Facebook Pixel: US-Krankenhäuser sammelten unwissentlich sensible Daten
Zahlreiche bekannte US-Krankenhäuser übermittelten mit einem Werbe-Tracker sensible Daten an Meta. Über die Vorgänge seien sie sich nicht bewusst gewesen.
(Bild: Michael Vi/Shutterstock.com)
Das auf vielen Webseiten zu Werbezwecken installierte Tracking-Tool Facebook Pixel hat sensible Daten gesammelt und sie an Facebook übermittelt. Der auf den Seiten eingefügte JavaScript-Code-Schnipsel dient dazu, damit Personen "die Wirksamkeit" ihrer Werbung analysieren können. Doch jetzt haben Experten der Non-Profit-Organisation The Markup herausgefunden, dass Krankenhäuser aufgrund der Einbettung von Facebook Pixel gegen das vom US-Gesundheitsministerium erlassene Gesetz – den Health Insurance Portability and Accountability Act (HIPAA) – verstoßen haben. Dieses Gesetz dient dem Schutz sensibler Patientendaten vor ihrer ungefragten Offenlegung.
Die Experten untersuchten die Webseiten 100 bekannter Krankenhäuser in den USA. Auf 33 Websites fanden die Experten das Tracking-Tool, das neben den Namen der Patienten auch die Uhrzeit und den Tag eines Termins sowie deren IP-Adresse sammelten – unabhängig davon, ob Personen mit ihrem Facebook-Konto angemeldet waren oder nicht. Die Krankenhäuser gaben an, sich nicht über die Tracking-Vorgänge bewusst gewesen zu sein.
Gesundheitszustand und IP-Adresse getrackt
Die Datenpakete wurden an Facebook übermittelt, sobald eine Person eine Schaltfläche betätigte, um einen Arzttermin zu vereinbaren. Im Gegensatz zu anonymisierten oder aggregierten Gesundheitsdaten dürfen Krankenhäuser geschützte Gesundheitsdaten nicht an Dritte weitergeben – außer unter Einhaltung bestimmter Bedingungen. Da Meta ohnehin über die IP-Adressen seiner Nutzer verfügt, könnten sie gegebenenfalls Rückschlüsse auf die Personen erhalten. Standortdaten und weitere mit der IP-Adresse in Verbindung stehende Informationen könnten dann – sobald Nutzer bei Facebook eingeloggt sind – mithilfe von Third-Party-Cookies unter anderem mit dem Gesundheitszustand verknüpft werden.
Ebenfalls haben die Experten herausgefunden, dass Meta Pixel innerhalb der passwortgeschützten Patientenportale von sieben Systemen installiert war. Die Daten von den Seiten der Systeme haben die Forscher dokumentieren können, da echte Patienten sich freiwillig am von dem gemeinsam mit Mozilla initiierten "Pixel Hunt"-Projekt beteiligten. Nutzerinnen und Nutzer in den USA können sich an der Pixel-Jagd beteiligen und dafür das entsprechende Browser-Add-on von Mozilla installieren. Damit werden an Facebook gesendete Daten gesammelt.
Experten sehen eklatante Datenschutzverletzung
Sicherheitsexperten haben diese Ergebnisse daraufhin als eine Verletzung des HIPAA eingeordnet. Weder die Krankenhäuser noch Meta gaben an, über bestimmte Verträge mit den Patienten verfügt zu haben, die das Sammeln der Daten erlaubt hätten. "Dies ist ein extremes Beispiel dafür, wie weit die Tentakel von Big Tech in das hineinreichen, was wir für einen geschützten Datenraum halten", sagte Nicholson Price, Juraprofessor an der University of Michigan, der sich mit Big Data und Gesundheitswesen befasst. Das Verhalten der Krankenhäuser empfinde er als "problematisch und potenziell illegal". Nachdem die Krankenhäuser informiert wurden, entfernten sieben der Klinken das Facebook Pixel von ihrer Seite.
Meta: Sensible Daten werden vor Speicherung entfernt
Um das Tracken sensibler Daten zu verhindern, hat Meta 2021 ein maschinelles Lernsystem entwickelt, das Daten blockiert, die einen von 70.000 gesundheitsbezogenen Begriffen enthalten. "Wenn die Filtersysteme von Meta feststellen, dass ein Unternehmen potenziell sensible Gesundheitsdaten von seiner App oder Website durch die Verwendung von Meta Business Tools sendet, was in einigen Fällen irrtümlich passieren kann, werden diese potenziell sensiblen Daten entfernt, bevor sie in unseren Anzeigensystemen gespeichert werden können", sagte Meta-Sprecher Dale Hogan in einer Stellungnahme.
Ob Meta die Daten vorher tatsächlich entfernt hat, oder für das Targeting bei Werbekampagnen, das Trainieren seiner Algorithmen oder anderweitig nutzte, bleibt unklar. Über sein Werbetool gelangten auch Abtreibungsgegner an Daten von Personen, die möglicherweise eine Abtreibung planen oder sich dafür interessieren, wie Recherchen von The Markup ergeben haben. Derzeit steht in den USA noch eine Entscheidung darüber aus, ob der bundesstaatlich geschützte Zugang zu Abtreibungen weiterhin bestehen bleibt. Falls dieser beendet wird, könnten Abtreibungen zu Strafverfahren führen und Informationen dazu strafrechtlich an Relevanz gewinnen.
American Data Privacy and Protection Act
In den USA ist es derzeit noch den Gesetzgebern der einzelnen Bundesstaaten vorbehalten, den Schutz der Privatsphäre der Verbraucher zu regeln. In Zukunft soll es allerdings einen American Data Privacy and Protection Act geben, der das Sammeln von personenbezogenen Daten eindämmen und Amerikaner vor einer diskriminierenden Datennutzung schützen soll. In der EU soll der Digital Services Act dafür sorgen, dass Online-Plattformen wie Facebook und Google in der EU künftig dazu verpflichtet sind, einen möglichen Missbrauch vorzeitig selbst zu erkennen und rechtzeitig einzuschreiten.
(mack)