Nach Kritik am Bayerischen Roten Kreuz (BRK) prüft das Landesamt für Datenschutzaufsicht den Umgang des Blutspendedienstes (BSD) mit sensiblen Gesundheitsdaten. Es sei ein entsprechendes Verfahren eingeleitet worden, sagte Thomas Kranig, Präsident des Landesamtes, der Deutschen Presse-Agentur. Wie die Süddeutsche Zeitung berichtet hatte, hatte eine Webseite des Dienstes intime Daten ihrer Besucher an Facebook gesendet. Zu den Angaben der potentiellen Spender zählten Informationen über deren Aussagen über ihre HIV-Infektion, Schwangerschaft, Drogenkonsum oder Diabetes der Betroffenen. Das hatte eine technische Analyse der Website durch die SZ ergeben.

Die Daten könnten nun bei Facebook profilbezogen gespeichert sein, das heißt: Sie könnten dazu beitragen, die Nutzer bestimmten Werbezielgruppen zuzuordnen. Bislang ist unklar, ob tatsächlich ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Im schlimmsten Fall könnte gegen das BRK ein Bußgeld verhängt werden. "Aktuell prüfen wir, ob und was falsch gelaufen ist", sagte Kranig. Beschwerden von Betroffenen gebe es bislang keine.

Das BRK hatte das Landesamt nach eigener Aussage um die Prüfung gebeten. "Wir unterstützen das Prüfungsverfahren des bayerischen Landesamtes für Datenschutzaufsicht und kooperieren bei der Aufklärung", heißt es in einer Mitteilung von BRK-Landesgeschäftsführer Leonhard Stärk.

Wie viele Nutzer betroffen sind ist noch unklar

Unklar bleibt, warum der Blutspendedienst Facebooks Überwachung einsetzte, wie lange diese aktiv war und wie viele Menschen die Umfrage mitmachten. Sie lief mindestens seit dem Frühjahr. Jährlich spenden beim BSD 250 000 Personen Blut, sodass erhebliche Mengen an Krankheitsdaten bei Facebook liegen könnten. Der Blutspendedienst machte keine Angaben zu Dauer und Nutzerzahl der Umfrage.

Auf seiner Website bietet der Blutspendedienst einen "Spende-Check" an. Die Idee: Man beantwortet 29 Fragen zur eigenen Gesundheit und erfährt, ob man als Spender infrage kommt. Das Problem: Auf der Website war gleichzeitig das Marketing-Tool "Facebook Pixel" installiert, das bestimmte Daten wie die Internetadresse und die Antwort "Ja" oder "Nein" an Facebook übermittelt.

Der Blutspendedienst räumte auf Anfrage der Deutschen Presse-Agentur ein, dass es möglich gewesen sei, mit einigem Aufwand und krimineller Energie die Daten logisch zu kombinieren. Der Grund: Die Fragen wurden zwar nicht an Facebook geschickt, aber immer in der gleichen Reihenfolge auf der Website angezeigt. So hätte man auf die Antworten einzelner Personen schließen und diese sogar mit einem Facebook-Profil verknüpfen können.

Dies sei jedoch ein theoretisches und überdies rechtswidriges Szenario, teilte ein Sprecher des Blutspendedienstes mit. Was Facebook mit den Gesundheitsdaten wirklich gemacht hat, ist nicht bekannt. Der Konzern wollte sich zu dem Vorgang nicht äußern.

Der Blutspendedienst reagierte auch und passte seine Website an. Man werde voraussichtlich auf das Facebook-Tool verzichten, sagte der Sprecher. Außerdem werden die Fragen nun in zufälliger Reihenfolge angezeigt, so dass eine Kombination der Daten ausgeschlossen ist.

Die Datenschutzaktivistin Rena Tangens vom Verein Digitalcourage bewertet den Vorgang kritisch: "Fakt ist, dass Facebook personenbezogene Daten bekommen hat, die Rückschlüsse auf Krankheiten zulassen", sagte sie der SZ.