Kalifornien verklagt 23andMe nach Datenleck mit genetischen Daten von 7 Millionen Nutzern

Kalifornien verklagt 23andMe nach Datenleck mit genetischen Daten von 7 Millionen Nutzern

Der kalifornische Generalstaatsanwalt hat Klage gegen das DNA-Testunternehmen 23andMe, das jetzt als Chrome Holding Co. firmiert, eingereicht – wegen des Umgangs mit einem Datenleck aus dem Jahr 2023, bei dem die genetischen und Abstammungsdaten von fast 7 Millionen Nutzern offengelegt wurden. Die Klage stützt sich auf zwei Kernvorwürfe: dass 23andMe es versäumt hat, einige der sensibelsten personenbezogenen Daten, die es gibt, angemessen zu schützen, und dass das Unternehmen die Kunden über die tatsächliche Schwere des Vorfalls getäuscht hat. Für alle, die sich mit dem Datenschutz bei genetischen Datenlecks befassen, ist dieser Fall eine deutliche Mahnung, dass kein Datenschutztool und kein Nutzerverhalten dieses Ergebnis hätte verhindern können.

Was die kalifornische Klage gegen 23andMe tatsächlich vorbringt

Die Klage des kalifornischen Generalstaatsanwalts konzentriert sich auf den Vorwurf, 23andMe habe es versäumt, angemessene Sicherheitsmaßnahmen für Daten zu implementieren, die DNA-Profile und Informationen zu gesundheitlichen Prädispositionen umfassen. Als der Vorfall erstmals bekannt wurde, wiesen Kritiker darauf hin, dass die öffentliche Kommunikation des Unternehmens den Umfang des kompromittierten Materials verharmlost habe. Die Klage formalisiert diese Bedenken und führt an, die Verbraucher seien über die Schwere des Datenlecks getäuscht worden.

Rechtlich bedeutsam ist dieser Fall, weil genetische Daten nach kalifornischem Recht eine besondere Kategorie darstellen. Anders als eine durchgesickerte E-Mail-Adresse oder gar eine Kreditkartennummer können DNA-Daten nicht geändert werden. Sie sind direkt mit gesundheitlichen Anfälligkeiten, familiären Beziehungen und der Abstammung verknüpft – und dies dauerhaft. Der Bundesstaat argumentiert, dass 23andMe sowohl rechtlich als auch ethisch verpflichtet gewesen sei, mit diesen Daten weitaus sorgfältiger umzugehen, als es tatsächlich geschehen ist.

Warum genetische und Gesundheitsdaten eine andere Risikokategorie darstellen

Die meisten Datenpannen verursachen ernsten Schaden, doch Lecks genetischer Daten haben Folgen, die weit über die Einzelperson hinausgehen. Ihre DNA enthält Informationen über Ihre Verwandten, einschließlich Personen, die niemals der Weitergabe an Dritte zugestimmt haben. Sie kann Anfälligkeiten für Krankheiten, ethnische Herkunft und biologische Familienverbindungen preisgeben – Details, die von Versicherungen, Arbeitgebern oder Kriminellen noch Jahre oder Jahrzehnte nach einem Datenschutzvorfall ausgenutzt werden können.

Genau das unterscheidet genetische Daten von den Zugangsdaten und Verhaltensprofilen, die bei den meisten Unternehmensdatenlecks offengelegt werden. Für Ihr Genom gibt es kein Passwort-Reset. Diese Tatsache legt eine enorme Verantwortung auf Unternehmen, die diese Art von Informationen sammeln und speichern, und genau das ist das Argument, das Kalifornien vor Gericht vorbringt.

Die Situation spiegelt breitere Bedenken darüber wider, wie große Unternehmen mit sensiblen Nutzerdaten umgehen, ohne einer nennenswerten Rechenschaftspflicht zu unterliegen. Wie in der Berichterstattung über die Klage des texanischen Generalstaatsanwalts gegen Netflix wegen heimlicher Sammlung von Nutzerdaten dargelegt, sind die Generalstaatsanwälte im ganzen Land zunehmend bereit, gegen Tech- und Verbraucherunternehmen vorzugehen, die die von ihnen gesammelten personenbezogenen Daten missbrauchen oder nicht schützen.

Was ein VPN nach einem Unternehmensdatenleck tun kann – und was nicht

Dieser Fall verdient eine ehrliche Einordnung für datenschutzbewusste Leser. Ein VPN ist ein wertvolles Werkzeug, um Ihren Internetverkehr zu verschlüsseln, Ihre IP-Adresse vor Websites und Werbetreibenden zu verbergen und Ihre Aktivitäten in öffentlichen Netzwerken zu schützen. Das sind echte und bedeutsame Vorteile.

Doch der Vorfall bei 23andMe war kein Fall, bei dem jemand Daten während der Übertragung abgefangen hätte. Es handelte sich um ein Versagen innerhalb der unternehmenseigenen Systeme, bei dem Daten betroffen waren, die Nutzer bereits Jahre zuvor eingereicht hatten. Ein VPN, das zum Zeitpunkt des Lecks auf Ihrem Gerät lief, hätte nichts dazu beigetragen, die in der Datenbank von 23andMe gespeicherten DNA-Profile zu schützen.

Diese Unterscheidung ist wichtig, weil Verbraucher mitunter zu der Annahme verleitet werden, Datenschutztools wie VPNs würden einen umfassenden Schutzschild um ihr digitales Leben legen. Das tun sie nicht. Sobald Sie Daten an einen Dritten weitergeben, hängt Ihr Schutz vollständig von den Sicherheitspraktiken dieses Unternehmens, seinen rechtlichen Verpflichtungen und seiner Bereitschaft zur Transparenz ab, wenn etwas schiefgeht. Die Klage gegen 23andMe deutet darauf hin, dass mindestens eine dieser Schutzvorkehrungen mehrfach versagt hat.

Praktische Schritte, um Ihre Gefährdung über ein VPN hinaus zu begrenzen

Die Grenzen jedes einzelnen Datenschutztools zu verstehen, ist der erste und wichtigste Schritt. Darauf aufbauend können einige konkrete Gewohnheiten Ihr Risiko bei Unternehmen, die sensible Daten speichern, deutlich verringern.

Seien Sie wählerisch bei dem, was Sie teilen. Gentest-Dienste sind Verbraucherprodukte mit echten datenschutzrelevanten Nachteilen. Bevor Sie eine DNA-Probe einsenden, prüfen Sie die Richtlinien des Unternehmens zur Datenspeicherung, die bisherige Praxis bei Datenanfragen von Strafverfolgungsbehörden und was mit Ihren Daten geschieht, wenn das Unternehmen übernommen wird oder insolvent geht. Die Insolvenzverfahren von 23andMe haben bereits separate Bedenken darüber aufgeworfen, was mit der Datenbank geschieht.

Prüfen und nutzen Sie Löschoptionen. Viele Gentest-Unternehmen bieten die Möglichkeit, Ihre gespeicherten DNA-Daten und Kontoinformationen zu löschen. Wenn Sie einen Dienst genutzt haben und nicht mehr möchten, dass Ihre Daten vorgehalten werden, machen Sie von diesem Recht Gebrauch. Nicht alle Unternehmen machen dies einfach, aber oft ist es verfügbar.

Lesen Sie Benachrichtigungen über Datenpannen sorgfältig. Unternehmen sind gesetzlich verpflichtet, Sie über relevante Vorfälle zu informieren, doch wie die kalifornische Klage zeigt, kann die Darstellung in diesen Benachrichtigungen das tatsächliche Ausmaß des Schadens herunterspielen. Wenn Sie eine Datenleck-Benachrichtigung erhalten, nehmen Sie diese unabhängig vom Wortlaut ernst und ziehen Sie unabhängige Berichterstattung für ein vollständigeres Bild hinzu.

Verstehen Sie, was die Einwilligung tatsächlich abdeckt. Die Anmeldung zu einem Dienst bedeutet die Zustimmung zu dessen Datenschutzrichtlinie, doch diese Richtlinien enthalten oft weit gefasste Formulierungen zur Datenweitergabe an Dritte. Genetische Daten, Gesundheitsakten und biometrische Informationen verdienen besondere Überprüfung, bevor Sie auf „Akzeptieren“ klicken.

Was das für Sie bedeutet

Die Klage des kalifornischen Generalstaatsanwalts gegen 23andMe ist nicht nur eine regulatorische Maßnahme gegen ein einzelnes Unternehmen. Sie ist ein Signal, dass die Durchsetzung des Datenschutzes bei genetischen Datenlecks auf Bundesstaatenebene aggressiver wird und dass die Offenlegung von DNA- und Gesundheitsdaten zunehmend rechtliche Konsequenzen nach sich zieht, die ein Unternehmen nicht einfach als Geschäftskosten verbuchen kann.

Für Verbraucher ist die Erkenntnis zugleich ermutigend und ernüchternd. Sie können bessere Entscheidungen darüber treffen, welchen Unternehmen Sie Ihre sensibelsten Daten anvertrauen. Sie können Löschung verlangen, das Kleingedruckte lesen und sich informieren, wenn Unternehmen, denen Sie vertraut haben, ins Visier geraten. Was Sie nicht können, ist, sich auf ein einzelnes Tool – einschließlich eines VPN – zu verlassen, um Daten zu schützen, die sich bereits in den Systemen Dritter befinden.

Um zu verstehen, wie sich dieses Muster in anderen Branchen niederschlägt, bietet die Berichterstattung über die Klage des texanischen Generalstaatsanwalts gegen Netflix eine hilfreiche Parallele: Der Missbrauch von Unternehmensdaten findet auf einer Ebene statt, die mit persönlichen Datenschutztools überhaupt nicht adressiert werden kann. Sich über solche Fälle auf dem Laufenden zu halten, ist eines der praktischsten Dinge, die Sie tun können.