23andMe steht kurz vor der Beilegung einer Sammelklage gegen das Unternehmen wegen einer Datenschutzverletzung, bei der die Daten von 6,9 Millionen Nutzern kompromittiert wurden. Gemäß dem vorläufigen Vergleichsvorschlag hat sich das Unternehmen bereit erklärt, den betroffenen Kunden 30 Millionen US-Dollar für DNA-Tests zu zahlen und über einen Zeitraum von drei Jahren jährliche Computer-Scans und Cyber-Sicherheitsprüfungen durchzuführen. Eine Website wird eingerichtet, um Personen, die Anspruch auf einen Teil des Vergleichsbetrags haben, zu informieren und Zahlungen zu erleichtern. Die betroffenen Nutzer erhalten außerdem einen Link, über den sie alle ihre Daten aus dem Dienst löschen können, und können sich kostenlos für das dreijährige Programm „Privacy & Medical Shield + Genetic Monitoring“ anmelden. Die Bedingungen müssen noch von einem Richter genehmigt werden.
Im Oktober 2023 gab das Unternehmen zu, dass die DNA-Profile von etwa 5,5 Millionen Kunden und die Stammbaumprofile von 1,4 Millionen DNA-Teilnehmern durchgesickert waren. Später gab das Unternehmen in einem Rechtsdokument bekannt, dass die Hacker Ende April 2023 begonnen hätten, in Kundenkonten einzudringen und bis September desselben Jahres Zugang zu den Systemen gehabt hätten. Die Hacker hätten eine Technik namens „Credential Stuffing“ eingesetzt, bei der zuvor kompromittierte Anmeldedaten verwendet werden, um auf Kundenkonten zuzugreifen.
Der Verstoß führte zu mehreren Sammelklagen gegen das Unternehmen, darunter eine, in der 23andMe vorgeworfen wurde, die Kläger nicht darüber informiert zu haben, dass sie aufgrund ihrer chinesischen und aschkenasischen jüdischen Herkunft gezielt angegriffen wurden. In der Vergleichsvereinbarung [PDF] für die konsolidierte Klage erklärte 23andMe, dass es „die in der Klage erhobenen Ansprüche und Behauptungen zurückweist“ und „bestreitet, die personenbezogenen Daten seiner Kunden und Nutzer nicht angemessen geschützt zu haben“.
Laut Reuters beschreibt 23andMe seine finanzielle Situation als „extrem unsicher“. In seinem Finanzbericht für das Geschäftsjahr 2024 gab das Unternehmen einen Gesamtumsatz von 220 Millionen US-Dollar an, was einem Rückgang von 27 Prozent gegenüber dem Vorjahresumsatz von 299 Millionen US-Dollar entspricht. Ein Großteil der Vergleichssumme wird jedoch aus der Cyber-Versicherung stammen, von der das Unternehmen erwartet, dass sie 25 Millionen US-Dollar der insgesamt 30 Millionen US-Dollar abdecken wird.
