Avast muss wegen Verkauf von Nutzerdaten Strafe zahlen
Der Antivirensoftware-Entwickler Avast muss 13,9 Millionen Euro Strafe wegen Datenschutzverstößen bezahlen. Damit kommt ein jahrelanges Verfahren der tschechischen Datenschutzbehörde zum Abschluss.
Avast bietet Antivirensoftware und Browser-Erweiterungen an. Laut der Untersuchung hat das Unternehmen mithilfe seiner Produkte im untersuchten Zeitraum im Jahr 2019 Daten von Nutzerinnen und Nutzern gesammelt und an seine Tochterfirma Jumpstart weitergegeben. Eine Rechtsgrundlage für diese Datenverarbeitung habe jedoch nicht vorgelegen, wie der Europäische Datenschutzausschuss (EDSA) Ende vergangener Woche mitteilte.
Von dem Datentransfer waren demnach rund 100 Millionen Nutzerinnen und Nutzer betroffen.
Daten über besuchte Webseiten
Avast soll insbesondere den Browserverlauf der Nutzer weitergegeben haben, der mit einer eindeutigen Kennung verknüpft war. Die Datenschutzbehörde kam zu dem Schluss, dass es sich dabei um personenbezogene Daten handeln kann, auch wenn der Browser-Verlauf nicht vollständig war. Denn zumindest ein Teil der Betroffenen hätte anhand dieser Daten wieder identifiziert werden können.
Zudem habe Avast seine Kundinnen und Kunden falsch über die Datenübertragung informiert: Das Unternehmen hatte behauptet, es übermittle anonymisierte Daten, die ausschließlich zu statistischen Zwecken verwendet würden. Tatsächlich waren sie aber nicht anonymisiert und wurden über das Tochterunternehmen weiterverkauft.
Die tschechische Aufsichtsbehörde kritisiert, der Verstoß gegen die Datenschutzgrundverordnung sei umso schwerwiegender, weil Avast als Experte für Computersicherheit auftrete und Produkte zum Schutz von Daten und Privatsphäre anbiete. Kunden hätten daher nicht erwarten können, dass gerade dieses Unternehmen ihre persönlichen Daten weitergeben würde. Der Chef der tschechischen Behörde, Jiří Kaucký, erklärte: “Das sind Daten, anhand derer nicht nur die Identität einer Person festgestellt werden kann, sondern auch ihre Interessen, persönlichen Vorlieben, ihr Wohnort, ihr Vermögen, ihr Beruf und andere Daten, die ihre Privatsphäre betreffen.”
Praxis vor Jahren aufgedeckt
Die tschechische Datenschutzbehörde ist für Avast zuständig, weil das Unternehmen seinen Hauptsitz in Prag hat. Die Behörde hatte ihre Untersuchung bereits eingeleitet, nachdem Medien Ende 2019 und Anfang 2020 über den Datenverkauf berichtet hatten. Auch einen anonymen Hinweis habe es gegeben.
Das US-Magazin Motherboard hatte im Januar 2020 beispielsweise berichtet, in den weitergegebenen Daten seien unter anderem Google-Suchen und GPS-Koordinaten aus Google Maps enthalten gewesen. Für die Daten seien von Firmen teils Millionen US-Dollar bezahlt worden.
Kurz nachdem die Berichte erschienen waren, hatte Avast seine Tochterfirma Jumpstart geschlossen.
Die tschechischen Datenschützer hatten in dem Fall bereits im Jahr 2020 entschieden, wogegen Avast allerdings Berufung eingelegt hatte. Bei der nun verhängten Geldstrafe handelt es sich um die finale Entscheidung in dem Verfahren.
Strafe auch in den USA
Bereits im Februar hatte die US-Handelsaufsicht Federal Trade Commission (FTC) wegen des Datenhandels eine Geldstrafe in Höhe von 16,5 Millionen US-Dollar gegen Avast verhängt. Auch die FTC hatte der Firma vorgeworfen, mithilfe seiner Software zu Unrecht Browserverläufe gesammelt und verkauft zu haben, durch die Nutzer identifiziert werden konnten. Das Tochterunternehmen Jumpshot habe diese Daten zwischen 2014 und 2020 an mehr als 100 Unternehmen weiterverkauft.
Das Unternehmen hätte es einigen Käufern ermöglicht, Nutzer anhand der bereitgestellten Daten zu identifizieren. “Tatsächlich waren einige der Jumpshot-Produkte so konzipiert, dass Kunden bestimmte Nutzer verfolgen oder sogar bestimmte Nutzer – und ihre Browserverläufe – mit anderen Informationen verknüpfen konnten, über die diese Kunden verfügten”, so die Behörde. Die Daten hätten beispielsweise verraten, welche Webseiten wann über welches Gerät besucht wurden und wo sich die Internetnutzer befanden.
Laut der FTC sollen Nutzerinnen und Nutzer unter anderem in den USA, Großbritannien, Mexiko, Australien, Kanada und Deutschland von dem Datenverkauf betroffen gewesen sein. (js)