Blockchain und DNA-Tests: Die Rolle der Technologie beim Datenschutz

In unserer globalisierten Welt leben viele Familien über mehrere L?nder, oder sogar Kontinente, verstreut. Oft begeben sich Nachfahren auf die Suche nach ihren Wurzeln im Ausland und sind sogar bereit, viel Geld auszugeben, um jahrhundertealte Familienunterlagen zu finden.

Kein Wunder, dass Online-Ressourcen für Genealogie so beliebt geworden sind. Mit ihrer Hilfe kann man seinen Stammbaum erstellen, Fotos hochladen und historische Auszeichnungen durchsuchen. Au?erdem bieten solche Dienste in der Regel die sogenannte DNA-Analyse, die mehr über eigene Herkunft oder sogar genetisch bedingte Gesundheitsrisiken sagen soll.

Und noch spannender: Die gemeinsame DNA kann Vorfahren und entfernte Verwandte aufspüren. Doch wie sicher werden die Daten aufbewahrt? Gibt es eigentlich eine gesetzliche Regelung dafür? Und warum k?nnte die Blockchain-Technologie der Schlüssel zum Schutz pers?nlicher Informationen sein?

Das Gesch?ft mit Direktverbraucher-Gentests

Den Selbsttest kann man bequem von zu Hause aus durchführen: DNA-Kit bestellen, Speichelprobe entnehmen und sie im R?hrchen ins Labor schicken. Das Ergebnis kommt einige Wochen sp?ter per E-Mail.

Das Gesch?ft mit Gentests boomt weltweit. Laut den Daten von Statista lag der globale Marktumsatz für direkte Verbraucher-Gentests (engl. direct-to-consumer genetic testing, DTC-GT) im Jahr 2018 bei rund 824 $ Millionen. Bis 2028 soll der Wert auf nahezu 6,4 $ Milliarden steigen.

über 250 Unternehmen bieten ihren Kunden bereits DNA-Tests in verschiedenen Bereichen wie Forensik, Ahnenforschung, Gesundheit, Pharmakogenomik, Gesundheit und Ern?hrung.

Zu den führenden DNA-Unternehmen weltweit geh?ren dabei 23andMe mit fast 116 Millionen Online-Impressionen und -Erw?hnungen im 1. Quartal 2022, gefolgt von Ancestry und MyHeritage mit rund 34 Millionen bzw. vier Millionen Online-Impressionen.

Rechtliche Bedenken

Mit der übermittlung einer DNA-Probe zwecks Analyse geben die Personen nicht nur sensible Informationen über sich selbst, sondern auch über Familienmitglieder, mit denen sie eine genetische Verwandtschaft haben.

Eine Zustimmung der Familienangeh?rigen ist n?mlich nicht erforderlich – ein bedenkenswerter Aspekt, da digitale Daten über Einzelpersonen m?glicherweise für immer gespeichert werden und auch Kinder oder Ungeborenen betreffen k?nnen.

?Genomdaten sind etwas Besonderes, da sie nicht nur unseren genetischen Code, sondern auch den unserer Familie und unserer Kinder enthalten. Die Wahrung der Privatsph?re und die Sicherheit der genetischen Daten ist sowohl unmittelbar als auch langfristig von gr??ter Bedeutung“, sagt Caroline Rivett, Leiterin des Bereichs Digital, Sicherheit und Datenschutz, KPMG in Gro?britannien.

Die Weitergabe solcher Daten k?nnte sich für diese Personen in vielen Bereichen negativ auswirken, z. B. bei den Besch?ftigungsaussichten, Beziehungen und Versicherungsbeitr?gen.

Datenschutzverletzungen in Form von Hacking von Passw?rtern und Servern, Diebstahl von Speichermedien sowie menschliches Versagen oder Vers?umnisse der Datenverwalter selbst stellen hier ein gro?es Risiko dar. Wenn Daten von Zweigstellen einer Firma oder von ihren Dienstleistern, die in einem anderen Land ans?ssig sind, gespeichert und verarbeitet werden, kann die ursprüngliche Datenschutzvereinbarung des Kunden au?erdem unterschiedlichen rechtlichen Vorschriften unterliegen.

Gro?e Datenpannen

Am Freitag, den 6. Oktober 2023, best?tigte 23andMe eine Kompromittierung der Daten einiger seiner Nutzer. Angeblich wurden die Systeme des Unternehmens nicht angegriffen.

Vielmehr sammelten die Kriminellen die Informationen, indem sie die Anmeldedaten einer Gruppe von Usern errieten und dann die Angaben weiterer Personen aus einer Funktion namens DNA Relatives abfragten.

Der Hacker verkauft 23andMe-Datenprofile für 1 bis 10 $. Darunter sind auch Daten von Mark Zuckerberg, Elon Musk und Sergey Brin.

MyHeritage gab im Juni 2018 zu, die Kontrolle über die Kundendaten von bis zu 92 Millionen Konten verloren zu haben. So erhielt der Chief Information Security Officer von MyHeritage eine Nachricht von einem Sicherheitsforscher, dass er eine Datei namens myheritage mit E-Mail-Adressen und gehashten Passw?rtern auf einem privaten Server au?erhalb von MyHeritage gefunden hatte.

Die anschlie?ende überprüfung durch das IT-Sicherheitsteam des Unternehmens best?tigte, dass sie von MyHeritage stammte und alle E-Mail-Adressen von Nutzern, die sich bis zum 26. Oktober 2017 bei MyHeritage angemeldet hatten, sowie deren gehashte Passw?rter enthielte.

Im Jahr 2017 war Ancestry.com Opfer einer Datensicherheitsverletzung. Dabei wurden rund 300.000 Datens?tze mit E-Mail-Adressen, Benutzernamen und Passw?rtern aus RootsWeb, einem Online-Forum der Genealogie-Website Ancestry.com, gehackt.

Am 20. Dezember 2017 teilte ein externer Sicherheitsforscher dem Unternehmen mit, dass Kontoinformationen in einer Datei auf dem RootsWeb-Server offengelegt worden waren. Daraufhin best?tigte Ancestry den Versto?.

DNA-Selbsttests in Deutschland: nur die Herkunftsanalyse

Datenschutzgesetze wie das amerikanische Gesetz über die Nichtdiskriminierung von genetischen Informationen (Genetic Information Nondiscrimination Act, 2008) bieten den Kunden ein gewisses Ma? an Sicherheit, weil die Ergebnisse keine Auswirkungen auf Krankenversicherungsvertr?ge und die Besch?ftigung haben dürfen. Das Gesetz weist jedoch mehrere Schwachstellen auf. Es gilt n?mlich nicht für Lebens-, Pflege- oder Berufsunf?higkeitsversicherungen.

Im Vereinigten K?nigreich, Belgien und Italien sind die Rechtsvorschriften ?hnlich lückenhaft, da die derzeitigen Regelungen DTC-GT nicht oder nur unzureichend (im Falle Italiens) abdecken. In Deutschland, genauso wie in Frankreich, Portugal und der Schweiz, dürfen medizinisch relevante Gentests hingegen ausschlie?lich von ?rzten veranlasst werden.

Aus diesem Grund sind für Deutsche nur DNA-Tests für die Abstammungsanalyse verfügbar, allerdings schlie?t es keinen Datenmissbrauch aus.

Wie kann Blockchain zur Sicherheit von Genomdaten beitragen?

Die Blockchain-Technologie eignet sich optimal für den sicheren Austausch von Daten. Viele Branchen nutzen sie bereits jetzt, um sich vor Cybersecurity-Risiken zu schützen und mehr Kontrolle und Datensicherheit zu gew?hrleisten.

Bei einer Blockchain handelt es sich um ein kryptografisch sicheres, verteiltes Register. Die Verwaltung einer Blockchain wird nicht von einer zentralen Stelle betrieben. Stattdessen speichern die Computer in einem Peer-to-Peer-Netzwerk (P2P) jeweils eine Kopie des Ledgers, wobei die Transaktionen durch einen dezentralen Konsensmechanismus überprüft werden.

Transaktionen werden in Bl?cken gespeichert, die mit einem Zeitstempel versehen sind. Jeder von ihnen ist mit dem vorhergehenden Block durch einen kryptografischen Hash verbunden (verkettet), der aus dem Inhalt des vorhergehenden Blocks gebildet wird.

Die Hash-Verknüpfungen machen es unm?glich, Daten in einem Block zu ?ndern, ohne dass gleichzeitig alle nachfolgenden Bl?cke in der Kette angepasst werden. Im Wesentlichen bedeutet dies, dass bei jedem Versuch, Daten zu bearbeiten oder zu l?schen, die kryptografische Kette unterbrochen wird und alle Knoten im Netzwerk unmittelbar über das Problem alarmiert werden.

Blockchain und GDPR

Die neue EU-Datenschutzverordnung (engl. General Data Protection Regulation, GDPR) zwingt Unternehmen zu einer sorgf?ltigen überlegung, wie sie mit Kundendaten umgehen.
Der rechtliche Rahmen der Europ?ischen Union legt fest, wie personenbezogene Daten gesammelt und verarbeitet werden dürfen. Die GDPR ist am 25. Mai 2018 in Kraft getreten und gilt für alle Organisationen mit Sitz in der EU, die personenbezogene Daten verarbeiten, und alle Organisationen weltweit, die Daten von EU-Bürgern verarbeiten.

Der Einsatz von Blockchains erm?glicht es Unternehmen, die Einhaltung der GDPR nachzuweisen und zu gew?hrleisten. Auch das Konzept der ?Off-Chain-Speicherung“ personenbezogener Daten k?nnte für die Blockchain im Zusammenhang mit der Befolgung der Verordnung nützlich sein.

Die Off-Chain-Speicherung wird für gro?e Datens?tze oder Daten mit strenger Zugriffskontrolle verwendet. In diesen F?llen kommt entweder Cloud-Speicher oder ein anderes dezentrales Dateisystem wie IPFS (engl. Interplanetary File System) zum Einsatz. Bei Off-Chain-Speicherung werden Daten gehasht, wodurch eine kleine Zeichenfolge entsteht. Diese kann effizient in Blockchain-Transaktionen oder in einem Smart Contract gespeichert werden.

Fazit

Auch wenn die DNA-Analyse interessante Erkenntnisse liefern kann, beruht diese auf der Auswertung pers?nlicher Informationsquelle und deshalb ist ihr Schutz unerl?sslich.
Die Blockchain-Technologie ist aufgrund ihrer Funktionsweise für die L?sung von Datenschutzfragen optimal geeignet.

Die Speicherung von Informationen erfolgt in einem Netzwerk von Computern, was Transparenz der Datenübertragung schafft und das Hacken des Netzwerks zunehmend erschwert. Die Technologie wird bereits für ?hnliche Probleme des Datenschutzes und der Informationssicherheit in Hunderten von verschiedenen F?llen verwendet und hat ein hohes Potenzial, zum Standard in puncto Verbraucherdatenschutz zu werden.

Quellen:

1. Marktumsatz für Endverbraucher-Gentests weltweit im Jahr 2018 und Prognose für 2028 (in Millionen US-Dollar), Statista Research Department, 25. Januar 2022
2. Leading DNA companies worldwide between January and March 2022, by number of online impressions, Statista, 6. Januar 2023
3. Direct-to-consumer genetic testing, Opportunities and risks in a rapidly evolving market (KPMG-Studie, 2018)
4. Direct-to-Consumer Genetic Testing: A Comprehensive View (The Yale Journal of Biology and Medicine (P. Su), September 2013)