23andMe hat laut Untersuchung „keine grundlegenden Schritte unternommen“, um private Informationen zu schützen
Eine Untersuchung des kanadischen Datenschutzbeauftragten ergab, dass das DNA-Testunternehmen 23andMe vor einem massiven Datenleck vor fast zwei Jahren nicht über ausreichende Datenschutzmaßnahmen verfügte und Warnsignale ignorierte.
Kommissar Philippe Dufresne erklärte Reportern, dass im Jahr 2023 keine angemessenen Schutzmaßnahmen vorhanden gewesen seien, als Hacker Zugriff auf rund 6,9 Millionen Profile der Site erhielten – fast die Hälfte des Kundenstamms.
„Dieser Verstoß dient allen Organisationen als Warnung vor der Bedeutung des Datenschutzes“, sagte Dufresne während einer Pressekonferenz am Dienstag.
„Datenlecks werden immer schwerwiegender und komplexer, und die Zahl der Ransomware- und Malware-Angriffe nimmt stark zu. Daher ist jedes Unternehmen, das dem Datenschutz keine Priorität einräumt und diesen Bedrohungen nicht begegnet, zunehmend angreifbar.“
Kundenprofile enthielten sensible persönliche Daten wie Geburtsjahr, geografischen Standort, Gesundheitsinformationen und den Anteil der DNA, die Nutzer mit ihren Verwandten teilen. Dufresne sagte, einige der gestohlenen Informationen seien später online verkauft worden.
Die Untersuchung wurde letztes Jahr in Zusammenarbeit mit dem britischen Datenschutzbeauftragten John Edwards eingeleitet.
„23andMe hat es versäumt, grundlegende Schritte zum Schutz der persönlichen Daten seiner Kunden zu unternehmen. Ihre Sicherheitssysteme waren unzureichend, es gab Warnsignale und das Unternehmen reagierte nur langsam“, sagte Edwards.
Wie andere Unternehmen für Gentests verwendet 23andMe Speichelproben, um Berichte über die Abstammung eines Kunden sowie mögliche Veranlagungen für bestimmte Gesundheitszustände zu erstellen.
Fast 320.000 Kanadier und 150.000 Menschen in Großbritannien waren von dem Datenleck im Jahr 2023 betroffen, sagten die Kommissare.
Edwards sagte, Großbritannien habe dem in San Francisco ansässigen Unternehmen wegen des Datenlecks eine Geldstrafe in Höhe von 4,2 Millionen Dollar auferlegt, Dufrense hingegen sagte, er habe nicht die Macht, das Unternehmen mit Geldstrafen zu belegen.
„[Die Befugnis, Unternehmen zu bestrafen] ist bei Datenschutzbehörden weltweit weit verbreitet und notwendig. Leider bietet mir das kanadische Datenschutzgesetz dies noch nicht“, sagte Dufrense.
In der Vergangenheit wurden Gesetzesänderungen vorgeschlagen , die dem Datenschutzbeauftragten die Befugnis zur Verhängung von Geldbußen einräumen würden. Diese wurden jedoch nie umgesetzt. Dufrense äußerte die Hoffnung, dass das neue Parlament bald erneut Änderungen vorschlagen werde.
23andMe meldete Anfang des Jahres Insolvenz an und kündigte den Verkauf seiner Vermögenswerte an. Das bedeutet, dass Kundendaten „abgerufen, verkauft oder übertragen“ werden könnten. Das Unternehmen erklärte jedoch, das Insolvenzverfahren habe keinen Einfluss darauf, wie Kundendaten gespeichert, verwaltet oder geschützt werden.
Dufresne und Edwards sagten, sie erwarteten von dem Unternehmen, dass es die Benutzerdaten bei jedem Verkauf angemessen schütze.
„Wir werden dies sorgfältig verfolgen … die [Datenschutz-]Verpflichtungen sollten auch für jeden neuen Eigentümer weiterhin gelten“, sagte Dufresne.
cbc.ca
