Der genetische Testanbieter 23andMe steht seit 2023 im Fokus von Datenschutzbehörden, nachdem ein großangelegter Cyberangriff die Daten von Millionen Nutzern betrifft, darunter rund 150.000 britische Bürger. Das amerikanische Unternehmen, das mit seinem DNA-Test Kit weltweit bekannt wurde, wurde von der britischen Datenschutzbehörde Information Commissioner’s Office (ICO) mit einer Geldbuße von über 2,3 Millionen Pfund belegt. Diese Strafe markiert nicht nur einen bedeutenden Präzedenzfall im Bereich der genetischen Datenverarbeitung, sondern zeigt auch die dringende Notwendigkeit verbesserter Sicherheitsmaßnahmen in einem sensiblen Sektor auf. Die Enthüllungen rund um den Vorfall verdeutlichen, wie gefährdet selbst scheinbar kontrollierte Datenbestände sind, wenn Unternehmen grundlegende Schutzvorkehrungen versäumen.
Die angegriffenen Daten enthielten nicht nur grundlegende persönliche Informationen wie Namen und Postleitzahlen, sondern auch hochsensible Details aus Gesundheitsberichten und sogar Familienstammbäume. Die Daten von insgesamt etwa sieben Millionen Nutzern weltweit wurden ausgespäht, was das Ausmaß der Katastrophe illustriert. Besonders alarmierend war die Tatsache, dass 23andMe den Vorfall erst Monate nach dem Hackerangriff öffentlich bestätigte. Nach Angaben der ICO erfuhr das Unternehmen von der Verletzung der Datensicherheit erst, als ein Mitarbeiter die gestohlenen Daten auf dem sozialen Netzwerk Reddit zum Kauf angeboten sah. Dieses verzögerte Eingeständnis wird von Datenschutzexperten scharf kritisiert, da es den betroffenen Nutzern die Möglichkeit einer frühzeitigen Reaktion, etwa durch Sperrung von Konten, Ausschluss aus weiterer Forschung oder Identitätsschutzmaßnahmen, verwehrte.
Die Art und Weise des Angriffs offenbart gleichzeitig technische Schwachstellen bei 23andMe. Die Hacker nutzten eine sogenannte „Credential Stuffing“-Technik. Dabei wurden gestohlene Passwörter aus anderen Datenlecks dazu verwendet, automatisiert Login-Versuche bei 23andMe durchzuführen. Das Problem der wiederverwendeten Passwörter hat sich hier offenbart als eine häufige und doch leicht zu verhindernde Sicherheitslücke. Trotz der Warnungen über diese zunehmend genutzten Angriffsmethoden wurden laut ICO keine ausreichenden Mehr-Faktor-Authentifizierungen oder andere Schutzmechanismen implementiert, um Nutzerkonten effektiv zu sichern.
John Edwards, der Information Commissioner, bezeichnete den Vorfall als „profund schädigenden Verstoß“, der das Vertrauen in digitale DNA-Analyseplattformen nachhaltig erschüttert habe. Im Vergleich zu anderen Datenpannen im Vereinigten Königreich reiht sich der Fall 23andMe in eine Reihe von Fällen ein, in denen große Organisationen für mangelhaften Schutz persönlicher Daten zur Rechenschaft gezogen wurden. Beispiele dafür sind bereits verhängte Bußgelder gegen Bauunternehmen oder IT-Dienstleister, deren Datenlecks tausende Menschen betrafen. Zudem war die Entwicklung des Vorfalls für 23andMe selbst ein großes Problem. Das Unternehmen stellte bereits im März 2025 einen Antrag auf Gläubigerschutz in den USA, was auf finanzielle Schwierigkeiten hindeutet, die nicht zuletzt wegen des Imageschadens und der rechtlichen Konsequenzen entstanden.
Zeitgleich gab es Bestrebungen, das Unternehmen durch einen ehemaligen CEO, Anne Wojcicki, für über 300 Millionen US-Dollar zurückzukaufen. Die geplante Übernahme beinhaltet auch Verpflichtungen, den Datenschutz deutlich zu verbessern und Nutzerrechte zu stärken. Dazu gehört unter anderem, dass Nutzer künftig ihr Konto und sämtliche genetischen Daten jederzeit löschen können sollen. Zusätzlich wurde zugesagt, keine genetischen Daten bei einem Eigentümerwechsel zu verkaufen oder weiterzugeben und den betroffenen Kunden zwei Jahre lang eine kostenlose Identitätsschutzüberwachung anzubieten. Gerade im Bereich der genetischen Daten, deren Sammlungen immer größer werden, ist ein solcher Schutz essenziell.
Denn einmal kompromittierte DNA-Informationen können nicht einfach wie ein Passwort oder eine Kreditkartennummer geändert werden. Sie prägen einen Menschen dauerhaft und können weitreichende Auswirkungen auf Privatsphäre, Versicherungen oder auch soziale Diskriminierung haben. Diese Besonderheit macht den Schutz vor Datenmissbrauch besonders wichtig und stellt Unternehmen in dieser Branche vor eine enorme Herausforderung. Die Datenschutzpannen bei 23andMe werfen zudem Fragen hinsichtlich der regulatorischen Kontrolle von Unternehmen auf, die mit sensiblen Gesundheits- und genetischen Daten arbeiten. Während in europäischen Ländern die Datenschutzgrundverordnung (DSGVO) bereits strenge Vorgaben macht, zeigt die Umsetzung in der Praxis Schwächen.
Es wird klar, dass technische Sicherheitsvorkehrungen mit organisatorischen Maßnahmen einhergehen müssen und Unternehmen frühzeitig auf Erkennung, Meldung und Eindämmung von Angriffen vorbereitet sein müssen, um Folgeschäden zu begrenzen. Nutzer derartiger Dienste sollten sich ihrer Risiken bewusst sein und selbst Verantwortung übernehmen, etwa durch die Verwendung einzigartiger Passwörter und die Nutzung von Mehr-Faktor-Authentifizierung, sofern vom Dienst angeboten. Insgesamt unterstreicht die 23andMe-Datenpanne, wie wichtig Vertrauen und Sicherheit in der Schnittstelle von Hightech, Biologie und persönlicher Information sind. DNA-Analyse bietet enorme Chancen für medizinische Forschung, präventive Gesundheitsversorgung und persönliche Erkenntnisse über Herkunft und Familienstammbäume. Ungenügender Datenschutz gefährdet diese Chancen jedoch grundlegend.
Unternehmen müssen in Sicherheit investieren und transparent agieren, um den sensiblen Erwartungen ihrer Nutzer gerecht zu werden und ihre Zukunftsfähigkeit sicherzustellen. Der Fall wird daher auch als Weckruf für die gesamte Branche gesehen, um Datenschutz- und Sicherheitsstandards neu zu definieren. Für die betroffenen Nutzer bleibt die Situation weiterhin schwierig, da eine einmalige Offenlegung ihrer genetischen Informationen kaum rückgängig gemacht werden kann. Die rechtlichen Schritte und verbesserten Maßnahmen seitens 23andMe sind zwar ein Schritt in die richtige Richtung, doch der entstandene Schaden zeigt nachdrücklich, wie wichtig proaktive und umfassende Datensicherheit ist – insbesondere bei so sensiblen Informationen wie der DNA. Die ICO-Strafe von 2,3 Millionen Pfund ist eine klare Botschaft an Unternehmen: Datenschutz ist kein Luxus, sondern eine fundamentale Pflicht.
Nur durch konsequente Sicherheitsmaßnahmen, Verantwortungsbewusstsein und Nutzerorientierung kann das Vertrauen in digitale Gesundheitsdienste langfristig gesichert werden.
![Borrowed Future – How Student Loans Are Killing the American Dream [video]](/images/8C1D484F-7905-42AD-B037-BD1BE9782506)
![Redwood AI: Humanoid robots [video]](/images/CB8CDA67-7E4F-4901-BBF8-9252C6215C04)
