23andMe schließt öffentliche DNA-Datenbank

Eine mehr oder minder öffentliche Datenbank mit umfassenden DNA-Daten - das ist mehr als eine Utopie, diese Datenbanken sind bereits heute Realität. Was auf der einen Seite sehr positive Anwendungen haben könnte, wirft auf der anderen Seite auch erhebliche Datenschutzfragen auf. Diese Fragen brachten 23andMe dazu, ihre Datenbank zu schließen.

von Jan Gruber am 11. September 2018

Wir haben hier bereits über beide Varianten berichtet: Die positive Form der Nutzung von Daten zur Klärung von Verbrechen und auch die damit verbundenen Datenschutzbedenken. Einige Firmen in diesem Bereich entschieden sich zu einer freiwilligen Selbstverpflichtung. Dieser Schritt ist erst wenige Wochen her, offenbar reichte diese Verpflichtung aber nicht. 23andMe hat sich jetzt dazu entschlossen, seine Datenbank zu schließen und keinen Zugriff darauf mehr zu ermöglichen.

23andMe bietet DNA-Tests und den Abgleich der Ergebnisse an. Damit können Nutzer ihre DNA prüfen lassen. In einem kürzlich bekannt gewordenen Fall wird die positive Nutzung davon dargestellt. So konnte Amy Mitchell über die gewöhnliche Analyse hinaus zu einer Diagnose ihrer Krankheit kommen. Durch die gewonnenen Daten konnte sie einen neuen Spezialisten finden, der ihr letztlich helfen konnte. Der Test kostet 100 US-Dollar, der Zugriff auf die Analyseplattform dann 50 US-Dollar. Die App konnte, durch vielfache Verknüpfungen mit anderen Bedingungen, eine Mutation eines Gens finden, was weit über die gewöhnliche Analysetiefe hinausgeht.

Diese Woche hat 23andMe den Zugriff externer Apps auf ihre anonymisierten genomischen Daten über die Anwendungsprogrammierschnittstelle eingestellt. 23andMe war das erste DNA-Test-Unternehmen, das bereits 2012 eine API öffnete. Die Idee damals war es, „autorisierten Entwicklern zu erlauben, eine breite Palette neuer Anwendungen und Tools für die 23andMe-Community zu entwickeln“.

Was mit einer positiven Idee begann, hat sich letztlich verändert. Auf der einen Seite natürlich durch das geschäftliche Interesse des Unternehmens selbst. Viele Pharmakonzerne bieten mittlerweile mehrere hundert Millionen US-Dollar um – exklusiven – Zugriff auf die Daten zu erhalten. Die Daten sollen bei der Entwicklung von Medikamenten helfen und durch den exklusiven Zugriff einen Vorsprung gegenüber der Konkurrenz bieten.

Auf der anderen Seite hat sich auch die Sensibilität der Nutzer grundlegend geändert. Zuletzt machte uns nicht nur der Fall von Facebook klar, dass Datenschutz neu überdacht werden muss. Außerdem trug auch die EU durch die DSGVO dazu bei. Auch die Meldung rund um die Lösung des Golden State Killer-Falls sorgte nicht nur für Jubelschreie. Der Fall wurde durch Suchen in einer Gendatenbank gelöst (wir berichteten). Komplett zweifelsfreie Matches im Hinblick auf die DNA gibt es nicht, das gab auch die Ermittlerin zu, insofern besteht die Chance, ungerechtfertigt als Mörder beschuldigt zu werden.

Die Betreiber der öffentlichen Datenbank gehen in ihrer Begründung auch noch einen Schritt weiter und verweisen auf zweifelhafte Fitness- und Diät-Apps. Sie versuchen anhand der Daten Aussagen über Ernährung oder Training zu treffen, ohne dafür eine wissenschaftliche Evidenz zu haben. „Während wir einige großartige API-Partner hatten, gibt es andere, die nicht unseren wissenschaftlichen Standards entsprechen und keine strengen Datenschutzrichtlinien haben.“, schrieb ein Sprecher von 23andMe in einer E-Mail an Wired.

Zukünftig werden App-Entwickler nur noch auf Daten aus den Reports 23andMe erhalten. Sie stellen kumulierte Daten, wie z.B. Abstammungszusammensetzung oder Risikowahrscheinlichkeiten für genetische Krankheiten wie Parkinson, dar. Des Weiteren müssen Entwickler künftig klare Datenschutzbestimmungen eingehen und abgeben, zudem muss bekannt gegeben werden, wie ihre Ergebnisse wissenschaftlich validiert werden. Renommierte und qualifizierte Unternehmen und Forscher sollen so weiterhin Zugang zu den Daten haben.

Damit gilt auch – oder gerade für – die Gesundheitsbranche, dass komplett öffentliche APIs in Zeiten der DSGVO ein schweres Thema sind. Die Nutzung der Daten kann zu positiven Ergebnissen führen, sie muss aus meiner Sicht aber tatsächlich überwacht werden. Auf der anderen Seite ist aber natürlich auch von einer reinen wirtschaftlichen, Exklusivnutzung abzusehen. Insofern ist die Reglementierung der API ein guter Schritt. Damit sollten auch in Zukunft Fälle wie jene von Amy Mitchell gelöst werden können.