Datenschutzaufsicht leitet Verfahren gegen Rotes Kreuz ein
Die Datenschutz-Panne beim Bayerischen Roten Kreuz zieht Kreise: Das Landesamt für Datenschutzaufsicht prüft nun, ob ein Verstoß gegen die DSGVO vorliegt.
(Bild: PopTika / shutterstock.com)
Nach massiver Kritik am Bayerischen Roten Kreuz (BRK) prüft das Landesamt für Datenschutzaufsicht den Umgang des Blutspendedienstes mit sensiblen Gesundheitsdaten. Es sei ein entsprechendes Verfahren eingeleitet worden, sagte Thomas Kranig, Präsident des Landesamtes, gegenüber dpa. Das BRK habe fahrlässig intime Daten – beispielsweise zu Drogenkonsum und Diabetes – an Facebook übermittelt, weil die Internetseite falsch programmiert gewesen sei.
Bislang ist unklar, ob tatsächlich ein Verstoß gegen die Datenschutz-Grundverordnung vorliegt. Im schlimmsten Fall könnte gegen das BRK ein Bußgeld verhängt werden. "Aktuell prüfen wir, ob und was falsch gelaufen ist", sagte Kranig. Beschwerden von Betroffenen gebe es bislang keine. Wie viele Nutzer von der Datenpanne betroffen waren, ist unklar.
Auf seiner Website bietet der Blutspendedienst einen "Spende-Check" an. Die Idee: Man beantwortet 29 Fragen zur eigenen Gesundheit und erfährt, ob man als Spender in Frage kommt. Das Problem: Auf der Website war gleichzeitig ein Marketing-Tool installiert, das bestimmte Daten wie die Internetadresse und die Antwort "Ja" oder "Nein" an Facebook übermittelt.
Daten-Verknüpfung mit Personen möglich
Der Blutspendedienst räumte ein, dass es möglich gewesen sei, mit einigem Aufwand und krimineller Energie die Daten logisch zu kombinieren. Der Grund: Die Fragen wurden zwar nicht mit an Facebook geschickt, aber immer in der gleichen Reihenfolge auf der Website angezeigt. So hätte man auf die Antworten einzelner Personen schließen und diese sogar mit einem Facebook-Profil verknüpfen können.
Dies sei jedoch ein theoretisches und überdies rechtswidriges Szenario, teilte ein Sprecher des Blutspendedienstes mit. Was Facebook mit den Gesundheitsdaten wirklich gemacht hat, ist nicht bekannt. Ein Facebook-Sprecher hatte auf Nachfrage von heise online erklärt, dass es für die Verwendung des vom BRK eingesetzten Facebook-Pixels klare Regeln gebe: "Es dürfen keine sensiblen Nutzerdaten wie Informationen zur Gesundheit oder Finanzen an uns geschickt werden. Außerdem werden Pixel-Daten von uns nicht zur Erstellung von Interessensprofilen verwendet."
Der Blutspendedienst hat zwischenzeitlich reagiert und seine Website angepasst. Man werde voraussichtlich auf das Facebook-Tool verzichten, sagte der Sprecher. Außerdem werden die Fragen nun in zufälliger Reihenfolge angezeigt, sodass eine Kombination der Daten ausgeschlossen ist.
Kritik übte auch Datenschutzaktivistin Rena Tangens vom Verein Digitalcourage. "Fakt ist, dass Facebook personenbezogene Daten bekommen hat, die Rückschlüsse auf Krankheiten zulassen", sagte sie der Süddeutschen Zeitung. "Der Blutspendedienst hat absolut fahrlässig gehandelt." (olb)
