München (dpa/lby) - Nach massiver Kritik am Bayerischen Roten Kreuz (BRK) prüft das Landesamt für Datenschutzaufsicht den Umgang des Blutspendedienstes mit sensiblen Gesundheitsdaten. Es sei ein entsprechendes Verfahren eingeleitet worden, sagte Thomas Kranig, Präsident des Landesamtes, am Dienstag der Deutschen Presse-Agentur. Zuvor hatte die „Süddeutsche Zeitung“ berichtet, das BRK habe fahrlässig intime Daten - beispielsweise zu Drogenkonsum und Diabetes - an Facebook übermittelt, weil die Internetseite falsch programmiert gewesen sei.
Bislang ist unklar, ob tatsächlich ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Im schlimmsten Fall könnte gegen das BRK ein Bußgeld verhängt werden. „Aktuell prüfen wir, ob und was falsch gelaufen ist“, sagte Kranig. Beschwerden von Betroffenen gebe es bislang keine. Wie viele Nutzer von der Datenpanne betroffen waren, ist unklar.
Auf seiner Website bietet der Blutspendedienst einen „Spende-Check“ an. Die Idee: Man beantwortet 29 Fragen zur eigenen Gesundheit und erfährt, ob man als Spender in Frage kommt. Das Problem: Auf der Website war gleichzeitig ein Marketing-Tool installiert, das bestimmte Daten wie die Internetadresse und die Antwort „Ja“ oder „Nein“ an Facebook übermittelt.
Der Blutspendedienst räumte gegenüber der Deutschen Presse-Agentur ein, dass es möglich gewesen sei, mit einigem Aufwand und krimineller Energie die Daten logisch zu kombinieren. Der Grund: Die Fragen wurden zwar nicht mit an Facebook geschickt, aber immer in der gleichen Reihenfolge auf der Website angezeigt. So hätte man auf die Antworten einzelner Personen schließen und diese sogar mit einem Facebook-Profil verknüpfen können.
Dies sei jedoch ein theoretisches und überdies rechtswidriges Szenario, teilte ein Sprecher des Blutspendedienstes mit. Was Facebook mit den Gesundheitsdaten wirklich gemacht hat, ist nicht bekannt. Der Konzern wollte sich gegenüber der Süddeutschen Zeitung nicht äußern. Theoretisch könnte Facebook - mit dem Wissen über die Gesundheit einzelner Nutzer - gezielt Werbung ausspielen.
Der Blutspendedienst hat zwischenzeitlich reagiert und seine Website angepasst. Man werde voraussichtlich auf das Facebook-Tool verzichten, sagte der Sprecher. Außerdem werden die Fragen nun in zufälliger Reihenfolge angezeigt, so dass eine Kombination der Daten ausgeschlossen ist.
Kritik übte auch Datenschutzaktivistin Rena Tangens vom Verein Digitalcourage. „Fakt ist, dass Facebook personenbezogene Daten bekommen hat, die Rückschlüsse auf Krankheiten zulassen“, sagte sie der „Süddeutschen Zeitung“. „Der Blutspendedienst hat absolut fahrlässig gehandelt.“