Der bayerische Blutspendedienst steht im Verdacht, sensible Gesundheitsdaten an Facebook übermittelt zu haben. Die Datenschutzaufsicht des Freistaats leitet ein Verfahren ein. Das Rote Kreuz reagiert.
Nach Kritik am Bayerischen Roten Kreuz (BRK) prüft das Landesamt für Datenschutzaufsicht den Umgang des Blutspendedienstes mit sensiblen Gesundheitsdaten. Es sei ein entsprechendes Verfahren eingeleitet worden, sagte Thomas Kranig, Präsident des Landesamtes, am Dienstag der Deutschen Presse-Agentur. Zuvor hatte die „Süddeutsche Zeitung“ berichtet, das BRK habe fahrlässig intime Daten - beispielsweise zu Drogenkonsum und Diabetes - an Facebook übermittelt, weil die Internetseite falsch programmiert gewesen sei.
Bislang ist unklar, ob tatsächlich ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Im schlimmsten Fall könnte gegen das BRK ein Bußgeld verhängt werden. „Aktuell prüfen wir, ob und was falsch gelaufen ist“, sagte Kranig. Beschwerden von Betroffenen gebe es bislang keine. Wie viele Nutzer von dem möglichen Datenproblem betroffen waren, ist unklar.
Auf seiner Website bietet der Blutspendedienst einen „Spende-Check“ an. Die Idee: Man beantwortet 29 Fragen zur eigenen Gesundheit und erfährt, ob man als Spender in Frage kommt. Das Problem: Auf der Website war gleichzeitig ein Marketing-Tool von Facebook installiert, das bestimmte Daten wie die Internetadresse und die Antwort „Ja“ oder „Nein“ an den Internetkonzern übermittelt.
Der Blutspendedienst räumte ein, dass es möglich gewesen sei, mit einigem Aufwand und krimineller Energie die Daten logisch zu kombinieren. Der Grund: Die Fragen wurden zwar nicht mit an Facebook geschickt, aber immer in der gleichen Reihenfolge auf der Website angezeigt. So hätte man auf die Antworten einzelner Personen schließen und diese sogar mit einem Facebook-Profil verknüpfen können.
Facebook aber weiß überhaupt nicht, welche Fragen in einer Umfrage gestellt wurden, sondern nur, ob ein Klick auf einen Button (Schaltfläche) getätigt wurde. Ein Facebook-Sprecher sagte, für die Verwendung des Marketing-Tools gebe es klare Regeln. „Es dürfen keine sensiblen Nutzerdaten wie Informationen zu Gesundheit oder Finanzen an uns geschickt werden“, betonte er. Außerdem würden die Daten des Tools nicht zur Erstellung von Interessensprofilen verwendet.
Der Blutspendedienst hat zwischenzeitlich reagiert und seine Website angepasst. Man werde voraussichtlich auf das Facebook-Tool verzichten, sagte der Sprecher. Außerdem werden die Fragen nun in zufälliger Reihenfolge angezeigt, so dass eine Kombination der Daten ausgeschlossen ist.
Kritik übte auch Datenschutzaktivistin Rena Tangens vom Verein Digitalcourage. „Fakt ist, dass Facebook personenbezogene Daten bekommen hat, die Rückschlüsse auf Krankheiten zulassen“, sagte sie der „Süddeutschen Zeitung“. „Der Blutspendedienst hat absolut fahrlässig gehandelt.“
dpa
