Blutspendedienst übermittelte heikle Daten an Facebook
Der Blutspendedienst des Bayerischen Roten Kreuzes hat gesundheitsbezogene Daten möglicher Spender an Facebook gesendet, darunter intime Angaben zu HIV-Infektionen, Schwangerschaften, Drogenkonsum oder Diabetes.
☣️ Die Daten der Blutspender wurden monatelang bei einem "Vorcheck" auf der Webseite des Dienstes erfasst.
Die Daten dürften für Facebook interessant sein, um Internetnutzern Werbung passgenauer auszuspielen.
Der Blutspendedienst des Bayerischen Roten Kreuzes hat intime Daten möglicher Spender an Facebook gesendet. Zu den Angaben zählen Aussagen über HIV-Infektion, Schwangerschaft, Drogenkonsum oder Diabetes der Betroffenen. Das ergab eine technische Analyse der Webseite des Dienstes durch die Süddeutsche Zeitung. Die Daten könnten nun bei Facebook profilbezogen gespeichert sein, das heißt: Sie könnten dazu beitragen, die Nutzer bestimmten Werbezielgruppen zuzuordnen.
Der Fall zeigt, wie sorglos der Programmiercode von Facebook in äußerst sensiblen Bereichen eingesetzt wird und Organisationen dadurch Gefahr laufen, Datenschutzpflichten zu missachten. Da die Daten teils personenbezogen sind, könnte dem Unternehmen ein Bußgeld nach der Datenschutz-Grundverordnung drohen. Patric Nohe, der Sprecher des Spendedienstes, bestritt, dass sich aus den Daten Rückschlüsse auf Krankheiten einzelner Personen ziehen lassen. Doch die SZ-Recherche zeigt: Die Antworten lassen sich eindeutig über ihre Reihenfolge und die Zahl der Klicks erschließen. Man prüfe den Vorfall und habe "rein vorsorglich" die Übertragung deaktiviert, sagte Nohe.
Die Daten der Blutspender wurden bei einem " Vorcheck" auf der Webseite des Blutspendedienstes (BSD) erhoben, einem Tochterunternehmen des Bayerischen Roten Kreuzes (BRK). Die Antworten der Spender wurden automatisch an Facebook weitergeleitet, weil der Spendedienst seine Seite falsch konfiguriert hatte.
Diese Fragen würde wohl niemand öffentlich beantworten: "Konsumieren Sie Drogen?" - "Sind Sie positiv auf HIV getestet?" - "Wurde bei Ihnen ein Schwangerschaftsabbruch durchgeführt?" Auf blutspendedienst.com haben sie einen tieferen Sinn: Interessierte können sie online beantworten und so prüfen, ob sie für eine Blutspende geeignet sind. Das können sie anonym tun.
Doch was die Antwortenden nicht wissen konnten: Durch die falsche Einstellung wurden ihre angeklickten Antworten an Facebook gesendet. Die zugehörigen Fragen, in denen die Krankheiten genannt sind, wurden zwar nicht übermittelt, sind aber über die Nummerierung der Antworten rekonstruierbar. Denn das System stellte sie immer in gleicher Reihenfolge. Blutspender mit Facebook-Konto müssen damit rechnen, dass die Antworten mit ihrem Profil verknüpft wurden, selbst wenn sie Facebook gerade nicht genutzt hatten. Mit sogenannter Cookie-Technik erkennt Facebook Nutzer aus vorherigen Sitzungen in seinem Netzwerk wieder.
Unklar bleibt, warum der BSD Facebooks Überwachung einsetzte, wie lange diese aktiv war und wie viele Menschen die Umfrage mitmachten. Sie lief mindestens seit dem Frühjahr. Jährlich spenden beim BSD 250 000 Personen Blut, sodass erhebliche Mengen Krankheitsdaten bei Facebook liegen könnten. Der Blutspendedienst machte keine Angaben zu Dauer und Nutzerzahl der Umfrage.
Weiter auf:
https://www.sueddeutsche.de/digital/blutspende-brk-facebook-patientendaten-1.4576563
#DeleteFacebook #Datenschutz #Blutspende #Bayern
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Der Blutspendedienst des Bayerischen Roten Kreuzes hat gesundheitsbezogene Daten möglicher Spender an Facebook gesendet, darunter intime Angaben zu HIV-Infektionen, Schwangerschaften, Drogenkonsum oder Diabetes.
☣️ Die Daten der Blutspender wurden monatelang bei einem "Vorcheck" auf der Webseite des Dienstes erfasst.
Die Daten dürften für Facebook interessant sein, um Internetnutzern Werbung passgenauer auszuspielen.
Der Blutspendedienst des Bayerischen Roten Kreuzes hat intime Daten möglicher Spender an Facebook gesendet. Zu den Angaben zählen Aussagen über HIV-Infektion, Schwangerschaft, Drogenkonsum oder Diabetes der Betroffenen. Das ergab eine technische Analyse der Webseite des Dienstes durch die Süddeutsche Zeitung. Die Daten könnten nun bei Facebook profilbezogen gespeichert sein, das heißt: Sie könnten dazu beitragen, die Nutzer bestimmten Werbezielgruppen zuzuordnen.
Der Fall zeigt, wie sorglos der Programmiercode von Facebook in äußerst sensiblen Bereichen eingesetzt wird und Organisationen dadurch Gefahr laufen, Datenschutzpflichten zu missachten. Da die Daten teils personenbezogen sind, könnte dem Unternehmen ein Bußgeld nach der Datenschutz-Grundverordnung drohen. Patric Nohe, der Sprecher des Spendedienstes, bestritt, dass sich aus den Daten Rückschlüsse auf Krankheiten einzelner Personen ziehen lassen. Doch die SZ-Recherche zeigt: Die Antworten lassen sich eindeutig über ihre Reihenfolge und die Zahl der Klicks erschließen. Man prüfe den Vorfall und habe "rein vorsorglich" die Übertragung deaktiviert, sagte Nohe.
Die Daten der Blutspender wurden bei einem " Vorcheck" auf der Webseite des Blutspendedienstes (BSD) erhoben, einem Tochterunternehmen des Bayerischen Roten Kreuzes (BRK). Die Antworten der Spender wurden automatisch an Facebook weitergeleitet, weil der Spendedienst seine Seite falsch konfiguriert hatte.
Diese Fragen würde wohl niemand öffentlich beantworten: "Konsumieren Sie Drogen?" - "Sind Sie positiv auf HIV getestet?" - "Wurde bei Ihnen ein Schwangerschaftsabbruch durchgeführt?" Auf blutspendedienst.com haben sie einen tieferen Sinn: Interessierte können sie online beantworten und so prüfen, ob sie für eine Blutspende geeignet sind. Das können sie anonym tun.
Doch was die Antwortenden nicht wissen konnten: Durch die falsche Einstellung wurden ihre angeklickten Antworten an Facebook gesendet. Die zugehörigen Fragen, in denen die Krankheiten genannt sind, wurden zwar nicht übermittelt, sind aber über die Nummerierung der Antworten rekonstruierbar. Denn das System stellte sie immer in gleicher Reihenfolge. Blutspender mit Facebook-Konto müssen damit rechnen, dass die Antworten mit ihrem Profil verknüpft wurden, selbst wenn sie Facebook gerade nicht genutzt hatten. Mit sogenannter Cookie-Technik erkennt Facebook Nutzer aus vorherigen Sitzungen in seinem Netzwerk wieder.
Unklar bleibt, warum der BSD Facebooks Überwachung einsetzte, wie lange diese aktiv war und wie viele Menschen die Umfrage mitmachten. Sie lief mindestens seit dem Frühjahr. Jährlich spenden beim BSD 250 000 Personen Blut, sodass erhebliche Mengen Krankheitsdaten bei Facebook liegen könnten. Der Blutspendedienst machte keine Angaben zu Dauer und Nutzerzahl der Umfrage.
Weiter auf:
https://www.sueddeutsche.de/digital/blutspende-brk-facebook-patientendaten-1.4576563
#DeleteFacebook #Datenschutz #Blutspende #Bayern
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Süddeutschen Zeitung
Blutspendedienst übermittelte heikle Daten an Facebook
Der Blutspendedienst des Bayerischen Roten Kreuzes leitete Informationen über persönliche Geheimnisse an Facebook weiter.