Wir leben im Zeitalter digitaler Geständnisse und genealogischer Entdeckungsreisen. Vom Teilen intimster Momente in sozialen Netzwerken bis zum Versenden eines Röhrchens voller DNA – immer mehr Menschen geben bereitwillig ihre tiefsten persönlichen Informationen preis. Und an vorderster Front dieser Entwicklung stand 23andMe, ein Biotech-Pionier aus dem Silicon Valley, gegründet 2006 mit einer revolutionären Idee: Entschlüssle dein Erbgut zuhause – schnell, günstig, ohne Umweg über Arzt oder Labor.

Mitbegründerin Anne Wojcicki, eine ehemalige Biotech-Analystin mit Sinn für Marktveränderung, brachte mit 23andMe den Gentest für jedermann auf den Markt. Für unter 100 Euro konnte man erfahren, woher man stammt, wie gesund man genetisch aufgestellt ist – und ob sich irgendwo auf der Welt ein unbekannter Cousin versteckt.

Bis Anfang der 2020er-Jahre hatten über 12 Millionen Menschen ihr genetisches Material nach Kalifornien geschickt. Das Feature „DNA-Verwandte“ machte 23andMe zu einer digitalen Plattform für Familienzusammenführungen, Enthüllungen und manchmal auch Schocks. Doch hinter dieser Vernetzung baute sich unbemerkt ein Netz aus Risiko und Verwundbarkeit auf.

Und genau diese Verwundbarkeit wurde 2023 auf brutale Weise ausgenutzt.

Was mit kaum sichtbaren Aktivitäten im Cyber-Untergrund begann, entwickelte sich zu einem der größten Lecks genetischer Daten, die es je gegeben hat. Die Methode der Angreifer: sogenanntes Credential Stuffing. Sie verwendeten gestohlene Zugangsdaten aus früheren Hacks, um sich in 23andMe-Konten einzuloggen. Kein spektakulärer Angriff – aber höchst effektiv.

Einmal eingedrungen, griffen die Hacker nicht nur auf Einzelpersonen zu. Durch die Funktion zur Anzeige genetischer Verwandter konnten sie Netzwerke durchdringen – ein Konto öffnete die Tür zu Dutzenden weiteren. Eine genetische Kettenreaktion.

Insgesamt waren 6,9 Millionen Nutzer weltweit betroffen. In Großbritannien allein wurden 155.000 Personen identifiziert, deren ethnische Herkunft, gesundheitliche Veranlagungen und familiäre Verbindungen kompromittiert wurden. Es war, als hätte jemand die intimsten Kapitel des eigenen Lebens öffentlich gemacht – unwiderruflich.

Nach dem Bekanntwerden des massiven Datenlecks bei 23andMe herrschte zunächst Stille. Wochenlang wussten Nutzer*innen nichts davon, dass ihre sensibelsten persönlichen Informationen – ihre genetischen Identitäten – unbemerkt kompromittiert worden waren.

Die britische Datenschutzbehörde, das Information Commissioner’s Office (ICO), leitete eine umfassende Untersuchung ein. Das Ergebnis war alarmierend: 23andMe hatte grundlegende Sicherheitsstandards nicht eingehalten. Zwei-Faktor-Authentifizierung war optional, Passwortanforderungen waren minimal. Warnsignale über verdächtige Login-Aktivitäten wurden ignoriert – teils über Monate hinweg.

Im Mai 2025 verhängte das ICO eine Geldstrafe von 2,31 Millionen Pfund. Der Vorwurf: grobe Fahrlässigkeit im Umgang mit den wohl persönlichsten Daten, die ein Mensch preisgeben kann. Doch schwerer als jede Geldstrafe wog der Vertrauensverlust: ein Unternehmen, das mit dem Slogan „Lerne dich selbst kennen“ warb, hatte es versäumt, seine Nutzer wirklich zu schützen.

Doch die Folgen reichten weiter.

Durch das Feature „DNA-Verwandte“ reichte es, Zugriff auf ein einzelnes Konto zu erlangen – schon konnten die genetischen Verbindungen zu Hunderten weiteren Menschen aufgedeckt werden. In vielen Fällen wurden Daten von Personen kompromittiert, die seit Jahren nicht mehr aktiv waren und nie bewusst zugestimmt hatten, Teil eines digitalen Ahnenspiegels zu werden.

Parallel zum regulatorischen Druck kam auch juristischer Druck: mehrere Sammelklagen, darunter aus den USA, zielten auf Schadensersatz und strengere Datenschutzvorgaben. Inmitten der wachsenden Krise meldete 23andMe schließlich Insolvenz an. Das Unternehmen wird nun von der TTAM Research Institute, einer gemeinnützigen Organisation unter der Leitung von Mitgründerin Anne Wojcicki, übernommen. Die neue Führung hat bessere Sicherheitsstandards versprochen – doch das Vertrauen ist tief erschüttert.

Und eine zentrale Frage bleibt: Kann man genetische Daten überhaupt dauerhaft schützen?

Passwörter kann man ändern. Kreditkarten sperren. Doch DNA ist unveränderlich. Einmal offengelegt, ist die Kontrolle darüber fast unmöglich zurückzugewinnen – besonders in einem digitalen Umfeld, in dem Anonymität zunehmend Illusion ist.

Der Fall 23andMe gilt bereits jetzt als Wendepunkt in der Debatte um Datenethik und Biotechnologie. Er zwingt uns zu neuen Fragen: Wem gehört unsere DNA? Wer darf sie speichern, auswerten – oder gar kommerziell nutzen? Und wo endet die Bequemlichkeit digitaler Selbstvermessung, wenn sie unsere Identität angreifbar macht?

Denn spätestens jetzt ist klar: Datenschutz ist keine technologische Herausforderung allein – es ist eine zutiefst menschliche.

Quellen:

• Information Commissioner's Office (ICO) Official Statement – May 2025

• 23andMe Press Release on Breach and Legal Proceedings – April 2024

• TechCrunch – “23andMe’s Data Breach Exposed Genetic Links of Millions,” November 2023

• WIRED – “Why the 23andMe Breach Is Different,” October 2023

• BBC News – “UK Fines 23andMe £2.3 Million Over Data Breach,” May 2025

• The Guardian – “DNA Doesn’t Expire: The Unseen Cost of 23andMe’s Data Leak,” May 2025