Angesichts wachsender Probleme hat 23andMe – einst Vorreiter im Geschäft mit Gentests – Insolvenzschutz beantragt. Ziel: ein möglicher Verkauf. Doch in einer Zeit eskalierender Datenschutzdebatten wirft dieser Schritt eine zentrale Frage auf: Was passiert mit der DNA von Millionen Menschen?
Am Sonntagabend verkündete das Unternehmen, beim US-Konkursgericht im östlichen Bezirk von Missouri freiwillig ein Verfahren nach Chapter 11 eingeleitet zu haben. Offiziell geht es darum, „einen Verkaufsprozess zur Maximierung des Unternehmenswerts zu erleichtern“. Parallel dazu der Paukenschlag: Anne Wojcicki, Mitgründerin und langjährige CEO, tritt zurück – nur um kurz darauf ein eigenes Übernahmeangebot vorzulegen, das der Vorstand zuvor mehrfach abgelehnt hatte.
Wojcicki, die 23andMe 2006 mit Linda Avey und Paul Cusenza gegründet hatte, wollte das Unternehmen zu einem Pharma-Schwergewicht machen. Doch dieser Traum scheiterte – an der Realität. Die Einnahmen sanken, Kunden kehrten in Scharen dem Unternehmen den Rücken, und viele der insgesamt 15 Millionen Nutzer forderten die Löschung ihrer sensiblen DNA-Daten – spätestens nach einem folgenschweren Datenskandal.
Denn 23andMe hat über die Jahre einen gewaltigen Datenschatz angehäuft – gespeist durch Speichelproben und Ahnentests. Dieser Datenschatz unterliegt allerdings nicht etwa strengen staatlichen Kontrollen, sondern allein den unternehmensinternen Richtlinien. Und die kann 23andMe jederzeit selbst ändern.
Der Super-GAU kam 2023: Eine Sicherheitslücke legte hochsensible Informationen von fast sieben Millionen Nutzern offen – darunter genetische Prädispositionen und familiäre Abstammung. Viele Kunden wähnten ihre Daten unter dem Schutz des HIPAA, des US-Gesetzes zum Schutz medizinischer Informationen. Doch weit gefehlt: 23andMe fällt nicht unter dessen Geltungsbereich – und ist damit rechtlich nur sich selbst Rechenschaft schuldig.
Was folgt, ist ein datenschutzrechtliches Vakuum – ein idealer Nährboden für Missbrauch, insbesondere in einer Phase, in der das Unternehmen zur Disposition steht. Während ein föderaler Datenschutzrahmen in den USA fehlt, liefern sich einzelne Bundesstaaten einen regulatorischen Flickenteppich. Die genetischen Profile von 15 Millionen Menschen könnten zum Spekulationsobjekt werden.
Laut der eigenen Datenschutzrichtlinie darf 23andMe Kundendaten bei Insolvenz, Fusion oder Übernahme „abrufen, verkaufen oder übertragen“. Zwar verspricht das Unternehmen, seine Praktiken beizubehalten und keine Daten ohne Zustimmung an Versicherer oder Behörden weiterzugeben – doch Vertrauen allein reicht Datenschützern nicht. Immerhin zeigt sich 23andMe bislang resistent gegenüber Anfragen von Strafverfolgungsbehörden, wie Transparenzberichte betonen. Aber wie lange noch – und unter welchem Eigentümer?
Denn hier liegt der Knackpunkt: Für potenzielle Käufer dürften genetische Datensätze ein Goldschatz sein – mit hohem kommerziellem Verwertungspotenzial. Und was die derzeitige Unternehmensführung bislang abgelehnt hat, könnte für neue Besitzer zur lukrativen Option werden.
Zwar ist für jede Datenweitergabe theoretisch eine Zustimmung der Nutzer erforderlich – aber die Rechtslage ist kompliziert. In Bundesstaaten wie Montana, Kalifornien, Arizona oder Alabama gelten teils strenge Regelungen, etwa die Pflicht zur expliziten Einwilligung unter Angabe des Käufers. Wyoming geht noch weiter und erlaubt betroffenen Verbrauchern, bei Verstößen direkt zu klagen. Doch flächendeckender Schutz? Fehlanzeige.
Angesichts der ungewissen Lage rufen Datenschützer zur Vorsicht auf – und raten Nutzern dringend, ihre DNA-Daten zu sichern oder zu löschen, bevor es zu spät ist.
Kaliforniens Generalstaatsanwalt Rob Bonta hat bereits reagiert. Nach Bekanntgabe der Insolvenz stellte er klar, dass alle Einwohner seines Bundesstaats gesetzlich das Recht haben, die Löschung ihrer genetischen Daten zu verlangen.
Die Löschung eines 23andMe-Kontos ist zwar einfach: Anmeldung, Einstellungen, „Kontoinformationen“ – und dann „Konto löschen“. Ein Klick, eine Bestätigung – und das Profil ist weg.
Doch der Teufel steckt im Detail. Laut Datenschutzrichtlinie unterliegt die Löschung „bestimmten Aufbewahrungspflichten und Ausnahmen“. Mit anderen Worten: Teile der Daten – darunter genetische Profile, Geburtsdaten, Geschlecht oder E-Mail-Adressen – können trotz Löschantrag gespeichert bleiben. Auf unbestimmte Zeit.
Noch heikler: Wer der Verwendung seiner Daten für Forschungszwecke einmal zugestimmt hat, kann diese Einwilligung zwar widerrufen – die vollständige Löschung der bereits genutzten Informationen ist jedoch nicht vorgesehen.
23andMe vor dem Ausverkauf: DNA-Daten von Millionen könnten auf dem Spiel stehen