Bei dem Spende-Check des BRK auf der Website blutspendedienst.com können Interessierte vorab prüfen, ob sie zur Blutspende zugelassen werden. Dabei werden auch intime Fragen nach Krankheiten wie HIV oder Diabetes oder Schwangerschaften abgefragt. In vielen Webseiten sind unsichtbare Software-Werkzeuge von Facebook eingebaut, die Daten über Nutzer erfassen. Weil auf der BRK-Seite ein Mitarbeiter ein Marketingtool von Facebook falsch konfiguriert hatte, wurden beim sensiblen Spende-Check die Klicks auf die Antwort-Buttons an das soziale Netzwerk gesendet. Facebook erhielt die Antworten und die Antwortnummer der Fragen. Mit solchen digitalen Werkzeugen lassen Websites von Facebook analysieren, was genau ihre Nutzer anklicken.

Asylbewerber im Landkreis Erding

:Kein Anschluss ohne Dritte

Nach einem Jahr Pandemie rüsten Landratsämter und Bezirksregierungen Asylunterkünfte endlich technisch für Internetzugänge aus. Provider-Verträge schließen die staatlichen Behörden aber nicht ab - das führt zu ungleichen Verhältnissen in den Unterkünften.

Auch die Profilnummer des Facebook-Accounts wurde mitgeschickt, falls beispielsweise eine Spenderin mit ihrem Browser vorher bei Facebook eingeloggt war und noch entsprechende Cookies gespeichert hatte. Die Antwortdaten, die an Facebook gingen, ließen also in vielen Fällen Rückschlüsse auf die Personen und ihr Leben zu.

Allerdings geht das Landesamt nicht davon aus, dass die Antworten bei Facebook Bestandteil der Facebook-Profile wurden: Die Antworten wären erst nach einer zusätzlichen manuellen Analyse des Konzerns zu auswertbaren Gesundheitsdaten geworden. Davon sei nicht auszugehen, schrieb das Landesamt. Facebooks Geschäftsmodell basiert maßgeblich auf der automatisierten Analyse von Nutzerdaten, um ihnen maßgeschneiderte digitale Anzeigen vorzusetzen. Menschliche Mitarbeiter bekommen die Daten oft gar nicht zu sehen. Da aus diesem Grund kein hohes Missbrauchsrisiko für die Daten der betroffenen Teilnehmer vorliege, müsse der Blutspendedienst nun auch nicht die Betroffenen über die versehentliche Datenübermittlung informieren, heißt es aus der Datenschutzbehörde.

Auch ein Bußgeld wird gegen den Blutspendedienst nicht erhoben. Er profitiert von einer deutschen Sonderregelung im Datenschutzrecht: Wenn eine Person oder ein Unternehmen einen Datenschutzverstoß selbst meldet, kann die Datenschutzbehörde diese Information nicht gegen den Willen des Meldenden für ein Ordnungswidrigkeitsverfahren nutzen. So soll verhindert werden, dass Unternehmen ihre Datenpannen aus Angst vor einem Bußgeld nicht melden.

Mehr als ein Jahr nach Abschluss der Prüfung ist das Verfahren noch nicht formell abgeschlossen. Das Landesamt erklärte das damit, dass es den formellen Abschluss nicht hoch priorisiere, weil die Datenverarbeitung des BRK davon nicht mehr betroffen sei.

Unklar bleibt, ob Facebook die Antwortdaten gelöscht hat. Der Präsident des Landesamtes, Michael Will, sagte lediglich, man habe eine Löschung der Daten bei Facebook nicht angeordnet, da der Blutspendedienst die Löschung bei Facebook ja versichert habe. Der Blutspendedienst äußerte sich nicht zu dieser Behauptung. Auch Facebook bestätigte eine Löschung nicht. In den vergangenen Jahren gab es immer wieder Zweifel daran, ob Facebook einzelne Daten löschen kann, die mit seinen Software-Werkzeugen von externen Webseiten gesendet wurden. Sowohl das britische Parlament als auch der US-amerikanische Senat beschäftigten sich mit einer E-Mail eines Facebook-Technikers von 2018, der darin zugab: Die Daten von diesem Marketing-Werkzeug könnten nicht nach bestimmten Kriterien durchsucht und gelöscht werden.

Der Blutspendedienst des BRK wollte sich zu dem Fall nicht äußern, solange das Verfahren formell nicht abgeschlossen sei.