Kalifornien hat gegen die ehemalige Mantelgesellschaft des DNA-Testunternehmens 23andMe wegen angeblicher Sicherheitsmängel und irreführender Aussagen im Zusammenhang mit dem Datenleck im Jahr 2023 Klage eingereicht.
Am 27. Mai 2026 reichte Generalstaatsanwalt Rob Bonta beim Obersten Gerichtshof von San Francisco Klage gegen Chrome Co. ein, das Unternehmen, das nach der Insolvenz von 23andMe nun die verbleibenden Vermögenswerte des Unternehmens verwaltet.
In der Klage des Staates Kalifornien wird 23andMe vorgeworfen, keine angemessenen Sicherheitsmaßnahmen zum Schutz sensibler Daten getroffen zu haben, und es werden Verstöße gegen mehrere staatliche Datenschutz- und Verbraucherschutzgesetze geltend gemacht. Außerdem wird dem Unternehmen vorgeworfen, irreführende Angaben zu seinen Sicherheitsvorkehrungen gemacht zu haben.
Bei dem Hackerangriff im Jahr 2023 wurden altbewährte Credential-Stuffing-Methoden gegen die Anmeldeseite von 23andMe eingesetzt. Die Angreifer bewegten sich rund fünf Monate lang unbemerkt in den Systemen. Der direkte Schaden war mit etwa 14.000 betroffenen Konten zwar gering, doch das reichte den Angreifern aus, um die Daten von knapp sieben Millionen Kunden zu stehlen.
Die Angreifer nutzten diese Konten über „DNA Relatives“, die Hauptfunktion der Plattform, die es den Nutzern ermöglichte, anhand von DNA-Übereinstimmungen festzustellen, mit wem sie verwandt sind. In der Klage wird behauptet, dass ein schwerwiegender Programmierfehler in dieser Funktion es den Tätern ermöglichte, Daten von Millionen anderer Nutzer abzugreifen, die durch biologische Verwandtschaft miteinander verbunden waren.
Die Verteidigungsstrategie, dem Opfer die Schuld zu geben, wurde zum Beweis
Nachdem der Datenleck bekannt geworden war, sandte 23andMe den Rechtsvertretern der Betroffenen ein Schreiben, in dem das Unternehmen den Nutzern die Schuld dafür gab, dass sie Passwörter von Websites wiederverwendet hatten, die zuvor gehackt worden waren. Die offengelegten Daten, so das Unternehmen, seien von den Nutzern aus freiem Willen weitergegeben worden und würden keinen „finanziellen Schaden“ verursachen.
Die Schäden, die durch den Diebstahl genetischer Daten entstehen, gehen jedoch weit über finanzielle Verluste hinaus. Anhand der gestohlenen genetischen Informationen konnten die Diebe die genetische Herkunft einer Person ermitteln.
Berichten zufolge wurden die Daten im Dark Web unter Hervorhebung dieser Informationen zum Verkauf angeboten, wodurch Verkäufer beispielsweise Daten über Kunden asiatisch-amerikanischer oder pazifisch-insularer Herkunft (AAPI) oder jüdischer Herkunft anbieten konnten. Bontas Büro wies darauf hin, dass antisemitische Gewalt zu dieser Zeit zunahm.
Obwohl in dem Schreiben versucht wurde, den Nutzern die Schuld zu geben, wurden nur etwa 14.000 Konten direkt durch die Wiederverwendung von Passwörtern kompromittiert. Der Rest der Daten wurde angeblich durch ein eigenes Produkt von 23andMe offengelegt. Der Klage zufolge führte der Programmierfehler in „DNA Relatives“ dazu, dass die Daten aller Personen offengelegt wurden, die sich für den Dienst angemeldet hatten, und nicht nur die derjenigen, die mit den 14.000 kompromittierten Konten in Verbindung standen.
Kann der Staat Schadenersatz geltend machen?
Kalifornien strebt gesetzliche Strafen in Höhe von 1.000 bis 7.500 Dollar pro Verstoß an. Da 855.541 Kalifornier zu den betroffenen Nutzern zählen, könnten sich die Kosten schnell summieren.
Die Frage ist, wie viel davon der Staat einziehen wird, falls er den Rechtsstreit gewinnt. 23andMe meldete im März 2025 Insolvenz nach Chapter 11 an und verkaufte anschließend den Großteil seiner Vermögenswerte, darunter die Genomdaten von mehr als 15 Millionen Kunden, an das TTAM Research Institute, eine gemeinnützige Organisation, die von der ehemaligen 23andMe-Geschäftsführerin Anne Wojcicki gegründet wurde. Kalifornien und mehrere andere Bundesstaaten lehnten den Verkauf unter Berufung auf Privacy genetischer Informationen ab, doch ein Bundeskonkursrichter genehmigte ihn. Die Bundesstaaten legen nun Berufung gegen diese Entscheidung ein.
Chrome Co., die als leere Hülle von 23andMe übrig geblieben ist, erhielt aus diesem Verkauf 305 Millionen Dollar. Doch andere haben sich bereits die Reste unter den Nagel gerissen.
Andere Aufsichtsbehörden haben bereits Maßnahmen ergriffen. Das britische Information Commissioner’s Officeverhängte im Juni letzten Jahres nach einer gemeinsamen Untersuchung mit dem kanadischen Privacy eine Geldstrafe in Höhe von 2,31 Millionen Pfund gegen 23andMe. Ein Bundesgericht genehmigte zunächst einen Vergleich in Höhe von 30 Millionen Dollar im Rahmen einer Sammelklage, der die meisten Ansprüche von US-Kunden abdeckte. Dieser Vergleich wurde später auf 50 Millionen Dollar aufgestockt und erhielt im Januar 2026 die endgültige Genehmigung.
Was Kunden tun können
Wenn Sie einen Test bei 23andMe durchgeführt haben, gelten nach wie vor die üblichen Sicherheitsmaßnahmen nach einem Datenleck. Ändern Sie alle Passwörter, die Sie auch auf anderen Websites verwendet haben, und aktivieren Sie die Zwei-Faktor-Authentifizierung, wo immer diese angeboten wird. Credential Stuffing funktioniert nur bei Benutzernamen und Passwörtern, die bereits an anderer Stelle offengelegt wurden. Achten Sie außerdem auf Phishing-Angriffe, in denen 23andMe oder das Datenleck selbst erwähnt werden. Und wägen Sie vielleicht die Vorteile der Nutzung von DNA-Testdiensten gegen die damit verbundenen Sicherheitsrisiken ab.
Denn es gibt einen Aspekt, den weder eine Geldstrafe noch ein Vergleich lösen kann: Gestohlene genetische Daten, die im Dark Web verkauft wurden, lassen sich nicht zurückholen. Passwörter lassen sich ändern. DNA nicht.
Stöbern Sie, als würde niemand zusehen.
Malwarebytes Privacy VPN Ihre Verbindung und protokolliert niemals Ihre Aktivitäten, sodass Sie sich beim Lesen des nächsten Artikels nicht persönlich angesprochen fühlen müssen.Kostenlos testen →
