San Francisco, 16. September 2025 – Der dramatische Bankrott des Gentest-Anbieters 23andMe markiert nicht nur das Ende einer Ära im Direct-to-Consumer-Genetikmarkt, sondern wirft tiefe ethische Fragen auf: Wer schützt die sensiblen DNA-Daten von über 15 Millionen Kunden vor Missbrauch, Diskriminierung und unkontrollierter Weitergabe? Das Unternehmen, einst als Pionier der personalisierten Medizin gefeiert, hat im März 2025 Chapter-11-Insolvenz angemeldet und seine Assets, einschließlich des umfangreichen genetischen Datenschatzes, an ein von Gründerin Anne Wojcicki kontrolliertes Non-Profit-Institut verkauft. Dieser Deal, der kürzlich vom Insolvenzgericht genehmigt wurde, unterstreicht die Zerbrechlichkeit von Datenschutz in der Biotech-Branche und fordert eine dringende Überarbeitung bestehender Regulierungen.
Die Geschichte von 23andMe begann 2006 in Kalifornien, als Wojcicki, Schwester des Google-Mitgründers Sergey Brin, das Unternehmen ins Leben rief. Mit einfachen Speichelproben versprach es Nutzern Einblicke in Ahnenforschung, Gesundheitsrisiken und persönliche Eigenschaften – ein Konzept, das rasch populär wurde. Bis 2021, nach der Börsennotierung per SPAC-Fusion, erreichte der Marktwert Spitzenwerte von über sechs Milliarden US-Dollar. Das Unternehmen baute eine der größten privaten DNA-Banken der Welt auf, indem es Kunden einlud, ihre Daten für Forschungsprojekte freizugeben. Über 80 Prozent der Nutzer stimmten zu, was zu Partnerschaften mit Pharmafirmen wie GlaxoSmithKline führte und Einnahmen durch Lizenzierungen generierte. Doch hinter dem Erfolg lauerten strukturelle Schwächen: Der Einmal-Kauf eines Testkits führte selten zu Wiederholungskäufen, und die Expansion in Bereiche wie Telemedizin und Arzneimittelentwicklung verschlang hohe Summen, ohne ausreichende Rentabilität zu erzielen.
Die finanziellen Probleme eskalierten ab 2023, als ein massiver Datenleak fast sieben Millionen Konten betraf. Hacker nutzten Credential-Stuffing-Techniken, um Profile zu übernehmen, und verkauften gestohlene Informationen – darunter Ahnenangaben, Geburtsdaten und genetische Marker – auf dem Dark Web. Besonders betroffen waren Nutzer mit ashkenasisch-jüdischem oder chinesischem Hintergrund, was Vorwürfe der gezielten Ausbeutung ethnisch sensibler Daten aufkommen ließ. Das Unternehmen reagierte mit einer vorläufigen Deaktivierung von Funktionen wie dem DNA-Relatives-Tool, doch der Schaden war angerichtet: Sammelklagen häuften sich, und das Vertrauen schwand. Im Fiskaljahr 2025 sank der Umsatz um 34 Prozent auf 40 Millionen Dollar, während Verluste anhielten. Massenentlassungen – darunter 40 Prozent der Belegschaft – und der Rücktritt der unabhängigen Vorstände im Vorfeld der Insolvenz signalisierten das Ende. Im März 2025 beantragte 23andMe schließlich Insolvenzschutz, um einen Verkauf zu ermöglichen, und sicherte sich 35 Millionen Dollar an Krediten, um den Betrieb aufrechtzuerhalten.
Ethisch gesehen steht der Fall 23andMe exemplarisch für die Risiken des unregulierten Datensamens in der Konsumgenetik. Genetische Informationen sind irreversibel und hochgradig sensibel: Sie offenbaren nicht nur Abstammung, sondern auch Vulnerabilitäten für Krankheiten wie Krebs oder Parkinson, sowie potenzielle Risiken für Diskriminierung. Im Gegensatz zu medizinischen Einrichtungen fallen Direct-to-Consumer-Firmen wie 23andMe nicht unter den HIPAA-Schutz, der medizinische Daten absichert. Stattdessen gelten nur fragmentierte Verbraucherschutzgesetze, wie der Genetic Information Nondiscrimination Act (GINA), der Arbeitgebern und Krankenversicherern den Missbrauch verbietet – aber nicht Lebensversicherern oder Behinderungsversicherern. Die Datenschutzrichtlinien von 23andMe erlauben explizit die Weitergabe bei Verkauf oder Insolvenz, ohne erneute Einwilligung der Nutzer. Experten kritisieren, dass Einwilligungen oft undurchsichtig sind: Viele Kunden klicken Zustimmungen durch, ohne die Implikationen zu verstehen, dass ihre DNA an Dritte – sei es Pharmaunternehmen oder Forscher – weitergegeben werden könnte.
Der Verkaufsprozess intensivierte diese Bedenken. Zunächst bot das Pharmaunternehmen Regeneron 256 Millionen Dollar für die Assets, was Ängste vor kommerzieller Ausbeutung schürte: Genetische Daten könnten für personalisierte Medikamente genutzt werden, aber auch für Preisdiskriminierung oder sogar militärische Zwecke. Mehr als zwei Dutzend US-Staaten, darunter Kalifornien und Minnesota, protestierten gegen den Deal und forderten strengere Kontrollen. Letztlich siegte Wojcickis TTAM Research Institute (später in 23andMe Research Institute umbenannt) mit einem Gebot von 305 Millionen Dollar. Das Non-Profit-Status verspricht mehr Forschungsorientierung, doch Kritiker bezweifeln die Unabhängigkeit, da Wojcicki die Kontrolle behält. Das Gericht ernannte einen Consumer Privacy Ombudsman, der jährliche Audits und das Recht auf Datenlöschung durchsetzt, doch Experten warnen: Diese Maßnahmen sind reaktiv, nicht präventiv. Etwa 15 Prozent der Kunden haben seit der Insolvenz ihre Accounts gelöscht, oft nach Mahnungen von Staatsanwälten wie Rob Bonta, der Nutzer aufrief, ihre Daten unter dem California Genetic Information Privacy Act (GIPA) zu tilgen.
Historisch gesehen hat 23andMe bereits frühe ethische Kontroversen ausgelöst. Bereits 2013 stoppte die FDA vorübergehend die Gesundheitsberichte, da sie als medizinische Diagnosen galten, ohne ausreichende Validierung. Spätere Studien unter Verwendung von 23andMe-Daten, etwa zu genetischen Faktoren bei sexueller Orientierung, stießen auf Kritik wegen potenzieller Stigmatisierung. Die Nutzung von Markern, die primär auf ashkenasische Juden abzielen (z. B. für BRCA-Mutationen), wurde als voreingenommen und unvollständig angeprangert, was Minderheiten benachteiligt. Zudem fehlt Diversität in den Datenbanken: Die Mehrheit der Proben stammt aus wohlhabenden, europäischstämmigen Populationen, was zu verzerrten Forschungsergebnissen führt und globale Ungleichheiten verstärkt. Solche Praktiken, kombiniert mit der Kommerzialisierung von Biobanken, werden als „zweischneidiges Markmodell“ kritisiert: Kunden zahlen für Tests, während ihre Daten monetarisiert werden, oft ohne transparente Vergütung.
Der Fall 23andMe unterstreicht systemische Lücken im US-Recht: Während Kalifornien und andere Staaten strengere Datenschutzgesetze wie die CCPA einführen, fehlt bundesweit ein umfassender Rahmen für genetische Daten. Datenschutzaktivisten und Forscher fordern eine Erweiterung von GINA auf Lebensversicherungen und die Pflicht zu Re-Consent bei Verkäufen. International gesehen könnte der Skandal zu strengeren Regulierungen in der EU führen, wo die DSGVO bereits höhere Standards setzt. Für Nutzer bleibt die Botschaft klar: Die Löschung von Daten ist möglich, solange der Betrieb läuft, doch einmal übertragen, sind sie schwer zurückzuholen. Der Bankrott von 23andMe dient als Mahnung, dass Innovation ohne ethische Safeguards zu einem Datendschungel führt, in dem Privatsphäre zum Handelsgut wird.
