Montana setzt neue Maßstäbe bei der genetischen Sicherheit

Von Danny Bradbury • 28 September 2023

US-Bundesstaaten gewähren Verbrauchern zunehmend mehr Datenschutzrechte in Bezug auf ihre digitalen Informationen, aber was ist mit ihren biologischen Daten? Ihre E-Mail-Adresse und Telefonnummer sind zwar sensibel, aber im Vergleich zu dem, was in Ihrer DNA steckt, verblassen sie. Mithilfe genetischer Informationen können Menschen auf verschiedene Dinge über Sie schließen, von Ihrer Veranlagung für mehrere Krankheiten bis hin zu Egal, ob Sie der Typ sind, der den Nervenkitzel sucht oder nicht.

Weniger als ein Vierteljahrhundert nach der Kartierung des menschlichen Genoms sind Direct-to-Consumer-Gentests (DTC) eine Wachstumsbranche. Laut YouGov eins im Fünf Die Amerikaner haben ihre DNA bereits zum Testen eingeschickt. Mehr als die Hälfte der Befragten von YouGov waren der Meinung, dass der Datenschutz ein Problem darstellte, doch angesichts der Verlockung einer aufregenden neuen Technologie nutzten sie trotzdem die genetischen Dienste von DTC.

Diese Befürchtungen hinsichtlich der genetischen Privatsphäre sind begründet. Im Gegensatz zu einer Telefonnummer können Sie Ihre Gene nicht verändern – und dennoch ist die Privatsphäre Ihrer genetischen Informationen weitgehend unreguliert. Dank der datenschutzbewussten Montaner ändert sich das nun langsam. Der Staat hat ein Gesetz namens „ Gesetz zum Schutz genetischer Informationen das strenge Regeln für die Erhebung und Nutzung genetischer Daten vorschreibt.

Das neue Gesetz interpretiert „genetische Daten“ im weitesten Sinne und umfasst nicht nur jede sequenzierte DNA, sondern auch alle Phänotypinformationen aus dieser Sequenzierung, die es Menschen ermöglichen, Verhalten und körperliche Merkmale vorherzusagen. Darüber hinaus umfasst es auch alle selbst gemeldeten Informationen über Gesundheitszustände, die ein Unternehmen zusammen mit diesen DNA-Daten für Forschungszwecke verwendet.

Ab dem 1. Oktober, wenn das Gesetz in Kraft tritt, muss jede Organisation, die genetische Informationen kontrolliert, die Zustimmung des Verbrauchers einholen, um diese zu übertragen, zu verwenden und aufzubewahren. Der Verbraucher muss seine Einwilligung erteilen, bevor er die Daten zu Forschungszwecken an Dritte weitergibt.

Warum brauchen wir ein genetisches Gesetz?

Wann Consumer Reports Als das Unternehmen bekannte DTC-Genetikdienste testete, kam es zu dem Schluss, dass diese im Allgemeinen für die DNA-Daten der Kunden verantwortlich sind. Sie verkauften die genetischen Daten nicht an Datenmakler und forderten von den Kunden eine Einwilligung, wenn sie die Daten für Forschungszwecke nutzen wollten. Ohne entsprechende Gesetze ist dies jedoch vor allem auf ihre Selbstbeherrschung angewiesen. In dem Bericht wurde auch darauf hingewiesen, dass „Forschung“ einige unerwartete, nicht altruistische Anwendungsfälle abdecken könnte, einschließlich der internen Produktentwicklung, und dass in vielen Fällen auch nicht-DNA-Daten über eine Person, einschließlich Gesundheitsinformationen, weitergegeben werden könnten.

Die Untersuchung von Consumer Reports betraf 1Health nicht. Im September 2023 wird die Federal Trade Commission beigelegt mit diesem DTC-Genetikunternehmen, früher bekannt als Vitagene, wegen Misshandlung von Verbraucherdaten. Die Kommission behauptete, dass das Unternehmen seine Datenschutzrichtlinie rückwirkend geändert habe, ohne die Kunden zu informieren, und damit den Kreis der Dritten ausgeweitet habe, an die es Daten weitergeben würde. Die erweiterte Liste umfasste Supermarktketten und Hersteller von Nahrungsergänzungsmitteln.

Der Beschwerde der FTC zufolge hat 1Health/Vitagene es auch versäumt, Kundendaten zu anonymisieren, indem es sie ohne die dazugehörigen Identitätsinformationen, wie etwa ihren Namen, gespeichert hat. Berichten zufolge wurden die genetischen Daten einiger Kunden zusammen mit anderen identifizierenden Informationen gespeichert, darunter Gesundheitsberichte und teilweise oder vollständige Namen. Einige Daten seien unverschlüsselt in der Cloud gespeichert worden, so die Kommission sagte.

Ohnehin sind genetische Informationen besonders schwer zu anonymisieren. Diese Vorstellung – dass die Daten irgendwie bereinigt werden können, um ihre Verwendung zur Identifizierung eines Patienten zu vermeiden – ist fraglich. Die bloße Speicherung der Daten ohne begleitende identifizierende Daten reicht nicht aus. Das National Human Genome Research Institute der US-Regierung warnt der Möglichkeit, Menschen anhand ihrer Genominformationen erneut zu identifizieren. Dies ist auf verschiedene Weise möglich, einschließlich Querverweisen auf andere Datenbanktypen oder der Zugehörigkeit zu identifizierbaren Bevölkerungsgruppen wie ethnischen Gruppen.

Es lag an der FTC, 1Health in ihrem Vergleich über 75,000 US-Dollar ins Visier zu nehmen, da das geltende Recht genetische Daten nicht umfassend regelt. Beispielsweise fallen DTC-Gentestunternehmen nicht unter die bundesstaatliche Datenschutzverordnung für medizinische Daten (HIPAA), die für Gesundheitsdienstleister oder Versicherer gilt. Der bundesstaatliche Genetic Information Nondiscrimination Act 2008 (GINA) verhindert, dass Krankenversicherer oder Arbeitgeber Menschen zur Herausgabe ihrer genetischen Daten zwingen oder diese zur Diskriminierung nutzen. Allerdings gilt dies nicht für DTC-Genetik-Dienstleister.

Es reicht nicht aus, Unternehmen wegen betrügerischer Praktiken zu verklagen, wenn es keine geeigneten Gesetze zum Schutz der genetischen Privatsphäre gibt. Im Jahr 2021 hat Justin Sherman, Fellow und Forschungsleiter des Data Brokerage Project der Duke University Sanford School of Public Policy, gedrängt Der Finanzausschuss des Senats forderte, den Verkauf genetischer Daten an Dritte streng zu kontrollieren.

Eine Geschichte der datenschutzbewussten Gesetzgebung in Montana

Montana hat in der Vergangenheit bahnbrechende Datenschutzgesetze erlassen. Im Jahr 2013 wurde es der erste Zustand, um die Polizei zu zwingen, einen Haftbefehl einzuholen, bevor Standortinformationen von elektronischen Geräten erfasst werden. Mit dem im April 2023 verabschiedeten Consumer Data Privacy Act ist es auch anderen Bundesstaaten bei der Einführung allgemeiner Gesetze zum Schutz der Privatsphäre von Verbrauchern gefolgt.

Montana ist auch nicht der einzige Staat, der sich mit der genetischen Privatsphäre befasst. Im Jahr 2021 verabschiedete auch Maryland ein Gesetz, das einen Haftbefehl für die forensische genetische Genealogiesuche (FGGS) vorschreibt. Diese Art der Rastersuche in Genealogie-Datenbanken führte zur Gefangennahme des Golden-Gate-Mörders Joseph James DeAngelo. Montanas GIPA verstärkt dieses Anti-Dragnet-Gesetz, indem es DTC-Gentestunternehmen daran hindert, Daten ohne Zustimmung des Verbrauchers oder ohne ordnungsgemäße rechtliche Verfahren weiterzugeben.

Im Oktober 2021 auch Kalifornien Bestanden zwei Gesetzesentwürfe, die direkt für die genetische Sicherheit relevant sind. Der Genetic Privacy Act (SB 41) verlangt von Kunden, die Gentests direkt an den Verbraucher senden, die Zustimmung des Verbrauchers einzuholen, bevor sie ihre genetischen Daten sammeln, verwenden oder offenlegen. Das zweite Unternehmen, AB 825, fügte genetische Daten zu seinen Rahmenwerken für Datensicherheit und Benachrichtigung über Datenschutzverletzungen hinzu.

Was wird der Effekt sein?

Die Strafverfolgungsbehörden haben eine Möglichkeit, die Datenschutzgesetze zu umgehen, indem sie häufig auf andere Kanäle zurückgreifen. Die Polizei hat zugegriffen Handy-Standortdaten legal von Datenbrokern kaufen, auch wenn andere Staaten dem Beispiel Montanas folgten und Standortdatenschutzbestimmungen einführten. Allerdings erschweren Gesetze, die den Upstream-Verkauf von Daten beschränken und nicht nur Anwendungsfälle der Downstream-Überwachung angehen, die Beschaffung der Daten an anderer Stelle von vornherein.

Montanas GIPA erlaubt keine Privatklagen, ermöglicht es dem Generalstaatsanwalt jedoch, Klagen gegen Straftäter zu erheben und tatsächliche und gesetzliche Schadensersatzansprüche geltend zu machen. Das verleiht ihm zwar nicht die allerschärfsten Zähne, aber ein sympathischer Generalstaatsanwalt könnte DTC-Genetikunternehmen, die die Privatsphäre der Kunden nicht respektieren, dennoch einen bösen Kuss verpassen. Zumindest ist es ein Anfang.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 18 December 2025

Wie man sich im Labyrinth der US-KI-Compliance zurechtfindet (Banner)

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Im Bereich der Regulierung ist der Begriff „Vereinigte Staaten“ ein Widerspruch in sich. Die Gesetze der einzelnen Bundesstaaten sind alles andere als einheitlich, jede Gerichtsbarkeit hat ihre eigenen Traditionen…

Danny Bradbury

Internet-Sicherheit 20 November 2025

Was uns die Salesforce-Sicherheitslücken über gemeinsame Verantwortlichkeit lehren

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

2025 war kein gutes Jahr für Salesforce-Kunden. Eine dubiose kriminelle Gruppe verübte eine Reihe von Angriffen auf deren Kunden, die letztendlich …

Danny Bradbury

Internet-Sicherheit 13 November 2025

Bewertung des Kurswechsels der Trump-Regierung in der US-Cybersicherheitspolitik (Banner)

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik

Jüngste Exekutivmaßnahmen und Umstrukturierungen von Behörden markieren einen bedeutenden Wandel in der Cybersicherheitsstrategie des Bundes und werfen Fragen zur nationalen Sicherheit auf...

Danny Bradbury