Drei Jahre nach dem Skandal um den Genanlalyse-Dienstleister 23andMe beschäftigt dieser wieder die Justiz. Kaliforniens Generalstaatsanwalt Rob Bonta wirft dem Unternehmen im Kern vor, verdächtige Aktivitäten auf den Servern ignoriert zu haben, die Implementierung widerstandsfähiger Datenschutzmaßnahmen versäumt und die Öffentlichkeit nicht angemessen über den Vorfall aufgeklärt zu haben.

Die Klage richtet sich zwar gegen eine „Chrome Holding“, der 23andMe mittlerweile gehört – doch im Fokus steht weiter 23andMe. Bis heute firmiert der Genanalyse-Anbieter unter diesem Namen und bietet die Möglichkeit, die eigene DNA analysieren zu lassen. Bonta verweist auf Ermittlungsergebnisse, 23andMe soll demnach bereits deutlich vor dem offiziellen Bekanntwerden des Leaks im Jahr 2023 seltsame Aktivitäten auf seinen Servern bemerkt haben. Demnach habe das Unternehmen am 6. Juli 2023 einen verdächtigen Anstieg der Anmeldeversuche festgestellt, über eine Million erfolgreiche Anmeldungen auf dasselbe Kundenkonto soll es innerhalb eines einzigen Tages gegeben haben. Zudem sollen 1300 Anmeldeanfragen pro Minute von einer einzigen IP-Adresse gekommen sein. Trotz dieses kritischen Warnsignals hätte 23andMe keine Maßnahmen zum Schutz seiner Kundendaten ergriffen, moniert Bonta.

Bonta: Warnsignale schon Monate vorher

Am 11. August 2023 tauchte laut der Klageschrift dann ein Angebot von 23andMe-Kundendaten im Dark Web auf, was auch im 23andMe-Subreddit thematisiert wurde. Auch das hätte das Unternehmen mitbekommen, habe aber keinerlei Maßnahmen ergriffen oder weitere Sicherheitsmaßnahmen implementiert. Untersuchungen hätten ergeben, dass die Angreifer von April bis August 2023 Zugriff auf die Server hatten. Der Angriff soll mithilfe von Credential Stuffing erfolgt sein – also mit erbeuteten Login-Daten von 23andMe-Nutzern für andere Webseiten, die aber identisch mit denen für 23andMe sind. Zudem nutzten die Angreifer eine Funktion des 23andMe-Portals aus, die es Nutzern ermöglichen sollte „genetische Verwandte“ zu finden, also fremde Menschen mit einer ganz ähnlichen DNA. Die Funktion war offenbar so implementiert, dass der initiale Zugriff auf 14.000 Accounts bei 23andMe letztlich Zugang zu Daten von ingesamt sieben Millionen Kunden ermöglichte, eine Million davon sollen laut Bonta aus Kalifornien stammen.

Am 1. Oktober 2023 wurden demnach dann Kundendaten von 23andMe im Dark Web zum Verkauf angeboten, wobei der Anbieter ausdrücklich darauf hingewiesen haben soll, dass es sich teilweise um Daten aschkenasisch-jüdischer und chinesischer Nutzer handele. In einer Pressemitteilung wenige Tage später räumte 23andMe zwar das Credential Stuffing ein, behauptete aber, dass es keinen Sicherheitsvorfall gegeben habe – für Bonta eine grobe Täuschung der Betroffenen, ebenso die allgemeine Aussage von 23andMe, dass Kundendaten dank starker Sicherheitsvorkehrungen in sicheren Händen seien. Zudem mahnte 23andMe bei seinen Kunden starke Passwörter an und riet zur Zwei-Faktor-Authentifizierung. Die Klage interpretiert das dagegen als ein Abwälzen der Schuld des Unternehmens auf seine Kunden.

23andMe soll an Cyberkriminelle gezahlt haben

Brisant ist, was im Oktober 2023 offenbar hinter den Kulissen geschah. Während 23andMe den Vorfall öffentlich runterspielte, soll das Unternehmen in Kontakt mit dem Angreifer gewesen sein und ihm Geld gezahlt haben. Unter anderem dafür, dass schädliche Informationen bezüglich des Datenlecks, welche Informationen über Sicherheitslücken bei 23andMe preisgeben, aus dem Internet verschwinden. Welcher Geldbetrag konkret geflossen sein soll, ist nicht angegeben.

Die beschriebenen Praktiken von 23andMe sieht Bonta nicht im Einklang mit diversen kalifornischen Datenschutzgesetzen, darunter der Genetic Information Privacy Act, der Reasonable Data Security Law und der California Consumer Privacy Act. Es ist bereits die zweite große Klage, die Kalifornien seit dem fatalen Leak gegen 23andMe anstrengt. Auch den Verkauf des Unternehmens an eine von Ex-CEO und Mitgründerin Anne Wojcicki geführte NGO versuchte der Bundesstaat noch im vorigen Jahr zu verhindern.

Der Skandal um den Datenleak bescherte 23andMe einen massiven Einbruch der Kundennachfrage, wodurch das Unternehmen zunächst bankrott ging. Es folgte eine Auktion nach US-Insolvenzrecht, bei der sich zunächst der US-Pharmakonzern Regeneron Pharmaceuticals als Meistbietender hervortat, auch Wojcickis NGO „TTAM Research Institute“ (“Twentythree and Me Research Institute“) stach er mit seinem Gebot von 256 Millionen US-Dollar zunächst aus. Doch im letzten Moment meldete sich Wojcicki mit einem neuen Gebot zurück und erhielt letztlich für 305 Millionen Dollar den Zuschlag. Kalifornien hatte gegen den Verkauf geklagt, weil er aus Sicht des US-Bundesstaats einen Verstoß gegen seinen Genetic Information Privacy Act darstellt, der einen Weiterverkauf genetischer Informationen verbietet.

Das Tech-Portal The Register hat versucht, eine Stellungnahme von 23andMe zu erhalten. Hinter 23andMe verbirgt sich heute ein Geflecht von Chrome Holding und TTAM Research. Während die Chrome Holding, gegen die auch die Klage läuft, nicht für eine Stellungnahme verfügbar war, distanzierte sich das TTAM Research Institute von den Vorwürfen in der Klage. Es handele sich um eine neu gegründete NGO, die nichts mit den Praktiken der alten, kommerziell geführten (und bankrott gegangenen) 23andMe-Organisation zu tun habe. Aber die Person, die an der Spitze beider Organisationen stand und steht, ist dieselbe: Anne Wojcicki, ihr Name könnte in diesem Rechtsstreit noch interessant werden.

(nen)

In der Debatte um eine Regulierung des Zugangs für Kinder und Jugendliche zu sozialen Medien haben Experten des Aktionsrats Bildung ein Social-Media-Verbot in Grundschulen gefordert. „Die Gefahren und unerwünschten Nebenwirkungen von Social Media überlagern nach unserer Einschätzung mögliche positive Aspekte im Grundschulalter“, sagte Bildungswissenschaftlerin Nele McElvany von der Uni Dortmund der dpa. „Deshalb plädieren wir für einen Ausschluss von Social Media aus Grundschulen, wenn es sich nicht um klar umrissene besondere pädagogische Ziele handelt, die doch einen Einbezug erfordern.“

Erhebliche Risiken bis hin zu Sucht und Mobbing-Erfahrung

Die Nutzung von Smartphones, Social Media und Social Gaming steige bereits im Grundschulalter deutlich an, stellt ein Gutachten des Aktionsrats fest. Grundschulkinder seien mit Informationen konfrontiert, die nicht mehr über Erwachsene gefiltert, sondern durch Algorithmen gesteuert würden, schildert das Gremium renommierter Bildungsforschender.

Kindgerechte und sichere Angebote gebe es hingegen nur begrenzt. Aufmerksamkeitsstörungen, exzessives Nutzungsverhalten bis hin zu Sucht sowie Cybermobbing betreffen demnach auch schon Grundschulkinder. „Pädagogisches Ziel für Grundschulen muss sein, die Entwicklung der Voraussetzungen für einen souveränen Umgang mit Social Media durch die Grundschulkinder zu fördern“, betont McElvany. Dazu gehöre auch etwa die Fähigkeit der Selbstregulation.

Neues Bildungsziel „mediale Integrität“

Das Expertengremium schlägt das neue Bildungsziel „mediale Integrität“ vor, damit Kinder früh angeleitet werden, sich sicher und verantwortungsvoll im digitalen Raum zu bewegen. Es solle für alle Altersstufen eingeführt und gezielt in den Fachunterricht integriert werden, erläutert die Direktorin des Instituts für Schulentwicklungsforschung in Dortmund. Der Schutz von Kindern im digitalen Raum sei eine gesamtgesellschaftliche Aufgabe, betont McElvany, Mitautorin des Gutachtens.

Eltern sollten von den Grundschulen Beratung und Hilfestellungen bekommen – Infos über Risiken und Potenziale der sozialen Medien, konkrete Nutzungsempfehlungen und Hinweise auf Ansprechpersonen in der Schule. Auf Bundesebene brauche es einen verbindlichen Rechtsrahmen zur stärkeren Regulierung von Social Media. Das nehme dann auch Anbieter in die Pflicht, etwa mit Blick auf eine wirksame Altersüberprüfung bei Einrichtung eines Nutzerkontos. Manipulative und suchtfördernde Elemente sowie Werbung in Social Media und Social Games, die auf Kinder abzielen, sollten untersagt werden.

Handy-Nutzung in NRW bereits reguliert

„Gerade mit Blick auf Grundschulkinder ist aus Sicht des Schulministeriums Zurückhaltung bei der Nutzung von Smartphones und sozialen Medien geboten“, sagt ein Sprecher in Düsseldorf. Alle Schulen hätten die Handy-Nutzung seit 2025 geregelt, das Schulministerium habe dafür klare Leitlinien vorgegeben. „Für Grundschulen gilt dabei die klare Empfehlung, die private Nutzung von Smartphones und Smartwatches grundsätzlich zu untersagen.“ Unabhängig davon bleibe die Vermittlung von Medienkompetenz eine zentrale Aufgabe von Schule. Kinder und Jugendliche müssten lernen, digitale Medien sicher, kritisch und verantwortungsvoll zu nutzen. Medienbildung ist dem Sprecher zufolge im NRW-Schulgesetz verankert.

(nie)

135 Jahre nach dem päpstlichen Rundschreiben Rerum Novarum reagiert erneut ein Papst auf eine technische Revolution. Doch während Leo XIII. 1891 die soziale Frage der Industrialisierung verhandelte, beschäftigt Leo XIV. etwas anderes: Wer kontrolliert die Maschinen, die heute nicht mehr Stoffe und Stahl, sondern gesellschaftliche Wirklichkeit produzieren?

Magnifica Humanitas ist deshalb weit mehr als ein Kirchenpapier über künstliche Intelligenz. Der Papst beschreibt eine Welt, in der Algorithmen Entscheidungen prägen, Plattformen die öffentliche Kommunikation kontrollieren und private Konzerne über Ressourcen verfügen, von denen Nationalstaaten nur träumen. Die eigentliche Gefahr sieht er – ähnlich wie seinerzeit Adorno und Horkheimer – in einem „technokratischen Paradigma“, das Berechenbarkeit mit Wahrheit, Effizienz mit Vernunft und technische Machbarkeit mit gesellschaftlichem Fortschritt verwechselt.

Die Enzyklika wendet sich gegen einen Deus ex machina, der dem einzigen Gott die Show zu stehlen droht. Das Silicon Valley verspricht die Abschaffung von Krankheit, Arbeit und vielleicht irgendwann sogar des Todes. Die Serverfarm wird zur Kathedrale, der CEO zum Hohepriester des Fortschritts. Für eine Institution, deren Geschäftsmodell seit zweitausend Jahren auf Erlösungsversprechen beruht, ist das keine Lappalie.

Darin liegt auch die politische Raffinesse des Textes. Nach Jahrzehnten, in denen Missbrauchsskandale die moralische Autorität der Kirche schwer beschädigt haben, versucht Leo XIV., den Vatikan als globale Gewissensinstanz neu zu positionieren: Für die Menschenwürde und gegen Machtkonzentration, Krieg und digitale Kontrolle.

Das führt selbst innerhalb des Katholizismus zu Konflikten. Besonders in den USA. Während Vizepräsident J. D. Vance die Hauptbedrohung in Migration, „Wokeness“ und kultureller Auflösung sieht, richtet Leo XIV. den Blick auf die Entgrenzung technischer Macht. Beide Lager kritisieren die liberale Moderne, aber sie streiten darüber, was an ihr eigentlich gefährlich ist. Vance setzt auf die Nation, Leo XIV. auf transnationale Bündnisse.

Gerade deshalb könnte die Enzyklika über kirchliche Kreise hinaus wirken. Gewerkschafter, Datenschutzaktivisten, linke Technik-Kritiker und katholische Sozialethiker werden sich über Eigentum, Abtreibung oder Familienpolitik kaum einig werden. Doch sie teilen die Skepsis gegenüber einer Zukunft, die von einigen wenigen Konzernen gestaltet wird, deren Satelliten bereits den Himmel bevölkern und deren Algorithmen die öffentliche Wahrnehmung strukturieren.

Der Papst baut damit Brücken. Wer den Plattformkapitalismus und die Konzentration digitaler Macht für das eigentliche Problem unserer Zeit hält, muss nicht katholisch werden, um strategische Zweckbündnisse einzugehen. Erfahrene Rollenspieler von Tolkien bis Dungeons & Dragons wissen schließlich: Gegen den Endgegner gewinnt keine Klasse allein.

(hag)