23andMe hat laut Untersuchung „keine grundlegenden Schritte unternommen“, um private Informationen zu schützen

Eine Untersuchung des kanadischen Datenschutzbeauftragten ergab, dass das DNA-Testunternehmen 23andMe vor einem massiven Datenleck vor fast zwei Jahren nicht über ausreichende Datenschutzmaßnahmen verfügte und Warnsignale ignorierte.

Kommissar Philippe Dufresne erklärte Reportern, dass im Jahr 2023 keine angemessenen Schutzmaßnahmen vorhanden gewesen seien, als Hacker Zugriff auf rund 6,9 Millionen Profile der Site erhielten – fast die Hälfte des Kundenstamms.

„Dieser Verstoß dient allen Organisationen als Warnung vor der Bedeutung des Datenschutzes“, sagte Dufresne während einer Pressekonferenz am Dienstag.

„Datenlecks werden immer schwerwiegender und komplexer, und die Zahl der Ransomware- und Malware-Angriffe nimmt stark zu. Daher ist jedes Unternehmen, das dem Datenschutz keine Priorität einräumt und diesen Bedrohungen nicht begegnet, zunehmend angreifbar.“

Kundenprofile enthielten sensible persönliche Daten wie Geburtsjahr, geografischen Standort, Gesundheitsinformationen und den Anteil der DNA, die Nutzer mit ihren Verwandten teilen. Dufresne sagte, einige der gestohlenen Informationen seien später online verkauft worden.

Die Untersuchung wurde letztes Jahr in Zusammenarbeit mit dem britischen Datenschutzbeauftragten John Edwards eingeleitet.

„23andMe hat es versäumt, grundlegende Schritte zum Schutz der persönlichen Daten seiner Kunden zu unternehmen. Ihre Sicherheitssysteme waren unzureichend, es gab Warnsignale und das Unternehmen reagierte nur langsam“, sagte Edwards.

Wie andere Unternehmen für Gentests verwendet 23andMe Speichelproben, um Berichte über die Abstammung eines Kunden sowie mögliche Veranlagungen für bestimmte Gesundheitszustände zu erstellen.

ANSEHEN | Der britische Datenschutzbeauftragte John Edwards verhängt eine Geldstrafe gegen 23andMe:

In einer gemeinsamen Pressekonferenz am Dienstagmorgen in Ottawa verkündete der britische Datenschutzbeauftragte John Edwards eine Geldstrafe von 2,31 Millionen Pfund Sterling gegen das Gentestunternehmen 23andMe. Diese Entscheidung folgte einer gemeinsamen Untersuchung mit dem kanadischen Datenschutzbeauftragten Philippe Dufresne. Edwards erklärte, das Unternehmen habe es versäumt, grundlegende Sicherheitsmaßnahmen zum weltweiten Schutz personenbezogener Daten umzusetzen.

Fast 320.000 Kanadier und 150.000 Menschen in Großbritannien waren von dem Datenleck im Jahr 2023 betroffen, sagten die Kommissare.

Edwards sagte, Großbritannien habe dem in San Francisco ansässigen Unternehmen wegen des Datenlecks eine Geldstrafe in Höhe von 4,2 Millionen Dollar auferlegt, Dufrense hingegen sagte, er habe nicht die Macht, das Unternehmen mit Geldstrafen zu belegen.

„[Die Befugnis, Unternehmen zu bestrafen] ist bei Datenschutzbehörden weltweit weit verbreitet und notwendig. Leider bietet mir das kanadische Datenschutzgesetz dies noch nicht“, sagte Dufrense.

In der Vergangenheit wurden Gesetzesänderungen vorgeschlagen , die dem Datenschutzbeauftragten die Befugnis zur Verhängung von Geldbußen einräumen würden. Diese wurden jedoch nie umgesetzt. Dufrense äußerte die Hoffnung, dass das neue Parlament bald erneut Änderungen vorschlagen werde.

SEHEN SIE | Kanadas Datenschutzbeauftragter sagt, sein Büro sollte in der Lage sein, Geldstrafen zu verhängen:

Kanadas Datenschutzbeauftragter Philippe Dufresne fordert bessere Instrumente und erklärt, das kanadische Gesetz verbiete ihm die Verhängung von Geldbußen, wie es sein britischer Amtskollege nach einer Untersuchung des Gentestunternehmens 23andMe nach einem weltweiten Datenleck getan habe.

23andMe meldete Anfang des Jahres Insolvenz an und kündigte den Verkauf seiner Vermögenswerte an. Das bedeutet, dass Kundendaten „abgerufen, verkauft oder übertragen“ werden könnten. Das Unternehmen erklärte jedoch, das Insolvenzverfahren habe keinen Einfluss darauf, wie Kundendaten gespeichert, verwaltet oder geschützt werden.

Dufresne und Edwards sagten, sie erwarteten von dem Unternehmen, dass es die Benutzerdaten bei jedem Verkauf angemessen schütze.

„Wir werden dies sorgfältig verfolgen … die [Datenschutz-]Verpflichtungen sollten auch für jeden neuen Eigentümer weiterhin gelten“, sagte Dufresne.