Der Bayerische Blutspendedienst kämpft mit der Anschuldigung einer massiven Datenpanne, nachdem er sensible Daten von Blutspendern an Facebook übermittelt hat, darunter auch Angaben zu Schwangerschaften, Drogenkonsum, HIV-Infektionen oder Diabetes.

Interessenten konnten sich durch Beantwortung von Fragen in Form eines Spende-Checks auf der Webseite des Bayerischen Roten Kreuzes (BRK) vorab informieren, ob Sie überhaupt als Spender in Frage kommen. Dieser Test war Anlass eines Verfahrens des Landesamtes für Datenschutzaufsicht gegen das BRK gewesen. Denn zu Analysezwecken wurde das Trackingtool Facebook Pixel installiert, welches durch seine falsche Konfiguration sensible Daten an Facebook übermittelt hat. Konkret wurden die beantworteten Fragen mit Ja und Nein mit dem sozialen Netzwerk geteilt. Dadurch ist es Facebook möglich, Rückschlüsse auf Erkrankungen der Betroffenen zu ziehen. Ob der Einsatz des Facebook-Pixels rechtmäßig war ist zurzeit Gegenstand des Prüfverfahrens.

Bei Einsatz eines Tracking-Tools übermittelt nicht der Webseitenbetreiber, die Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht.

Auch Facebook verbietet explizit die Nutzung von Pixel in dieser Form. In seiner Stellungnahme heißt es: ‘‘Für die Verwendung des Pixels haben wir klare Regeln für Werbetreibende: Es dürfen keine sensiblen Nutzerdaten wie Informationen zu Gesundheit oder Finanzen an uns geschickt werden.‘‘

Dieser Fall zeigt deutlich, dass mit wenig Aufwand über den Browser nicht nur die Aufsichtsbehörden Websites prüfen, sondern jedermann testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde melden, ist bei Websites besonders hoch. Dessen sollten sich Websitebetreiber im Klaren sein und ein besonderes Augenmerk darauflegen, dass nicht unbedarft Tools benutzt werden, von denen sie nicht einmal wissen, wie die Daten der Nutzer verarbeitet werden.

Sollte das Tracking- Tool Facebook Pixel dennoch auf der Website eingebunden werden, so sind einige datenschutzrechtliche Anforderungen zu beachten. Dazu gehört nicht nur, den Nutzer in einfacher und klarer Sprache über das Tracking-Tool zu informieren, sondern der Websitebetreiber hat zu gewährleisten, dass er das Tracking-Tool rechtmäßig einbindet, d.h. der Websitebetreiber hat eine vorherige Einwilligung des Nutzers einzuholen. Für die technische Umsetzung der Einwilligungslösung bietet sich ein sog. Consent-Banner an.

Falls Sie nähere Fragen zu diesem Thema haben sollten, stehen wir Ihnen gerne zur Verfügung.