Das DNA- und Gentestunternehmen 23andMe befindet sich nach einem Datenverstoß im letzten Jahr und seinem anhaltenden finanziellen Niedergang in Aufruhr. Der einst bahnbrechende Riese steht nun vor einer ungewissen Zukunft, da er versucht, das Unternehmen zu privatisieren, was die Besorgnis darüber verstärkt, was mit den genetischen Daten der rund 15 Millionen Kunden von 23andMe passieren könnte.
23andMe ist vor allem für seine speichelbasierten Testkits bekannt, die einen Einblick in die genetische Abstammung einer Person bieten. Seit dem Börsengang Anfang 2021 ist der Wert von 23andMe von seinem Höchststand von 6 Milliarden US-Dollar um mehr als 99 % gesunken, nachdem es keinen Gewinn erwirtschaftet hatte.
Dieser mangelnde Gewinn wurde auf das nachlassende Verbraucherinteresse an den einmal verwendbaren Testkits von 23andMe und das schwache Wachstum seiner Abonnementdienste zurückgeführt. Das Unternehmen wurde außerdem von einem riesigen, monatelangen Datenverstoß erschüttert, bei dem Hacker im Laufe des Jahres 2023 die Abstammungsdaten von fast 7 Millionen Benutzern stahlen. Das Unternehmen im September vereinbart 30 Millionen US-Dollar zahlen, um einen Rechtsstreit im Zusammenhang mit dem Verstoß beizulegen.
Weniger als eine Woche später sagte 23andMe-Gründerin und CEO Anne Wojcicki, sie erwäge „Übernahmevorschläge Dritter“ für das Unternehmen. Wojcicki ging die Aussage schnell zurück und sagte stattdessen „sie.“ geplant, das Unternehmen zu privatisieren. Doch der Schaden war angerichtet und alle unabhängigen Vorstandsmitglieder des Unternehmens traten mit sofortiger Wirkung zurück.
Wo bleiben dann die genetischen Daten von Millionen Menschen?
23andMe ist weitgehend an seine eigenen Regeln gebunden
Wie der Datenverstoß im letzten Jahr zeigt, bei dem Hacker Informationen wie die genetische Veranlagung und Abstammungsberichte der Benutzer gestohlen haben, sammelt 23andMe eine Menge Informationen über seine Benutzer.
Wenn Sie zu den vielen Millionen gehören, die Ihren Speichel an 23andMe geschickt haben, um mehr über Ihre Abstammung zu erfahren, sind Sie möglicherweise davon ausgegangen, dass diese Daten gemäß dem Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen vertraulich bleiben. HIPAA, wie es genannt wird, legt die Standards zum Schutz sensibler Gesundheitsinformationen vor der Offenlegung ohne Wissen oder Zustimmung einer Person fest.
Allerdings ist 23andMe kein Unternehmen, das unter HIPAA fällt. 23andMe ist daher weitgehend nur an seine eigenen Datenschutzrichtlinien gebunden, die es jederzeit ändern kann.
Andy Kill, ein Sprecher von 23andMe, sagte gegenüber Tech, dass das Unternehmen der Ansicht sei, dass dies ein „angemesseneres und transparenteres Modell für die von uns verarbeiteten Daten sei als das HIPAA-Modell, das von der traditionellen Gesundheitsbranche verwendet wird“.
Mangelnde bundesstaatliche Regulierung und ein Durcheinander staatlicher Datenschutzgesetze führen letztendlich dazu, dass bei einem Verkauf von 23andMe auch die Daten von Millionen Amerikanern auf dem Spiel stehen. In der Datenschutzrichtlinie des Unternehmens heißt es, dass im Rahmen einer Insolvenz, einer Fusion, einer Übernahme, einer Umstrukturierung oder eines Verkaufs „auf die persönlichen Daten seiner Kunden zugegriffen, diese verkauft oder übertragen werden“ könnten.
Dass Kundendaten ein verkäuflicher Vermögenswert sind, hat auch Wojcicki deutlich gemacht angeblich den Anlegern erzählt dass 23andMe seine kostenintensiven Arzneimittelentwicklungsprogramme nicht mehr fortführen und sich stattdessen auf die Vermarktung seiner umfangreichen Datenbank mit Kundendaten an Pharmaunternehmen und Forscher konzentrieren wird.
23andMe behauptet, dass sich seine Datenschutzrichtlinien im Falle eines Verkaufs nicht ändern würden. Diese Richtlinien besagen, dass das Unternehmen Benutzerdaten niemals ohne Genehmigung an Versicherungsgesellschaften oder Strafverfolgungsbehörden weitergeben wird. Letztere haben sich zunehmend an DNA-Drittunternehmen gewandt, um genetische Informationen zu erhalten, doch 23andMe hat sich bisher allen Anfragen der US-Strafverfolgungsbehörden nach solchen Daten widersetzt zu seinem langjährigen Transparenzbericht.
Potenzielle Käufer von 23andMe haben möglicherweise völlig andere Vorstellungen davon, wie sie den potenziell wertvollen DNA-Datenschatz des Unternehmens nutzen können. Datenschützer der Gruppe für digitale Rechte Electronic Frontier Foundation haben habe 23andMe bereits aufgefordert, sich einem Verkauf zu widersetzen an jedes Unternehmen mit Verbindungen zur Strafverfolgung und warnte davor, dass die genetischen Daten der Kunden von der Polizei verwendet werden könnten, um wahllos nach Beweisen für Straftaten zu suchen.
„Unsere eigene Verpflichtung, die Bedingungen unserer Datenschutzrichtlinie im Falle eines Verkaufs oder einer Übertragung auf die persönlichen Daten unserer Kunden anzuwenden, ist klar: Die Nutzungsbedingungen und die Datenschutzerklärung von 23andMe bleiben in Kraft, es sei denn und bis den Kunden Folgendes vorgelegt wird: und akzeptieren Sie neue Bedingungen und Erklärungen – und zwar erst nach Erhalt einer entsprechenden Benachrichtigung über neue Bedingungen gemäß den geltenden Datenschutzgesetzen“, sagte Kill gegenüber Tech.
Proaktives Löschen Ihres Kontos
Während sich 23andMe vorerst einem Verkauf an ein Drittunternehmen zu widersetzen scheint, haben Wojcickis widerrufene Kommentare bei Datenschützern bereits die Alarmglocken läuten lassen ihre Daten.
Meredith Whittaker, Präsidentin der Ende-zu-Ende-verschlüsselten Messaging-App Signal, sagte in ein Beitrag auf X: „Es geht nicht nur um dich. Wenn jemand in Ihrer Familie seine DNA weitergegeben hat [23andMe]in Ihrem Interesse, schließen Sie jetzt Ihr/ihr Konto.“
Auch Eva Galperin, Direktorin für Cybersicherheit bei der EFF, forderte die Nutzer auf, Maßnahmen zu ergreifen. „Wenn Sie ein 23andMe-Konto haben, ist heute ein guter Tag, sich anzumelden und die Löschung Ihrer Daten zu beantragen“, sagte Galperin in einem Beitrag auf X.
Die Löschung Ihrer Daten auf 23andMe zu beantragen ist relativ einfach.
Melden Sie sich bei Ihrem 23andMe-Konto an und navigieren Sie zu Einstellungen > Kontoinformationen > Löschen Sie Ihr Konto. 23andMe fordert Sie auf, Ihre Entscheidung zu bestätigen, und weist Sie darauf hin, dass die Löschung Ihres Kontos dauerhaft und unumkehrbar ist.
Es gibt einen wichtigen Vorbehalt. Wie in der Datenschutzrichtlinie von 23andMe erwähnt, unterliegt die Kontolöschung „Aufbewahrungsanforderungen und bestimmten Ausnahmen“, was bedeutet, dass das Unternehmen einige Ihrer Daten für einen unbestimmten Zeitraum aufbewahren kann.
Beispielsweise speichert 23andMe Ihre genetischen Informationen, Ihr Geburtsdatum und Ihr Geschlecht „wie für die Compliance erforderlich“ und speichert begrenzte Daten im Zusammenhang mit Ihrem Löschantrag, „einschließlich, aber nicht beschränkt auf Ihre E-Mail-Adresse, die Kennung Ihres Kontolöschungsantrags und Ihre Kommunikation.“ im Zusammenhang mit Anfragen oder Beschwerden und rechtlichen Vereinbarungen.“
Wenn Sie der Weitergabe Ihrer Daten zu Forschungszwecken durch 23andMe bereits zugestimmt haben, können Sie diese Einwilligung zwar widerrufen, die Daten jedoch nicht löschen. Kill teilt Tech mit, dass rund 80 % der 23andMe-Kunden – etwa 12 Millionen Menschen – der Teilnahme an seinem Forschungsprogramm zustimmen.