Abo
  • IT-Karriere:

Tracking: Blutspendedienst übermittelt private Daten an Facebook

Eine Umfrageseite des Bayerischen Roten Kreuzes hatte den Trackingservice Facebook Pixel eingebunden - und dabei nicht bedacht, wie invasiv dieser Service ist. Jeder Klick auf einen Button wird aufgezeichnet. Facebook konnte so erfahren, ob ein Nutzer HIV hat oder Drogen konsumiert.

Artikel veröffentlicht am ,
Wie sieht es beim Bayerischen Roten Kreuz mit dem Datenschutz aus? Offenbar nicht so gut.
Wie sieht es beim Bayerischen Roten Kreuz mit dem Datenschutz aus? Offenbar nicht so gut. (Bild: Kevin.B/Wikimedia Commons/CC-BY-SA 4.0)

Eine Webseite, auf der blutspendewillige Personen prüfen können, ob sie für eine Spende infrage kommen, hat alle eingegebenen Daten an Facebook übertragen. Herausgefunden hat das die Süddeutsche Zeitung. Der Service, der vom Blutspendedienst des Bayerischen Roten Kreuzes betrieben wird, nutzte Facebook Pixel, ein kostenloses Trackingwerkzeug des sozialen Netzwerks.

Stellenmarkt
  1. über experteer GmbH, München
  2. JENOPTIK AG, Jena

Der sogenannte Spende-Check fragt dabei sehr persönliche Daten ab. So wird der Nutzer etwa nach Krebserkrankungen, Diabetes oder HIV-Infektionen gefragt. Auch wird gefragt, ob man Drogen konsumiere. Dass derartige Daten mit höchster Vorsicht behandelt werden sollten, ist eigentlich selbstverständlich.

Javascript-Webseite und Ja/Nein-Buttons

Die Webseite ist dabei so implementiert, dass alle Fragen auf einer einzigen Seite dargestellt werden. Der Nutzer klickt jeweils auf Ja oder Nein, implementiert sind diese als HTML-Buttons, die von einem Javascript-Code ausgewertet werden.

Wäre das Facebook-Tracking nicht, könnte man sogar argumentieren, dass dieses Design besonders datenschutzfreundlich ist. Denn die Umfrage wird komplett im Browser ausgewertet. Das Ergebnis wird dem Nutzer direkt mitgeteilt, es werden keine Daten an die Webseite des Blutspendedienstes übertragen.

Bei Facebook Pixel könnte man anhand des Namens denken, dass hier ein Bild als Tracking-Pixel eingebunden wird. Doch der Service macht deutlich mehr. Um diese Funktion zu nutzen, muss ein Webseitenbetreiber Javascript-Code einfügen.

Jeder Klick auf einen Button wird von Facebook getrackt

Der Code von Facebook Pixel sorgt dafür, dass jeder Klick auf einen der beiden Buttons an Facebook übertragen wurde. Verantwortlich dafür ist ein Feature, das Facebook Automatic Configuration nennt. Diese Funktion ist seit 2017 verfügbar und standardmäßig aktiviert. Durch eine entsprechende Option im Javascript-Code kann dies abgeschaltet werden.

Wenn die Automatic Configuration aktiviert ist, werden alle Klicks auf Buttons getrackt, jeder Klick löst eine Datenübertragung an Facebook aus. Dort wird auch mitübertragen, welche Beschreibung der Button trägt. Im Fall des Blutspendedienstes kann Facebook also theoretisch sehen, wer Ja oder Nein geklickt hat. Zumindest bei Nutzern, die selbst Facebook nutzen und gerade eingeloggt sind, könnte der Konzern die Daten auch problemlos mit dem jeweiligen Profil des Nutzers in Verbindung bringen.

Ob Facebook diese Daten wirklich auswertet, ist zweifelhaft. Die Pixel-Funktion ist auf Millionen von Webseiten eingebunden; um tatsächlich herauszufinden, welche Buttons ein Nutzer klickt, müsste Facebook die Reihenfolge der Klicks auswerten. Es ist kaum anzunehmen, dass Facebook seine Datenauswertung hier auf eine einzelne, wenig bedeutende Webseite anpasst. Trotzdem ist die Datenübertragung natürlich extrem problematisch und dürfte auch gegen Datenschutzgesetze verstoßen.

Inzwischen hat der Blutspendedienst den Facebook-Code von der Webseite entfernt. Nach wie vor ist in der Webseite externer Javascript-Code von einem Adobe-Fontservice und von einem Service namens Addsearch eingebunden. Diese übertragen aber keine Daten, die der Nutzer eingibt.

Das Problem dürfte sich nicht auf diese einzelne Webseite beschränken. Es ist anzunehmen, dass viele Webseiten Facebook Pixel einbinden, ohne sich über das Ausmaß der Datenaufzeichnung im Klaren zu sein.

Nachtrag vom 27. August 2019, 15:17 Uhr

Der Blutspendedienst hat inzwischen eine Stellungnahme veröffentlicht. Darin bestreitet der Blutspendedienst das Problem nicht, bezeichnet es aber als "rein theoretisch" und weist darauf hin, dass eine Datennutzung durch Facebook rechtswidrig wäre.

Auch Facebook meldete sich mit einer Stellungnahme bei uns. Demnach verbietet Facebook explizit die Nutzung von Pixeln in dieser Form: "Für die Verwendung des Pixels haben wir klare Regeln für Werbetreibende: Es dürfen keine sensiblen Nutzerdaten wie Informationen zu Gesundheit oder Finanzen an uns geschickt werden."



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)
  3. 49,70€

gorsch 02. Sep 2019 / Themenstart

Da wird erläutert wie Facebook *theoretisch* alle diese Datenströme (illegalerweise...

FreiGeistler 28. Aug 2019 / Themenstart

Aus dem verlinkten Artikel der Süddeutschen geht recht deutlich hervor, dass die...

LinuxMcBook 28. Aug 2019 / Themenstart

Das ganze würde natürlich nur mit einer Webseite oder einem Dienst funktionieren, der...

heikom36 28. Aug 2019 / Themenstart

Die Leute haben mittlerweile Angst um ihre Daten. Das der technische Sachverhalt die...

heikom36 28. Aug 2019 / Themenstart

Die Tür nicht abschließen ist übrigens auch rechtswidrig....

Kommentieren


Folgen Sie uns
       


Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019)

Der transparente OLED-Fernseher von Panasonic rückt immer näher. Auf der Ifa 2019 steht ein Prototyp, der schon jetzt Einrichtungsideen in den Kopf ruft.

Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019) Video aufrufen
Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
Apple TV+
Apples Videostreamingdienst ist nicht konkurrenzfähig

Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
Eine Analyse von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
  3. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

Innovationen auf der IAA: Vom Abbiegeassistenten bis zum Solarglasdach
Innovationen auf der IAA
Vom Abbiegeassistenten bis zum Solarglasdach

IAA 2019 Auf der IAA in Frankfurt sieht man nicht nur neue Autos, sondern auch etliche innovative Anwendungen und Bauteile. Zulieferer und Forscher präsentieren in Frankfurt ihre Ideen. Eine kleine Auswahl.
Ein Bericht von Dirk Kunde

  1. IAA 2019 PS-Wahn statt Visionen
  2. E-Auto Byton zeigt die Produktionsversion des M-Byte

Recruiting: Wenn das eigene Wachstum zur Herausforderung wird
Recruiting
Wenn das eigene Wachstum zur Herausforderung wird

Gerade im IT-Bereich können Unternehmen sehr schnell wachsen. Dabei können der Fachkräftemangel und das schnelle Onboarding von neuen Mitarbeitern zum Problem werden. Wir haben uns bei kleinen Startups und Großkonzernen umgehört, wie sie in so einer Situation mit den Herausforderungen umgehen.
Von Robert Meyer

  1. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  2. LoL Was ein E-Sport-Trainer können muss
  3. IT-Arbeit Was fürs Auge

    •  /