23andMe behält genetische Daten auch nach Löschung des Accounts

Das US-amerikanische Genanalyse-Startup 23andMe fiel in letzter Zeit durch eine Reihe von Problemen auf. Im vergangenen Jahr haben Cyberkriminelle nach einer sogenannten Credential Stuffing Attacke die Daten von knapp sieben Millionen Nutzern erbeutet und im Darknet zum Verkauf angeboten. Erst kürzlich endete eine Sammelklage der Opfer in einem Vergleich, die betroffenen Kunden sollten mit insgesamt 30 Millionen Dollar entschädigt werden. Mehr sei nicht drin, lautete sinngemäß die Begründung des Unternehmens.

In der Folge verlor das Start-up stark an Wert. Im September trennte sich das Unternehmen von allen Vorstandsmitgliedern mit Ausnahme von CEO Anne Wojcicki, die verlauten ließ, an ihren Plänen, 23andMe von der Börse zu nehmen, festhalten zu wollen.

Es gibt also gute Gründe, warum Nutzer und Nutzerinnen ihre sensiblen genetischen Daten gerne aus den Händen des Unternehmens entfernt wissen wollen. Es stellt sich jedoch heraus, dass das gar nicht so einfach ist.

Daten werden nicht aus Studien entfernt

Man kann zwar den Account löschen und eine Löschung der genetischen Daten beantragen. 23andMe will einige genetische Daten, zusammen mit dem Geburtsdatum und Geschlecht der Nutzer laut Malwarebytes jedoch weiterhin speichern, laut der Datenschutzrichtlinie des Unternehmens, um rechtlichen Verpflichtungen nachzukommen. Sonstige Informationen, die Nutzer 23andMe zur Verfügung gestellt hätten, würden nicht aus laufenden oder abgeschlossenen Studien entfernt, wenngleich sie nicht für zukünftige Forschungsarbeiten verwendet würden.

Das betrifft etwa 80 Prozent aller Nutzer. Sie hatten der Verwendung ihrer genetischen Daten zu Forschungszwecken nach Angaben des Start-ups zugestimmt. Gegenüber der New York Times sagte Mark Gerstein, Bioinformatiker an der US-amerikanischen Yale University, dass es vielen Menschen nicht bewusst sei, wie umfangreich die genetischen Informationen einer Person seien. Andere Daten, die in die falschen Hände gerieten, etwa Kreditkartendaten, könne man zur Not neu beantragen und ändern, das eigene Genom jedoch nicht. Eine der größten Gefahren sei, dass man aus dem Material auf medizinische Risiken, etwa die Anfälligkeit für psychische oder körperliche Erkrankungen schließen könne. Die Digital Rights Aktivisten der Electronic Frontier Foundation (EFF) haben in einem Blogpost zusammengefasst, wie Nutzer ihre Daten, soweit es eben geht, schützen können.

In Deutschland dürften davon, wenn überhaupt, ohnehin nur sehr wenige Menschen betroffen sein. Das Start-up bietet seine Dienste hierzulande gar nicht an. Kommerzielle Gentests, wie 23andMe sie durchführt, bewegen sich in einer rechtlichen Grauzone. Laut Gendiagnostikgesetz dürfen genetische Untersuchungen zu medizinischen Zwecken nur unter ärztlicher Aufsicht durchgeführt werden.

(kst)