Tausche DNA gegen Müsli
Image by Kevin Phillips from Pixabay

Tausche DNA gegen Müsli

Personalisiertes Müsli durch DNA- und Bluttests

Im Jahre 2007 gründeten 3 Studenten aus Passau das Unternehmen MyMuesli. Die Idee dahinter: Jeder soll die Möglichkeit haben sich ein Müsli aus seinen Lieblingszutaten zusammenzustellen und es sich nach Hause liefern lassen. Die Idee kommt bei den Kunden ausgesprochen gut an, Stand 2017 betrug der Umsatz des Unternehmens 58 Mio Euro, es gibt über 30 eigene Läden in Europa und ca. 650 Mitarbeiter. Neben dem online-shop und den eigenen Geschäften beliefert MyMuesli auch 1500 Supermärkte mit vorgefertigten Müsli-Mischungen.

Mit ihren personalisierten Müslis haben die Unternehmer den Trend der Individualisierung im Ernährungsbereich aufgegriffen und sind damit wie gesagt sehr erfolgreich. Die neueste Aktion von MyMuesli, zusammen mit den Startups Lykon und der Perfood GmbH bzw. Million Friends, geht allerdings noch einen bedeutenden Schritt weiter in Richtung Personalisierung und ruft damit auch Datenschützer auf den Plan. Auf der Basis von Gen-, Blut- und Kotproben können sich Kunden nun ein auf ihrer körperlichen Zustand und dessen Bedürfnisse abgestimmtes Müsli zusammenstellen lassen. Die Genpoolanalyse wird dabei von dem Unternehmen Lykon vorgenommen, die Mikrobiom Auswertung macht die Perfood GmbH aus Lübeck.

Auf der Webseite von MyMuesli soll erklärt werden, was die erhobenen Daten mit der Ernährung der Kunden zu tun hat, dort steht unter anderem:

Image by PublicDomainPictures

„Auf Basis Deiner DNA wird so Dein Stoffwechseltyp bestimmt. Somit können Dir nach neuestem Stand der Wissenschaft Empfehlungen zu den Makronährstoffen Deiner Mahlzeiten und Lebensmitteln gegeben werden, die Dein Körper einfach verstoffwechseln kann und die Dir gut tun. Diese personalisierten Empfehlungen helfen Dir nicht nur Deine Ziele besser zu erreichen (als mit allgemeinen Ansätzen und Diäten), sondern auch besser zu leben.“

Was MyMüsli aber verschweigt, ist die Tatsache dass die angewandten Verfahren nicht unumstritten sind.

Dass es sich bei genetischen Daten wie auch bei Gesundheitsdaten im Allgemeinen um besonders schützenswerte Daten nach Art. 9 der DSGVO handelt muss an dieser Stelle wohl nicht eigens erwähnt werden. Somit ist es von besonderem Interesse, was mit den erhobenen Daten eigentlich so passiert. Fakt ist zunächst: bei dem neuen MyMuesli-Angebot gehen hochsensible und intime Daten durch viele Hände und Schnittstellen und werden auch dort gespeichert. Laut Aussage der Datenschutzerklärung von MyMuesli erfolgt keine Übermittlung personenbezogener Daten durch MyMüsli an die Kooperationsunternehmen Lykon und die Perfood GmbH, es werden aber durch die Lykon folgende Daten an die mymuesli GmbH, auf sicherem Weg übermitteln: Vor- und Nachname, Geschlecht, E-Mail-Adresse, Herkunftsland, die Ergebnisse des “Lykon Testkit – mymuesli Edition” in der Form “Blutwert = Testergebnis (grün/gelb/rot)”, z.B. “HDL-Cholesterol = grün” bzw. Vor- und Nachname, Geschlecht, E-Mail-Adresse, Herkunftsland, die Ergebnisse des “myDNA Slim (mymuesli Edition)” -Tests in der Form “Stoffwechseltyp = Testergebnis (P/C/C-L/P-L/C-P/M-High/M-Low)”, z.B. “Protein-Typ = P”. Was dabei unter einer sicheren Übermittlung verstanden wird, wird nicht weiter ausgeführt.

Auf die Frage „sind meine Daten sicher?“ wird auf der Webseite von MyMüsli folgende Antwort gegeben: „Keine Sorge, Deine Daten sind sicher. Sie sind weder für Lykon noch für uns direkt einsehbar. Sie werden auf Servern mit höchsten IT-Sicherheitsstandards gespeichert und nicht an Dritte weitergegeben. Selbstverständlich folgen wir auch den Datenschutzrichtlinien der Datenschutz-Grundverordnung (DSGVO).“

Mir stellen sich dabei dann doch einige Fragen. Zunächst wäre es interessant zu wissen wo die Server stehen bzw. wer diese betreibt, wie die Sicherheit der Daten gewährleistet werden soll und wie lange diese gespeichert werden sowie die Information wie denn Lykon die Daten auswerten kann ohne diese einzusehen bzw. wer die Daten dann einsehen kann. Auf den Fakt, dass es sich bei den Bestimmungen aus der DSGVO nicht um Richtlinien handelt möchte ich an dieser Stelle nicht weiter eingehen.

Image by Pezibear from Pixabay

Um diese Fragen beantwortet zu bekommen habe ich mich an den Datenschutzbeauftragten von MyMuesli gewendet. Dieser gab mir dann zunächst die Antwort, „dass MyMuesli nicht ohne Nachweis eines zugrundeliegenden Interesses … gewisse vertrauliche Informationen herausgeben kann und darf.“ Ich habe dann noch einmal nachgehakt und nach einiger Zeit, deshalb erscheint dieser Blog-Beitrag auch ungewöhnlich spät, Antworten auf meine Fragen bekommen. Die Fragen und Antworten im Einzelnen:

Frage: wie ist es möglich dass die genetischen Daten ausgewertet werden, ohne dass MyMuesli oder Lykon diese direkt einsehen können, wer kann die Daten stattdessen einsehen?

Antwort: Der grundsätzliche Prozess läuft wie folgt ab: Sie erwerben ein Testkit bei mymuesli, welches Ihnen von mymuesli zugeschickt wird. Das Testkit senden Sie direkt an LykonDX. LykonDX wiederrum versieht das Testkit lediglich mit einer Online-ID, welche nach Durchführung der Analyse benötigt wird, um die Testergebnisse einzusehen. Die Analyse wiederrum wird nicht durch LykonDX, sondern durch ein von LykonDX beauftragtes Labor durchgeführt. Ein inhaltlicher Zugriff auf die abgegebenen, z.T. genetischen Daten erfolgt somit ausschließlich bei diesem Labor. Eine direkte Zuordnung des Labors zum Kunden ist aufgrund der vorherigen Pseudonymisierung bei LykonDX (Vergabe der angesprochenen Online-ID) nicht möglich.

Mymuesli erhält von LykonDX ausschließlich folgende Informationen: Vor- und Nachname, Geschlecht, E-Mail-Adresse, Herkunftsland,  die Ergebnisse des “myDNA Slim (mymuesli Edition)” -Tests in der Form “Stoffwechseltyp = Testergebnis (P/C/C-L/P-L/C-P/M-High/M-Low)”, z.B. “Protein-Typ = P”.

Die Kritikalität dieser Daten und ein mögliches Risiko für die Betroffenen wurde im Rahmen einer Mini-DSFA überprüft. Auf Basis dieser Daten können ohne weiterführende ärztliche Informationen keine faktischen Rückschlüsse auf den Gesundheitszustand des Betroffenen gezogen werden.

Somit wird gewährleistet, dass weder LykonDX noch mymuesli Zugriff auf die Analyseergebnisse haben und das beauftragte Labor andererseits auch keinen direkten Personenbezug aufgrund der Pseudonymisierung herstellen kann.

Mein Fazit: Für mich bleiben folgende Fragen offen: Wieso wird auf der Internetseite und der Datenschutzerklärung von Lykon nur mit einem Satz „Von der Datenweitergabe sind folgende Dritte erfasst: unsere Partner-Labore, die Ihr Testkit auswerten und das Auswertungsergebnis an uns übertragen. Die Partner-Labor dürfen das Testkit und das Auswertungsergebnis nicht für eigene Zwecke verwenden.“ erwähnt und nicht der komplette Prozess dargestellt? Was ist eine „mini-DSFA“? Eine Datenschutzfolgenabschätzung muss nach Art. 35 immer dann durchgeführt werden wenn eine Verarbeitung „insbesondere bei der Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke … voraussichtlich in hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.“ Also in meinen Augen werden hier definitiv neue Technologien (Gen-Analyse) eingesetzt und ich kann mir auch kaum eine Verarbeitung vorstellen, die ich für risikobehafteter halte, Pseudonymisierung nun hin oder her.

Image by Gerd Altmann from Pixabay

Frage: wo stehen die Server, auf denen meine sensiblen Daten gespeichert werden?

Antwort: Ihre Daten werden im Rahmen der Bestell- bzw. Kaufabwicklung und der Durchführung der Analyse auf Servern in Deutschland, Großbritannien und den USA verarbeitet.

Image by Gerd Altmann

Mein Fazit: Meine höchst sensiblen genetischen Daten werden also im Rahmen der Durchführung der Analyse auch auf Servern in den USA gespeichert, was zur Folge hat dass die Bundesbehörden der USA auf Grund des FISA (Foreign Intelligence Surveillance Act) jederzeit verdachtsunabhängig Zugriff auf diese Daten haben.   Dem habe ich nichts hinzuzufügen…

Frage: wie wird die Sicherheit meiner Daten gewährleistet?

Antwort: Die Sicherheit der Datenverarbeitung wird durch angemessene, technische und organisatorische Maßnahmen gewährleistet, die regelmäßig überprüft werden.

Diese beinhalten u.a., aber nicht ausschließlich

  • erforderliche vertragliche Datenschutzvereinbarungen (Vereinbarung der gemeinsamen Verantwortung mit LykonDX, Vereinbarungen zur Auftragsverarbeitung respektive der Einsatz geeigneter Garantien, hier insbesondere Standarddatenschutzklauseln mit Subdienstleistern)
  • Verpflichtung der mit der Datenverarbeitung betrauten mymuesli-Mitarbeiter auf Vertraulichkeit und Geheimhaltung
  • Regelmäßige Schulung und Unterweisung der Mitarbeiter
  • Bestellter Datenschutzbeauftragter bei mymuesli und sofern erforderlich bei den eingesetzten Subdienstleistern
  • Regelmäßige Evaluierung und Kontrolle der eingesetzten Dienstleister
  • Maßnahmen zu Anonymisierung und Pseudonymisierung (u.a. Online-ID)
  • Verschlüsselung relevanter Daten
  • Maßnahmen zur Gewährleistung der Vertraulichkeit (u.a. Zutritts-, Zugangs- und Zugriffskontrollen)
  • Maßnahmen zur Gewährleistung der Integrität (u.a. Protokollierung von Eingaben, Änderungen, Löschung und Weitergabe)
  • Maßnahmen zur Gewährleistung der Verfügbarkeit (u.a. getestetes Backup- & Recoverykonzept, Löschkonzept)
  • Maßnahmen  zur Gewährleistung der Belastbarkeit (u.a. Monitoring der Systeme)
  • Durchführung einer Risikobewertung in Form einer Mini-DSFA

Mein Fazit: Vielleicht verstehe ich es falsch, aber hat Lykon keinen Datenschutzbeauftragten bestellt? Verpflichtet wäre Lykon in jedem Fall wegen der umfangreichen Verarbeitung besonderer Kategorien nach Art. 9 DSGVO. In der Datenschutzerklärung von Lykon steht lediglich: „Den Datenschutzbeauftragten der Firma erreichen Sie unter der oben genannten Postadresse, mit dem Zusatz „An den Datenschutzbeauftragten“ oder unter der E-Mail-Adresse: datenschutz@lykon.de.“ Auch hier wird wieder auf die mini-DSFA hingewiesen…

Frage: wie lange werden meine Daten gespeichert, nachdem ich die Ergebnisse des Tests und die Ernährungstipps erhalten habe?

Antwort: Ihre personenbezogenen Daten werden nur solange gespeichert, wie es für den Zweck erforderlich ist. Sie haben zudem die Möglichkeit, Ihre Analyseergebnisse selbständig im Lykon Dashboard zu löschen. Loggt sich der Nutzer länger als 4 Jahre nicht in seinen Account ein, werden sein Zugang und alle dazugehörigen Daten automatisiert gelöscht. Für weitere Informationen bitte Ich Sie, sich direkt an LykonDX zu wenden.

Mein Fazit: Auch diese Antwort finde ich fraglich. Wenn die Daten nach Zweckerfüllung automatisch gelöscht werden, wie soll es dann vorkommen, dass noch Daten von Nutzern im System sind, die sich 4 Jahre lang nicht eingeloggt habe.

Image by lisichik from Pixabay

Abschließend muss ich positiv anmerken, dass sich der Datenschutzbeauftragte von MyMuesli viel Zeit und Mühe gemacht hat auf meine Fragen zu antworten. Leider haben mich die Antworten aber nicht davon überzeugt dass bei dem personalisierten DNA-Müsli alle datenschutzrechtlichen Bestimmungen eingehalten wurden. Erstrecht wurde mir nicht der Eindruck vermittelt, dass das gemeinsame Angebot von Lykon und MyMüsli vertrauenserweckend bzw. sicher ist. Ich halte die Auswertung von DNA-Daten in diesem Zusammenhang für höchst bedenklich und kann nur jedem Leser raten es sich zweimal überlegen, ob er seine höchst sensiblen Daten für solche Zwecke zur Verfügung stellen möchte.

Menü schließen

Tausche DNA gegen Müsli

by paul time to read: 7 min
0