· Pressemitteilung für Newssync

Stellungnahme zur Berichterstattung der Süddeutschen Zeitung

In der aktuellen Medienberichterstattung wird derzeit das Thema Datenschutz beim Spende-Check auf der Website des Blutspendedienstes des Bayerischen Roten Kreuzes (BSD BRK) diskutiert. Gerne beziehen wir Stellung zu den veröffentlichten Behauptungen und geben Ihnen einen ausführlichen Überblick.

In Kürze:
  • Es erfolgt keine automatische Übermittlung von Gesundheitsdaten an Facebook.
  • Die dargebrachten Vorwürfe berufen sich schlussendlich auf ein rein theoretisches und im Falle einer eventuellen sowie bisher nicht belegten Anwendung durch Facebook, rechtswidriges Szenario.
  • Es handelt sich nicht um eine meldepflichtige Datenpanne, dies wurde durch das Bayerische Landesamt für Datenschutzaufsicht bestätigt, die Behörde wurde proaktiv von uns informiert. Wir unterstützen das laufende Prüfungsverfahren vollumfänglich.
  • Die Behauptungen wurden ohne ausreichende Berücksichtigung unserer Klarstellungveröffentlicht.
  • Es gibt keinen Zusammenhang zwischen den im Artikel veröffentlichten Behauptungen und der Spenderdatenbank oder anderen medizinischen Informationssystemen des BSD BRK.
Wir stehen seit Ende vergangener Woche in intensivem Austausch mit einem freiberuflich tätigen Journalisten, der im Zusammenhang mit einer möglichen Datenschutzverletzung auf unserer Website recherchiert hatte. Die vermeintlich gewonnenen Erkenntnisse und Anschuldigungen des Journalisten konnten wir nach technischer und datenschutzrechtlicher Prüfung relativieren. Die einseitig dargestellten Behauptungen wurden dennoch, und zudem größtenteils im Konjunktiv formuliert, trotz unserer Klarstellung sowie ohne ausreichenden Einbezug entsprechend erfolgter Stellungnahmen unsererseits veröffentlicht.

TECHNISCHE HINTERGRUNDINFORMATIONEN

Der bisher auf der Website integrierte, sogenannte Facebook-Pixel wurde für Analysezwecke eingesetzt, ein sogenanntes Event-Tracking war nicht integriert. Dies betrifft Website-Besucher, die einen Facebook-Account besitzen und bei Nutzung des digitalen Spende-Checks (https://www.blutspendedienst.com/blutspende/services/spende-check) gleichzeitig bei Facebook eingeloggt sind. Bei Nutzung des digitalen Spende-Checks wurden folgende Daten automatisch an Facebook übermittelt:
  • Aufruf der URL des Spende-Checks
    Der Spende-Check lädt via JavaSkript bei jeder der 29 Fragen, sowie der Ergebnisseite des Spende-Checks eine unveränderte URL, welche an Facebook übermittelt wurde. Es ist folglich kein automatisierter Rückschluss auf die Nummer und damit den Inhalt der Frage möglich.
  • Button-Text bei Klick auf einen der auf dieser Website vorhandenen Buttons, d.h. entweder "JA", "NEIN", "REISE-CHECK" oder "TERMINSUCHE"
  • Anzahl Klicks, die der Nutzer macht
Durch die Möglichkeit, neben „JA“ oder „NEIN“ auf die Buttons „REISE-CHECK“ und „TERMINSUCHE“ klicken zu können, ist es technisch ausgeschlossen, dass automatisiert Rückschlüsse auf die Beantwortung der konkreten Fragestellung gezogen werden und Facebook somit diese Gesundheitsdaten von Facebook-Nutzern automatisch erhält. Facebook ist gemäß Nutzungsvereinbarung nicht beauftragt, die übertragenen Parameter mit weiteren Daten anzureichern, um Rückschlüsse auf die konkrete Fragestellung zu ziehen. Zudem hat Facebook bestätigt, dass Daten, die über den Facebook-Pixel übertragen werden, nicht zur Erstellung von Interessensprofilen verwendet werden. Die im Artikel angeführten Behauptung „Der Blutspendedienst des Bayrischen (sic!) Roten Kreuzes hat gesundheitsbezogene Daten möglicher Spender an Facebook gesendet, darunter intime Angaben zu HIV-Infektionen, Schwangerschaften, Drogenkonsum oder Diabetes.“ […] entspricht folglich nicht der Wahrheit. Als Betreiber der Website sind wir jedoch durch die derzeitige Rechtsprechung verantwortlich dafür, wie Facebook eventuell mit den Daten verfahren könnte. Es besteht das theoretische Risiko, dass Facebook die Daten widerrechtlich durch andere Daten ergänzt und auswertet.
Wenngleich es sich hierbei um ein rein theoretisches Risiko handelt, begrüßen wir den durch die aktuelle Rechtsprechung verstärkten Schutz sensibler Daten im Sinne einer Stärkung der Betroffenenrechte, indem auch ein derart theoretisches Risiko berücksichtigt und entsprechend beseitigt wird. Als vorbeugende Sicherheitsmaßnahme haben wir uns beim Bayerischen Landesamt für Datenschutzaufsicht rückversichert, dass es sich nicht um eine meldepflichtige Datenpanne handelt. Die Behörde wurde umgehend proaktiv von uns informiert. Wir unterstützen das laufende Prüfungsverfahren vollumfänglich und stehen in engem Austausch mit dem Landesamt für Datenschutzaufsicht. Zudem haben wir vorsorglich entsprechende technische Anpassungen auf unserer Website vorgenommen, den Facebook-Pixel entfernt und die Fragen des Spende-Checks randomisiert. Weiterführende Informationen gemäß Art. 13, 14 und 21 DSGVO erhalten Sie auf www.blutspendedienst.com/datenschutz. Im Namen von Patientinnen und Patienten bayernweit, die auf den Erhalt überlebenswichtiger Blutpräparate angewiesen sind, möchten wir an dieser Stelle nochmals betonen, dass es keinerlei Zusammenhang zwischen den im Artikel veröffentlichten Behauptungen und unserer Spenderdatenbank oder anderen medizinischen Informationssystemen des BSD BRK gibt. Für die im Zuge der aktuellen Berichterstattung entstandene Verunsicherung bitten wir um Entschuldigung und werden Sie selbstverständlich weiterhin über die aktuellen Entwicklungen informieren. Für Rückfragen stehen wir gerne jederzeit zur Verfügung: info(at)blutspendedienst(dot)com. Dieser Artikel wurde zuletzt am Donnerstag, den 29.08.2019 aktualisiert.