Google weiss was Du suchst, Facebook kennt Deine Freunde, Amazon weiss was Du liest, last.fm kennt Deinen Musikgeschmack, Twitter weiss was Du gerade machst, Dein Blog weiss, wie Du denkst, 23andMe, Navigenics oder deCODEme kennen die Sequenzen kurzer, definierter DNA-Stücke Deines Genoms.

Die drei Unternehmen bestimmen einzelne Nukleotidunterschiede, sogenannte SNPs auf der DNA, die aus einer eingesandten Speichelprobe isoliert wird (siehe Teil 1 zu den Chancen der Technologie). 23andMe dokumentiert aktuell rund 600 000 solcher Polymorphismen, Navigenics 900 000 und deCODEme über eine Million.

Es werden Berge an Daten generiert und gespeichert. Was geschieht mit diesen Daten, wer hat zu welchem Zweck und in welchem Ausmaß Zugang zu den As, Ts, Cs und Gs und wem nutzt dieses Wissen? Sind die Daten ausreichend geschützt?

Die Datenschutzerklärungen der drei Unternehmen lesen sich alle ähnlich. Die SNP-Daten werden gespeichert und auf Anfrage auch gelöscht. Zum Teil werden die Daten anonymisiert für Forschungszwecke verwendet, eine Weitergabe an Dritte erfolgt jedoch nur nach ausdrücklicher Zustimmung des Kunden.

Es bleibt trotzdem ein schaler Beigeschmack. Google ist Investor bei 23andMe. Darf Google potentiell die DNA Daten nutzen? Oder werden Google Algorithmen bei der Vernetzung der Kunden genutzt? Navigenics schreiben in ihrer Datenschutzerklärung, dass die Daten nicht an Dritte weitergegeben werden, außer die Firma würde aufgekauft:

However, we will not, without your explicit consent, disclose or share personally identifiable information about you with third parties except […] in the event Navigenics is acquired by or merges into another company, or as otherwise required by applicable law.

deCODEme sagt die vollständige Löschung der Daten auf Anfrage zu, behält sich jedoch vor Backup-Kopien auf unbestimmte Zeit zu behalten:

If you cancel your account after the Genetic Scan is finished, deCODE will discard the scan and all other data. However, it is possible that all your data may remain stored in deCODE’s archival and backup media and systems for an indefinite time, and deCODE will not be obligated to delete this data.

Für sehr persönliche Daten muss das besser gehen!

Die gesetzlichen Regelungen

Oder sind die Daten am Ende gar nicht so sensitiv? Die Gesetzgeber stufen genetische Daten jedenfalls als schützenswert ein. Seit Mai 2008 gilt in den USA der sogenannte GINA (Genetic Information Nondiscrimination Act), in dem die Nutzungsrechte der Arbeitgeber, von Versicherungen und der öffentliche Hand bezüglich persönlicher genetischer Daten eingeschränkt werden.

American insurance companies and health plans will be prohibited from: looking at your predictive genetic information or genetic services before you enroll; “requesting or requiring” that you or your family members take a genetic test; restricting enrollment based on genetic information; changing your premiums based on genetic information.

GINA also prohibits U.S. employers (including employment agencies, labor organizations, and training programs) from: discriminating against who they hire or how much they pay on the basis of genetic information; “requesting or requiring” that you or your family members take a genetic test; disclosing your genetic information in their possession except under specific and specially controlled circumstances.

Einige US-Bundesstaaten haben zudem Sonderregeln, die es verbieten DNA-Proben zu verschicken oder die nur mit ärztlicher Einverständnis die SNP-Analyse erlauben. Die Genotyping-Unternehmen umgehen dies zum Teil durch organisierte “Spuckparties” (23andMe), bei denen Speichelproben direkt vor Ort eingesammelt werden, oder mit Vordrucken, die von Ärzten nur noch unterschrieben werden müssen, um der Untersuchung der SNPs freie Bahn zu gewähren (navigenics). In Großbritannien herrscht seit 2001 ein Moratorium, aktuell bis 2014 zur Nutzung persönlicher Daten aus genetischen Tests.

In Deutschland tritt das Gendiagnostikgesetz zum 01. Februar 2010 in Kraft, in dem genetische Untersuchungen und der Umgang mit den generierten Daten geregelt werden. Die beschlossenen gesetzlichen Regelungen sehen vor, dass genetische Untersuchungen nur mit Einwilligung der zu untersuchenden Person und nur von Ärzten vorgenommen werden dürfen. Erlauben diese Tests eine Voraussage über die Gesundheit ist eine Beratung vor und nach der Untersuchung zwingend vorgeschrieben.

Sprich: Dem Geschäftsmodell der Unternehmen wie 23andMe ist in Deutschland ab Februar die gesetzliche Grundlage entzogen. Laut §5 des Gendiagnostikgesetzes [pdf] müssen Unternehmen, die solche Tests durchführen akkreditiert sein und nach §7 muss die untersuchende Person den Beruf in Deutschland ausüben.

Nichts desto trotz werben die Unternehmen damit, auch Proben international und aus Deutschland anzunehmen und zu untersuchen. Wenn die Neugier siegt sollte man also keine Probleme haben, seine SNPs analysiert zu bekommen.

Was mache ich und andere aus meinen Daten?

Der persönliche Blick auf die eigenen SNP-Daten gerät durch die Datenschutzüberlegungen und die gesetzlichen Regelungen fast in Vergessenheit. Was machen Kunden, die Ihre DNA von einem der Unternehmen testen lassen und feststellen, dass ihr Risiko für eine bestimmte Krankheit sehr hoch ist? Wollen Sie alles wissen? Verfallen Sie in Depressionen? Treten gehäuft Selbstmorde auf?

Zumindest letzteres scheint nicht der Fall zu sein. In einer schon klassischen Studie wurden wurden rund 150 Probanden auf den Alzheimer-Marker APOE getestet und ein Jahr später befragt, wie sie mit den Ergebnissen umgegangen sind. Wer zwei APOE4 Allele besitzt hat eine 10-30 fach höhere Chance mit 70 an Alzheimer erkrankt zu sein.

Although no significant differences were found in health, life, or disability insurance purchases, those who tested positive were 5.76 times more likely to have altered their long-term care insurance than those who did not receive APOE genotype disclosure. If genetic testing for Alzheimer’s risk assessment becomes common, it could trigger adverse selection in long-term care insurance.

Neben der Befriedigung der persönlichen Neugier dürften also vor allem die Versicherungen ein Motiv haben, Zugang zu den persönlichen SNP-Daten zu bekommen. Das Gendiagnostikgesetz lässt hier eine Hintertüre offen. §18 besagt, dass bei Versicherungssummen von über 300 000 Euro die Unternehmen die Mitteilung von Ergebnissen oder Daten aus bereits vorgenommenen genetischen Untersuchungen verlangen können.

Wäre es denkbar, dass Versicherungen Produkte auflegen, speziell für Kunden, die ihre genetischen Daten freiwillig zur Verfügung stellen? Wie günstig müssten die Konditionen sein, wie viel individueller Service müsste geboten werden um mit maßgeschneiderten, personalisierten Versicherungsprodukten [sic], basierend auf den SNPs, Kunden zu Vertragsabschlüssen zu bewegen?

Der §1 des Gendiagnostik-Gesetzes besagt, der Zweck sei, eine Benachteiligung auf Grund genetischer Eigenschaften zu verhindern, um insbesondere die staatliche Verpflichtung zur Achtung und zum Schutz der Würde des Menschen und des Rechts auf informationelle Selbstbestimmung zu wahren.

Sollte nicht stattdessen Artikel drei des Grundgesetzes angepasst werden?

(3) Niemand darf wegen seiner genetischen Eigenschaften, seines Geschlechtes, seiner Abstammung, seiner Rasse, seiner Sprache, seiner Heimat und Herkunft, seines Glaubens, seiner religiösen oder politischen Anschauungen benachteiligt oder bevorzugt werden. Niemand darf wegen seiner Behinderung benachteiligt werden.

Oder werden die SNP-Daten überbewertet? Ist ein Genom-basiertes, personalisiertes Gesundheitssystem nicht etwas, das angestrebt werden sollte? Ist es nicht sinnvoll zu wissen, welche Risikofaktoren man persönlich besitzt um darauf rechtzeitig reagieren zu können? Beides, Chancen und Risiken sind komplex und nicht einfach zu bewerten.