Lehren aus dem '23andMe' Datenleck: Datenschutz in einer vernetzten Welt

Der Vorfall, der die Welt der Genomik erschütterte, war kein direkter Angriff auf die Server des Unternehmens; vielmehr richtete er sich gegen einzelne Benutzerkonten. Insbesondere Konten mit wiederverwendeten oder schwachen Passwörtern wurden kompromittiert, wodurch Hacker Zugriff auf eine Goldmine genetischer Daten erlangten. Interessanterweise nutzte der Vorfall eine Funktion namens "DNA-Verwandtenabgleich" innerhalb von 23andMe, was die Extraktion von Informationen aus einem breiten Spektrum von Personen ermöglichte, die den Service genutzt hatten. Dieser Vorfall führte innerhalb einer Woche zu vier Sammelklagen gegen 23andMe, die sich alle auf die Kompromittierung der persönlichen und gesundheitsbezogenen Daten der Benutzer konzentrierten.

Dieser Vorfall veranlasst uns, unsere Vorstellungen von Datenschutz, Datensicherheit und unternehmerischer Verantwortung in der informationsgetriebenen Wirtschaft neu zu bewerten. Genetische Datenbanken haben eine einzigartige Eigenschaft; wenn eine Person ihre DNA-Daten mit einem Unternehmen wie 23andMe teilt, enthüllt dies nicht nur Informationen über sie selbst, sondern auch über ihre Verwandten, selbst wenn diese Verwandten keine eigenen DNA-Proben bereitgestellt oder der Datensammlung zugestimmt haben. Grundsätzlich werden ihre Daten miteinander verknüpft.

Die Folgen, wenn vernachlässigt wird, wie persönliche Daten andere beeinflussen, reichen über genetische Daten hinaus und erstrecken sich auf die breitere Informationswirtschaft. Die vernetzte Natur von Daten ist kein Zufall; sie ist der Kern dessen, wie Unternehmen in der Informationswirtschaft agieren, aber sie schafft auch Gerechtigkeitsprobleme. Jede Entscheidung, die eine Person über ihre Daten trifft, hat Auswirkungen auf andere, was möglicherweise zu Konsequenzen wie folgt führen kann:

Identifikation und Verfolgung: 

Daten können verwendet werden, um Personen zu identifizieren und zu verfolgen, selbst wenn sie ihre Daten nicht direkt bereitgestellt haben. Die Zusammenführung von Daten aus verschiedenen Quellen wie sozialen Medien, Kaufhistorie und Standortdaten kann zu umfassendem Profiling führen.

Diskriminierung: 

Die gestohlenen genetischen Informationen aus dem 23andMe-Datenleck, einschließlich Listen von Personen mit bestimmten Abstammungen, geben Anlass zur Sorge hinsichtlich Diskriminierung und Belästigung, da die durchgesickerten Daten Namen und Standorte enthalten. Darüber hinaus können Daten zu genetischen Veranlagungen wie Typ-2-Diabetes, Parkinson-Krankheit oder Demenz ebenfalls ausgenutzt werden, was möglicherweise zu erhöhten Versicherungsprämien und Diskriminierung bei der Beschäftigung führt.

Gezielte Werbung und Manipulation: 

Die Vernetzung von Daten ermöglicht die Erstellung hochdetaillierter psychologischer Profile, die personalisierte Werbung und andere Formen der Manipulation ermöglichen.

Sicherheitsrisiken: 

Mit vernetzten Daten steigen die Wahrscheinlichkeit von Datenlecks und Diebstahl, da Hacker nur ein System kompromittieren müssen, um auf eine erhebliche Menge an Daten zuzugreifen. Diese Risiken unterstreichen die entscheidende Bedeutung robuster Datensicherheitsmaßnahmen und des Schutzes von Informationen der Einzelpersonen in unserer zunehmend vernetzten digitalen Landschaft.

Ähnlich wie 23andMe sammeln und nutzen auch Unternehmen wie AncestryDNA, MyHeritage, LivingDNA und FamilyTreeDNA vernetzte persönliche Daten. Das bedeutet, dass diese Unternehmen genetische Daten von ihren Nutzern sammeln und sie für verschiedene Dienstleistungen verwenden, wie zum Beispiel Ahnenforschung, Gesundheitsrisikobewertung und persönliche genetische Beratung. 23andMe ist nicht das erste Unternehmen, das einen Datenverstoß erlebt hat; andere Unternehmen, die Datenverstöße erlebt haben, sind:

• Veritas Genetics, ein Startup für DNA-Tests, erlebte einen Datenverstoß in seinem kundenorientierten Portal, der zu unbefugtem Zugriff auf einige Kundendaten führte. Das Unternehmen gab nicht an, wann der Verstoß aufgetreten ist oder Details zu den gestohlenen Daten, erklärte jedoch, dass nur wenige Kunden betroffen waren, und bestritt, dass Daten gestohlen wurden. Obwohl der Verstoß keine persönlichen Gesundheitsinformationen gefährdete, wirft er Bedenken hinsichtlich der Sicherheit von Unternehmen für genetische Tests auf, insbesondere vor dem Hintergrund wachsender Datenschutzprobleme in der Branche, da Strafverfolgungsbehörden Zugang zu DNA-Datenbanken für kriminelle Ermittlungen erhalten.

• Vitagene, ein Unternehmen für genetische Tests, entdeckte, dass eine seiner AWS-Datenbanken Verbraucherdaten preisgegeben hatte, einschließlich vollständiger Namen, Geburtsdaten, genetischer Gesundheitsinformationen und anderer medizinischer Zustände der Benutzer. Der Verstoß betraf etwa 300 Dateien mit Rohdaten zur genetischen DNA-Information, von denen einige die Namen der Benutzer enthielten, sowie 1.401 Benutzerdateien, die in einer weniger sicheren Einstellung gespeichert waren, die normalerweise für den Zugriff durch Mitarbeiter vorgesehen war. Obwohl die Datenbank auch einige Kontaktdaten der Benutzer wie E-Mail-Adressen enthielt, wurden keine Kreditkarteninformationen, Passwörter oder Finanzdaten bei dem Vorfall kompromittiert.

Related topic: Die Navigation im Bereich Datenschutz: Was dein Auto über dich weiß

Beim Teilen sensibler persönlicher Daten, wie Gesundheitsinformationen, ist es entscheidend, den Schutz deiner Privatsphäre in den Vordergrund zu stellen, aufgrund der sensiblen Natur genetischer Informationen und der potenziellen Risiken, die mit ihrer Offenlegung einhergehen können. Hier sind einige umsetzbare Schritte:

Lies Datenschutzrichtlinien aufmerksam durch: Vor der Nutzung eines DNA-Testdienstes solltest du gründlich die Datenschutzrichtlinien und Nutzungsbedingungen überprüfen. Stelle sicher, dass du verstehst, wie deine genetischen Daten gesammelt, gespeichert und geteilt werden.

Aktiviere Zwei-Faktor-Authentifizierung (2FA): Um dein DNA-Testkonto zu schützen, aktiviere die Zwei-Faktor-Authentifizierung (2FA) und verwende ein starkes Passwort. 2FA bietet eine zusätzliche Sicherheitsebene, indem es verlangt, dass du neben deinem Passwort einen Telefoncode eingibst, wenn du dich anmeldest.

Starke Passphrase: Verwende anstelle eines einzelnen Wortes eine Passphrase. Passphrasen sind länger und sicherer. Nutze die ersten Buchstaben, Zahlen und Satzzeichen einer merklichen Phrase, um eine scheinbar zufällige Zeichenkombination zu erstellen – ersetze auch Buchstaben durch Zahlen oder Symbole für zusätzliche Komplexität.

Related topic: Passwörter und Datenschutz: Ein sicherer Weg in eine passwortlose Zukunft

Teile deine Bewertungsoptionen: DNA-Testdienste ermöglichen oft das Teilen genetischer Daten mit Verwandten oder anderen Nutzern. Überprüfe und passe diese Optionen sorgfältig an, um zu kontrollieren, wer auf deine Daten zugreifen kann.

Verzichte auf die Datenweitergabe: Einige Dienste verwenden deine Daten möglicherweise für Forschungszwecke oder teilen sie mit Dritten. Schau nach, ob es eine Option gibt, sich von einer solchen Datenweitergabe oder Teilnahme an Forschungsstudien abzumelden.

Aktualisiere regelmäßig deine Datenschutzeinstellungen: Besuche regelmäßig die Datenschutzeinstellungen auf der Plattform des DNA-Tests, um sicherzustellen, dass deine Daten gemäß deinen Präferenzen geschützt sind.

Sei vorsichtig bei Apps von Drittanbietern: Manche DNA-Testdienste bieten Apps oder Tools von Drittanbietern zur Interpretation deiner genetischen Daten an. Sei vorsichtig beim Zugriff auf diese Apps und überprüfe ihre Datenschutzrichtlinien.

Praktiziere Datenminimierung: Teile nur notwendige Informationen bei der Nutzung von DNA-Testdiensten. Minimiere die Daten, die du bereitstellst, auf die wesentlichen Details, die für den Testzweck erforderlich sind. Vermeide das Teilen von übermäßigen oder unnötigen persönlichen Informationen.

Regelmäßige Überprüfung und Löschung von Daten: Überprüfe und verwalte regelmäßig deine gespeicherten genetischen Daten. Lösche alle Informationen, die nicht mehr benötigt oder relevant sind. Viele Dienste ermöglichen es Benutzern, ihre Daten zu löschen; nutze diese Funktion, wenn du die gespeicherten Informationen nicht mehr benötigst.

Bleibe informiert: Bilde dich über die neuesten Datenschutzbedenken, Richtlinien zur Datenspeicherung und potenziellen Risiken im Zusammenhang mit genetischen Tests weiter. Das Wissen über die sich entwickelnde Landschaft kann dir helfen, informiertere Entscheidungen zu treffen. Behalte Nachrichten zu Datenlecks oder Sicherheitsvorfällen bei DNA-Testunternehmen im Auge. Im Falle eines Lecks ergreife geeignete Maßnahmen, um deine Konten und Daten zu schützen.

Related topic: Datenschutzgrundlagen verstehen und umsetzen – Informier dich bei heyData

In einer Zeit, in der unsere persönlichsten Informationen zunehmend miteinander verbunden sind, ist es entscheidend, proaktiv unsere Privatsphäre zu schützen. Der Datenverstoß bei 23andMe erinnert uns eindrücklich an das komplexe Netzwerk des Datenaustauschs und die damit verbundenen potenziellen Risiken. Durch das Befolgen dieser Richtlinien und das Auf dem Laufenden bleiben kannst du die Kontrolle über deine genetischen Daten übernehmen und die Risiken ihrer Offenlegung minimieren.