Du holst es aus dem Briefkasten. Es ist in lustigen, freundlichen Farben bedruckt. Tupfen. Spucken. In den Finger stechen. Zurückschicken. Bald wirst du etwas Neues über dich erfahren: deine Hormone, deine Fruchtbarkeit, dein Krebsrisiko, deine Veranlagung zu Alzheimer, deinen Stoffwechsel, deine Nahrungsmittelunverträglichkeiten oder sogar dein gesamtes Genom. Das ist der Reiz von DNA- und Gesundheitstests für zu Hause („Direct-to-Consumer“). Spät in der Nacht, von deinem Handy aus, kannst du so gut wie jeden Test bestellen, den du zu Hause durchführen kannst, ob du nun unversichert bist, neugierig oder einfach ängstlich, welche Geheimnisse dein Körper verbergen mag.

Bevor ich selbst einen bestellte, habe ich ein bisschen gegoogelt. Zunächst suchte ich nach einfachen Antworten: Wurde der Test von der FDA überprüft? Ist das Unternehmen durch HIPAA abgedeckt? Wird ein Arzt die Ergebnisse erklären? Je mehr ich las, desto weniger einfach wurde es. FDA-Sprache war selten, und wenn sie auftauchte, bezog sie sich meist auf einen bestimmten Test, Bericht oder ein Sammelset – nicht unbedingt auf das gesamte Unternehmen oder die Dienstleistung. Einige Unternehmen gaben an, HIPAA-konform zu sein; andere nicht. Fast alle beriefen sich auf CLIA-zertifizierte oder CAP-akkreditierte Labore, aber das sind nur Laborqualitätsstandards. Beratung und Nachsorge variierten ebenfalls stark. Das trieb mich tiefer in das Kleingedruckte: Könnten meine Informationen mit Strafverfolgungsbehörden geteilt oder für Werbung oder Forschung verwendet werden?

Die Antwort fand sich in den Richtlinien, die die meisten Menschen nie lesen. Aber ich habe sie gelesen, für 10 Unternehmen: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode und 23andMe. Ich habe jedes Unternehmen, das ich erwähnte, um einen Kommentar gebeten. Ich sprach auch mit 12 Experten für Bioethik, Genetik, HIPAA und Gesundheitsrecht, FDA-Regulierung, Verbraucherdatenschutz und Cybersicherheit, obwohl ich nur sechs von ihnen zitierte.

Mein erstes Risiko? Es ist nicht die Lanzette, der Tupfer oder das Röhrchen, mit dem ich meine biologische Probe sammle. Es beginnt früher, wenn ich den Test bestelle und wahrscheinlich annehme, dass meine Informationen wie jede andere medizinische Aufzeichnung geschützt sind, weil das Unternehmen gesundheitsbezogene Daten verarbeitet. In den USA schützt HIPAA, der Health Insurance Portability and Accountability Act von 1996, persönliche Gesundheitsinformationen (PHI), wenn sie von versicherten Einrichtungen und ihren Geschäftspartnern erstellt, verwaltet oder übermittelt werden. Es ist kein pauschales Datenschutzgesetz für alle.

Anya Prince, die David H. Vernon Professorin für Recht an der University of Iowa College of Law, erforscht Gesundheits- und genetische Privatsphäre. Prince sagte ZDNET, die Hauptfrage sei, ob ein Unternehmen unter HIPAA fällt. „DTC-Labore gelten möglicherweise nicht als versicherte Einrichtungen“, sagte Prince. „Die Gesundheitsinformationen, die sie haben … würden durch die Datenschutzrichtlinie des Unternehmens geregelt und nicht als PHI betrachtet.“ Als ich mir beliebte DTC-Unternehmen für zu Hause ansah, war ich überrascht, mehrere Verwendungen von HIPAA-Sprache und einige Lücken zu finden. Everlywell gab an, „sich zu verpflichten, Ihre personenbezogenen Gesundheitsinformationen gemäß HIPAA zu schützen“. Labcorp sagte, es sei „gesetzlich verpflichtet, die Vertraulichkeit von Gesundheitsinformationen gemäß HIPAA zu wahren“. Nucleus teilte mir mit, es sei „HIPAA-konform“. SiPhox sagte, es habe „HIPAA-konforme Sicherheit“, und myLAB Box gab an, dass die Informationen und Proben, die mit seinen Kits verbunden sind, unter HIPAA „abgedeckt“ seien. Für die anderen konnte ich keine aktuelle öffentliche Seite finden, die bestätigt, dass das Unternehmen HIPAA-konform oder durch HIPAA abgedeckt ist.

Julian Gage, Gründer von Engage Compliance und externer Datenschutzbeauftragter für DTC-Gesundheits- und Gentestunternehmen, sagte ZDNET, dass Behauptungen wie „HIPAA-konform“ und „HIPAA-konform“ Marketing-Sprache seien, „kein Schutz“. „HIPAA-konforme Verschlüsselung ist eine Aussage über eine Sicherheitseinstellung“, sagte Gage. „Sie sagt nichts darüber aus, ob HIPAA tatsächlich auf dich zutrifft oder was das Unternehmen mit deinen Ergebnissen machen kann.“ Zum Beispiel erklärte er, dass, wenn ein DTC-Unternehmen eine Bestellung über einen Arzt oder ein Telemedizinnetzwerk leitet, dieser Kliniker oder dieses Netzwerk möglicherweise eine HIPAA-versicherte Einrichtung ist und der Teil der Daten, den es erstellt und aufbewahrt, unter HIPAA fallen kann. Das bringt jedoch nicht unbedingt das Testunternehmen oder die