Der kalifornische Generalstaatsanwalt Rob Bonta hat eine Klage gegen das Gentestunternehmen 23andMe eingereicht, um den Verkauf von Millionen genetischen Profilen und persönlichen Daten von Kunden im Rahmen des Insolvenzverfahrens des Unternehmens zu verhindern.
Die Klage argumentiert, dass genetische Informationen, die von Einwohnern Kaliforniens gesammelt werden, nicht wie ein traditionelles Geschäftsvermögen behandelt und ohne neue Zustimmung der Kunden an ein anderes Unternehmen übertragen werden können. Staatliche Beamte argumentieren, dass DNA-Daten einzigartige Datenschutzrisiken bergen, da sie zutiefst persönliche Informationen enthalten, die bei Offenlegung oder Missbrauch nicht verändert werden können.
23andMe beantragte Anfang dieses Jahres Insolvenzschutz nach Chapter 11, nachdem sie mit sinkender Nachfrage nach Verbraucher-DNA-Testkits und wachsendem finanziellem Druck zu kämpfen hatte. Im Rahmen des Restrukturierungsprozesses hat das Unternehmen Käufer für Teile seines Geschäfts gesucht, einschließlich der umfangreichen Datenbank mit genetischen Informationen, die über fast zwei Jahrzehnte von Millionen von Nutzern gesammelt wurden.
Kalifornische Behörden argumentieren, dass der vorgeschlagene Verkauf gegen die Datenschutzgesetze der Bundesstaaten verstoßen könnte, darunter das Genetic Information Privacy Act und das California Consumer Privacy Act. Laut Klageschrift gaben Kunden ihre DNA-Proben zu Testzwecken ab und stimmten nicht zu, dass ihre genetischen Daten im Rahmen eines Insolvenzverfahrens an unbekannte zukünftige Eigentümer übertragen werden.
Die Klage folgt auf wachsende öffentliche Besorgnis über die Zukunft einer der weltweit größten Verbraucher-Genetikdatenbanken. Datenschutzbefürworter haben gewarnt, dass genetische Informationen sich von gewöhnlichen personenbezogenen Daten unterscheiden, da sie familiäre Beziehungen, Gesundheitsrisiken, Abstammungsdetails und biologische Merkmale aufdecken können, die lebenslang mit Individuen verbunden bleiben.
Der Streit kommt weniger als drei Jahre nachdem 23andMe einen schwerwiegenden Sicherheitsvorfall offengelegt hatte, bei dem Informationen von Millionen von Nutzern offengelegt wurden. Im Jahr 2023 erhielten Angreifer durch Credential-Stuffing-Angriffe Zugang zu Kundenkonten und nutzten Account-Sharing-Funktionen, um Profildaten von einer viel größeren Gruppe von Personen zu sammeln. Der Datenverstoß betraf letztlich fast sieben Millionen Nutzer und löste mehrere Klagen und regulatorische Untersuchungen aus.
Generalstaatsanwalt Bonta forderte die Kalifornier auf, ihre Konten zu überprüfen und die Löschung gespeicherter genetischer Daten in Betracht zu ziehen, falls sie keine Daten mehr auf der Plattform speichern möchten. Staatsbeamte haben wiederholt betont, dass Verbraucher das Recht behalten, die Löschung sowohl von genetischen Daten als auch biologischer Proben, die vom Unternehmen gespeichert werden, zu beantragen.
23andMe hat betont, dass jede Transaktion mit Kundendaten weiterhin den geltenden Datenschutzgesetzen und gerichtlicher Aufsicht unterliegt. Das Unternehmen erklärte zuvor, dass der Schutz von Kundendaten während des gesamten Insolvenzverfahrens eine Priorität bleibt.