Tracking: Blutspendedienst übermittelt private Daten an Facebook

Eine Umfrageseite des Bayerischen Roten Kreuzes hatte den Trackingservice Facebook Pixel eingebunden - und dabei nicht bedacht, wie invasiv dieser Service ist. Jeder Klick auf einen Button wird aufgezeichnet. Facebook konnte so erfahren, ob ein Nutzer HIV hat oder Drogen konsumiert.

Artikel veröffentlicht am ,
Wie sieht es beim Bayerischen Roten Kreuz mit dem Datenschutz aus? Offenbar nicht so gut.
Wie sieht es beim Bayerischen Roten Kreuz mit dem Datenschutz aus? Offenbar nicht so gut. (Bild: Kevin.B/Wikimedia Commons/CC-BY-SA 4.0)

Eine Webseite, auf der blutspendewillige Personen prüfen können, ob sie für eine Spende infrage kommen, hat alle eingegebenen Daten an Facebook übertragen. Herausgefunden hat das die Süddeutsche Zeitung. Der Service, der vom Blutspendedienst des Bayerischen Roten Kreuzes betrieben wird, nutzte Facebook Pixel, ein kostenloses Trackingwerkzeug des sozialen Netzwerks.

Stellenmarkt
  1. (Junior) IT Business Partner / Demand Manager - Sales Units (m/w/d)
    Jungheinrich AG, Hamburg
  2. Test Manager (m/f/d) for Hardware Security Modules
    Elektrobit Automotive GmbH, Germany - Erlangen
Detailsuche

Der sogenannte Spende-Check fragt dabei sehr persönliche Daten ab. So wird der Nutzer etwa nach Krebserkrankungen, Diabetes oder HIV-Infektionen gefragt. Auch wird gefragt, ob man Drogen konsumiere. Dass derartige Daten mit höchster Vorsicht behandelt werden sollten, ist eigentlich selbstverständlich.

Javascript-Webseite und Ja/Nein-Buttons

Die Webseite ist dabei so implementiert, dass alle Fragen auf einer einzigen Seite dargestellt werden. Der Nutzer klickt jeweils auf Ja oder Nein, implementiert sind diese als HTML-Buttons, die von einem Javascript-Code ausgewertet werden.

Wäre das Facebook-Tracking nicht, könnte man sogar argumentieren, dass dieses Design besonders datenschutzfreundlich ist. Denn die Umfrage wird komplett im Browser ausgewertet. Das Ergebnis wird dem Nutzer direkt mitgeteilt, es werden keine Daten an die Webseite des Blutspendedienstes übertragen.

Golem Karrierewelt
  1. AZ-500 Microsoft Azure Security Technologies (AZ-500T00): virtueller Vier-Tage-Workshop
    28.11.-01.12.2022, virtuell
  2. Implementing Cisco Enterprise Wireless Networks (ENWLSI): virtueller Fünf-Tage-Workshop
    10.-14.10.2022, virtuell
Weitere IT-Trainings

Bei Facebook Pixel könnte man anhand des Namens denken, dass hier ein Bild als Tracking-Pixel eingebunden wird. Doch der Service macht deutlich mehr. Um diese Funktion zu nutzen, muss ein Webseitenbetreiber Javascript-Code einfügen.

Jeder Klick auf einen Button wird von Facebook getrackt

Der Code von Facebook Pixel sorgt dafür, dass jeder Klick auf einen der beiden Buttons an Facebook übertragen wurde. Verantwortlich dafür ist ein Feature, das Facebook Automatic Configuration nennt. Diese Funktion ist seit 2017 verfügbar und standardmäßig aktiviert. Durch eine entsprechende Option im Javascript-Code kann dies abgeschaltet werden.

Wenn die Automatic Configuration aktiviert ist, werden alle Klicks auf Buttons getrackt, jeder Klick löst eine Datenübertragung an Facebook aus. Dort wird auch mitübertragen, welche Beschreibung der Button trägt. Im Fall des Blutspendedienstes kann Facebook also theoretisch sehen, wer Ja oder Nein geklickt hat. Zumindest bei Nutzern, die selbst Facebook nutzen und gerade eingeloggt sind, könnte der Konzern die Daten auch problemlos mit dem jeweiligen Profil des Nutzers in Verbindung bringen.

Ob Facebook diese Daten wirklich auswertet, ist zweifelhaft. Die Pixel-Funktion ist auf Millionen von Webseiten eingebunden; um tatsächlich herauszufinden, welche Buttons ein Nutzer klickt, müsste Facebook die Reihenfolge der Klicks auswerten. Es ist kaum anzunehmen, dass Facebook seine Datenauswertung hier auf eine einzelne, wenig bedeutende Webseite anpasst. Trotzdem ist die Datenübertragung natürlich extrem problematisch und dürfte auch gegen Datenschutzgesetze verstoßen.

Inzwischen hat der Blutspendedienst den Facebook-Code von der Webseite entfernt. Nach wie vor ist in der Webseite externer Javascript-Code von einem Adobe-Fontservice und von einem Service namens Addsearch eingebunden. Diese übertragen aber keine Daten, die der Nutzer eingibt.

Das Problem dürfte sich nicht auf diese einzelne Webseite beschränken. Es ist anzunehmen, dass viele Webseiten Facebook Pixel einbinden, ohne sich über das Ausmaß der Datenaufzeichnung im Klaren zu sein.

Nachtrag vom 27. August 2019, 15:17 Uhr

Der Blutspendedienst hat inzwischen eine Stellungnahme veröffentlicht. Darin bestreitet der Blutspendedienst das Problem nicht, bezeichnet es aber als "rein theoretisch" und weist darauf hin, dass eine Datennutzung durch Facebook rechtswidrig wäre.

Auch Facebook meldete sich mit einer Stellungnahme bei uns. Demnach verbietet Facebook explizit die Nutzung von Pixeln in dieser Form: "Für die Verwendung des Pixels haben wir klare Regeln für Werbetreibende: Es dürfen keine sensiblen Nutzerdaten wie Informationen zu Gesundheit oder Finanzen an uns geschickt werden."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


gorsch 02. Sep 2019

Da wird erläutert wie Facebook *theoretisch* alle diese Datenströme (illegalerweise...

FreiGeistler 28. Aug 2019

Aus dem verlinkten Artikel der Süddeutschen geht recht deutlich hervor, dass die...

LinuxMcBook 28. Aug 2019

Das ganze würde natürlich nur mit einer Webseite oder einem Dienst funktionieren, der...

heikom36 28. Aug 2019

Die Leute haben mittlerweile Angst um ihre Daten. Das der technische Sachverhalt die...



Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /