bedeckt München 29°

Prüfung:Datenpanne bei Blutspendedienst bestätigt

Blutspenden in Coronazeiten

Der Blutspendedienst hatte zügig alle Übermittlungen an Facebook eingestellt und eine Datenpanne bei der Behörde gemeldet. (Symbolbild)

(Foto: Peter Hinz-Rosin)

HIV-Infektion, Krebs, Drogenkonsum: Beim Online-Check zur Blutspende wurden private Informationen an Facebook übermittelt. Damit hat der Blutspendedienst des Bayerischen Roten Kreuzes gegen Datenschutzgesetze verstoßen.

Von Matthias Eberl

Der Blutspendedienst des Bayerischen Roten Kreuzes (BRK) hat bei seinem Online-Spende-Check die codierten Antworten auf Gesundheitsfragen etwa nach HIV-Infektionen, Krebs oder Drogenkonsum an Facebook übermittelt und damit gegen Datenschutzgesetze verstoßen. Das geht aus den Ergebnissen der Prüfung des Landesamts für Datenschutzaufsicht hervor, die im Jahr 2020 beendet wurde. Die Süddeutsche Zeitung hatte den Vorfall 2019 aufgedeckt. Der Blutspendedienst hatte zwar zügig alle Übermittlungen an Facebook eingestellt und eine Datenpanne bei der Behörde gemeldet, aber stets bestritten, dass gesundheitsbezogene Daten interessierter Spender an Facebook übermittelt wurden.

Bei dem Spende-Check des BRK auf der Website blutspendedienst.com können Interessierte vorab prüfen, ob sie zur Blutspende zugelassen werden. Dabei werden auch intime Fragen nach Krankheiten wie HIV oder Diabetes oder Schwangerschaften abgefragt. In vielen Webseiten sind unsichtbare Software-Werkzeuge von Facebook eingebaut, die Daten über Nutzer erfassen. Weil auf der BRK-Seite ein Mitarbeiter ein Marketingtool von Facebook falsch konfiguriert hatte, wurden beim sensiblen Spende-Check die Klicks auf die Antwort-Buttons an das soziale Netzwerk gesendet. Facebook erhielt die Antworten und die Antwortnummer der Fragen. Mit solchen digitalen Werkzeugen lassen Websites von Facebook analysieren, was genau ihre Nutzer anklicken.

Auch die Profilnummer des Facebook-Accounts wurde mitgeschickt, falls beispielsweise eine Spenderin mit ihrem Browser vorher bei Facebook eingeloggt war und noch entsprechende Cookies gespeichert hatte. Die Antwortdaten, die an Facebook gingen, ließen also in vielen Fällen Rückschlüsse auf die Personen und ihr Leben zu.

Allerdings geht das Landesamt nicht davon aus, dass die Antworten bei Facebook Bestandteil der Facebook-Profile wurden: Die Antworten wären erst nach einer zusätzlichen manuellen Analyse des Konzerns zu auswertbaren Gesundheitsdaten geworden. Davon sei nicht auszugehen, schrieb das Landesamt. Facebooks Geschäftsmodell basiert maßgeblich auf der automatisierten Analyse von Nutzerdaten, um ihnen maßgeschneiderte digitale Anzeigen vorzusetzen. Menschliche Mitarbeiter bekommen die Daten oft gar nicht zu sehen. Da aus diesem Grund kein hohes Missbrauchsrisiko für die Daten der betroffenen Teilnehmer vorliege, müsse der Blutspendedienst nun auch nicht die Betroffenen über die versehentliche Datenübermittlung informieren, heißt es aus der Datenschutzbehörde.

Auch ein Bußgeld wird gegen den Blutspendedienst nicht erhoben. Er profitiert von einer deutschen Sonderregelung im Datenschutzrecht: Wenn eine Person oder ein Unternehmen einen Datenschutzverstoß selbst meldet, kann die Datenschutzbehörde diese Information nicht gegen den Willen des Meldenden für ein Ordnungswidrigkeitsverfahren nutzen. So soll verhindert werden, dass Unternehmen ihre Datenpannen aus Angst vor einem Bußgeld nicht melden.

Mehr als ein Jahr nach Abschluss der Prüfung ist das Verfahren noch nicht formell abgeschlossen. Das Landesamt erklärte das damit, dass es den formellen Abschluss nicht hoch priorisiere, weil die Datenverarbeitung des BRK davon nicht mehr betroffen sei.

Unklar bleibt, ob Facebook die Antwortdaten gelöscht hat. Der Präsident des Landesamtes, Michael Will, sagte lediglich, man habe eine Löschung der Daten bei Facebook nicht angeordnet, da der Blutspendedienst die Löschung bei Facebook ja versichert habe. Der Blutspendedienst äußerte sich nicht zu dieser Behauptung. Auch Facebook bestätigte eine Löschung nicht. In den vergangenen Jahren gab es immer wieder Zweifel daran, ob Facebook einzelne Daten löschen kann, die mit seinen Software-Werkzeugen von externen Webseiten gesendet wurden. Sowohl das britische Parlament als auch der US-amerikanische Senat beschäftigten sich mit einer E-Mail eines Facebook-Technikers von 2018, der darin zugab: Die Daten von diesem Marketing-Werkzeug könnten nicht nach bestimmten Kriterien durchsucht und gelöscht werden.

Der Blutspendedienst des BRK wollte sich zu dem Fall nicht äußern, solange das Verfahren formell nicht abgeschlossen sei.

© SZ vom 01.06.2021/syn, van
Zur SZ-Startseite
Impfbeginn Corona

SZ PlusBayerisches Rotes Kreuz
:"Wir wollten endlich was gegen die Pandemie tun"

Innerhalb kürzester Zeit bauten BRK-Mitarbeiter in Dachau ein Impfzentrum auf. Dann begann das Warten - auf genügend Impfstoff. Über durchgearbeitete Weihnachtsferien, tausende Anrufe am Tag und die Kraft lokaler Strukturen.

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB