[English]Kurze Meldung aus dem Bereich Datenschutz im US-Gesundheitswesen, der zeigt, wie kritisch Zählpixel von Social Media Plattformen sein können. Advocate Aurora Health, ein großer gemeinnütziges Betreiber von Gesundheitseinrichtungen im mittleren Westen der USA, musste seine Patienten darüber informieren, dass durch die Verwendung von Meta-Zählpixeln in den eigenen Webseiten und Online-Diensten möglicherweise sensible Daten abgeflossen sind.
Anzeige
Advocate Aurora Health (AAH) ist ein Betreiber von 26 Krankenhäusern in Wisconsin und Illinois (USA). Auf der Webseite der AAH sowie in deren Online-Diensten hatten die Web-Entwickler sogenannte Meta-Zählpixel eingebunden. Meta Pixel ist ein JavaScript-Tracker, der Website-Betreibern die Analyse der Besucherinteraktion mit Websites ermöglicht.
Das Problem ist, dass der Tracker auch sensible Daten an Meta (Facebook) schickt. Diese Daten laufen dann in ein riesiges Netzwerk von Vermarktern weiter, die dann die Benutzer (hier Patienten) mit zielgerichteter Werbung ansprechen. Die Zählpixel verraten dem Netzwerk, was der Patient bei AAH an Daten hinterlassen hat.
Nun musste Advocate Aurora Health (AAH) seine Patienten in diesem Zusammenhang über eine Datenschutzverletzung informieren. Durch dieses Meta-Zählpixel wurden die die persönlichen Daten von 3.000.000 Patienten offengelegt. Der Sicherheitsvorfall wurde dem Department of Health and Human Services am 14. Oktober gemeldet. Dies geht aus der Datenbank der Behörde über derzeit untersuchte Sicherheitsverletzungen hervor. In dem Eintrag wird die Sicherheitsverletzung als unbefugte Offenlegung elektronischer Krankenakten beschrieben, von der 3 Millionen Personen betroffen sind.
In einer Mitteilung von Advocate Aurora Health (AAH) an seine Patienten wird dieser Datenschutzvorfall detaillierter beschrieben. Im Hinblick auf die offengelegten Patientendaten heißt es auf deren Webseite, dass folgende Informationen abgeflossen sein können:
- IP-Adresse
- Datum, Uhrzeit und Ort der geplanten Termine
- Nähe zu einem AAH-Standort
- Informationen zum medizinischen Anbieter
- Art des Termins oder Verfahrens
- Kommunikation zwischen MyChart-Benutzern, die Vor- und Nachnamen und Krankenaktennummern enthalten kann
- Informationen zur Versicherung
- Informationen zum Proxy-Konto
Sowohl Bleeping Computer als auch The Record Media haben diesen Fall aufgegriffen. In den USA kommt es wohl regelmäßig zu solchen Datenschutzverletzungen, wie Bleeping Computer in seinem Artikel offen legt. Inzwischen laufen bereits Klagen gegen die Unternehmen, die auf Grund von Meta-Pixeln Datenschutzverletzungen zu vermelden haben. Allerdings muss man nicht so weit gehen – im August 2019 gab es auch in Deutschland einen solchen Vorfall. Das Rote Kreuz hatte Facebooks Pixel-Tracking-Dienst auf seiner Seite für Blutspender eingesetzt. Damit wurden die Daten von Blutspendern an Facebook/Meta übermittelt. Ich hatte im Blog-Beitrag Rotes Kreuz übermittelt Daten von Blutspendern an Facebook berichtet. Ein Bußgeld wurde gegen das Rote Kreuz nicht verhängt, da die den Vorfall selbst bei der Datenschutzaufsicht gemeldet hatten – siehe meinen Blog-Beitrag Datenpanne bei BRK-Blutspendedienst in Bayern in 2020 bestätigt.
2015
Mal sehen, wann die Abmahnwelle für Nutzung ohne Zustimmung dieser fb Tracking Pixel startet, und für hier und da immer noch genutzte fb Likebuttons und iframes auf eigenen Websites, für instagram embeds für Cookie-Verwaltungen und für Print-as-PDF uä. Buttons, die von extern eingebunden sind, für Google Maps, Google Adsense, YouTube, vimeo und natürlich auch für use.fontawesome.com und jsdelivr, imgur und alle sonstigen CDNs. Betroffenheitstext kann aus den Google Fonts Serienbriefen übernommen werden, aus den Fehlern dieser Kampagne kann man als Abmahner lernen und mehr variieren. Alles nur eine Frage der Zeit.
Das ist dann also ein weiteres Argument für AdBlocker.
Es geht schließlich schon längst nicht mehr nur um blinkende gif-Banner, die man nicht sehen möchte, sondern um Tracker und Tretminen, die den Besucher sezieren – oft genug nur für banales, zusammenkopiertes Blabla als Gegenleistung.
Tracking-Pixel auf sensiblen Webseiten – das darf doch eigentlich gar nicht sein! Offenbar haben die Anbieter überhaupt kein Gewissen oder bauen einfach stupide alles ein, was geht.
Man müsste ein geschütztes Qualitätssiegel für faire Internet-Angebote einführen.
https://netzpolitik.org/2022/versteckte-option-bei-facebook-nicht-nutzerinnen-koennen-jetzt-ihre-kontaktdaten-loeschen-lassen/