Genetik-Datenleak in den USA: Die Geschichte eines digitalen Super-GAUs und seiner Folgen

Chenedy Wiles ist Afroamerikanerin. Seit einiger Zeit trieb sie die Frage um, woher ihre Vorfahren stammen. Im Internet suchte die 27-jährige Pflegerin aus Chicago nach Ahnenforschungsportalen und stieß dabei auf das Angebot von 23andMe. Das US-Start-up bietet Gentests für Herkunfts- und Gesundheitsanalysen an. „Finden Sie heraus, was Ihre DNA über Sie und Ihre Familie aussagt“, wirbt das Unternehmen auf seiner Webseite.

Wiles war überzeugt und bestellte im vergangenen Jahr ein Testkit. Zu Hause spuckte sie in ein Röhrchen und schickte die Speichelprobe ein. „Einer der Gründe, weshalb ich mich entschieden habe, den Test durchzuführen, ist, dass es als Afroamerikaner sehr oft vorkommt, dass unser Erbe verloren geht“, erzählte sie dem US-Radiosender NPR.

Ein paar Wochen später lag der Befund im Briefkasten. Ergebnis: Sie ist knapp 40 Prozent nigerianischer Abstammung. Das sei „aufregend und cool zu sehen gewesen“, berichtete Wiles, „weil ich immer gedacht habe, dass ich Cousins aus Westafrika habe“. Doch nun ist das Start-up pleite – 23andMe hat vor wenigen Tagen Insolvenz angemeldet.

15 Millionen Kunden, die wie Wiles einen DNA-Test gemacht haben, fragen sich: Was passiert mit meinen Daten? Laut Medienberichten sollen die Gendaten, die zur Insolvenzmasse gehören, verkauft werden – ein Insolvenzrichter erteilte die Erlaubnis für die Veräußerung des wertvollsten „Assets“ der Firma.

Während sich Datenbroker und Krankenversicherungen die Hände reiben, schrillen bei Datenschützern und Kunden die Alarmglocken. Die Server von 23andMe brachen nach der Insolvenzmitteilung zusammen, weil Nutzer massenhaft auf die Seite zugriffen und ihr Profil löschen wollten.

Selbst das Pentagon warnte seine Belegschaft

Nun ist genau das eingetreten, wovor Daten- und Medizinethiker immer gewarnt hatten: der digitale Super-GAU. Wie konnte es dazu kommen?

23andMe galt als der neue Star am Biotech-Himmel. Die Gründerin Anne Wojcicki, die Schwester der im vergangenen Jahr verstorbenen Youtube-Chefin Susan Wojcicki und Ex-Frau von Google-Gründer Sergey Brin, träumte von einem Google für Genetik, das mithilfe von Big-Data-Analysen das menschliche Genom entschlüsselt. Sie sprach auf Podien, gab Interviews in großen Zeitungen und wurde von Investoren hofiert.

23andMe sammelte Geld von namhaften Wagniskapitalgebern, auch Google investierte in das Start-up. Gemeinsam mit einer Reihe weiterer Genealogie-Plattformen mischte 23andMe in einem riesigen Wachstumsmarkt mit und ging sogar eine Kooperation mit dem Zimmervermittler Airbnb ein, um Ahnenforschungsreisen („Heritage Travel“) zu organisieren.

2018 stieg der Pharmariese GlaxoSmithKline mit 300 Millionen Dollar ein, 2021 folgte der Börsengang. Mit den Gendaten sollten neuartige Medikamente entwickelt werden. Ein Milliardengeschäft lockte.

Datenschützer warnten jedoch vor den Risiken solcher DNA-Tests – unter anderem, weil Ermittler auf die Datenbanken zugriffen und im Rahmen ihrer computerisierten Rasterfahndung auch Verwandte in Sippenhaft nahmen.

IT-Experten äußerten Bedenken an der Datensicherheit: Wenn Gendaten in die falschen Hände gelangen, könnte damit Versicherungsbetrug begangen werden. Selbst das Pentagon warnte seine Leute, aus Sicherheitsgründen auf DNA-Tests zu verzichten.

Sammelklage der Nutzer

Im Oktober 2023 kam es dann, wie es kommen musste: Die Datenbank wurde gehackt. Cyberkriminelle erbeuteten Daten von fast sieben Millionen Kunden. Die Datensätze landeten wenig später im Darknet. Die betroffenen Nutzer schlossen sich zu einer Sammelklage zusammen, das Start-up einigte sich mit den Klägern in einem Vergleich auf eine Zahlung von 30 Millionen Dollar.

Die Folge: Die Anleger wurden nervös, der Aktienkurs brach ein. 23andMe verkam zum Pennystock. Gründerin Wojcicki wollte das Unternehmen schon im vergangenen Jahr von der Börse nehmen. Die interne Arzneimittelforschung wurde aufgelöst, der gesamte Vorstand trat geschlossen zurück.

Es ist die Geschichte eines Niedergangs einer Firma, die glaubte, die großen Rätsel der Menschheit „lösen“ zu können: Herkunftsfragen, Erbkrankheiten, dunkle Familiengeheimnisse. Und scheiterte.

Die Implosion einer Gen­datenbank wird nun zum Testfall für die digitale Privatsphäre: Wie können sich Menschen, die ein Risiko für Erbkrankheiten haben, vor Diskriminierung schützen?

Müsste man DNA analog zu Blut, Sperma oder Eizellen, die im (deutschen) Zivilrecht als abgetrennte Körperteile, als bewegliche und eigentumsfähige Sachen gelten, behandeln und so etwas wie ein Recht am eigenen Datenkörper begründen? Braucht es eine Treuhandverwaltung oder gar eine Bad-Bank für Erbinformationen?

EU-Datenschutzgrundverordnung ist stumpfes Schwert

Genetische Daten sind nicht einfach ein Vermögenswert wie Immobilien oder Patente, die beim Verkauf einer Firma einfach an den neuen Eigentümer übergehen. Es sind hochsensible Informationen, die auch die persönliche Integrität von Verwandten betreffen – und bei einer Weitergabe deren Zustimmung bedürften.

Im Genom sind auch Informationen über die Ethnie codiert, was das Risiko genetischer Diskriminierung erhöht. Datenbroker lauern nur auf Kaufgelegenheiten von Datensätzen, um daraus Risikoprofile für Krankheitsbilder zu erstellen und diese Erkenntnisse an Versicherungen zu verkaufen – in den USA ein übliches Geschäft.

Wer eine genetische Disposition für Neurodermitis oder Brustkrebs hat, zahlt drauf – oder wird im schlimmsten Fall erst gar nicht versichert. Zwar gibt es in den USA seit vergangenem Jahr ein Gesetz, das den undurchsichtigen Markt der Datenbroker reguliert. Doch wohin Daten bei Firmenpleiten abfließen, ist unklar.

So bleibt auch das Recht auf Löschung personenbezogener Daten, das neben der EU-Datenschutzgrundverordnung auch in einigen US-Bundesstaaten (etwa im California Consumer Privacy Act) verankert ist, ein stumpfes Schwert.

Der Rechtsprofessor Daniel J. Solove argumentiert, dass die US-Wettbewerbsbehörde FTC den Verkauf von Gendaten als „Unfairness“-Aktion einstufen und verbieten könnte.

Für Hobby-Ahnenforscher wie Chenedy Wiles dürfte dies zu spät kommen. Der menschliche Wunsch, Herkunftsfragen und Krankheiten zu „lösen“, könnte am Ende in sozialdarwinistischer Auslese münden.