Das Szenario ist nicht neu: Ein Technologieunternehmen sammelt tonnenweise Daten seiner Nutzer:innen und hofft, später ein Geschäftsmodell zu entwickeln. Nur dass dieses Geschäftsmodell nie zustande kommt, das Unternehmen untergeht, und die Daten sind irgendwo da draußen.

So jüngst geschehen bei 23andme. Das einst angesagte US-Unternehmen, das Gentests für Privatleute anbot, meldete am 24. März seine Insolvenz. Jetzt liegt das Schicksal der genetischen Daten von 15 Millionen Menschen in den Händen eines Konkursrichters. Bei einer Anhörung am 26. März gab der Richter 23andme die Erlaubnis, Angebote für die Daten seiner Nutzer:innen einzuholen. Aber es gibt immer noch eine kleine Chance, ein besseres Ende zu finden.

Nach dem Konkursantrag lautete die unmittelbare Reaktion von Politiker:innen und Datenschützer:innen, dass 23andme-Nutzer:innen ihre Konten löschen sollten, um zu verhindern, dass genetische Daten in die falschen Hände geraten.

Aber seien wir mal ehrlich: Die meisten Menschen werden das nicht tun. Vielleicht nehmen sie die Empfehlungen dazu nicht wahr? Vielleicht wissen sie nicht, warum sie sich Sorgen machen sollten? Vielleicht hatten sie ein Konto, aber erinnern sich schlicht nicht mehr daran? Oder vielleicht sind sie einfach mit dem Chaos des Alltags beschäftigt?

So paradox es klingt, aber es bedeutet: Der wahre Wert dieser Daten liegt darin, dass die Menschen sie vergessen haben. Angesichts der mageren Einnahmen von 23andme scheint es unvermeidlich zu sein, dass der neue Eigentümer einen anderen Weg finden muss, diese Daten zu Geld zu machen. Magere Einnahmen deshalb, weil weniger als vier Prozent der Personen, die die Tests genutzt haben, für ein Abonnement zahlen.

Für Nutzer:innen, die nur ein wenig mehr über sich selbst oder ihre Vorfahren erfahren wollen, ist das ein schlechter Deal. Während Kontaktinformationen mit der Zeit veralten, wenn Nutzer:innen etwa ihr Passwort, E-Mail, Telefonnummer oder Adresse ändern, sind genetische Daten nicht rückholbar. Werden sie von böswilligen Akteur:innen erbeutet, sind sie auch morgen und übermorgen und alle Tage danach noch in ihrem Besitz – egal ob es Cyberkriminelle sind, die sie meistbietend verkaufen, oder ein Unternehmen, das ein Profil deines zukünftigen Gesundheitsrisikos erstellt, oder eine Regierung, die versucht, dich zu identifizieren. Nutzer:innen, die ihre genetischen Daten preisgegeben haben, sind also nicht nur heute gefährdet, sondern auch durch mögliche künftige Angriffe.

23andme verspricht zwar, die Daten nicht freiwillig an Versicherungen, Arbeitgeber oder öffentliche Datenbanken weiterzugeben, aber der neue Eigentümer könnte diese Versprechen jederzeit durch eine einfache Änderung der Bedingungen rückgängig machen. Mit anderen Worten: Wenn ein Konkursgericht einen Fehler macht und den Verkauf der Nutzerdaten von 23andme genehmigt, ist dieser Fehler wahrscheinlich dauerhaft und irreparabel.

All dies ist möglich, weil der US-Gesetzgeber es seit fast einem Vierteljahrhundert versäumt hat, sich ernsthaft mit dem digitalen Datenschutz zu befassen. Das Ergebnis ist, dass die Dienste einen Anreiz haben, fadenscheinige, irreführende Versprechen zu machen, die im Handumdrehen widerrufen werden können. Die Last liegt immer bei den Nutzer:innen, den Überblick zu behalten oder einfach aufzugeben.

Eine einfache Lösung wäre hier die Umkehrung dieser Belastung. Ein Konkursgericht könnte verlangen, dass die Nutzer:innen individuell zustimmen, bevor ihre genetischen Daten an die neuen Eigentümer von 23andme übertragen werden können, unabhängig davon, wer diese neuen Eigentümer sind. Bei allen, die nicht geantwortet oder sich abgemeldet haben, würden die Daten gelöscht.

Konkursverfahren, bei denen es um personenbezogene Daten geht, müssen nicht zwangsläufig böse enden. 2000 schloss die Federal Trade Commission (FTC) einen Vergleich mit dem insolventen Einzelhändler Toysmart, um sicherzustellen, dass dessen Kundendaten nicht als eigenständiger Vermögenswert verkauft werden können und dass die Kund:innen einer unerwarteten neuen Verwendung ihrer Daten zustimmen müssen. 2015 wiederum intervenierte die FTC im Konkurs von Radioshack, um sicherzustellen, dass das Unternehmen sein Versprechen einhält, die personenbezogenen Daten seiner Kunden nicht zu verkaufen. Radioshack willigte schließlich ein, die Daten zu vernichten.

Der Fall Toysmart hat auch die Rolle des Ombudsmannes für den Verbraucherschutz begründet. Konkursrichter können einen Ombudsmann ernennen, der das Gericht bei der Prüfung der Frage unterstützt, wie sich der Verkauf personenbezogener Daten auf die Konkursmasse auswirken könnte, indem er die potenziellen Nachteile oder Vorteile für die Verbraucher:innen und etwaige Alternativen zur Abmilderung dieser Nachteile untersucht.

Der US-Treuhänder hat in diesem Fall die Ernennung eines Ombudsmannes beantragt. Wissenschaftler:innen haben zwar gefordert, dass dessen Rolle stärker ausgeprägt sein sollte und die FTC und die Bundesstaaten häufiger eingreifen sollten, aber ein Rahmen für den Schutz personenbezogener Daten bei Konkursen ist vorhanden. Nicht zuletzt hat der Konkursrichter weitreichende Befugnisse, um zu entscheiden, wie (oder ob) Eigentum im Konkurs verkauft wird.

23andme hat hier eine freizügigere Datenschutzpolitik als Toysmart oder Radioshack. Aber die Risiken, die entstehen, wenn genetische Daten in die falschen Hände geraten oder missbraucht werden, sind schwerwiegend und irreversibel. Und da es 23andme nicht gelungen ist, aus den Testkits ein tragfähiges Geschäftsmodell zu entwickeln, ist es wahrscheinlich, dass ein neues Unternehmen genetische Daten auf eine Weise nutzen würde, die die Nutzer:innen weder erwarten noch wollen.

Ein Opt-in-Erfordernis für genetische Daten löst dieses Problem. Genetische Daten (und andere sensible Daten) könnten vom Konkursverwalter aufbewahrt und in dem Maße freigegeben werden, wie die einzelnen Nutzer ihr Einverständnis gegeben haben. Wenn die Nutzer:innen nach einem bestimmten Zeitraum nicht zugestimmt haben, würden die verbleibenden Daten gelöscht werden.

Dies wäre ein Anreiz für die neuen Eigentümer von 23andme, das Vertrauen der Nutzer zu gewinnen und ein Unternehmen aufzubauen, das den Nutzer:innen einen Mehrwert bietet, anstatt unerwartete Wege zur Ausbeutung ihrer Daten zu finden. Und es würde die Menschen, deren genetische Daten gefährdet sind, praktisch nicht belasten: Schließlich haben sie noch jede Menge DNA zu entbehren.

Die Alternative sind nicht gut aus. Bevor 23andme in Konkurs ging, unternahm die damalige CEO zwei gescheiterte Versuche, das Unternehmen zu kaufen, und zwar zu einem Wert von 74,7 Millionen US-Dollar und 12,1 Millionen US-Dollar. Bei dem höheren Angebot und 15 Millionen Nutzer:innen macht das etwas weniger als fünf Dollar pro Nutzer:in aus. Lohnt es sich wirklich, die genetische Privatsphäre eines Menschen dauerhaft zu riskieren, nur um der Konkursmasse ein paar Dollar hinzuzufügen?

Das wirft natürlich eine noch größere Frage auf: Warum sollte jemand in der Lage sein, die genetischen Daten von Millionen von Amerikanern in einem Konkursverfahren zu kaufen? Die Antwort ist einfach: Der Gesetzgeber erlaubt es ihnen. Die Untätigkeit von Bund und Ländern ermöglicht es den Unternehmen, Versprechen zum Schutz der sensibelsten Daten der Amerikaner:innen im Handumdrehen aufzulösen.

Als 23andme 2006 gegründet wurde, war das Versprechen, dass die personalisierte Gesundheitsfürsorge vor der Tür stehe. Heute, 19 Jahre später, könnte diese Ära tatsächlich schon fast angebrochen sein. Aber wer würde ihr angesichts von Datenschutzgesetzen wie denen der USA noch trauen?