Sensible Gesundheitsdaten weitergegeben?
Bayerisches Rotes Kreuz widerspricht Datenschutz-Anschuldigungen
Durch eine falsche Einstellung bei Facebook soll der Blutspendedienst des BRK Daten von Spendeinteressierten an das Soziale Netzwerk weitergegeben haben. Das BRK weist das vehement zurück.
Veröffentlicht:
Datenweitergabe an Facebook: Hat das Bayerische Rote Kreuz gegen die DSGVO verstoßen?
© Zerbor / stock.adobe.com
MÜNCHEN. Der Blutspendedienst des Bayerischen Roten Kreuzes (BRK) kämpft mit der Anschuldigung einer massiven Datenschutzpanne: Er widerspricht einem Bericht der Süddeutschen Zeitung, nach dem er sensible Gesundheitsdaten von potenziellen Spendern an Facebook weitergegeben haben soll.
Demnach liegt das Problem an den sogenannten Facebook-Pixeln, einem Dienst des Sozialen Netzwerks, um Webseitenbetreibern zu ermöglichen, das Nutzerverhalten einzusehen (Stichwort: Event-Tracking). Das BRK habe ein solches Pixel auch in den Spende-Check auf seiner Webseite eingebaut, mit dem Interessierte herausfinden können, ob sie als potenzielle Spender in Frage kommen.
Das sagt die SZ
Besucher beantworten dabei beispielsweise Fragen nach einer bestehenden HIV-Infektion, ob sie Diabetes haben oder welche Medikamente sie einnehmen. Fälschlicherweise haben die Webseitenbetreiber dem Bericht zufolge das Pixel so konfiguriert, dass die ausgewählten Antworten der Nutzer zum Facebook-Server übertragen wurden.
Das Soziale Netzwerk könne dadurch sogar die Antworten mit dem Facebook-Profil der Nutzer verknüpfen – also auch mit dem echten Namen, ohne dass der Nutzer dies mitbekommt oder gerade auf Facebook aktiv ist. Facebook-Nutzer könnten die übertragenen Antworten auch nicht im Nachhinein löschen, da sie nicht im Profil angezeigt würden.
Zwar wurden die Fragen des Blutspendedienstes nicht mitübertragen, aber da diese immer in der gleichen Reihenfolge gestellt worden sind, könnten die übertragenen Antworten darauf Rückschlüsse zulassen, so die SZ.
BRK widerspricht
Der Blutspendedienst wehrt sich in einer Stellungnahme gegen die Anschuldigungen. Der Bericht sei „einseitig sowie ohne Einbezug erfolgter Stellungnahmen dargestellt“. Das BRK habe auch kein Event-Tracking eingebaut; man habe lediglich Folgendes an Facebook weitergegeben: anonyme URLs, den Text von geklickten Buttons und die Anzahl der Klicks, die ein Nutzer macht.
Es bestehe zwar „das theoretische Risiko, dass Facebook die Daten widerrechtlich durch andere Daten ergänzt und auswertet“, dies wäre aber nicht rechtskonform und eine Verantwortung würde alleine bei Facebook liegen. „Als vorbeugende Sicherheitsmaßnahme haben wir uns beim Bayerischen Landesamt für Datenschutzaufsicht rückversichert, dass es sich nicht um eine meldepflichtige Datenpanne handelt“, so das BRK weiter.
Es gebe überdies keinerlei Zusammenhang zwischen den publizierten Behauptungen und der Spenderdatenbank sowie anderen medizinischen Informationssystemen des BRK inklusive des Blutspendedienstes.
