Nach der Ankündigung des US-amerikanischen Gentest-Unternehmens 23andMe, Insolvenz nach Chapter 11 angemeldet zu haben, stellen sich viele Kundinnen und Kunden die Frage: Was passiert mit meinen sensiblen genetischen Daten?
Das Unternehmen erklärte am Sonntag in einer Pressemitteilung, dass der Betrieb während des gerichtlich überwachten Umstrukturierungs- und Verkaufsprozesses normal weiterlaufen solle. Auch an der Speicherung, Verwaltung und dem Schutz der Kundendaten werde sich nichts ändern.
In einem offenen Brief an seine Nutzer betonte das Unternehmen:
„Wir bleiben dem Datenschutz unserer Nutzer verpflichtet und wollen transparent darüber informieren, wie mit ihren Daten umgegangen wird.“
Ein eventueller Käufer von 23andMe müsse sich an geltende Datenschutzgesetze halten.
Sorge um Datenschutz nach Hackerangriff und Insolvenz
Schon seit einem massiven Datenleck im Jahr 2023, bei dem die Daten von etwa 7 Millionen Nutzer:innen gehackt wurden, sieht sich 23andMe einer Welle von Klagen gegenüber. Nun wächst die Sorge, dass im Zuge der Insolvenz hochsensible Informationen – darunter genetische Daten, Gesundheitsinformationen und familiäre Stammbäume – an Dritte verkauft werden könnten.
In einem Artikel im New England Journal of Medicine warnten drei US-Rechtswissenschaftler kürzlich vor einer „strukturellen Lücke im Rechtssystem“, das stark auf Datenschutzrichtlinien vertraue, gleichzeitig aber personenbezogene Daten als handelbare Vermögenswerte behandle.
„Im Falle einer Insolvenz könnten die Daten meistbietend verkauft werden – an ein Nachfolgeunternehmen, dem die Nutzer ihr Erbgut vielleicht nicht anvertrauen würden“, schreiben die Autoren.
Gesetzliche Schutzlücken
Anders als medizinische Einrichtungen unterliegen kommerzielle Gendatenbanken wie 23andMe nicht dem US-Gesundheitsdatenschutzgesetz HIPAA. Rechtlich gesehen gelten Nutzer als „Verbraucher“ – nicht als „Patienten“. Die Folge: Der Schutz ihrer Daten ist lückenhaft.
Zwar schützt das US-amerikanische „Genetic Information Nondiscrimination Act“ vor Diskriminierung durch Arbeitgeber und Krankenversicherungen – nicht aber vor kommerzieller Nutzung durch private Unternehmen.
Im Gegensatz zur EU, die mit der Datenschutzgrundverordnung (DSGVO) seit 2018 ein umfassendes Regelwerk hat, fehlt in den USA bislang ein vergleichbares, landesweit geltendes Datenschutzgesetz. Nur einzelne Bundesstaaten wie Kalifornien und Illinois haben strengere Vorgaben – mit begrenztem Geltungsbereich.
Datenlöschung möglich – aber nur teilweise
Kaliforniens Generalstaatsanwalt Rob Bonta wies in einer Verbraucherwarnung auf das Recht hin, die eigenen genetischen Daten löschen zu lassen. Angesichts der finanziellen Notlage von 23andMe sollten Kund:innen davon aktiv Gebrauch machen, so Bonta.
Laut Unternehmenswebseite können Nutzer in ihren Kontoeinstellungen die Löschung ihrer Daten beantragen. Nach der Bestätigung würden die Daten entfernt – allerdings nicht vollständig.
Denn wie das Unternehmen in seiner Datenschutzrichtlinie erklärt, müssen bestimmte Informationen wie genetische Rohdaten, Geburtsdatum und Geschlecht aus gesetzlichen Gründen gespeichert bleiben – auch nach Schließung des Accounts.
Kritik an unklarer Zukunft der Daten
Technologiejournalist Jason Koebler kommentierte den Fall deutlich:
„Wenn man seine DNA einem gewinnorientierten Unternehmen anvertraut, hat man keine Kontrolle mehr darüber, was mit diesen Daten geschieht – wie sie analysiert, verkauft oder gehackt werden könnten.“
Trotz der Kritik zeigte sich der Vorsitzende des Verwaltungsrats von 23andMe, Mark Jensen, zuversichtlich:
„Wir glauben an den Wert unserer Mitarbeiter und unserer Mission. Unser Ziel ist es, einen Käufer zu finden, der den Schutz der Kundendaten respektiert und unsere Vision fortführt, Menschen den Zugang zum menschlichen Genom zu ermöglichen.“
Kommentar hinterlassen