Avast soll 16,5 Millionen Dollar zahlen wegen Datenhandel

Der IT-Security-Anbieter Avast soll eine Millionenstrafe zahlen. Dem Anbieter wird vorgeworfen, Nutzerdaten über seine Software gesammelt und weiterverkauft zu haben.

Avast verspricht, seine Nutzer vor Online-Tracking zu schützen. Allerdings hat das Unternehmen offenbar selbst große Datenmengen durch Browser-Erweiterungen und Antivirensoftware gesammelt und ohne Einverständnis der Nutzerinnen und Nutzer verkauft. Deswegen hat die US-Handelsaufsicht Federal Trade Commission (FTC) nun eine Verwaltungsbeschwerde gegen das Unternehmen beschlossen und dafür plädiert, eine Geldstrafe von 16,5 Millionen US-Dollar gegen den Softwareanbieter zu verhängen.

Wie die FTC am Donnerstag in ihrer Beschwerdeschrift mitteilte, wirft sie Avast vor, mithilfe der firmeneigenen Browser-Erweiterungen und Antivirensoftware zu Unrecht Browserinformationen von Nutzerinnen und Nutzern gesammelt, auf unbestimmte Zeit gespeichert und ohne Zustimmung der Betroffenen verkauft zu haben.

Auch wirft die Aufsichtsbehörde der britischen Firma vor, die Nutzer getäuscht zu haben, indem sie behauptete, die Software würde die Privatsphäre der Verbraucher schützen, indem sie das Tracking durch Dritte blockierte. Jedoch hätte das Unternehmen die Verbraucherinnen und Verbraucher nicht darüber aufgeklärt, dass Avast selbst Nutzerdaten verkauft – über die sogar einzelne Personen identifizierbar waren.

“Avast versprach den Benutzern, dass seine Produkte ihre Browserdaten schützen würden, lieferte aber das Gegenteil”, sagte Samuel Levine, Leiter des Verbraucherschutzes der FTC. Zu den Betroffen sollen Nutzer aus den USA, Großbritannien, Mexiko, Australien, Kanada und Deutschland gehören.

Der Softwareanbieter habe die Informationen mithilfe seines tschechischen Tochterunternehmens Jumpshot zwischen 2014 und 2020 an mehr als 100 Drittfirmen verkauft. Werbe-, Marketing- und Datenanalyseunternehmen hätten genauso zu den Käufern gezählt wie Datenhändler.

“Zu den Browserdaten gehörten Informationen über die Websuchen der Nutzer und die von ihnen besuchten Webseiten, die Aufschluss über die religiösen Überzeugungen der Verbraucher, ihre gesundheitlichen Bedenken, ihre politische Einstellung, ihren Aufenthaltsort, ihren finanziellen Status, den Besuch von kindgerechten Inhalte, und andere sensible Informationen gaben”, so die FTC.

Keine Anonymität

Die FTC kritisiert in ihrer Mitteilung auch, Avast habe die verkauften Datensätze nicht ausreichend anonymisiert, um zu verhindern, dass sie einzelnen Nutzern zugeordnet werden können. Zwar habe das Unternehmen angegeben, solche Informationen vor dem Verkauf mithilfe von Algorithmen entfernt zu haben. Doch hat das laut Aufsichtsbehörde nicht ausgereicht.

Die Daten hätten beispielsweise verraten, welchen Webbrowser einzelne Nutzer eingesetzt haben, welche Webseiten wann über welches Gerät besucht wurden und wo sich die Internetnutzer befanden. Avast habe fälschlicherweise angegeben, persönliche Daten nur aggregiert und anonymisiert weiterzugeben.

Das Unternehmen hätte es einigen Käufern zudem ermöglicht, Nutzer anhand der bereitgestellten Daten zu identifizieren. “Tatsächlich waren einige der Jumpshot-Produkte so konzipiert, dass Kunden bestimmte Nutzer verfolgen oder sogar bestimmte Nutzer – und ihre Browserverläufe – mit anderen Informationen verknüpfen konnten, über die diese Kunden verfügten”, erklärte die FTC.

Zusätzliche Auflagen

Außer der Strafzahlung soll Avast nach dem Willen der FTC noch weitere Bedingungen erfüllen: Das Geld soll dazu genutzt werden, betroffene Nutzer zu entschädigen. Avast soll außerdem keine Browserdaten mehr zu Werbezwecken verkaufen dürfen. Alle an Jumpshot übertragenen Browserdaten sollen gelöscht werden. Betroffene Verbraucher müssen laut FTC über die Vorgänge informiert werden.

Die Kommission der FTC hat einstimmig für die Verwaltungsbeschwerde gegen Avast gestimmt. Sie kann nun 30 Tage lang öffentlich kommentiert werden. Danach entscheidet die Kommission, ob der Beschluss endgültig wird.

Der Nachrichtenseite The Register zufolge hat Avast bereits den vorgeschlagenen Auflagen der FTC zugestimmt. Eine Schuld hätte das Unternehmen aber nicht eingestanden – was üblich bei solchen Einigungen sei. Avast teilte am Donnerstag gegenüber The Register mit: “Obwohl wir mit den Vorwürfen der FTC und der Charakterisierung des Sachverhalts nicht einverstanden sind, freuen wir uns, diese Angelegenheit geklärt zu haben, und freuen uns darauf, unsere Millionen Kunden auf der ganzen Welt weiterhin zu bedienen.”

Bis zur Schließung von Jumpshot im Jahr 2020 soll die Firma laut FTC acht Petabyte an Browser-Daten angesammelt haben. (hcz)