Check Point warnt: 23andMe-Insolvenz bedroht genetische Daten – Check Point warns: 23andMe Bankruptcy Threatens Genetic Data

Check Point Software Technologies Ltd. (NASDAQ: CHKP), hat über seine Sicherheitsforscher von Check Point Research (CPR) eine Warnung an alle Kunden von 23andMe herausgegeben.

23andMe informierte seine Kunden in einem offenen Brief am 23. März:

„Am 23. März 2025 hat 23andMe einen wichtigen Schritt nach vorne gemacht und ein freiwilliges Restrukturierungs- und Verkaufsverfahren nach Chapter 11 ((des amerikanischen Insolvenzrechts)) eingeleitet.

Im Rahmen dieses Prozesses werden wir versuchen, einen Partner zu finden, der unser Engagement für den Schutz der Kundendaten teilt und uns in die Lage versetzt, unsere Mission, Menschen den Zugang, das Verständnis und die Nutzung des menschlichen Genoms zu ermöglichen, fortzuführen. Wichtig ist, dass wir mit diesem Schritt unser Geschäft weiterführen können, während wir unseren Weg in die Zukunft planen.

Was das für Sie bedeutet Ihre Daten bleiben geschützt. Der Antrag auf Chapter 11 ändert nichts an der Art und Weise, wie wir Kundendaten speichern, verwalten oder schützen. Die Privatsphäre und die Daten unserer Nutzer sind wichtige Aspekte bei jeder Transaktion, und wir verpflichten uns weiterhin, die Privatsphäre unserer Nutzer zu schützen und unseren Kunden gegenüber transparent zu sein, wie ihre Daten verwaltet werden. Jeder Käufer von 23andMe ist verpflichtet, die geltenden Gesetze in Bezug auf den Umgang mit Kundendaten einzuhalten.

Ihr Zugang bleibt unverändert. Sie haben weiterhin vollen Zugriff auf Ihr Konto, Ihre genetischen Berichte und alle gespeicherten Daten.

23andMe bleibt für den Geschäftsbetrieb geöffnet. Bestellungen und Abonnements laufen wie gewohnt weiter, und alle Käufe oder Gentestkits, die zur Bearbeitung eingesandt werden, werden ohne Unterbrechung bearbeitet.“

Die Sicherheit der personenbezogenen Daten muss laut Check Point nun Priorität haben – immerhin handelt es sich um sehr sensible Informationen zum eigenen Genom, denn 23andMe bot DNS-Test zu Ahnenforschungszwecken für Privatpersonen an. Das Unternehmen ist weltweit tätig, auch seit vielen Jahren in Deutschland, Österreich und der Schweiz (Unter dem Punkt International zu sehen). Am 17. Februar 2024 wurde bekannt, dass 23andMe, nach eigenen Angaben, bereits von 14 Millionen Menschen die DNS-Proben erhalten hat.

Ein aktueller Reuters-Bericht vom 25. März 2025 bringt die Insolvenz mit einem starken Nachfragerückgang und der Rufschädigung von 23andMe durch eine erhebliche Sicherheitslücke im Jahr 2023 in Verbindung. Das Datenleck legte die genetischen Informationen von Millionen von Benutzern offen und das Unternehmen musste im September 2024 deswegen an beinahe 7 Millionen Kunden einen Schadensersatz von 30 Millionen US-Dollar zahlen.

Hinzu kam ein schlechter Umgang mit der Datenlücke: Kunden mit chinesischer oder aschkenasisch-jüdischer Abstammung wurden nicht umgehend unterrichtet, dass die Cyber-Kriminellen es vorwiegend auf ihre Daten abgesehen hatten.

Dieser Vorfall unterstreicht, wie wichtig es ist, den Datenschutz als strategische Notwendigkeit und nicht nur als eine zu erfüllende Pflicht zu betrachten – und als Nutzer auf der Hut zu sein. In den USA sind nämlich derzeit solche genetischen Daten weitgehend ungeschützt, denn es fehlen umfassende Bundesgesetze – im Gegensatz zu den herkömmlichen Gesundheitsakten, die unter das HIPAA fallen. Erschwerend kommt hinzu: Die Richtlinien von 23andMe, welche die Übertragung oder den Verkauf von Verbraucherdaten während eines Insolvenzverfahrens erlauben, weisen auf eine beunruhigende Regulierungslücke hin. Die Generalstaatsanwälte der Bundesstaaten von Kalifornien und Connecticut fordern die Verbraucher bereits auf, zu handeln, bevor ihre sensiblen Daten möglicherweise in die falschen Hände geraten.

Allerdings ist im Oktober 2024 bekannt geworden, dass 23andMe davon ausgeht, dass es die DNS-Daten nach einem Löschersuchen noch bis zu drei Jahre vorhalten müsse, aus rechtlichen Gründen.

Tipps für Endnutzer

Für diejenigen, welche die Dienste von 23andMe genutzt haben, gibt es hier einige Schritte, die sie sofort unternehmen können, um ihre unveränderlichen genetischen Daten zu schützen:

1. Prüfung der Datenschutzeinstellungen: Im Benutzerkonto die eigenen Datenschutzeinstellungen prüfen und besonders auf alle Einwilligungen achten, die man für die Forschung oder die Weitergabe von Daten erteilt hat. Zum Beispiel hat 23andMe am 25. Juli 2018 bekanntgegeben, dass die Test-Ergebnisse von 5 Millionen Kunden im Rahmen einer Partnerschaft an den Pharma-Konzern GlaxoSmithKline für rund 300 Millionen US-Dollar übergeben wurden, damit dieser neue Medikamente entwerfen könne.
2. Die Löschung aller Daten erwägen: Da das Risiko besteht, dass Daten während eines Insolvenzverfahrens verschoben werden, könnte es sinnvoll sein, die Löschung des Kontos zu beantragen und sicherzustellen, dass die Daten dauerhaft entfernt werden.
3. Herunterladen der Daten: Vor der Löschung des Kontos eine Kopie der genetischen Informationen herunterladen, damit man über eine Aufzeichnung verfügt.
4. Über Richtlinienänderungen informiert bleiben: Nachrichten von 23andMe und den zuständigen Aufsichtsbehörden verfolgen, da neue Datenschutzrichtlinien erhebliche Auswirkungen auf die Daten haben könnten.
5. Befolgung der offiziellen Richtlinien: Auf die Empfehlungen der Generalstaatsanwälte achten – insbesondere aus Kalifornien und Connecticut – welche die Verbraucher bereits auffordern, ihre genetischen Daten zu sichern, bevor weitere Änderungen eintreten.

Die missliche Lage von 23andMe sollte ein Weckruf für alle Unternehmen sein, die mit sensiblen personenbezogenen Daten umgehen, sowie für alle Nutzer, die dermaßen sensible Daten preisgeben wollen. Bei der Cyber-Sicherheit geht es nicht nur darum, Sicherheitsverletzungen zu verhindern, sondern auch darum, Systeme zu entwickeln, die den Datenschutz von vornherein integrieren und sicherstellen, dass Verbraucherdaten auch in Krisenzeiten geschützt bleiben.

Check Point Software Technologies Ltd (NASDAQ: CHKP), through its security researchers at Check Point Research (CPR), has issued a warning to all 23andMe customers.

23andMe informed its customers in an open letter on March 23:

“On March 23, 2025, 23andMe took an important step forward by entering a voluntary Chapter 11 restructuring and sale process.

Through this process, we will seek to find a partner who shares our commitment to customer data privacy and allows our mission of helping people access, understand and benefit from the human genome to live on. Importantly, this step allows us to continue operating our business while we chart the path forward.

What This Means For You

• Your data remains protected. The Chapter 11 filing does not change how we store, manage, or protect customer data. Our users’ privacy and data are important considerations in any transaction, and we remain committed to our users’ privacy and to being transparent with our customers about how their data is managed. Any buyer of 23andMe will be required to comply with applicable law with respect to the treatment of customer data.
• Your access is unchanged.You continue to have full access to your account, genetic reports, and any stored data.
• 23andMe is still open for business. Orders and subscriptions will continue as normal, and any purchases or genetic testing kits sent in for processing will be handled without disruption.

23andMe was born from the idea that empowering people to harness and learn from their own DNA could change the future of healthcare. Since 2006, we have made dramatic strides, helping more than 15 million customers worldwide to better understand themselves and the impact of their genetics while contributing to vital research efforts. We are proud of all that we have accomplished together and look forward to continuing to serve customers like you through our health and ancestry services.”

According to Check Point, the security of personal data must now be a priority – after all, this is very sensitive information about one’s own genome, as 23andMe offered DNA tests for genealogical research purposes to private individuals. The company operates worldwide and has been active in Germany, Austria and Switzerland for many years (see International section). On February 17, 2024, it was announced that 23andMe claimed to have received DNA samples from 14 million people.

A recent Reuters report on March 25, 2025 links the bankruptcy to a sharp drop in demand and damage to 23andMe’s reputation caused by a significant security breach in 2023. The data leak exposed the genetic information of millions of users, and the company had to pay $30 million in damages to nearly 7 million customers in September 2024.

In addition, the data leak was mishandled: Customers of Chinese or Ashkenazi Jewish descent were not immediately informed that the cybercriminals were primarily targeting their data.

This incident underscores the importance of viewing data protection as a strategic imperative, not just an obligation to be met – and of being vigilant as a user. In the US, such genetic data is currently largely unprotected due to a lack of comprehensive federal legislation – unlike traditional health records, which are covered by HIPAA. To make matters worse, 23andMe’s policy of allowing the transfer or sale of consumer data during bankruptcy proceedings points to a troubling legal gap. The attorneys general of California and Connecticut are already urging consumers to act before their sensitive information potentially falls into the wrong hands.

However, in October 2024, it was revealed that 23andMe expects to have to retain DNS data for up to three years after a deletion request for legal reasons.

End User Tips

For those who have used 23andMe’s services, here are some immediate steps you can take to protect your unalterable genetic information:

1. review your privacy settings: Review your privacy settings in your user account, paying particular attention to any consent you have given for research or data sharing. For example, on July 25, 2018, 23andMe announced that the test results of 5 million customers had been handed over to the pharmaceutical company GlaxoSmithKline as part of a partnership worth about $300 million to develop new drugs.
2. consider deleting all data: Because of the risk that data may be transferred during bankruptcy proceedings, it may be wise to request that the account be deleted and to ensure that the data is permanently removed.
3. download the data: Download a copy of the genetic information before deleting the account so you have a record.
4. Stay informed about policy changes: Monitor communications from 23andMe and relevant regulatory agencies, as new privacy policies could have a significant impact on data.
5. follow official guidelines: Heed the advice of state attorneys general – particularly in California and Connecticut – who are already urging consumers to back up their genetic data before further changes are made.

23andMe’s predicament should serve as a wake-up call to all companies that handle sensitive personal information, and to all users who wish to share such sensitive information. Cybersecurity is not just about preventing breaches, it is about building systems that protect privacy from the start and ensuring that consumer data is protected even in times of crisis.