Wollte ein Gentest-Anbieter Kundendaten an Supermärkte verkaufen?

Das Geschäftsmodell von 1Health.io (Vitagene) ist einfach: Verbrauchern, die zwischen 49 und 169 US-Dollar zahlen, bekommen auf Basis einer Speichelprobe einen Gentest und nach der Auswertung einen personalisierten Gesundheitsbericht. Das Problem: Zwischen 2016 und 2020 waren laut der für Datenschutz zuständigen US-Handelsaufsicht FTC die Daten vieler Testergebnisse inklusive zahlreicher Fakten unsicher im Internet gespeichert und auch eine Protokollierung der Zugriffe fand nicht statt.

Und das, obwohl die Datensätze nicht nur die Klarnamen der Kunden und ihrer Ärzte, sondern auch Informationen über deren aktuelle Gesundheit sowie deren Genetik und den daraus resultierenden Risikoniveaus für bestimmte Erkrankungen enthielten. Erschwerend kommt laut der Behörde hinzu, dass das Unternehmen viele Jahre lang daran nichts änderte, auch nachdem es zwischen Juli 2017 und Juni 2019 mehrfach Hinweise auf die Sicherheitslücke erhielt.

Die FTC rügte darum das Unternehmen, dem es in seiner formellen Beschwerde noch weitere Versäumnisse vorwirft. Besonders schwerwiegend: 1Health.io soll 2020 seine Datenschutzrichtlinien so geändert haben, dass es die Arten von Dritten, mit denen es Verbraucherdaten teilen darf, rückwirkend ausgeweitet hat – um Supermarkt- und Lebensmittelketten, Hersteller von Nahrungsergänzungsmitteln und dergleichen einzuschließen.

Diese Änderung soll vorgenommen worden sein, ohne das die Kunden benachrichtigt wurden, die ihre Daten gemäß der früheren, restriktiveren Datenschutzrichtlinie bereitgestellt hatten. Eine Einwilligung zur Änderung der Datenschutzrichtlinie sei nicht eingeholt worden, ist sich die FTC sicher.

In einer Stellungnahme gegenüber c't bestritt 1Health.io einen Teil der Vorwürfe. So habe es erst 2019 einen Hinweis auf die frei zugänglichen Kundendaten erhalten, argumentiert das Unternehmen, das „viele der Schlussfolgerungen der FTC nicht teilt“. Stattdessen warf 1Health.io der ermittelnden Behörde „außerordentlichen Missbrauch behördlicher Gewalt“ vor – und erklärte zu seiner Verteidigung, bei zwei anderen US-Laboren habe es 2018 und 2019 viel größere Datenschutzverletzungen gegeben.

Um den Fall beizulegen, hat 1health.io laut US-Medienberichten jetzt doch einem Vergleich mit der Behörde zugestimmt. Dieser sieht vor, dass ein umfassendes Informationssicherheitsprogramm implementiert wird, einschließlich einer alle zwei Jahre stattfindenden Bewertungen durch Dritte. Außerdem beinhaltet der Vergleich eine Geldstrafe von 75.000 US-Dollar, die zur Entschädigung jener tausenden Kunden genutzt werden soll, deren Daten jahrelang unverschlüsselt im Internet gespeichert waren. Ob deren Daten auch durch Dritte eingesehen oder von anderen Unternehmen als 1Health.io genutzt wurden, ist nicht bekannt.