Die Federal Trade Commission ist Gewalt Das in Kalifornien ansässige Gentestunternehmen 1Health.io wird 2.432 Kunden Rückerstattungen in Höhe von fast 50.000 US-Dollar zahlen. Das Unternehmen hinterließ Kundendaten in einer ungesicherten öffentlichen Cloud und schützte sich nicht davor, dass Drittanbieter genetisches Material vernichteten, nachdem sie es nicht mehr genutzt hatten.
1Health.io ist ein Unternehmen, das früher als Vitagene bekannt war. Das Unternehmen änderte seinen Namen im Jahr 2020. Vitagene verkauft DNA-Testkits und Gesundheitsberichte. Ziel ist es, dass Kunden ein besseres Bild davon bekommen, was ihre DNA über mögliche Gesundheitszustände aussagt.
Im Jahr 2023 reichte die FTC eine Beschwerde gegen das Unternehmen ein, in der sie eine Reihe von Datenschutzverletzungen vorwarf. Dieser Fall ist sehr vorhersehbar. Auf der Website von Vitagene heißt es, das Unternehmen biete „sehr hohe Sicherheit“ und verspreche einen verantwortungsvollen Umgang mit Kundendaten und DNA. Das Unternehmen verspricht, die Gesundheitsdaten der Kunden nur unter begrenzten Umständen weiterzugeben, ihre genetischen Proben niemals mit identifizierenden Informationen zu speichern und DNA-Proben nach der Analyse zu vernichten.
Nach Angaben der FTC hat Vitagene dies nicht getan. Ein Drittunternehmen übernimmt die Analyse von DNA-Proben und 1Health.io hat keine Bestimmungen, die sicherstellen, dass das Unternehmen die Proben vernichtet.
„Und im Jahr 2020 änderte das Unternehmen seine Datenschutzrichtlinie, um rückwirkend die Arten von Dritten zu erweitern, die Verbraucherdaten erhalten können, beispielsweise Supermarktketten sowie Hersteller von Nahrungs- und Nahrungsergänzungsmitteln – ohne Verbraucher zu benachrichtigen, die zuvor personenbezogene Daten an das Unternehmen weitergegeben oder erhalten hatten der Beschwerde zufolge ihre Zustimmung zur Weitergabe solch sensibler Informationen.“ Die FTC sagt bis 2023.
Schlimmer noch: Die persönlichen Daten von mehr als 2.000 Kunden wurden in einem leicht zugänglichen AWS-Container gespeichert. Die Daten umfassen Gesundheitsberichte, genetische Rohdaten und werden manchmal vom Namen des Kunden begleitet. „Vitagene hat die Daten nicht verschlüsselt, den Zugriff auf die Daten nicht eingeschränkt, den Zugriff auf die Daten nicht protokolliert oder überwacht oder sie inventarisiert, um ihre Sicherheit zu gewährleisten, heißt es in der Beschwerde“, sagte die FTC.
Zusätzlich zur Rückerstattung zahlte Vitagene eine Geldstrafe in Höhe von 75.000 US-Dollar und muss der FTC erlauben, ihr Geschäft genauer zu prüfen. Unternehmen dürfen Gesundheitsdaten nicht ohne die ausdrückliche Zustimmung der Kunden an Dritte weitergeben. Unternehmen müssen sicherstellen, dass diese Dritten den Vertrag einhalten, und müssen die FTC benachrichtigen, wenn das Unternehmen einen Datenschutzverstoß erfährt.
„Unternehmen, die versuchen, die Spielregeln zu ändern, indem sie ihre Datenschutzrichtlinien neu schreiben, sollten gewarnt werden“, sagte Samuel Levine, Direktor des Bureau of Consumer Protection der FTC. angeblich im Jahr 2023„Das FTC-Gesetz verbietet es Unternehmen, einseitig wesentliche Änderungen der Datenschutzrichtlinien an zuvor erfassten Daten vorzunehmen.“
