Hinweis der Redaktion: Wir unterstützen nicht den Upload von DNA-Daten, die Sie von anderen Testdiensten erhalten haben, zu 23andMe. Dieser Artikel erklärt die Risiken des Hochladens Ihrer DNA-Daten zu Diensten von Drittanbietern.
Bei 23andMe haben Sie die Kontrolle über Ihre genetischen Daten. Das bedeutet, dass Sie selbst entscheiden können, welche Informationen Sie erfahren und welche Sie weitergeben möchten. Es ist jedoch wichtig, dass Sie über die Risiken der Weitergabe Ihrer genetischen Daten an andere Dienste informiert sind.
Nach dem Erhalt von personalisierten genetischen Berichten von 23andMe können sich Kunden dafür entscheiden, ihre rohen DNA-Daten herunterzuladen. Einige Kunden tun dies, um ihre Daten auf Drittanbieterdienste hochzuladen, die anbieten, ihre rohen DNA-Daten zu interpretieren, um neue genetische Verwandte zu finden oder zusätzliche genetische Berichte zu erhalten. 23andMe kann jedoch nicht für die wissenschaftliche Gültigkeit oder Genauigkeit oder die Klarheit in der Kommunikation der Ergebnisse solcher Drittanbieterdienste einstehen. Tatsächlich bietet nur 23andMe einen Gentest für Verbraucher mit Gesundheitsberichten an, die die unabhängige Zusicherung der FDA für die Gültigkeit und Klarheit der Ergebnisse haben (ohne ein Rezept zu benötigen).
Abgesehen von den Bedenken bezüglich der wissenschaftlichen Validität kann das Hochladen Ihrer DNA-Rohdaten zu einem Drittanbieterdienst auch Ihre Privatsphäre gefährden. Das ist zum Teil der Grund, warum 23andMe seinen Kunden wichtige Warnhinweise gibt, bevor sie sich für den Download entscheiden.
Die meisten Genetikunternehmen für Endverbraucher, darunter auch 23andMe, ermöglichen den Download der eigenen DNA-Rohdaten. An diesem Punkt steht es dem Kunden frei, mit seinen DNA-Rohdaten zu tun, was er möchte, wie z.B. die Entscheidung, diese DNA-Rohdaten auf Dienste von Drittanbietern hochzuladen.
Welche Risiken birgt das Hochladen Ihrer DNA-Daten auf eine Drittanbieter-Website?
Bei 23andMe sind wir uns mit unseren Nutzern über die Risiken der Nutzung von Drittanbieterdiensten im Klaren, die zusätzliche Einblicke in Gesundheit, Wellness oder Merkmale bieten. Das liegt daran, dass nur ausgewählte Genotypdaten, die speziell in unseren Gesundheitsberichten verwendet werden, individuell auf ihre Genauigkeit überprüft wurden. Der Rest Ihrer Daten wurde zwar einer allgemeinen Qualitätsprüfung unterzogen, aber nicht in dem Umfang validiert wie die Daten, die unseren offiziellen 23andMe-Berichten zugrunde liegen. Aus diesem Grund sollten rohe DNA-Daten nicht für medizinische Zwecke verwendet werden und wir empfehlen nicht die Nutzung von Drittanbieterdiensten, die behaupten, rohe DNA-Daten zu interpretieren, um Gesundheitsinformationen zu liefern.
Konsumenten führen auch Bedenken darüber an, dass Strafverfolgungsbehörden DNA-Daten von Tatorten auf Drittanbieterdienste hochladen, um einen ungeklärten Fall zu lösen. Einfach ausgedrückt: Das Hochladen von Tatort-DNA-Daten in die 23andMe-Umgebung ist nicht möglich, weil wir das Hochladen von DNA-Daten, die von einem Drittlabor verarbeitet wurden, nicht unterstützen.
Weiterhin ist im Transparenzbericht von 23andMe detailliert dargelegt, dass wir die individuellen DNA-Daten unserer Kunden nicht an Dritte – einschließlich Strafverfolgungsbehörden – weitergeben, ohne die ausdrückliche Zustimmung des Kunden zu erhalten, es sei denn, dies ist gesetzlich vorgeschrieben.
Diese Sorge um den Upload von Tatort-DNA-Daten durch die Strafverfolgungsbehörden ist jedoch eine reale Sorge, vor der wir unsere Kunden warnen, sollten sie sich dafür entscheiden, ihre DNA-Daten auf andere Drittplattformen hochzuladen, einschließlich öffentlicher Genealogiedienste oder anderer Drittdienste, die den Upload von DNA-Daten erleichtern.
Aber es gibt noch eine andere Form der Verwundbarkeit, die weniger gut bekannt ist: Innerhalb von Datenbanken, die den Upload von DNA-Rohdaten mit Zugang zu relativen Matching-Merkmalen erlauben, können Personen mit böswilligen Absichten echte oder gefälschte „Trojanische Pferde“-Genetikprofile hochladen, um Zugang zu Ihren persönlichen Identifikationsdaten zu erhalten. Sie könnten sogar auf Ihre spezifischen DNA-Varianten schließen – zum Beispiel auf Informationen über Krankheitsrisikovarianten, die Sie möglicherweise tragen.
Wie kann das passieren?
- Viele Verwandten-Matching-Dienste ermöglichen es Ihnen, den genauen Abschnitt oder die Abschnitte der DNA zu sehen, die Sie mit jedem Verwandten teilen.*
- Wenn das Hochladen von DNA-Daten erlaubt ist, bedeutet dies, dass Sie nicht mehr sicher wissen, dass das Profil Ihres Verwandten tatsächlich von Ihrem Verwandten kontrolliert wird, und ein böswilliger Akteur könnte echte oder gefälschte DNA-Daten hochladen, um Informationen über Sie basierend auf Abschnitten der übereinstimmenden DNA abzuleiten, einschließlich aller Krankheitsrisikovarianten, die Sie möglicherweise haben.
- Selbst wenn gemeinsame Segmente nicht angezeigt werden, gibt es immer noch Möglichkeiten, dass Personen mit böswilligen Absichten einige Ihrer DNA-Varianten ableiten können.
Diese Sicherheitslücke wurde kürzlich in zwei Berichten beschrieben: Einer von der University of Washington und ein weiterer von der University of California, Davis. Die Autoren dieser Berichte erklären mehrere Möglichkeiten, wie ein „Angreifer“ die Genotypen von Personen „entweder an Schlüsselpositionen oder an vielen Stellen genomweit“ in Datenbanken, die DNA-Daten-Uploads mit Relativ-Matching erlauben, ableiten kann.
Beide Berichte skizzieren spezifische Möglichkeiten für Dienste, das Risiko zu mindern, wie z.B. die Begrenzung der in Relativ-Matching-Funktionen angezeigten Informationen.
Während diese Praktiken das Risiko reduzieren können, glauben wir, dass die einfachste und effektivste Verteidigung darin besteht, Personen, die durch andere Testdienste genotypisiert wurden, nicht zu erlauben, ihre DNA-Daten auf 23andMe hochzuladen, um genetische Verwandte zu entdecken.
In der Vergangenheit hat 23andMe DNA-Uploads von anderen Gentestservices für Verbraucher unter ganz bestimmten Umständen erlaubt. Insbesondere am DNA-Tag im April 2018 hat 23andMe Personen, die bei anderen Unternehmen getestet haben, erlaubt, ihre Ergebnisse hochzuladen, um auf eine Teilmenge unserer Merkmalsberichte zuzugreifen, aber 23andMe hat die Entdeckung neuer Verwandter für diese Konten nicht ermöglicht.
Wie stellt 23andMe sicher, dass nur echte, einwilligende Personen an unserem Service teilnehmen?
In einem Wort: Spucken.
Wenn Sie in die Röhre spucken, begeben Sie sich auf das Abenteuer Ihres Lebens. Sie vertrauen 23andMe auch einige Ihrer persönlichsten Informationen an.
Durch die Speichelprobe kann 23andMe verifizieren, dass Sie eine echte Person sind, die sich entschieden hat, an dem Dienst teilzunehmen. Während es einfach sein mag, gefälschte DNA-Daten hochzuladen, ist es eine ganz andere Sache, eine Spuckprobe zu fälschen, bei der ein Röhrchen mit mehr als zwei Millilitern Spucke gefüllt werden muss. So wissen Sie, dass „Linda, Ihre Cousine vierten Grades, von der Sie nicht wussten, dass sie existiert“, eine echte Person ist, die sich für 23andMe entschieden hat. Linda musste auch in ein Röhrchen spucken.
Welche Fragen sollten Sie sich stellen?
Wenn Sie überlegen, ob Sie Ihre DNA-Rohdaten auf eine andere Website hochladen sollen oder nicht, empfehlen wir Ihnen, sich mit deren Datenschutz- und Sicherheitsrichtlinien vertraut zu machen, bevor Sie Ihre DNA-Rohdaten hochladen.
Denken Sie an die folgenden Fragen:
- Bevor Sie Ihre DNA-Daten hochladen, fragen Sie sich: Muss ich das wirklich tun? Bin ich bereit, die Sicherheit und Privatsphäre meiner DNA-Daten zu riskieren, indem ich sie bei einem Drittanbieter-Service hochlade?
- Recherchieren Sie! Hat der Drittanbieter eine Erfolgsbilanz in Bezug auf Datenschutz und Datensicherheit?
- Wie wird der Drittanbieter Ihre Daten verwenden? Wie können Ihre Informationen weiter mit anderen Dritten geteilt werden?
- Wenn Sie nicht an der Entdeckung neuer Verwandter interessiert sind, aber zusätzliche DNA-Einblicke wünschen, schließt der andere Dienst explizit Funktionen aus, die sich auf die Entdeckung genetischer Verwandter beziehen?
Ein früherer Artikel, der unsere Haltung zum Schutz der Kundendaten beschreibt, ist hier verfügbar.