Dubioses Daten-Handling beschert Avast Millionen-Strafe
Die US-amerikanische Federal Trade Commission (FTC) hat Avast, einem Hersteller von Antivirensoftware, eine Geldstrafe in Höhe von 16,5 Millionen Dollar auferlegt. Der Grund dafür ist, dass das Unternehmen angeblich die Surfdaten seiner Nutzer an Werbetreibende verkauft hat, obwohl es versprochen hatte, dass seine Produkte das Online-Tracking blockieren würden.
Schwere Zeiten für Avast: Neben der Strafe, die dem Unternehmen aufgrund seines unlauteren Geschäftsgebarens aufgebrummt wurde, hat ein Gericht ihm untersagt, Surfdaten zu Werbezwecken zu verkaufen oder zu lizenzieren. Außerdem muss es die Nutzer benachrichtigen, deren Browserdaten ohne deren Zustimmung an Dritte verkauft wurden.
Die FTC beschuldigt Avast, „in unerlaubter Weise die Surfdaten der Verbraucher über seine Browsererweiterungen und Antivirensoftware gesammelt, für unbestimmte Zeit gespeichert und ohne angemessene Benachrichtigung und Einwilligung der Verbraucher verkauft zu haben“. Sie wirft dem britischen Unternehmen auch vor, die Nutzer getäuscht zu haben, indem es fälschlicherweise behauptete, seine Software würde das Tracking durch Dritte blockieren und die Privatsphäre der Nutzer schützen. In Wahrheit hatte Avast die „detaillierten, wieder identifizierbaren Browsing-Daten“ seiner Nutzer über seine Tochtergesellschaft Jumpshot an mehr als 100 Dritte verkauft.
Darüber hinaus konnten die Datenkäufer nicht persönlich identifizierbare Informationen mit den Browsing-Informationen der Avast-Benutzer verknüpfen, so dass andere Unternehmen die Benutzer und ihren Browserverlauf verfolgen und mit anderen Informationen verknüpfen konnten, die sie bereits hatten.
Die fragwürdige Datenschutzpraxis wurde im Januar 2020 durch eine gemeinsame Untersuchung von Motherboard und PCMag bekannt. Dabei wurden Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast und Intuit als einige der „früheren, aktuellen und potenziellen Kunden“ von Jumpshot genannt.
Einen Monat zuvor hatten die Webbrowser Google Chrome, Mozilla Firefox und Opera die Browser-Add-ons von Avast aus ihren jeweiligen Stores entfernt. Dies geschah, nachdem der Sicherheitsforscher Wladimir Palant im Oktober 2019 diese Erweiterungen als Spyware eingestuft hatte.
Das Avast-Antivirenprogramm sammelte ohne Zustimmung des Nutzers Daten, die Google-Suchanfragen, Standortinformationen und den allgemeinen Internetverlauf umfassten.
Laut der Federal Trade Commission (FTC) umfassten die von Jumpshot verkauften Browsing-Daten Informationen über die Webaktivitäten der Nutzer. Diese Daten enthielten sensible Informationen wie religiöse Überzeugungen, Gesundheitsprobleme, politische Einstellungen, Standorte, finanzielle Situationen und den Besuch von Websites, die sich an Kinder richten.
Jumpshot bezeichnete sich selbst als das „einzige Unternehmen, das Walled-Garden-Daten freischaltet“ und behauptete, seit August 2018 Zugriff auf Daten von bis zu 100 Millionen Geräten zu haben. Die Browsing-Informationen sollen seit mindestens 2014 gesammelt worden sein.
Die Probleme im Bereich Datenschutz veranlassten Avast inzwischen, die Datensammlung von Jumpshot zu stoppen und den Betrieb von Jumpshot mit sofortiger Wirkung einzustellen.
Avast hat sich nun mit einem anderen Unternehmen für Cybersicherheit, NortonLifeLock, zu einer neuen Muttergesellschaft namens Gen Digital zusammengeschlossen. Diese Muttergesellschaft umfasst auch andere Produkte wie AVG, Avira und CCleaner.
„Avast hat den Nutzern versichert, dass seine Produkte ihre Browsing-Daten privat halten würden, aber das war nicht der Fall“, sagte Samuel Levine, Direktor des FTC-Büros für Verbraucherschutz. „Avasts Taktik der versteckten Überwachung hat die Privatsphäre der Verbraucher gefährdet und gegen das Gesetz verstoßen.“ Der daraus resultierende Vertrauensverlust seitens der Nutzer könnte das Unternehmen noch schwerer belasten, als die finanzielle Strafe.