Herauszufinden, wo genau die Ahnen und Ur-Ahnen herkommen, ist spannend. Einfach und kostengünstig ist es dank des Internets ebenfalls, denn dort werden Hunderte verschiedene Lifestyle-Gentests angeboten. Nebst der Ahnenforschung sind auch Tests zu Ernährung und Sport beliebt.
Wie Millionen andere Menschen weltweit hat auch Alina* auf der MyHeritage-Website ein Testkit für einen «Direct-to-consumer»-Gentest bestellt. Mit dem Wattestäbchen hat sie eine DNA-Probe von der Mundschleimhaut genommen und den Test zurückgesendet. Wohin, das weiss sie heute nicht mehr genau. «USA oder so», sagt sie zu watson.
Was Alina nicht bewusst war: In der kleinen Probe befindet sich die persönlichste Information, die ein Mensch weitergeben kann – der genetische Code.
Nach wenigen Wochen kam das Ergebnis. Alina erfuhr, online auf ihrem persönlichen Profil, zu wie viel Prozent sie aus welcher Weltregion stammt. «So erfuhr ich, dass möglicherweise mehr Vorfahren von mir als gedacht aus dem Balkan stammen», erklärt sie.
Eine einfache Abwicklung, an deren Ende ein AHA- oder WOW-Erlebnis ist. Das klingt im ersten Moment überzeugend.
Einfach ist die Abwicklung dann, wenn sich der Konsument keine Gedanken darüber macht, wie es mit seinem DNA-Sample nach dem Test weitergeht. Wenn er sich aber doch damit auseinandersetzt, kommen schnell Fragen auf wie:
In welcher Datenbank landet das Erbgut und die darin enthaltenen Informationen? Und viel wichtiger: Welchen datenschutzrechtlichen Normierungen unterliegt das hochsensible Material, wenn es denn die Schweizer Grenze überquert und den EU-Raum verlassen hat?
Mit diesen Fragen hat sich Alina nicht auseinandergesetzt, bevor sie das Testkit von MyHeritage zurückgesendet hat. Während des Gesprächs mit watson schaut sie in ihrem Postfach nach, wohin sie das Sample retourniert hat, und sagt: «Ich habe es tatsächlich in die USA gesendet. Aber die Firma hat ihren Sitz in Israel. Das ist verwirrend.»
Sie erklärt, warum sie den Test gemacht hat: «Ich kenne meinen Vater nicht und wollte auf diese Weise herausfinden, woher meine Vorfahren kommen. Mit dem Datenschutz habe ich mich nie auseinandergesetzt. Ich kenne so viele Menschen, die solche Tests gemacht haben, deswegen war ich nicht so vorsichtig.»
Alina erinnert sich, dass sie ankreuzen musste, für welche Zwecke ihre DNA verwendet werden darf, doch das habe sie nicht gross interessiert. Sie habe einfach etwas angekreuzt. Sie sagt: «Ich habe gedacht, dass ich denen ja nicht mein Blut sende und sie so nicht meine gesamte DNA lesen können. Retrospektiv muss ich sagen: Ich war naiv.»
Was Alina auch nicht wusste: MyHeritage wurde 2019 gehackt und über 90 Millionen sensible Kundendaten standen im Darknet zum Verkauf. Sie sagt gegenüber watson: «Wenn ich mich genauer informiert hätte, hätte ich den Test wohl nicht gemacht. Ich weiss bis heute nicht, in welchem Land meine DNA jetzt ist, und ich habe keine Ahnung, welcher Datenschutz dort gilt. Zudem wusste ich nicht, dass die Mundschleimhaut das gesamte Erbgut beinhaltet und man daraus jegliche Erbinformation lesen kann.»
Claudia Seitz ist Rechtsprofessorin an der Privaten Universität im Fürstentum Liechtenstein (UFL) und lehrt auch an der Universität Basel. Sie steht den «Direct-to-consumer»-Gentests, wie jenem, den Alina* gemacht hat, grundsätzlich kritisch gegenüber.
Es könne nicht davon ausgegangen werden, dass der Datenschutz in jedem Fall gewährleistet sei, vor allem wenn man sich für einen Anbieter entscheidet, der seinen Sitz ausserhalb der EU hat, so Seitz.
Sie erklärt: «Diese Gentests können datenschutzrechtliche Risiken bergen. Besonders beim Persönlichkeitsschutz und beim Recht auf die informationelle Selbstbestimmung. Die Firmen besitzen nicht nur Daten wie Namen, Geburtsdatum und den Wohnort der Personen sowie je nach Test auch Gesundheitsdaten, sondern insbesondere die genetischen Daten der Konsumentinnen und Konsumenten.»
In der Schweiz seien die Daten grundsätzlich gut geschützt, aber die Frage sei schlussendlich, wo die Daten hingelangen. «Wenn die Daten sich ausschliesslich in der EU befinden, dann hat man einen relativ hohen Datenschutz durch die Europäische Datenschutzgrundverordnung. Diese schreibt nicht nur bestimmte Grundsätze bei der Datenspeicherung und -verarbeitung vor, wie Transparenz, Zweckbindung und Datenminimierung, sondern garantiert zahlreiche Rechte des Einzelnen, etwa das Recht auf Auskunft, das Recht auf Berichtigung und das Recht auf Löschung.»
Seitz erklärt: «Wenn die Daten, welche in der Schweiz oder in der EU erhoben wurden, aber unzulässigerweise an einen Ort ausserhalb der EU gelangen, der keinen ähnlich hohen Datenschutzstandard aufweist, dann können bei einem unberechtigten Datentransfer zwar hohe Bussgelder und Schadenersatzklagen drohen, die Daten sind aber dann dennoch nicht mehr geschützt. Zudem ist es fraglich, ob und inwieweit bestehende Rechte in diesem Fall durchgesetzt werden können.»
Oft stehe in den Bestimmungen auf den Websites, dass der Datenschutz gewährleistet sei und die Daten nicht weitergegeben würden, sagt Seitz. «Aber was ist, wenn das doch passiert oder die Datensammlung geleakt wird? Dann habe ich Schadenersatzansprüche als Konsumentin, weiss aber möglicherweise nicht, wo sich meine Daten befinden», führt sie aus.
Doch gibt es überhaupt Möglichkeiten, sichere «Direct-to-consumer»-Gentests durchzuführen? «Ich wäre aus Prinzip vorsichtig mit solchen Lifestyle-Gentests aus dem Internet», sagt Seitz. «Genetische Daten sind die sensibelsten Daten, die man von sich preisgeben kann, da sie den genetischen Code und damit das individuelle Erbgutprofil eines Menschen enthalten, das für jede Person einzigartig ist und welches auch als genetischer Fingerabdruck bezeichnet wird. Wieso sollte ich solche Daten von mir preisgeben für den möglicherweise ohnehin eingeschränkten Erkenntnisgewinn, den ich davon bekomme?», so Seitz.
Sie ergänzt: «Selbst wenn ich weiss, dass meine Daten in der EU bleiben und direkt nach Gebrauch gelöscht werden, kann ich mir nicht zu 100 Prozent sicher sein, ob sie nicht dennoch anders verwendet werden, etwa wegen eines Leaks oder ähnlichem. Und falls sie doch ausserhalb der EU geraten, hätte ich nur eingeschränkte Möglichkeiten zum Schutz. Ich wäre daher grundsätzlich vorsichtig.»
Obwohl Rechtsexpertinnen wie Seitz vor den Tests warnen, sind sie populär. Allen voran in den USA. Über 7 Millionen US-Amerikaner haben bereits einen «Direct-to-consumer»-Gentest gemacht.
Seitz weist auch in diesem Kontext auf eine Folge dieser Entwicklung hin: «Die Datensammlungen werden immer grösser, da solche Tests beliebt sind. Diese Sammlungen genetischer Daten aus der genetischen Stammbaumforschung, also der Ahnenforschung, werden in den USA bereits jetzt schon genutzt. Die US-amerikanischen Strafverfolgungsbehörden arbeiten mit privaten Firmen zusammen, die DNA-Informationen kollektivieren, und nutzen die DNA-Analysen, um Verwandtschaftsverhältnisse nachzuweisen und DNA-Spuren am Tatort damit abzugleichen. Dies ist zwar ein Durchbruch in der Strafverfolgung, aber trotzdem problematisch, da sich die grossen Datensammlungen bei privaten Unternehmen befinden, die dem staatlichen Zugriff grundsätzlich entzogen sind.»
Nicht nur für die Strafverfolgungsbehörden sind die Daten interessant. Auch pharmazeutische Unternehmen können von den genetischen Daten für die Erforschung und Entwicklung neuer Arzneimittel und Therapien profitieren. So ist das US-amerikanische Unternehmen 23andMe, welches ebenfalls Lifestyle-Gentests durchführt, 2018 einen 300-Millionen-Dollar-Deal mit dem britischen Pharmariesen GlaxoSmithKline eingegangen. Daraufhin erhielt GlaxoSmithKline Zugang zu der DNA-Datenbank des von Google unterstützten Unternehmens.
Seitz sagt: «Grundsätzlich ist von entscheidender Bedeutung, ob die Daten anonymisiert sind oder nicht. Anonymisierte Daten sind Informationen, die sich nicht auf eine bestimmte oder bestimmbare Person beziehen lassen. Wenn es sich ausschliesslich um anonymisierte Daten handelt, greifen viele Gesetze wie die Datenschutzgesetze der Schweiz oder der EU nicht. Generell kann es sich auch bei genetischen Daten um anonymisierte Daten handeln.»
«Hier stellt sich aber eine Grundsatzfrage: Können diese Daten, welchen den genetischen Fingerabdruck enthalten, überhaupt anonymisiert werden, insbesondere dann, wenn in Zukunft noch mehr Menschen einen Gentest machen?», kontrastiert Seitz.
*Name von der Redaktion geändert.
