Browser ausgewertet und das Ergebnis wird auf direktem Wege dem möglichen Spender übermittelt. Die Daten werden nicht auf der Webseite des Blutspendedienstes abgespeichert.

Unglücklicherweise nutzte der Blutspendedienst jedoch Facebooks Marketing Pixel. Facebook Pixel ermöglicht Werbetreibenden die Handlungen ihrer Besucher auf ihrer Webseite zu messen. Er kann alle Handlungen, die auf einer Webseite vorgenommen werden, nachverfolgen. Somit wurde jeder Klick auf einen „Ja“ oder „Nein“ Button an das soziale Netzwerk übermittelt. Die Ursache hierfür sei eine Funktion von Facebook, die sich „Automatic Configuration“ nennt. Mit einem einfachen Mausklick hätte die Funktion durch den Spendedienst jedoch abgeschaltet werden können. In den Fällen, in denen die Betroffenen zusätzlich in ihrem Facebook Profil eingeloggt waren, konnte Facebook die in Erfahrung gebrachten Daten mit dem jeweiligen Profil verbinden.

Folgen für den Blutspendedienst

Allein das bloße Verwenden von Facebook Pixel ohne eine entsprechende Einwilligung durch den Betroffenen, kann nicht ganz unerhebliche Folgen nach sich ziehen. Aufgrund seines fahrlässigen Handelns könnte der Blutspendedienst des Bayerischen Roten Kreuzes mindestens zur Zahlung eines Bußgelds wegen Verstoßes gegen die Datenschutz-Grundverordnung verpflichtet werden. Nach eigenen Angaben des Blutspendedienstes sei das Landesamt für Datenschutz bereits informiert und die Übermittlung der Daten abgeschaltet worden.

Es könnten tausende Nutzer betroffen sein

Wie viele Nutzer tatsächlich betroffen sind, ist noch unklar. Es spenden jedenfalls jährlich 250.000 Menschen Blut. Der Blutspendedienst machte keine Angaben dazu, ob die Daten bei Facebook wieder gelöscht oder ob Betroffene benachrichtigt werden. Mithilfe der Daten könnte das soziale Netzwerk Werbungen an die Interessen des Konsumenten anpassen. Vor allem für Versicherungen seien personenbezogene Daten von großem Vorteil. „Für die Verwendung des Pixels haben wir klare Regeln für Werbetreibende: Es dürfen keine sensiblen Nutzerdaten wie Informationen zur Gesundheit oder Finanzen an uns geschickt werden.“, so ein Facebook-Sprecher. Zudem wurde Facebook lediglich die Information, ob jemand den „Ja“ oder „Nein“ Button betätigt hat, übermittelt. Um Informationen über mögliche Krankheiten des Nutzers in Erfahrung bringen zu können, wäre zunächst eine Auswertung durch Facebook vonnöten.

Nichtsdestotrotz ist Vorsicht geboten. Den Nutzern wird empfohlen in ihren Systemeinstellungen ihres Browsers die Facebook Cookies abzuschalten.

Ob der Blutspendedienst künftig tatsächlich zur Zahlung eines Bußgeldes verpflichtet wird und ob die personenenbezigenen Daten wieder gelöscht werden können, ist abzuwarten.

 

Quellen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*