Der Datenverstoß gegen 23andMe, den das Unternehmen für Gentests am vergangenen Freitag offenlegte, beinhaltete den unbefugten Zugriff auf die personenbezogenen Daten von etwa 0,1 % seiner Kunden, was etwa 14.000 Personen entspricht. Bei diesem Vorfall räumte das Unternehmen ein, dass Hacker nicht nur auf diese Konten zugegriffen, sondern auch „eine erhebliche Anzahl von Dateien mit Profilinformationen über die Abstammung anderer Benutzer“ erhalten hätten. 23andMe machte jedoch keine Angaben zur Gesamtzahl der „anderen Benutzer“, die von dem Verstoß betroffen waren.
Alle Details: Datenschutzverletzung bei 23andMe
Weitere Untersuchungen ergaben erhebliche Auswirkungen: Etwa 6,9 Millionen Menschen wurden Opfer dieser 23andMe-Datenpanne. In einer Stellungnahme dazu TechCrunch Am Samstag bestätigte 23andMe-Sprecherin Katie Watson, dass durch den Verstoß die persönlichen Daten von rund 5,5 Millionen Nutzern gefährdet wurden, die die 23andMe DNA Relatives-Funktion abonniert hatten.
Diese Funktion, die den automatischen Datenaustausch zwischen Kunden erleichtert, führte zum unbefugten Zugriff auf vertrauliche Informationen wie Namen, Geburtsjahre, Beziehungsbezeichnungen, den Prozentsatz der mit Verwandten geteilten DNA, Abstammungsberichte und selbst gemeldete Standorte.
23andMe hat außerdem bestätigt, dass eine separate Gruppe von rund 1,4 Millionen Personen, die sich für die DNA-Verwandtschaftsfunktion entschieden hatten, „auf ihre Stammbaum-Profilinformationen zugegriffen hatte“. Zu diesen kompromittierten Daten gehören Anzeigenamen, Beziehungsbezeichnungen, Geburtsjahr, selbst gemeldeter Standort und die Frage, ob der Benutzer sich entschieden hat, seine Informationen weiterzugeben, so der Sprecher.
Die Gründe dafür, dass 23andMe diese Zahlen in ihrer Offenlegung vom Freitag weggelassen hat, bleiben unklar. Mit der Bekanntgabe dieser neuen Zahlen scheint es, dass die Datenschutzverletzung bei 23andMe fast die Hälfte der insgesamt 14 Millionen gemeldeten Kunden von 23andMe betrifft.
Bereits Anfang Oktober bekannte sich ein Hacker dazu, die DNA-Informationen von 23andMe-Benutzern gestohlen zu haben, und machte diese Behauptung in einem bekannten Hackerforum geltend. Als Beweis für den Verstoß veröffentlichten sie mutmaßliche Daten von einer Million Nutzern jüdischer aschkenasischer Abstammung und 100.000 chinesischen Nutzern und kosteten die Daten 1 bis 10 US-Dollar pro einzelnem Konto. Zwei Wochen später veröffentlichte derselbe Hacker im selben Forum angebliche Aufzeichnungen über weitere vier Millionen Menschen.
Laut der Meldung, TechCrunch entdeckte, dass ein anderer Hacker in einem anderen Hacking-Forum bereits zwei Monate vor der allgemein anerkannten Werbung eine Sammlung angeblich gestohlener 23andMe-Kundendaten angeboten hatte. Eine ausführliche Analyse von TechCrunch dieser älteren durchgesickerten Daten ergaben, dass einige Aufzeichnungen mit genetischen Informationen übereinstimmten, die zuvor von Enthusiasten und Ahnenforschern online veröffentlicht wurden. Obwohl die beiden Datensätze unterschiedlich formatiert waren, teilten sie eindeutige Benutzer- und genetische Details, was darauf hindeutet, dass es sich bei den durchgesickerten Daten zumindest teilweise um authentische 23andMe-Kundendaten handelte.
In ihrer Ankündigung vom Oktober zu dem Verstoß führte 23andMe den Vorfall auf die Wiederverwendung von Passwörtern durch Kunden zurück. Diese Praxis ermöglichte es Hackern, Brute-Force-Methoden auf die Konten der Opfer anzuwenden, indem sie öffentlich bekannte Passwörter aus Datenschutzverletzungen anderer Unternehmen verwendeten.
Die Auswirkungen des 23andMe-Datenverstoßes wurden durch die DNA Relatives-Funktion verstärkt, die Benutzer mit ihren Verwandten verbindet. Durch den Zugriff auf ein einzelnes Konto könnten Hacker nicht nur die persönlichen Daten des Kontoinhabers, sondern auch seiner Verwandten einsehen. Durch diese Methode erhöhte sich die Gesamtzahl der von der 23andMe-Datenpanne betroffenen Personen deutlich.
Wie viel Entschädigung würde ein US-Unternehmen in solchen Fällen zahlen?
Die Entschädigungen oder Strafen für einen Datenschutzverstoß im Zusammenhang mit den personenbezogenen Daten von 7 Millionen Menschen können erheblich variieren und werden nicht ausschließlich durch Präzedenzentscheidungen bestimmt. Mehrere Faktoren beeinflussen die Entschädigung oder Strafen, darunter:
- Art des Verstoßes: Lag es an Fahrlässigkeit, mangelnden Sicherheitsmaßnahmen oder einem vorsätzlichen Angriff?
- Art der kompromittierten Daten: Wurden sensible persönliche Informationen (wie Sozialversicherungsnummern, Finanzdaten, Gesundheitsakten) offengelegt?
- Gesetze und Richtlinien: Verschiedene Bundesstaaten haben unterschiedliche Gesetze zur Regelung von Datenschutzverletzungen, und es gibt möglicherweise auch Bundesvorschriften wie HIPAA (für Gesundheitsdaten) und DSGVO (für europäische Bürgerdaten).
- Nachgewiesener Schaden: Wenn der Verstoß zu Identitätsdiebstahl, finanziellen Verlusten oder anderem Schaden für die betroffenen Personen führte, kann die Entschädigung höher ausfallen.
Es gibt keine feste Formel oder einen Präzedenzfall, der die Entschädigung direkt für eine bestimmte Anzahl betroffener Personen festlegt. Gerichte oder Aufsichtsbehörden bewerten diese Faktoren in der Regel, um Strafen, Bußgelder oder Entschädigungen festzulegen. Unternehmen könnten auch außergerichtliche Vergleiche aushandeln.
Beispielsweise haben Unternehmen in einigen aufsehenerregenden Fällen Entschädigungen gezahlt, die sich je nach Schwere und Auswirkung des Verstoßes auf Tausende, Millionen oder sogar Milliarden Dollar belaufen. Jeder Fall ist einzigartig und wird in der Regel individuell auf der Grundlage der zu diesem Zeitpunkt geltenden Umstände und Gesetze beurteilt.
Beispielvorfälle
Bedenken Sie, dass jeder Fall unterschiedliche Umstände, betroffene Bevölkerungsgruppen und rechtliche Kontexte betrifft, sodass die Ergebnisse für die Opfer der 23andMe-Datenverletzung unterschiedlich sein können.
Datenschutzverletzung bei Equifax
Als Antwort auf a Datenleck Equifax, von dem etwa 147 Millionen Menschen betroffen waren, stimmte einer Einigung in Höhe von rund 700 Millionen US-Dollar zu. Diese Vereinbarung umfasste eine finanzielle Entschädigung für die Betroffenen, verhängte Strafen und Bestimmungen für laufende Kreditüberwachungsdienste.
Datenschutzverletzung bei Horizon
In der Einigung bezüglich der Datenschutzverletzung bei HorizonMitglieder der Vergleichsgruppe, die einen Anspruch geltend machen, haben Anspruch auf eine Reihe von Entschädigungen:
- Erstattung tatsächlicher, dokumentierter und nicht erstatteter Auslagen, die aufgrund des Datensicherheitsvorfalls entstanden sind, mit einem Höchstbetrag von 5.000 US-Dollar.
- Entschädigung für die Zeit, die in die Behebung von Problemen im Zusammenhang mit dem Datensicherheitsvorfall investiert wurde, begrenzt auf 5 Stunden mit einem Satz von 25,00 USD pro Stunde, insgesamt jedoch maximal 125 USD.
- Eine Barauszahlung von bis zu 50 US-Dollar steht allen Mitgliedern der Vergleichsgruppe zur Verfügung, die einen Anspruch geltend machen. Darüber hinaus ist eine zusätzliche Zahlung von bis zu 50 US-Dollar für diejenigen vorgesehen, die zum Zeitpunkt des Datensicherheitsvorfalls in Kalifornien wohnhaft waren.
Facebook-Datenschutzvereinbarung
Die genaue Entschädigung für jeden Antragsteller im Facebook-Datenschutzvereinbarung variiert basierend auf mehreren Kriterien, einschließlich der Dauer ihrer Aktivität auf der Plattform. Während genaue Beträge schwer vorherzusagen sind, liegt die durchschnittliche geschätzte Auszahlung nach den Prognosen des Klassenanwalts bei etwa 30 US-Dollar.
Datenschutzverletzung bei T-Mobile
Sollte es genehmigt werden, Der von T-Mobile vorgeschlagene Vergleich in Höhe von 350 Millionen US-Dollar wird die zweithöchste Auszahlung in einem Fall einer Datenschutzverletzung in den USA sein. Dieser Vergleich im Zusammenhang mit einem Cyberangriff im Jahr 2021, bei dem persönliche Daten von über 100 Millionen Nutzern preisgegeben wurden, kann möglicherweise sowohl aktuellen als auch ehemaligen T-Mobile-Kunden zugerechnet werden.
Also…
Während die Ergebnisse der Beilegung von Datenschutzverletzungen je nach rechtlichen Faktoren und spezifischen Umständen des Einzelfalls erheblich variieren können, bleibt es ungewiss, was die endgültige Lösung der Datenschutzverletzung bei 23andMe mit sich bringen wird. Die den betroffenen Parteien gewährten Entschädigungen und Rechtsmittel unterscheiden sich häufig je nach Art des Verstoßes, dem Umfang der kompromittierten Daten und dem rechtlichen Rahmen der Gerichtsbarkeit. Daher ist es schwierig, den genauen Ausgang des 23andMe-Vorfalls vorherzusagen, da jeder Fall seinen eigenen Variablen und rechtlichen Überlegungen unterliegt.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney
