Das Wichtigste im Überblick:
- Der weltweite Marktumsatz für direkte Verbraucher-Gentests soll im Jahr 2028 rund 6,4 $ Milliarden erreichen.
- Eine einheitliche Regulierung des Sektors ist nicht vorhanden und wirft erhebliche rechtliche Bedenken auf.
- Die Blockchain-Technologie kann wirksam beim Schutz sensibler Daten eingesetzt werden.
In unserer globalisierten Welt leben viele Familien über mehrere Länder, oder sogar Kontinente, verstreut. Oft begeben sich Nachfahren auf die Suche nach ihren Wurzeln im Ausland und sind sogar bereit, viel Geld auszugeben, um jahrhundertealte Familienunterlagen zu finden.
Kein Wunder, dass Online-Ressourcen für Genealogie so beliebt geworden sind. Mit ihrer Hilfe kann man seinen Stammbaum erstellen, Fotos hochladen und historische Auszeichnungen durchsuchen. Außerdem bieten solche Dienste in der Regel die sogenannte DNA-Analyse, die mehr über eigene Herkunft oder sogar genetisch bedingte Gesundheitsrisiken sagen soll.
Und noch spannender: Die gemeinsame DNA kann Vorfahren und entfernte Verwandte aufspüren. Doch wie sicher werden die Daten aufbewahrt? Gibt es eigentlich eine gesetzliche Regelung dafür? Und warum könnte die Blockchain-Technologie der Schlüssel zum Schutz persönlicher Informationen sein?
Das Geschäft mit Direktverbraucher-Gentests
Den Selbsttest kann man bequem von zu Hause aus durchführen: DNA-Kit bestellen, Speichelprobe entnehmen und sie im Röhrchen ins Labor schicken. Das Ergebnis kommt einige Wochen später per E-Mail.
Das Geschäft mit Gentests boomt weltweit. Laut den Daten von Statista lag der globale Marktumsatz für direkte Verbraucher-Gentests (engl. direct-to-consumer genetic testing, DTC-GT) im Jahr 2018 bei rund 824 $ Millionen. Bis 2028 soll der Wert auf nahezu 6,4 $ Milliarden steigen.
Über 250 Unternehmen bieten ihren Kunden bereits DNA-Tests in verschiedenen Bereichen wie Forensik, Ahnenforschung, Gesundheit, Pharmakogenomik, Gesundheit und Ernährung.
Zu den führenden DNA-Unternehmen weltweit gehören dabei 23andMe mit fast 116 Millionen Online-Impressionen und -Erwähnungen im 1. Quartal 2022, gefolgt von Ancestry und MyHeritage mit rund 34 Millionen bzw. vier Millionen Online-Impressionen.
Rechtliche Bedenken
Mit der Übermittlung einer DNA-Probe zwecks Analyse geben die Personen nicht nur sensible Informationen über sich selbst, sondern auch über Familienmitglieder, mit denen sie eine genetische Verwandtschaft haben.
Eine Zustimmung der Familienangehörigen ist nämlich nicht erforderlich – ein bedenkenswerter Aspekt, da digitale Daten über Einzelpersonen möglicherweise für immer gespeichert werden und auch Kinder oder Ungeborenen betreffen können.
„Genomdaten sind etwas Besonderes, da sie nicht nur unseren genetischen Code, sondern auch den unserer Familie und unserer Kinder enthalten. Die Wahrung der Privatsphäre und die Sicherheit der genetischen Daten ist sowohl unmittelbar als auch langfristig von größter Bedeutung“, sagt Caroline Rivett, Leiterin des Bereichs Digital, Sicherheit und Datenschutz, KPMG in Großbritannien.
Die Weitergabe solcher Daten könnte sich für diese Personen in vielen Bereichen negativ auswirken, z. B. bei den Beschäftigungsaussichten, Beziehungen und Versicherungsbeiträgen.
Datenschutzverletzungen in Form von Hacking von Passwörtern und Servern, Diebstahl von Speichermedien sowie menschliches Versagen oder Versäumnisse der Datenverwalter selbst stellen hier ein großes Risiko dar. Wenn Daten von Zweigstellen einer Firma oder von ihren Dienstleistern, die in einem anderen Land ansässig sind, gespeichert und verarbeitet werden, kann die ursprüngliche Datenschutzvereinbarung des Kunden außerdem unterschiedlichen rechtlichen Vorschriften unterliegen.
Große Datenpannen
Am Freitag, den 6. Oktober 2023, bestätigte 23andMe eine Kompromittierung der Daten einiger seiner Nutzer. Angeblich wurden die Systeme des Unternehmens nicht angegriffen.
Vielmehr sammelten die Kriminellen die Informationen, indem sie die Anmeldedaten einer Gruppe von Usern errieten und dann die Angaben weiterer Personen aus einer Funktion namens DNA Relatives abfragten.
Der Hacker verkauft 23andMe-Datenprofile für 1 bis 10 $. Darunter sind auch Daten von Mark Zuckerberg, Elon Musk und Sergey Brin.
MyHeritage gab im Juni 2018 zu, die Kontrolle über die Kundendaten von bis zu 92 Millionen Konten verloren zu haben. So erhielt der Chief Information Security Officer von MyHeritage eine Nachricht von einem Sicherheitsforscher, dass er eine Datei namens myheritage mit E-Mail-Adressen und gehashten Passwörtern auf einem privaten Server außerhalb von MyHeritage gefunden hatte.
Die anschließende Überprüfung durch das IT-Sicherheitsteam des Unternehmens bestätigte, dass sie von MyHeritage stammte und alle E-Mail-Adressen von Nutzern, die sich bis zum 26. Oktober 2017 bei MyHeritage angemeldet hatten, sowie deren gehashte Passwörter enthielte.
Im Jahr 2017 war Ancestry.com Opfer einer Datensicherheitsverletzung. Dabei wurden rund 300.000 Datensätze mit E-Mail-Adressen, Benutzernamen und Passwörtern aus RootsWeb, einem Online-Forum der Genealogie-Website Ancestry.com, gehackt.
Am 20. Dezember 2017 teilte ein externer Sicherheitsforscher dem Unternehmen mit, dass Kontoinformationen in einer Datei auf dem RootsWeb-Server offengelegt worden waren. Daraufhin bestätigte Ancestry den Verstoß.
DNA-Selbsttests in Deutschland: nur die Herkunftsanalyse
Datenschutzgesetze wie das amerikanische Gesetz über die Nichtdiskriminierung von genetischen Informationen (Genetic Information Nondiscrimination Act, 2008) bieten den Kunden ein gewisses Maß an Sicherheit, weil die Ergebnisse keine Auswirkungen auf Krankenversicherungsverträge und die Beschäftigung haben dürfen. Das Gesetz weist jedoch mehrere Schwachstellen auf. Es gilt nämlich nicht für Lebens-, Pflege- oder Berufsunfähigkeitsversicherungen.
Im Vereinigten Königreich, Belgien und Italien sind die Rechtsvorschriften ähnlich lückenhaft, da die derzeitigen Regelungen DTC-GT nicht oder nur unzureichend (im Falle Italiens) abdecken. In Deutschland, genauso wie in Frankreich, Portugal und der Schweiz, dürfen medizinisch relevante Gentests hingegen ausschließlich von Ärzten veranlasst werden.
Aus diesem Grund sind für Deutsche nur DNA-Tests für die Abstammungsanalyse verfügbar, allerdings schließt es keinen Datenmissbrauch aus.
Wie kann Blockchain zur Sicherheit von Genomdaten beitragen?
Die Blockchain-Technologie eignet sich optimal für den sicheren Austausch von Daten. Viele Branchen nutzen sie bereits jetzt, um sich vor Cybersecurity-Risiken zu schützen und mehr Kontrolle und Datensicherheit zu gewährleisten.
Bei einer Blockchain handelt es sich um ein kryptografisch sicheres, verteiltes Register. Die Verwaltung einer Blockchain wird nicht von einer zentralen Stelle betrieben. Stattdessen speichern die Computer in einem Peer-to-Peer-Netzwerk (P2P) jeweils eine Kopie des Ledgers, wobei die Transaktionen durch einen dezentralen Konsensmechanismus überprüft werden.
Transaktionen werden in Blöcken gespeichert, die mit einem Zeitstempel versehen sind. Jeder von ihnen ist mit dem vorhergehenden Block durch einen kryptografischen Hash verbunden (verkettet), der aus dem Inhalt des vorhergehenden Blocks gebildet wird.
Die Hash-Verknüpfungen machen es unmöglich, Daten in einem Block zu ändern, ohne dass gleichzeitig alle nachfolgenden Blöcke in der Kette angepasst werden. Im Wesentlichen bedeutet dies, dass bei jedem Versuch, Daten zu bearbeiten oder zu löschen, die kryptografische Kette unterbrochen wird und alle Knoten im Netzwerk unmittelbar über das Problem alarmiert werden.
Blockchain und GDPR
Die neue EU-Datenschutzverordnung (engl. General Data Protection Regulation, GDPR) zwingt Unternehmen zu einer sorgfältigen Überlegung, wie sie mit Kundendaten umgehen.
Der rechtliche Rahmen der Europäischen Union legt fest, wie personenbezogene Daten gesammelt und verarbeitet werden dürfen. Die GDPR ist am 25. Mai 2018 in Kraft getreten und gilt für alle Organisationen mit Sitz in der EU, die personenbezogene Daten verarbeiten, und alle Organisationen weltweit, die Daten von EU-Bürgern verarbeiten.
Der Einsatz von Blockchains ermöglicht es Unternehmen, die Einhaltung der GDPR nachzuweisen und zu gewährleisten. Auch das Konzept der „Off-Chain-Speicherung“ personenbezogener Daten könnte für die Blockchain im Zusammenhang mit der Befolgung der Verordnung nützlich sein.
Die Off-Chain-Speicherung wird für große Datensätze oder Daten mit strenger Zugriffskontrolle verwendet. In diesen Fällen kommt entweder Cloud-Speicher oder ein anderes dezentrales Dateisystem wie IPFS (engl. Interplanetary File System) zum Einsatz. Bei Off-Chain-Speicherung werden Daten gehasht, wodurch eine kleine Zeichenfolge entsteht. Diese kann effizient in Blockchain-Transaktionen oder in einem Smart Contract gespeichert werden.
Fazit
Auch wenn die DNA-Analyse interessante Erkenntnisse liefern kann, beruht diese auf der Auswertung persönlicher Informationsquelle und deshalb ist ihr Schutz unerlässlich.
Die Blockchain-Technologie ist aufgrund ihrer Funktionsweise für die Lösung von Datenschutzfragen optimal geeignet.
Die Speicherung von Informationen erfolgt in einem Netzwerk von Computern, was Transparenz der Datenübertragung schafft und das Hacken des Netzwerks zunehmend erschwert. Die Technologie wird bereits für ähnliche Probleme des Datenschutzes und der Informationssicherheit in Hunderten von verschiedenen Fällen verwendet und hat ein hohes Potenzial, zum Standard in puncto Verbraucherdatenschutz zu werden.
Quellen:
- Marktumsatz für Endverbraucher-Gentests weltweit im Jahr 2018 und Prognose für 2028 (in Millionen US-Dollar), Statista Research Department, 25. Januar 2022
- Leading DNA companies worldwide between January and March 2022, by number of online impressions, Statista, 6. Januar 2023
- Direct-to-consumer genetic testing, Opportunities and risks in a rapidly evolving market (KPMG-Studie, 2018)
- Direct-to-Consumer Genetic Testing: A Comprehensive View (The Yale Journal of Biology and Medicine (P. Su), September 2013)