Datenschutz-Vorwürfe an Gentest-Firma in den USA
Einseitig Datenschutzregeln zu ändern, ist laut FTC illegal. Dem DNS-Tester 1Health.io kreidet die FTC noch ganz andere Dinge an. Die Firma wähnt sich verfolgt.
Symbolbild
(Bild: gopixa/Shutterstock.com)
Schwere Vorwürfe gegen einen Anbieter von Erbgut-Analysen erhebt die US-Handelsaufsicht FTC (Federal Trade Commission). Das Unternehmen 1Health.io (Vitagene) soll seine eigenen vertraglichen Verpflichtungen hinsichtlich Datensicherheit und Datenschutz nicht eingehalten haben. Sensible Gesundheitsdaten wurden öffentlich zugänglich in Cloudspeichern abgelegt und trotz mehrfacher Hinweise nicht gesichert. Und dann änderte die Firma ihre Datenschutzrichtlinien, um sensible Kundendaten an Supermärkte verkaufen zu können – ohne die Betroffenen zu informieren.
Seit 2015 hat Vitagene "DNA Health Test Kits" an Verbraucher verkauft. Die Kunden schickten eine Speichelprobe und einen ausgefüllten Fragebogen mit Gesundheitsinformationen zurück. Daraus erstellt das heute als 1Health.io agierende Unternehmen personalisierte "Health Reports" und eine Einschätzung der Abstammung. Die Preispalette reicht von 29 bis 259 Dollar, wobei Zusatzleistungen wie personalisierte Vitaminkombinationen oder Ernährungscoaching enthalten sein können.
Den Kunden versprach 1Health "bombensicheren" Datenschutz, über das branchenübliche Niveau hinaus. Zudem werde das Labor die Speichelproben vernichten – tatsächlich soll das Unternehmen gar nicht überprüft haben, ob das Labor da auch wirklich plant. Gespeicherte Gendaten würden nicht mit dem Namen des Kunden in Verbindung gebracht, hieß es – tatsächlich sollen sie mit den jeweiligen Vornamen gespeichert worden sein.
Schließlich sollten die Kunden ihre Daten auch jederzeit löschen lassen können. Weil die Firma aber kein Dateninventar geführt habe, sei es ihr gar nicht möglich gewesen, entsprechende Löschaufträge gründlich abzuarbeiten.
Verkauf von Daten an Supermärkte geplant
2016 landeten sensible Daten wie Gesundheitsberichte, Genvarianten und andere Gendaten bei Amazons AWS S3 – in einem öffentlich zugänglichen AWS-Speicher, unverschlüsselt, und ohne Überwachung oder Protokollierung von Zugriffen. Enthalten waren Gesundheitsberichte von mindestens 2.383 Kunden sowie Gendaten von mindestens 227 Kunden. Den Warnhinweis seitens AWS im Juli 2017 soll 1Health.io ebenso ignoriert haben, wie das Ergebnis eines Penetrationstests im November 2018, bei dem der ungeschützte Online-Speicher entdeckt wurde.
Selbst als eine externer Sicherheitsforscher im Juni 2019 Alarm schlug, soll 1Health.io das Problem nicht bereinigt haben. Erst als dieser Forscher an die Öffentlichkeit ging, nahm sich die Firma der Sache an. Mangels Monitoring des Speichers ist nicht feststellbar, ob oder von wo Unbefugte auf die Daten zugegriffen haben.
2020 hat 1Health.io dann noch eins draufgesetzt: Die Firma änderte einseitig ihre Datenschutzbestimmungen – ohne die Betroffen zu informieren. Die Gentest-Firma nahm sich damit heraus, die Kundendaten an Supermärkte, Hersteller von Nahrungsergänzungsmitteln und andere Dritte zu verkaufen. Zwar sah die ursprüngliche Datenschutzbestimmung einseitige Änderungen vor, doch sind solche Klauseln unter US-Recht illegal, sagt die FTC. Unfaire, einseitige Änderungen stellen demnach unlauteren Wettbewerb dar. Ebenso unlauterer Wettbewerb sei nicht wahrheitsgemäße Anpreisung von Datensicherheitsmaßnahmen.
75.000 Dollar für Rückerstattungen
Die FTC hat 1Health.io vor dem hauseigenen Verwaltungsgericht verklagt und sich auf einen Vergleich verständigt. Dabei bestätigt 1Health.io die Vorwürfe nicht, stellt sie aber auch nicht in Abrede. Der Vergleichsentwurf steht nun für vier Wochen zur öffentlichen Konsultation, danach wird die FTC entscheiden, ob sie den Vergleich so annimmt oder Änderungen verlangt.
1Health.io soll 75.000 US-Dollar zahlen, die die FTC für Rückerstattung an betroffene Verbraucher nutzen möchte. Außerdem muss das Unternehmen zahlreiche Verpflichtungen eingehen: Dazu gehören keine falschen Behauptungen, Datenpreisgabe nur nach ausdrücklicher Zustimmung Betroffener, tatsächliche Zerstörung der Speichelproben, Einrichtung eines Datensicherheitsprogramms samt unabhängiger Prüfungen und regelmäßige Berichte an die FTC.
Das FTC-Verfahren heißt In the Matter of 1Health.io also doing business as Vitagene, Az. 1923170. Die FTC betont, dass dieses Verfahren auch als Warnung an alle anderen US-Unternehmen diene, Datenschutzbestimmungen nicht einseitig zum Nachteil Betroffener zu ändern.
Stellungnahme 1Health.io
Gegenüber heise online gibt 1Health.io an, erst 2019 einen Hinweis auf die frei zugänglichen Kundendaten erhalten zu haben. Die Schuld trage ein Auftragnehmer, der 2016 die Vitagene-Software getestet hat. Dieser habe die Kundendaten bei Amazon S3 hochgeladen, entgegen den Sicherheitsrichtlinien. Es handle sich um 3754 Dateien von weniger als 3.000 Kunden. Beweise für unberechtigte Zugriffe auf die Kundendaten gäbe es keine, wobei die Firma zugibt, dass sie keine Zugriffslogs dafür hat.
Zu den übrigen Vorwürfen äußert sich die Firma nicht im Detail, sagt aber, dass sie "viele der Schlussfolgerungen der FTC nicht teilt". Vielmehr wirft 1Health.io der ermittelnden Behörde "außerordentlichen Missbrauch behördlicher Gewalt" vor: "This is a case of extraordinary government overreach", im Original. Bei zwei anderen US-Laboren habe es 2018 respektive 2019 viel größere Datenschutzverletzungen gegeben.
(ds)