Der Blutspendedienst des Bayrischen Roten Kreuzes ist vermutlich in einen Datenskandal verwickelt. Nach Medienberichten sollen vertrauliche Daten von Blutspendern an Facebook weitergeleitet worden sein. War es ein Datenleck, Unachtsamkeit oder ein Versehen?
Blutspender werden seit Jahren dringend gesucht, weil Blut regelmäßig benötigt wird und oft Leben retten kann. Es ist also eine gute Sache, wenn Menschen Blut spenden und Anderen damit das Leben retten. Doch bevor Sie Blut spenden können, müssen Sie sich einem Gesundheitstest unterziehen. Außerdem können interessierte Spender zeitgemäß über das Internet selbst prüfen, ob sie als Spender in Frage kommen. Doch in diesem Zusammenhang werden sehr intime und höchst vertrauliche Daten erhoben. Und genau hier beginnt der Skandal, denn offenbar wurden Grundsätze des Datenschutzes nicht ausreichend beachtet.
Diese Blutspenden werden unter anderem auch vom Bayrischen Roten Kreuz eingesammelt. Das Bayerische Rote Kreuz (BRK) ist ein Landesverband des Deutschen Roten Kreuzes (DRK). Doch jetzt hat das Bayerische Rote Kreuz einen riesigen Datenskandal zu verantworten. Was ist passiert? Über das Internet konnten interessierte Spender einen sogenannten Spenden-Check machen. Dieser Check enthielt zahlreiche sehr persönliche Fragen. Dazu zählten Fragen zu HIV-Infektionen in der Vergangenheit, Erkrankungen der Vergangenheit, Schwangerschaften oder gar Drogenkonsum. Jetzt besteht der Verdacht, dass die vertraulichen Angaben der Spender womöglich in die Hände von Facebook geraten sein könnten. Das fand laut einem Bericht von SAT.1 die Süddeutsche Zeitung heraus.
Wie konnte es zu der Datenübertragung kommen?
Das Problem ist die Integration des sogenannten Facebook-Pixels, der unter Datenschutzexperten ohnehin umstritten ist. Bei dem Facebook-Pixel handelt es sich um eine für den Nutzer unsichtbare Funktion. Diese ist allerdings besonders neugierig, denn darüber kann Facebook den Nutzer von Seite zu Seite verfolgen, vorausgesetzt der Webseitenbetreiber bindet den Facebook-Pixel auf seiner Seite ein. Auf diese Weise erfährt das soziale Netzwerk, welche Seiten der Nutzer besucht und wofür er sich interessiert. Ziel des sozialen Netzwerkes ist es primär, dem Nutzer dann die zu seinen Interessen passende Werbung anzuzeigen.
Dieser Facebook-Pixel hat auf der Seite des Bayrischen Roten Kreuz mit vertraulichen Abfragen der Nutzer natürlich nichts verloren. Es handelt sich also vermutlich um eine schlampige Programmierung oder die Verantwortlichen hatten zu wenige Kenntnisse im Bereich des Datenschutzes. Doch gerade bei einer Organisation wie dem Bayrischen Roten Kreuz erwartet der Blutspender zu Recht, dass seine sensiblen Daten absolut sicher sind. Das war wohl nicht der Fall. Denn unklar ist nun, welche Daten Facebook tatsächlich erhalten hat. Rein theoretisch könnte Facebook Kenntnisse dazu erlangt haben, wie der Nutzer die sensiblen Gesundheitsfragen beantwortet hat.
Derzeit ist unklar, welche Daten an Facebook im Detail übermittelt wurden. Eigentlich ist das auch egal, denn es ist schlimm genug, dass das BRK offenbar die Tür für Facebook geöffnet hat. Nach dem TV-Bericht hat das BRK bestätigt, dass das Facebook-Pixel tatsächlich eingesetzt wurde. Allerdings sollen wohl wissentlich keine konkreten Antworten weitergegeben worden sein. Ein schwacher Trost, denn niemand weiß so genau, welche Daten Facebook genau erhebt, speichert und sammelt. Fakt ist, dass Facebook auf Seiten mit derartig sensiblen Daten nichts verloren hat. Da spielt es aus unserer Sicht keine Rolle, ob das BRK die Antworten der Nutzer weiterleiten wollte oder nicht.
Stellungnahme des Bayrischen Roten Kreuzes zum Thema
Update 29.08.2019 Das Bayrische Rote Kreuz hat zu der Berichterstattung in den Medien Stellung genommen. Danach hat das BRK den Facebook-Pixel entfernt und somit die Tür für Facebook geschlossen. Außerdem weißt das BRK in seiner Stellungnahme vom 27.08.2019 noch einmal explizit darauf hin, dass keine automatische Übermittlung von Gesundheitsdaten an Facebook erfolgte. Vielmehr besteht durch die Integration des FacebookPixels die theoretische Möglichkeit, dass Facebook unter Umständen mehr Daten erhalten und ausgewertet hat, als das vorgesehen ist.- Es erfolgt keine automatische Übermittlung von Gesundheitsdaten an Facebook.
- Die dargebrachten Vorwürfe berufen sich schlussendlich auf ein rein theoretisches und im Falle einer eventuellen sowie bisher nicht belegten Anwendung durch Facebook, rechtswidriges Szenario.
Der bisher auf der Website integrierte, sogenannte Facebook-Pixel wurde für Analysezwecke eingesetzt, ein sogenanntes Event-Tracking war nicht integriert.
[…]Bei Nutzung des digitalen Spende-Checks wurden folgende Daten automatisch an Facebook übermittelt:
- Aufruf der URL des Spende-Checks (https://www.blutspendedienst.com/blutspende/services/spende-check) Der Spende-Check lädt via JavaSkript bei jeder der 29 Fragen, sowie der Ergebnisseite des Spende-Checks eine unveränderte URL (https://www.blutspendedienst.com/blutspende/services/spende-check), welche an Facebook übermittelt wurde. Es ist folglich kein automatisierter Rückschluss auf die Nummer und damit den Inhalt der Frage möglich.
- Button-Text bei Klick auf einen der auf dieser Website vorhandenen Buttons, d.h. entweder „JA“, „NEIN“, „REISE-CHECK“ oder „TERMINSUCHE“
- Anzahl Klicks, die der Nutzer macht
Es besteht das theoretische Risiko, dass Facebook die Daten widerrechtlich durch andere Daten ergänzt und auswertet.
[…]Zudem haben wir vorsorglich entsprechende technische Anpassungen auf unserer Website vorgenommen, den Facebook-Pixel entfernt und die Fragen des Spende-Checks randomisiert.
[…] Lisa Rudolph vom BRK am 27.08.2019Letztlich bleibt die Frage, warum Facebook auf der Webseite des Blutspendedienstes überhaupt integriert war und das Nutzerverhalten an Facebook übermittelt wurde. Am Ende geht es hier auch um das Vertrauen der Blutspender. Vielleicht wäre eine aufrichtige Entschuldigung angebracht gewesen.
Ihre Meinung zum Thema ist gefragt
Was halten Sie von dem aktuellen Datenskandal? Über die Kommentare unterhalb des Artikels können Sie mit anderen Lesern über das Thema diskutieren. Sind Sie der Meinung das Facebook ohnehin schon alles über Sie weiß, oder meinen Sie, dass die Integration von Facebook auf Seiten mit sensiblen Daten absolut nicht geht?