1 Punkte von GN⁺ 2025-03-23 | 1 Kommentare | Auf WhatsApp teilen
  • Angesichts der wachsenden finanziellen Unsicherheit von 23andMe hat Kaliforniens Generalstaatsanwalt Rob Bonta eine Verbraucherwarnung herausgegeben, um Kunden über ihr Recht auf Löschung genetischer Daten zu informieren
  • Das Unternehmen hat öffentlich über finanzielle Schwierigkeiten berichtet und in einer Wertpapiermeldung erklärt, dass erhebliche Zweifel daran bestehen, ob es als fortgeführtes Unternehmen bestehen kann
  • Im Mittelpunkt der Warnung stehen die bei 23andMe gespeicherten sensiblen Verbraucherdaten; Einwohner Kaliforniens können nach GIPA und CCPA deren Löschung verlangen
  • In den Kontoeinstellungen können persönliche Informationen und genetische Daten gelöscht werden; außerdem kann die Vernichtung von aufbewahrten Speichelproben und DNA-Proben verlangt werden
  • Kunden, die der Forschungsnutzung zugestimmt hatten, können unter Research and Product Consents ihre Einwilligung zur Nutzung von Daten und Proben durch 23andMe und externe Forscher widerrufen

Rechte, über die 23andMe-Kunden informiert wurden

  • Kaliforniens Generalstaatsanwalt Rob Bonta hat eine Verbraucherwarnung herausgegeben, die 23andMe-Kunden an ihr Recht auf Löschung genetischer Daten erinnert
  • 23andMe ist ein in Kalifornien ansässiges Unternehmen für Gentests und genetische Informationen und hat öffentlich über finanzielle Schwierigkeiten berichtet
  • Das Unternehmen erklärte in einer Wertpapiermeldung, dass erhebliche Zweifel daran bestehen, ob es als fortgeführtes Unternehmen bestehen kann
  • Wegen der sensiblen Verbraucherdaten, die 23andMe besitzt, können Einwohner Kaliforniens ihre gesetzlichen Rechte ausüben
  • Es gelten unter anderem folgende gesetzlichen Rechte
    • GIPA: Verbraucher in Kalifornien können die Löschung ihres Kontos und ihrer genetischen Daten verlangen sowie die Vernichtung biologischer Proben fordern
    • GIPA: Nach Abschluss des ursprünglichen Tests kann die Einwilligung zur Erhebung, Nutzung und Offenlegung genetischer Daten sowie zur Aufbewahrung biologischer Proben widerrufen werden
    • CCPA: Gewährt Verbrauchern in Kalifornien gegenüber Unternehmen, die personenbezogene Daten von Verbrauchern erfassen, das Recht auf Löschung personenbezogener Daten, einschließlich genetischer Daten
  • Weitere Informationen zum CCPA gibt es hier

Maßnahmen im Konto

  • Um bei 23andMe Konto und personenbezogene Daten zu löschen, nach dem Login auf der Website in die Kontoeinstellungen gehen
    • Im 23andMe-Konto anmelden
    • Zum Bereich „Settings“ im Profil wechseln
    • Nach unten zum Bereich „23andMe Data“ scrollen
    • Neben „23andMe Data“ auf „View“ klicken
    • Falls eine Kopie der genetischen Daten für die persönliche Aufbewahrung benötigt wird, diese vor der Löschung auf das Gerät herunterladen
    • Zum Bereich „Delete Data“ scrollen
    • Auf „Permanently Delete Data“ klicken
    • Dem Link in der E-Mail von 23andMe folgen, um die Löschanfrage zu bestätigen
  • Wer sich in der Vergangenheit dafür entschieden hat, Speichelproben und DNA bei 23andMe speichern zu lassen, kann die Präferenz für die Probenaufbewahrung unter Preferences auf der Seite mit den Kontoeinstellungen ändern
  • Kunden, die zugestimmt hatten, dass 23andMe und externe Forscher genetische Daten und Proben für Forschungszwecke verwenden, können ihre Einwilligung unter Research and Product Consents in den Kontoeinstellungen widerrufen

1 Kommentare

 
GN⁺ 2025-03-23
Hacker-News-Kommentare
  • Ich arbeite im Bereich Populationsgenomik und war in der Anfangszeit, als Mikroarrays die vorherrschende Technologie waren, auch direkt an Studien zur nahezu genomweiten Genotypisierung beteiligt
    Trotzdem habe ich Verwandten seit fast 20 Jahren davon abgeraten, bei 23andMe oder ähnlichen kommerziellen Unternehmen an groß angelegten Genotypisierungen teilzunehmen. Ich hielt es für wahrscheinlich, dass irgendwann genau so etwas passieren würde, wenn die Firma die Datenrechte behält
    Vor ein paar Jahren waren 23andMe-Genotypisierungen als Weihnachtsgeschenk in Mode, aber ich persönlich konnte nicht verstehen, warum so viele Menschen so viele Daten an ein kommerzielles Unternehmen weitergeben wollten
    Umfangreiche Sequenzdaten können für manche Menschen angemessen sein, aber wenn man sie wirklich braucht, sollte man sich möglichst viel Eigentum an den eigenen Daten sichern

    • „Ich konnte das nicht verstehen“ lässt sich letztlich als einfache Kosten-Nutzen-Abwägung sehen
      Für mehr als 90 % der Menschen erscheint der Nutzen oder das Interesse, sich einen Abstammungsbericht anzusehen, größer als die Kosten oder Risiken der Herausgabe ihrer DNA
      Trotzdem ist die Frage berechtigt, warum nicht mehr Menschen Privatsphäre ernst nehmen. Realistisch gesehen könnten Unternehmen wie Google oder 23andMe kaum existieren, wenn alle so datenschutzsensibel wären wie die HN-Leserschaft. Ob gut oder schlecht: Google existiert, weil Verbraucher das Teilen von Daten akzeptieren
    • Ich habe mich bei der Anmeldung bewusst und informiert dafür entschieden
      Es handelt sich um SNP-Genotypisierung, die praktisch außer Abstammungsinformationen und einigen wenigen Gesundheitszuständen die meisten Gesundheitszustände nicht gut vorhersagen kann. Die Genotypisierung erfasst nur einen kleinen Teil der gesamten genetischen Information, und weil es keine Ganzgenom-Sequenzierung ist, ist sie für den gezahlten Preis immer noch zu teuer. Deshalb sind die tatsächlichen Daten ziemlich begrenzt, und ich hielt auch das Risiko realistisch gesehen für gering
      Privatsphäre ist eine Frage von Risiko und Gegenleistung. Statt überall das Vorsorgeprinzip anzuwenden, geht man im Leben viele Kompromisse ein
    • Dank 23andMe habe ich meine Halbschwester und meinen biologischen Vater gefunden
      Bei solchen Fällen kann ich es nachvollziehen. Manche Menschen sind bereit, einen ziemlich hohen Preis zu zahlen, um herauszufinden, wer sie sind
    • Die genetischen Risikoscores und Schätzungen zur Populationsmischung von 23andMe sind wirklich miserabel
      Sie haben ziemlich gute Forscher eingestellt, deshalb ist schwer zu verstehen, warum das so schlecht ist. Solche Modelle zu bauen ist ziemlich simpel, und frei verfügbare Modelle liegen weit vor den Ergebnissen der Website
      Ähnlich wie uBiome haben sie viele überzogene Produkte verkauft und damit dem Ruf von Tests für Verbraucher geschadet. Mit Diensten wie 23andMe plus etwas Epigenetik-Testung, die Umweltfaktoren erfasst, hätte das eine großartige Methode sein können, um ein allgemeines Gesundheits-Snapshot zu erhalten
    • Bei 23andMe besitzen die Nutzer ihre eigenen Daten. Wenn man die Daten herunterlädt und ihre Löschung verlangt, ist man danach der einzige Eigentümer
      Wenn man sich aber für Abstammung, Verwandtschaftsbeziehungen und einige stärker handlungsrelevante SNPs wie medikamentenbezogene ADME-SNPs interessiert, dann ist die 23andMe-Oberfläche nützlich und auch medizinisch brauchbar. Ich habe tatsächlich zwei medizinisch nützliche Varianten entdeckt und auch unterhaltsame Ergebnisse wie die Geschwindigkeit meines Koffeinstoffwechsels erhalten
      Auch die Oberfläche ist meiner Meinung nach besser als AllofUs
  • Das nicht ausdrücklich genannte Kernproblem ist, dass eine Insolvenz die Pflichten eines Unternehmens gegenüber seinen Kunden auslöschen kann. Dazu gehören auch Datenschutzpflichten[1]
    Besonders problematisch wird es, wenn die Vermögenswerte an ein Unternehmen außerhalb Kaliforniens oder außerhalb der USA verkauft werden
    [1] https://harvardlawreview.org/print/vol-138/data-privacy-in-b...

    • Genau
      Pflichten, die an personenbezogenen Daten hängen, sollten den Daten mitfolgen können. Ähnlich wie bei Immobilien kann man Pflichten wie Nachbarschaftsrechte oder Wegerechte so vereinbaren, dass sie auch künftige Eigentümer binden. Sonst könnte man den Zugang jedes Mal verlieren, wenn das Grundstück verkauft wird. Solche Regelungen werden meist eingerichtet, wenn Land aufgeteilt wird
    • 24 Stunden später kommt es zur Insolvenz
  • Schon die Tatsache, dass 23andMe in einem riskanten Zustand ist, was das Fortbestehen als Unternehmen angeht, beantwortet im Grunde die nötige Frage zur Möglichkeit der Monetarisierung genetischer Daten
    Letztlich heißt das, dass sich daraus nur schwer großer Wert ziehen lässt. Wenn es möglich gewesen wäre, hätten sie es schon getan
    Ich glaube auch nicht, dass diese DNA-Daten für große Krankenversicherer wie Humana oder Aetna so wertvoll wären
    Die Krankenakten, die man sich vorstellt mit genetischen Daten verknüpfen zu können, könnten sogar noch weniger wert sein als diese DNA-Sequenzen
    Das ist die Einschätzung eines ehemaligen Gesundheitsökonomen, der mit zig Millionen Krankenhaus-Aufnahme- und Entlassungsdatensätzen sowie separat mit genetisch angereicherten detaillierten Umfragen gearbeitet hat

    • Angesichts der derzeitigen US-Gesetzeslage wäre die beste Nutzung für Versicherer dieser Daten wahrscheinlich, Familien anhand der DNA-Profile in der Datenbank für gezielte Präventionsversorgung zu gewinnen
      In diese Richtung ließe sich vermutlich ziemlich gutes Geld verdienen, und man könnte dabei sogar einiges an Sympathie gewinnen
    • Ich vermute schon lange, dass Sequenzdaten außerhalb von Strafverfolgungsbehörden kaum einen Wert haben
      Wenn es so einfach wäre, Sequenzen mit Krankheiten zu verknüpfen, hätten wir bereits schnelle Fortschritte bei der Behandlung dieser Krankheiten gesehen. Genetische Daten allein sind kein ausreichend guter Prädiktor
  • Jedes Mal, wenn ich stolz darauf werde, bei Datenbrokern ziemlich vorsichtig gewesen zu sein, fällt mir ein, dass Verwandte wahrscheinlich schon genug DNA an 23andMe oder ähnliche Anbieter weitergegeben haben, sodass meine Bemühungen bedeutungslos geworden sein könnten

    • Wahrscheinlich teilen diese Verwandten in sozialen Medien auch Fotos, Videos und private Details von dir
    • Ich stimme zu, dass Privatsphäre wichtig ist, aber wenn zum Beispiel jemand meine DNA hat: Welche konkreten Angriffsvektoren ergeben sich daraus eigentlich? Was könnte real passieren?
    • Hat Facebook jemals eine Möglichkeit geschaffen, die Schattenprofile zu löschen, die es über Nichtnutzer anlegt?
      Vermutlich würden sie dich einfach auffordern, ein Konto zu erstellen
  • Es ist noch nicht klar, wie das tatsächlich Schaden anrichten würde. Deshalb würde ich es gern ausprobieren, indem ich das Risiko selbst eingehe
    Mein von Nebula Genomics analysiertes Genom ist für jeden öffentlich, der es haben möchte. Ich habe die rohen FASTQ-Dateien, und für den Zugriff muss man einen kleinen Betrag zahlen
    Früher wollte ich mit einem Freund eine Website bauen, auf der Menschen ihre Genom- und Gesundheitsdaten einreichen können, damit groß angelegte Bevölkerungsstudien möglich werden. Ich habe meine Daten auch bei All Of Us und Ähnlichem eingereicht, aber dass für den Datenzugang eine besondere Genehmigung nötig ist, sehe ich als Nachteil
    Vielleicht ist es an der Zeit, das noch einmal aufzugreifen. Stattdessen wäre es womöglich besser, die VCF zu veröffentlichen. Sie ist viel kleiner und für Menschen leichter zugänglich. Wenn jemand jedenfalls meine FASTQ braucht, kann er mir eine E-Mail schicken

    • Meine Daten sind hier und kostenlos:
      https://my.pgp-hms.org/profile/hu80855C
      Ich habe das damals gemacht, weil wir zum Start von Google Cloud Genomics Daten brauchten, die sich ohne Einschränkungen nutzen lassen. Die genetische Beraterin von Illumina sagte, es gebe „keine nachweisbaren genetischen Risikofaktoren“, was im Großen und Ganzen meinen Erwartungen entsprach. Das heißt nicht, dass es überhaupt keine Risikofaktoren gibt, sondern eher, dass Illuminas genetische Beratung nicht besonders gut war
    • Der Staat könnte entscheiden, dass ihm ein bestimmter Phänotyp nicht gefällt, und dann auf Basis der Datenbank gezielt Menschen aufsuchen
      So etwas Ähnliches ist schon einmal passiert, ausgelöst durch die harmlos wirkende Frage „Welche Religion haben Sie?“ in Volkszählungsformularen der späten 1930er und frühen 1940er Jahre
    • Es geht nicht um ein einzelnes Individuum, der Wert ist größer, wenn es große Datenbanken gibt
      Wenn ich in ein Café gehe, könnte ein Stalker DNA von einem Fingerabdruck sammeln und sie dann mit einer geleakten oder verkauften 23andMe-Datenbank mit einer Identität oder Wohnadresse verknüpfen
      Interessanterweise kann das auch dann funktionieren, wenn direkte Verwandte den Dienst genutzt haben
    • Ich würde mein Genom gern analysieren lassen. Ich betrachte diese Daten nicht als privat. Wenn ein wirklich entschlossener Akteur will, kann er sie meiner Meinung nach mit wenig Aufwand sammeln
      Wie war deine Erfahrung mit Nebula Genomics? Würdest du es heute empfehlen oder eher etwas anderes?
    • Ich denke ähnlich wie die Leute um George Church. Ich gehöre auch in diese Richtung
      Hochauflösende Bilder eines Gesichts enthalten genauso viel oder sogar noch mehr funktional nutzbare persönliche Daten wie eine VCF
      Ich bin beim aktuellen Kurs der USA nicht gerade optimistisch, glaube aber, dass GINA weiter geltendes Recht bleiben wird
      https://en.wikipedia.org/wiki/Genetic_Information_Nondiscrim...
      Falls ich mich irre, wäre die Sicherheit meiner DNA wohl unser kleinstes Problem
  • Man sagt zwar, man könne die Daten löschen, aber am Ende werden sie unter Verweis auf „regulatorische Pflichten“ weiter aufbewahrt. Ich hatte mehrfach Kontakt mit dem Privacy-Team, und die letzte Antwort lautete so
    „Das 23andMe-Team meldet sich mit einer Rückmeldung. Zur Klarstellung: Wir und unsere Laborpartner unterliegen verschiedenen gesetzlichen und regulatorischen Verpflichtungen, die die Aufbewahrung bestimmter Informationen erforderlich machen können. Unser Programm zur Datenaufbewahrung erfüllt die Anforderungen des anwendbaren Rechts, die je nach Land oder Bundesstaat des Wohnsitzes des Kunden, dem Bundesstaat, in dem sich das Vertragslabor befindet, sowie bundes- oder einzelstaatlichen Lizenzpflichten im Zusammenhang mit den von uns verkauften Abstammungs- und Gesundheitsprodukten variieren können. Proben und genetische Testergebnisse werden gemäß dem anwendbaren Recht gelöscht, und wir bestätigen, dass gesetzliche Aufbewahrungspflichten eine angemessene Ausnahme von Anträgen auf Datenlöschung nach Datenschutzgesetzen darstellen.“

    • Mich würde interessieren, welche Anfrage zu dieser Antwort geführt hat. Hast du zum Beispiel erst die Löschung der Daten beantragt und dann per E-Mail bestätigt bekommen, ob sie gelöscht wurden? Und ich frage mich auch, ob du in Kalifornien wohnst
    • Das klingt nach etwas, worüber man klagen könnte. Das ist voll und ganz Juristenfutter
  • Wichtig ist der Teil, dass ein in Kalifornien ansässiges Unternehmen in finanzielle Schwierigkeiten geraten ist und in seinen Wertpapiermeldungen offengelegt hat, dass erhebliche Zweifel an seiner Fähigkeit bestehen, den Geschäftsbetrieb fortzuführen
    Das ist einer der Gründe, warum ich Signal statt anderer Messaging-Apps nutze. Ich möchte nicht, dass private Nachrichten in einer Datenbank liegen bleiben, wenn ein Unternehmen pleitegeht, und dann bei einem Notverkauf verramscht werden
    Apps wie Sicherheitskameras, Passwortmanager, Heimautomatisierung, Speicher und Wikis versuche ich ebenfalls nach Möglichkeit lokal zu hosten

    • Mich würde interessieren, was du für Sicherheitskameras, Speicher und Passwortverwaltung beim Self-Hosting nutzt
      Funktioniert deine Speicherlösung auch für automatische Backups von Handydaten?
  • Wenn 23andMe mit den Verbrauchern eine Vereinbarung darüber getroffen hat, wie mit ihren Daten umgegangen wird, dann sollte diese Vereinbarung unabhängig von einer Übernahme bestehen bleiben. Solange Verbraucher die Vereinbarung nicht aktiv ändern, sollte sie dauerhaft gelten
    Wenn Dropbox verkauft würde, würde man doch auch nicht sagen, dass dann persönliche Daten geplündert würden; ich verstehe nicht, warum das bei 23andMe überhaupt ein Diskussionsthema ist
    Ich will den Generalstaatsanwalt nicht kritisieren, sondern sagen, dass der Verbraucherschutz so schwach geworden ist, dass solche Hinweise überhaupt nötig sind

    • Ja, eigentlich sollte es keine Rolle spielen. Eine solche Welt wäre schön, aber so ist es hier nicht
      Unternehmen ignorieren solche Vereinbarungen häufig. Selbst wenn sie gelegentlich erwischt werden, endet das oft nur mit einem Klaps auf die Finger
      Noch häufiger passiert meiner Ansicht nach, dass wir gar nicht erst erfahren, dass die Vereinbarung gebrochen wurde
      Dass ein finanziell angeschlagenes Unternehmen anfängt, persönliche Daten mit einem Preisschild zu versehen, die es eigentlich nie verkaufen wollte, ist fast so etwas wie ein Naturgesetz. Wie in einem Cartoon mit hungernden Menschen im Rettungsboot sehen sie in deinen Daten dann keine rechtlich geschützte Vereinbarung mehr, sondern eine leckere Hähnchenkeule
      Auch darüber, dass man bei einem Verkauf von Dropbox nicht darüber sprechen würde, ob persönliche Daten geplündert werden, kann man je nach Standpunkt anders denken
    • Sowohl die Datenschutzrichtlinie von 23andMe als auch die von Dropbox besagt nur, dass die Nutzer informiert werden, wenn sich die Datenschutzrichtlinie ändert, ohne jede Begrenzung des Umfangs der Änderung
      Also sollten wir vielleicht auch darüber reden, falls Dropbox verkauft wird
  • Es gibt eine einfache Regel
    Selbst wenn ein Unternehmen verspricht, mit wichtigen Daten nicht nachlässig umzugehen oder sie nicht zu verkaufen, wird es oder ein anderes damit verbundenes Unternehmen es am Ende ganz sicher doch tun, wenn es keine rechtlichen Folgen oder Garantien gibt

  • Die Aktie von 23andMe ist im Vergleich zu vor fünf Jahren um 99,12 % gefallen. Was ist da eigentlich passiert? Ich frage mich, ob das Geschäftsmodell nicht tragfähig ist oder ob das Unternehmen extrem schlecht geführt wurde.

    • Vor ein paar Jahren gab es einen ziemlich guten Artikel über den Niedergang von 23andMe. Ich glaube, er war im The Atlantic.
      Der Kernpunkt war, dass das Unternehmen innerhalb weniger Jahre fast alle potenziellen Kund:innen ausgeschöpft hatte. Wenn das ganze Geschäft darauf basiert, die DNA einer Person zu analysieren, wird es schwierig, wiederkehrende Kundschaft zu gewinnen.
      Danach versuchte man, auf ein Abo-Modell umzuschwenken, das auf Basis der Gensequenz Gesundheitsratschläge gibt. Das Problem war jedoch, dass die Gesundheitsinformationen aus DNA meist fragwürdig und größtenteils kaum nützlich sind.
    • Wenn man darüber nachdenkt, war das 2013 ein faszinierendes Produkt. Ich habe 99 Dollar bezahlt und habe bis heute Zugriff auf die Website-Funktionen, die Ahneninformationen und allerlei Gesundheits-Trivia anzeigen.
      Wer sich dafür interessiert, hat es längst schon ausprobiert. Welche Umsätze bleiben da künftig überhaupt noch?
    • Warum sollte ein auf Verbraucher ausgerichtetes Bluttest-Unternehmen überhaupt börsennotiert sein?
      Die Antwort ist einfach. Ein Börsengang ist der Cheatcode, mit dem ein tief defizitäres Unternehmen Pensionsfonds, die nach Anlagemöglichkeiten suchen, eine plausible Geschichte verkaufen und sich so Hunderte Millionen Dollar an Bargeld beschaffen kann. Mit ein wenig Feenstaub à la „Wir sind ein Tech-Unternehmen“ ist das Ganze dann komplett.