Der Baye­ri­sche Blut­spen­de­dienst kämpft mit der Anschul­di­gung einer mas­si­ven Daten­pan­ne, nach­dem er sen­si­ble Daten von Blut­spen­dern an Face­book über­mit­telt hat, dar­un­ter auch Anga­ben zu Schwan­ger­schaf­ten, Dro­gen­kon­sum, HIV-Infek­tio­nen oder Dia­be­tes.

Inter­es­sen­ten konn­ten sich durch Beant­wor­tung von Fra­gen in Form eines Spen­de-Checks auf der Web­sei­te des Baye­ri­schen Roten Kreu­zes (BRK) vor­ab infor­mie­ren, ob Sie über­haupt als Spen­der in Fra­ge kom­men. Die­ser Test war Anlass eines Ver­fah­rens des Lan­des­am­tes für Daten­schutz­auf­sicht gegen das BRK gewe­sen. Denn zu Ana­ly­se­zwe­cken wur­de das Tracking­tool Face­book Pixel instal­liert, wel­ches durch sei­ne fal­sche Kon­fi­gu­ra­ti­on sen­si­ble Daten an Face­book über­mit­telt hat. Kon­kret wur­den die beant­wor­te­ten Fra­gen mit Ja und Nein mit dem sozia­len Netz­werk geteilt. Dadurch ist es Face­book mög­lich, Rück­schlüs­se auf Erkran­kun­gen der Betrof­fe­nen zu zie­hen. Ob der Ein­satz des Face­book-Pixels recht­mä­ßig war ist zur­zeit Gegen­stand des Prüf­ver­fah­rens.

Bei Ein­satz eines Tracking-Tools über­mit­telt nicht der Web­sei­ten­be­trei­ber, die Daten an den Anbie­ter des Tracking-Tools, son­dern der Anbie­ter selbst erhebt die Daten direkt vom Nut­zer. Nicht­des­to­trotz wird dies erst durch die Ein­bin­dung auf der Web­site ermög­licht.

Auch Face­book ver­bie­tet expli­zit die Nut­zung von Pixel in die­ser Form. In sei­ner Stel­lung­nah­me heißt es: ‘‘Für die Ver­wen­dung des Pixels haben wir kla­re Regeln für Wer­be­trei­ben­de: Es dür­fen kei­ne sen­si­blen Nut­zer­da­ten wie Infor­ma­tio­nen zu Gesund­heit oder Finan­zen an uns geschickt wer­den.‘‘

Die­ser Fall zeigt deut­lich, dass mit wenig Auf­wand über den Brow­ser nicht nur die Auf­sichts­be­hör­den Web­sites prü­fen, son­dern jeder­mann tes­ten kann, wel­che Tracking-Tools auf einer Web­site ein­ge­bun­den sind. Das Risi­ko, dass Nut­zer auf einen Ver­stoß auf­merk­sam wer­den und die­ses der Auf­sichts­be­hör­de mel­den, ist bei Web­sites beson­ders hoch. Des­sen soll­ten sich Web­site­be­trei­ber im Kla­ren sein und ein beson­de­res Augen­merk dar­auf­le­gen, dass nicht unbe­darft Tools benutzt wer­den, von denen sie nicht ein­mal wis­sen, wie die Daten der Nut­zer ver­ar­bei­tet wer­den.

Soll­te das Tracking- Tool Face­book Pixel den­noch auf der Web­site ein­ge­bun­den wer­den, so sind eini­ge daten­schutz­recht­li­che Anfor­de­run­gen zu beach­ten. Dazu gehört nicht nur, den Nut­zer in ein­fa­cher und kla­rer Spra­che über das Tracking-Tool zu infor­mie­ren, son­dern der Web­site­be­trei­ber hat zu gewähr­leis­ten, dass er das Tracking-Tool recht­mä­ßig ein­bin­det, d.h. der Web­site­be­trei­ber hat eine vor­he­ri­ge Ein­wil­li­gung des Nut­zers ein­zu­ho­len. Für die tech­ni­sche Umset­zung der Ein­wil­li­gungs­lö­sung bie­tet sich ein sog. Con­sent-Ban­ner an.

Falls Sie nähe­re Fra­gen zu die­sem The­ma haben soll­ten, ste­hen wir Ihnen ger­ne zur Ver­fü­gung.