Der Blutspendedienst des BRK sammelt Blutspenden - und verteilt dabei allem Anschein nach auch Daten von Nutzern seiner Webseite, die sich nur informieren wollen.

Von Matthias Eberl

Der Blutspendedienst des Bayerischen Roten Kreuzes hat intime Daten möglicher Spender an Facebook gesendet. Zu den Angaben zählen Aussagen über HIV-Infektion, Schwangerschaft, Drogenkonsum oder Diabetes der Betroffenen. Das ergab eine technische Analyse der Webseite des Dienstes durch die Süddeutsche Zeitung. Die Daten könnten nun bei Facebook profilbezogen gespeichert sein, das heißt: Sie könnten dazu beitragen, die Nutzer bestimmten Werbezielgruppen zuzuordnen.

Der Fall zeigt, wie sorglos der Programmiercode von Facebook in äußerst sensiblen Bereichen eingesetzt wird und Organisationen dadurch Gefahr laufen, Datenschutzpflichten zu missachten. Da die Daten teils personenbezogen sind, könnte dem Unternehmen ein Bußgeld nach der Datenschutz-Grundverordnung drohen. Patric Nohe, der Sprecher des Spendedienstes, bestritt, dass sich aus den Daten Rückschlüsse auf Krankheiten einzelner Personen ziehen lassen. Doch die SZ-Recherche zeigt: Die Antworten lassen sich eindeutig über ihre Reihenfolge und die Zahl der Klicks erschließen. Man prüfe den Vorfall und habe "rein vorsorglich" die Übertragung deaktiviert, sagte Nohe.

Die Daten der Blutspender wurden bei einem "Vorcheck" auf der Webseite des Blutspendedienstes (BSD) erhoben, einem Tochterunternehmen des Bayerischen Roten Kreuzes (BRK). Die Antworten der Spender wurden automatisch an Facebook weitergeleitet, weil der Spendedienst seine Seite falsch konfiguriert hatte.

Diese Fragen würde wohl niemand öffentlich beantworten: "Konsumieren Sie Drogen?" - "Sind Sie positiv auf HIV getestet?" - "Wurde bei Ihnen ein Schwangerschaftsabbruch durchgeführt?" Auf blutspendedienst.com haben sie einen tieferen Sinn: Interessierte können sie online beantworten und so prüfen, ob sie für eine Blutspende geeignet sind. Das können sie anonym tun.

Doch was die Antwortenden nicht wissen konnten: Durch die falsche Einstellung wurden ihre angeklickten Antworten an Facebook gesendet. Die zugehörigen Fragen, in denen die Krankheiten genannt sind, wurden zwar nicht übermittelt, sind aber über die Nummerierung der Antworten rekonstruierbar. Denn das System stellte sie immer in gleicher Reihenfolge. Blutspender mit Facebook-Konto müssen damit rechnen, dass die Antworten mit ihrem Profil verknüpft wurden, selbst wenn sie Facebook gerade nicht genutzt hatten. Mit sogenannter Cookie-Technik erkennt Facebook Nutzer aus vorherigen Sitzungen in seinem Netzwerk wieder.

Unklar bleibt, warum der BSD Facebooks Überwachung einsetzte, wie lange diese aktiv war und wie viele Menschen die Umfrage mitmachten. Sie lief mindestens seit dem Frühjahr. Jährlich spenden beim BSD 250 000 Personen Blut, sodass erhebliche Mengen Krankheitsdaten bei Facebook liegen könnten. Der Blutspendedienst machte keine Angaben zu Dauer und Nutzerzahl der Umfrage.

Mit Big Data auf der Suche nach Zielgruppen

Der Blutspendedienst nutzte das umstrittene Marketing-Werkzeug "Facebook Pixel", einen Software-Code, der in Abermillionen Webseiten verbaut ist. Er sendet Informationen über das Verhalten ihrer Besucher an Facebook. Falls vorhanden, werden die erwähnten Cookies und persönlichen Facebook-Identifikationsnummern (IDs) der Besucher mitgeschickt, damit Facebook die Aktivitäten eindeutig einer Person zuordnen kann. Das Pixel-Tool wird oft für sogenanntes Retargeting verwendet: So kann etwa ein Onlinehändler Anzeigen speziell für Besucher buchen, die vorher eine Bestellung bei ihm abgebrochen haben. Der Fehler des Blutspendedienstes war, dass die automatische Aufzeichnung einzelner Klicks nicht abgeschaltet wurde. Nohe gab an, dass eigentlich nur einzelne Besuche der Webseite an Facebook gemeldet werden sollten. Sie sind deutlich weniger verräterisch.

Die Daten, die bei Facebook ankamen, sind auf den ersten Blick zwar bedeutungslos: Von den Antworten wurde jeweils nur die Information "JA" oder "NEIN" übertragen. Da aber auch die Nummer der vorherigen Antwort-Klicks gesendet wurde, lassen sich daraus die Krankheiten ablesen, die eine Person angegeben hat. Es ist zwar unwahrscheinlich, dass ein Facebook-Mitarbeiter Krankheiten über die Nummerierung gezielt herausgefunden und mit Personen in Verbindung gebracht hat, aber möglich. Wahrscheinlicher ist, dass Facebook die Angaben automatisch mit Big-Data-Werkzeugen analysiert. Solche Software wird eingesetzt, um das Anzeigengeschäft auszuwerten und zu verbessern.

In eigener Sache: Auch die SZ setzt Tracking-Technologie ein. SZ.de erklärt auf dieser Seite, welche Tracker auf unseren Seiten eingesetzt werden und wie sie deaktiviert werden können.

Dabei ist den Rechenzentren des Konzerns erst einmal egal, ob jemand eine Frage nach HIV beantwortet hat oder den Bestell-Knopf eines Online-Shops geklickt hat. Interessant für Facebook wird es, wenn Nutzer gefunden werden, deren Ähnlichkeit in ihrem Netz-Verhalten sich auf Anzeigen auswirkt. Laut Facebooks Allgemeinen Geschäftsbedingungen für Unternehmen können die gesammelten Daten nämlich nicht nur für Werbeanzeigen des Spendedienstes, sondern auch für andere Werbekunden genutzt werden.

Die können Zielgruppen buchen, die in mehreren Details den bisherigen Kunden ähneln. Wie bei Amazon: Wer dieses Buch gekauft hat, interessierte sich auch für jenes. Im Fall BSD könnte gelten: Wer Diabetes angab, interessierte sich auch für Werbung für ein Blutzuckergerät. Experten für Facebook-Marketing halten es dennoch für eine eher theoretische Möglichkeit, dass Teilnehmer des "Vorchecks" irgendwo im Netz Anzeigen mit Bezug zu Krankheiten angezeigt bekommen. Facebook wollte sich zu dem konkreten Fall nicht äußern, verwies aber darauf, dass die Übertragung von Gesundheitsdaten laut seinen Geschäftsbedingungen verboten sei.

"Der Blutspendedienst hat absolut fahrlässig gehandelt"

Die Datenschutzaktivistin Rena Tangens vom Verein Digitalcourage bewertet den Vorgang kritisch: "Fakt ist, dass Facebook personenbezogene Daten bekommen hat, die Rückschlüsse auf Krankheiten zulassen", sagte sie der SZ. Für Versicherungen sei es sehr lukrativ, an solche Gesundheitsdaten zu kommen. Erfahrungsgemäß sei es nur eine Frage der Zeit, bis das auch geschieht: "Der Blutspendedienst hat absolut fahrlässig gehandelt."

Schon das bloße Tracking mit Facebook Pixel ist eine rechtliche Grauzone, wenn es ohne Einwilligung geschieht. Schließlich rechnen die Überwachten kaum damit, dass Facebook auch ihr Verhalten außerhalb des Netzwerks registriert. Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt, Pixel gar nicht einzusetzen. Noch haben Gerichte dazu nicht entschieden. Geht es aber um Gesundheitsdaten, ist das Datenschutzrecht eindeutig: Sie zu verarbeiten oder weiterzugeben ist verboten - außer bei Ausnahmen wie ausdrücklicher Einwilligung oder medizinischer Notwendigkeit. Die Weitergabe für Marketing ohne Einwilligung ist verboten. Das Landesamt könnte ein Bußgeld verhängen.

Der Blutspendedienst erklärte, er habe das Landesamt für Datenschutz kontaktiert. Ob Betroffene informiert werden müssen und ob die Daten bei Facebook wieder gelöscht werden, erklärte er nicht. Nutzer können die Daten nicht selbst löschen, da sie nicht im normalen Facebook-Profil angezeigt werden. Nur Personen ohne Facebook-Konto können sich von ihrer Datenspur lösen. Dazu löschen sie in den Einstellungen ihres Browsers alle Facebook-Cookies.

Aktualisierung 27.8.2019, 18:12: Wir haben im Text eine missverständliche Formulierung verändert: Die Übertragung von Gesundheitsdaten ist in den Facebook-AGB untersagt.