Warum verklagen die 27 Bundesstaaten 23andMe?

Sie versuchen, das bankrotte Unternehmen daran zu hindern, genetische Kundendaten zu verkaufen, und werfen 23andMe vor, die Daten nicht ausreichend geschützt und Verbraucher über die Schwere des Datenschutzverstoßes von 2023 getäuscht zu haben.

Wie viele Menschen waren von dem Datenschutzverstoß 2023 betroffen?

Laut Klage wurden durch den Verstoß sensible Gesundheitsdaten von fast 7 Millionen Menschen offengelegt.

Können die genetischen Daten von 23andMe an einen neuen Eigentümer verkauft werden?

Die Klage argumentiert, dass die Daten in der Insolvenz an einen Käufer übertragen werden könnten, der nicht an die ursprünglichen Einwilligungsbedingungen gebunden ist. Einige Bundesstaaten wie Florida verbieten solche Verkäufe ohne ausdrückliche Zustimmung, aber nicht alle Bundesstaaten haben diesen Schutz.

Warum können Tools wie VPNs genetische Daten nicht schützen?

VPNs und Verschlüsselung schützen Daten während der Übertragung, aber genetische Daten werden anhand einer physischen Speichelprobe gesammelt und auf den Servern des Unternehmens gespeichert. Ab diesem Punkt greift kein netzwerkbasiertes Tool, und die Privatsphäre hängt allein von der Sicherheit und den rechtlichen Schutzmaßnahmen des Unternehmens ab.

Wie hat 23andMe die Kunden nach dem Datenschutzverstoß angeblich in die Irre geführt?

Die Koalition behauptet, 23andMe habe das Ausmaß des Vorfalls heruntergespielt, sodass Kunden nicht erkannten, wie schwerwiegend er war, und möglicherweise davon abgehalten wurden, Maßnahmen zum Selbstschutz oder zur Datenlöschung zu ergreifen.

27 Bundesstaaten verklagen 23andMe, um den Verkauf genetischer Daten nach dem Datenschutzverstoß von 2023 zu blockieren

27 Bundesstaaten und der District of Columbia haben eine Klage gegen 23andMe eingereicht, um das bankrotte DNA-Testunternehmen daran zu hindern, die genetischen Daten seiner Kunden zu verkaufen. Die vor einem Insolvenzgericht eingereichte Klage dreht sich um einen Datenschutzverstoß aus dem Jahr 2023, bei dem sensible Gesundheitsdaten von fast 7 Millionen Menschen offengelegt wurden, und argumentiert, dass 23andMe die Verbraucher über die Schwere dieses Vorfalls getäuscht hat. Auf dem Spiel stehen die genetischen Daten von schätzungsweise 15 Millionen Kunden, die niemals eingewilligt haben, ihre intimsten biologischen Informationen an den Meistbietenden versteigern zu lassen.

Dieser Fall ist nicht nur eine Geschichte über unternehmerische Fahrlässigkeit. Er wirft eine härtere, unbequemere Frage für datenschutzbewusste Verbraucher auf: Was passiert, wenn das Datenschutzrisiko nicht ein Passwort, eine IP-Adresse oder eine E-Mail ist, sondern die eigene DNA?

Was die Klage tatsächlich behauptet

Die Koalition der Generalstaatsanwälte argumentiert an zwei Hauptfronten. Erstens, dass 23andMe die Nutzerdaten vor und während des Datenschutzverstoßes von 2023 nicht ausreichend geschützt hat, wodurch Millionen von Kunden Schäden ausgesetzt waren, die sie in keiner Weise vorhersehen konnten. Zweitens, dass das Unternehmen das Ausmaß des Vorfalls heruntergespielt und Kunden in die Irre geführt hat, die andernfalls möglicherweise Schritte unternommen hätten, um sich zu schützen oder die Löschung ihrer Daten zu beantragen.

Nachdem 23andMe Insolvenz angemeldet hat, besteht nun die Sorge, dass genetische Daten, die unter einer Reihe von Versprechen gesammelt wurden, an einen neuen Eigentümer übertragen werden könnten, der nach völlig anderen Richtlinien handelt. Kunden, die ursprünglich der Weitergabe ihrer DNA für Ahnenforschung oder Gesundheitseinblicke zugestimmt haben, könnten feststellen, dass diese Daten von einem unbekannten Dritten übernommen werden, der nicht verpflichtet ist, die ursprünglichen Nutzungsbedingungen einzuhalten.

Mehrere Bundesstaaten haben bereits Gesetze, die genau dieses Szenario adressieren. Florida beispielsweise verbietet den Verkauf genetischer Daten ohne ausdrückliche Zustimmung der Kunden, untermauert durch strafrechtliche Sanktionen und Geldstrafen. Aber nicht jeder Bundesstaat hat solche Schutzmaßnahmen, weshalb eine koordinierte Klage mehrerer Bundesstaaten notwendig wurde.

Warum Ihre Datenschutz-Tools genetische Daten nicht schützen können

Das ist der Teil der Geschichte, den die meisten Berichte über digitalen Datenschutz überspringen. VPNs, verschlüsselte Messenger-Apps, private Browser und ähnliche Werkzeuge schützen effektiv eine Kategorie von Daten: Informationen, die Sie digital übertragen oder erzeugen. Sie können Ihre IP-Adresse, Ihren Browserverlauf und Ihre Kommunikation vor dem Abfangen schützen.

Aber sie können nichts gegen Daten ausrichten, die Sie bereits in physischer Form freiwillig herausgegeben haben. Wenn Sie eine Speichelprobe an ein DNA-Testunternehmen schicken, greift keinerlei netzwerkbasierter Datenschutz. Die Daten werden gesammelt, verarbeitet und auf den Servern des Unternehmens gespeichert. Von diesem Zeitpunkt an hängt Ihre Privatsphäre vollständig von den Sicherheitspraktiken des Unternehmens, seinen vertraglichen Verpflichtungen und den rechtlichen Schutzmaßnahmen in Ihrem Rechtsraum ab.

Diese Unterscheidung ist wichtig, weil sie die Art des Risikos verändert. Bei den meisten Bedrohungen der digitalen Privatsphäre haben die Nutzer fortlaufende Handlungsfähigkeit. Sie können einen Dienst nicht mehr nutzen, Ihre Daten löschen oder zu einer privateren Alternative wechseln. Bei genetischen Daten sind die Informationen unveränderlich. Ihre DNA kann nicht geändert, zurückgesetzt oder widerrufen werden. Wenn sie einmal kompromittiert oder verkauft wurde, ist die Preisgabe dauerhaft.

Was das für Sie bedeutet

Wenn Sie Kunde von 23andMe sind, bedeutet die Klage, dass es derzeit eine aktive rechtliche Anstrengung gibt, um zu verhindern, dass Ihre Daten ohne Ihre Zustimmung verkauft werden. Allerdings brauchen Gerichtsverfahren Zeit, und die Ergebnisse sind vor einem Insolvenzgericht nie garantiert, wo die Interessen der Gläubiger oft direkt mit dem Verbraucherschutz konkurrieren.

Es gibt konkrete Schritte, die jetzt sinnvoll sind. Überprüfen Sie zunächst, ob Sie bereits einen Antrag auf Datenlöschung bei 23andMe gestellt haben. Das Unternehmen hat diese Möglichkeit in der Vergangenheit angeboten, und obwohl das Insolvenzverfahren die Dinge verkompliziert, schafft ein formeller Löschantrag eine dokumentierte Aufzeichnung Ihrer Absicht. Zweitens: Prüfen Sie alle Einwilligungsvereinbarungen, die Sie bei der Kontoerstellung unterzeichnet haben, denn diese Dokumente können Ihre Rechte bei einer Unternehmensübertragung umreißen.

Über 23andMe hinaus ist dieser Fall ein nützlicher Anstoß, um grundsätzlicher über genetische Privatsphäre nachzudenken. Jeder Dienst, der biometrische oder biologische Daten sammelt – sei es für Gesundheits-, Fitness-, Abstammungs- oder Forschungszwecke –, besitzt Informationen, die außerhalb der Reichweite herkömmlicher Datenschutz-Tools liegen. Der rechtliche Rahmen zum Schutz dieser Daten variiert erheblich von Bundesstaat zu Bundesstaat und hinkt der Technologie noch hinterher.

Für alle, die sich dafür interessieren, wie sich die übergreifende Datenschutzgesetzgebung in den Vereinigten Staaten entwickelt, bietet der Lofgren-Tillis-Gesetz ein nützliches Fenster dazu, wie Gesetzgeber über digitale Datenrechte und die Grenzen bestehender Schutzmaßnahmen denken.

Das größere Bild zum Risiko durch Datenhändler

Die Situation um 23andMe ist auch eine Erinnerung daran, wie Ökosysteme von Datenhändlern funktionieren. Selbst Daten, die für einen harmlosen Zweck gesammelt wurden, können in die Hände von Parteien gelangen, deren Absichten und Praktiken dem ursprünglichen Verbraucher völlig unbekannt sind. Insolvenzverkäufe sind ein Weg, auf dem dies geschehen kann. Unternehmensübernahmen, Datenlizenzvereinbarungen und Sicherheitsverletzungen sind andere.

Genetische Daten gehören zu den sensibelsten Kategorien persönlicher Informationen, die es gibt. Sie können Veranlagungen für Krankheiten, familiäre Beziehungen und ethnische Herkunft offenbaren. In den falschen Händen könnten sie von Versicherern, Arbeitgebern oder Strafverfolgungsbehörden auf Weisen genutzt werden, die Verbraucher niemals erwartet oder denen sie zugestimmt haben.

Die Klage mehrerer Bundesstaaten gegen 23andMe ist ein bedeutender Moment für die Rechte auf genetische Privatsphäre in den Vereinigten Staaten. Ob es gelingt, den Verkauf zu blockieren, hat sie bereits gezeigt, dass die Generalstaatsanwälte der Bundesstaaten bereit sind, bei Verbraucherdatenthemen aggressiv zu koordinieren, und dass genetische Daten zunehmend als eine Kategorie behandelt werden, die einen erhöhten rechtlichen Schutz verdient.

Wenn Sie genetische Daten bei einem Testunternehmen gespeichert haben, ist jetzt der richtige Zeitpunkt, Ihre Kontoeinstellungen zu überprüfen, Ihre Löschrechte zu verstehen und sorgfältig nachzudenken, bevor Sie in Zukunft biologische Daten an einen Dienst übermitteln. Kein VPN kann Ihre DNA schützen, aber informierte Entscheidungen, bevor Sie Daten teilen, sind das mächtigste verfügbare Datenschutzwerkzeug.