• IT-Karriere:
  • Services:

Tracking: Blutspendedienst übermittelt private Daten an Facebook

Eine Umfrageseite des Bayerischen Roten Kreuzes hatte den Trackingservice Facebook Pixel eingebunden - und dabei nicht bedacht, wie invasiv dieser Service ist. Jeder Klick auf einen Button wird aufgezeichnet. Facebook konnte so erfahren, ob ein Nutzer HIV hat oder Drogen konsumiert.

Artikel veröffentlicht am ,
Wie sieht es beim Bayerischen Roten Kreuz mit dem Datenschutz aus? Offenbar nicht so gut.
Wie sieht es beim Bayerischen Roten Kreuz mit dem Datenschutz aus? Offenbar nicht so gut. (Bild: Kevin.B/Wikimedia Commons/CC-BY-SA 4.0)

Eine Webseite, auf der blutspendewillige Personen prüfen können, ob sie für eine Spende infrage kommen, hat alle eingegebenen Daten an Facebook übertragen. Herausgefunden hat das die Süddeutsche Zeitung. Der Service, der vom Blutspendedienst des Bayerischen Roten Kreuzes betrieben wird, nutzte Facebook Pixel, ein kostenloses Trackingwerkzeug des sozialen Netzwerks.

Stellenmarkt
  1. Porsche Deutschland GmbH, Bietigheim-Bissingen
  2. Haufe Group, Berlin

Der sogenannte Spende-Check fragt dabei sehr persönliche Daten ab. So wird der Nutzer etwa nach Krebserkrankungen, Diabetes oder HIV-Infektionen gefragt. Auch wird gefragt, ob man Drogen konsumiere. Dass derartige Daten mit höchster Vorsicht behandelt werden sollten, ist eigentlich selbstverständlich.

Javascript-Webseite und Ja/Nein-Buttons

Die Webseite ist dabei so implementiert, dass alle Fragen auf einer einzigen Seite dargestellt werden. Der Nutzer klickt jeweils auf Ja oder Nein, implementiert sind diese als HTML-Buttons, die von einem Javascript-Code ausgewertet werden.

Wäre das Facebook-Tracking nicht, könnte man sogar argumentieren, dass dieses Design besonders datenschutzfreundlich ist. Denn die Umfrage wird komplett im Browser ausgewertet. Das Ergebnis wird dem Nutzer direkt mitgeteilt, es werden keine Daten an die Webseite des Blutspendedienstes übertragen.

Bei Facebook Pixel könnte man anhand des Namens denken, dass hier ein Bild als Tracking-Pixel eingebunden wird. Doch der Service macht deutlich mehr. Um diese Funktion zu nutzen, muss ein Webseitenbetreiber Javascript-Code einfügen.

Jeder Klick auf einen Button wird von Facebook getrackt

Der Code von Facebook Pixel sorgt dafür, dass jeder Klick auf einen der beiden Buttons an Facebook übertragen wurde. Verantwortlich dafür ist ein Feature, das Facebook Automatic Configuration nennt. Diese Funktion ist seit 2017 verfügbar und standardmäßig aktiviert. Durch eine entsprechende Option im Javascript-Code kann dies abgeschaltet werden.

Wenn die Automatic Configuration aktiviert ist, werden alle Klicks auf Buttons getrackt, jeder Klick löst eine Datenübertragung an Facebook aus. Dort wird auch mitübertragen, welche Beschreibung der Button trägt. Im Fall des Blutspendedienstes kann Facebook also theoretisch sehen, wer Ja oder Nein geklickt hat. Zumindest bei Nutzern, die selbst Facebook nutzen und gerade eingeloggt sind, könnte der Konzern die Daten auch problemlos mit dem jeweiligen Profil des Nutzers in Verbindung bringen.

Ob Facebook diese Daten wirklich auswertet, ist zweifelhaft. Die Pixel-Funktion ist auf Millionen von Webseiten eingebunden; um tatsächlich herauszufinden, welche Buttons ein Nutzer klickt, müsste Facebook die Reihenfolge der Klicks auswerten. Es ist kaum anzunehmen, dass Facebook seine Datenauswertung hier auf eine einzelne, wenig bedeutende Webseite anpasst. Trotzdem ist die Datenübertragung natürlich extrem problematisch und dürfte auch gegen Datenschutzgesetze verstoßen.

Inzwischen hat der Blutspendedienst den Facebook-Code von der Webseite entfernt. Nach wie vor ist in der Webseite externer Javascript-Code von einem Adobe-Fontservice und von einem Service namens Addsearch eingebunden. Diese übertragen aber keine Daten, die der Nutzer eingibt.

Das Problem dürfte sich nicht auf diese einzelne Webseite beschränken. Es ist anzunehmen, dass viele Webseiten Facebook Pixel einbinden, ohne sich über das Ausmaß der Datenaufzeichnung im Klaren zu sein.

Nachtrag vom 27. August 2019, 15:17 Uhr

Der Blutspendedienst hat inzwischen eine Stellungnahme veröffentlicht. Darin bestreitet der Blutspendedienst das Problem nicht, bezeichnet es aber als "rein theoretisch" und weist darauf hin, dass eine Datennutzung durch Facebook rechtswidrig wäre.

Auch Facebook meldete sich mit einer Stellungnahme bei uns. Demnach verbietet Facebook explizit die Nutzung von Pixeln in dieser Form: "Für die Verwendung des Pixels haben wir klare Regeln für Werbetreibende: Es dürfen keine sensiblen Nutzerdaten wie Informationen zu Gesundheit oder Finanzen an uns geschickt werden."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. bis zu 20% auf Nvidia, bis zu 25% auf be quiet!, bis zu 15% auf AMD und bis zu 20% auf Intel...
  2. 79€ (Bestpreis!)
  3. 79€ (Bestpreis!)
  4. (u. a. 65UM7100PLA für 689€, 49SM8500PLA für 549€ und 75SM8610PLA Nanocell für 1.739€)

gorsch 02. Sep 2019

Da wird erläutert wie Facebook *theoretisch* alle diese Datenströme (illegalerweise...

FreiGeistler 28. Aug 2019

Aus dem verlinkten Artikel der Süddeutschen geht recht deutlich hervor, dass die...

LinuxMcBook 28. Aug 2019

Das ganze würde natürlich nur mit einer Webseite oder einem Dienst funktionieren, der...

heikom36 28. Aug 2019

Die Leute haben mittlerweile Angst um ihre Daten. Das der technische Sachverhalt die...

heikom36 28. Aug 2019

Die Tür nicht abschließen ist übrigens auch rechtswidrig....


Folgen Sie uns
       


Apple TV Plus ausprobiert

Wir haben uns Apple TV+ auf einem Apple TV angeschaut. Apples eigener Abostreamingdienst lässt viele Komfortfunktionen vermissen.

Apple TV Plus ausprobiert Video aufrufen
Mitsubishi: Satelliten setzen das Auto in die Spur
Mitsubishi
Satelliten setzen das Auto in die Spur

Mitsubishi Electric arbeitet am autonomen Fahren. Dafür betreibt der japanische Mischkonzern einigen Aufwand: Er baut einen eigenen Kartendienst sowie eine eigene Satellitenkonstellation auf.
Ein Bericht von Dirk Kunde


    Arbeitsklima: Schlangengrube Razer
    Arbeitsklima
    Schlangengrube Razer

    Der Gaming-Zubehörspezialist Razer pflegt ein besonders cooles Image - aber Firmengründer und Chef Tan Min-Liang soll ein von Sexismus und Rassismus geprägtes Arbeitsklima geschaffen haben. Nach Informationen von Golem.de werden Frauen auch in Europa systematisch benachteiligt.
    Ein Bericht von Peter Steinlechner

    1. Razer Blade Stealth 13 im Test Sieg auf ganzer Linie
    2. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
    3. Junglecat Razer-Controller macht das Smartphone zur Switch

    Apple-Betriebssysteme: Ein Upgrade mit Schmerzen
    Apple-Betriebssysteme
    Ein Upgrade mit Schmerzen

    Es sollte alles super werden, stattdessen kommen seit MacOS Catalina, dem neuen iOS und iPadOS weder Apple noch Entwickler und Nutzer zur Ruhe. Golem.de hat mit vier Entwicklern über ihre Erfahrungen mit der Systemumstellung gesprochen.
    Ein Bericht von Jan Rähm

    1. Betriebssystem Apple veröffentlicht MacOS Catalina
    2. Catalina Apple will Skriptsprachen wie Python aus MacOS entfernen
    3. Apple MacOS wechselt von Bash auf ZSH als Standard-Shell

      •  /