Avast, der bekannte Antiviren-Anbieter, steht derzeit wegen der unerlaubten Weitergabe von Nutzerdaten im Rampenlicht. Ironischerweise sollte die Software der Firma eigentlich vor eben solchen Übergriffen schützen. Doch Avast hat durch seine Programme und Browser-Plugins detaillierte Informationen über die Internetnutzung seiner Kunden gesammelt und weiterverkauft. Diese Datenweitergabe kommt das Unternehmen nun teuer zu stehen.

Was ist passiert?

Von 2014 bis 2020 sammelte Avast über seine Tochterfirma Jumpshot umfangreiche Daten von mehr als 100 Millionen Nutzern. Dazu gehörten Suchbegriffe, abgerufene URLs und sogar Cookies. Diese Informationen wurden dann, obwohl pseudonymisiert, an über 100 Werbefirmen verkauft. Trotz der Pseudonymisierung war es offenbar möglich, die Daten wieder zu re-identifizieren. Dieses Vorgehen blieb nicht ohne Konsequenzen.

Strafen und Konsequenzen

Nach einer Datenschutzstrafe in Tschechien in Höhe von rund 13,9 Millionen Euro, muss Avast nun in den USA 16,5 Millionen Dollar (etwa 15,4 Millionen Euro) zahlen. Interessant dabei ist, dass die USA eigentlich kein einheitliches Datenschutzgesetz haben. Die Federal Trade Commission (FTC) fand jedoch einen rechtlichen Hebel und stufte die Sammlung und den Verkauf der Daten als unlautere Geschäftspraktik und Irreführung ein.

Die Maßnahmen der FTC

Die FTC sieht in Avasts Vorgehen eine klare Falschdarstellung. Das Unternehmen hatte versprochen, die Daten zu anonymisieren und zu aggregieren, was jedoch nicht der Fall war. Daher schreibt die FTC dem Unternehmen vor, 16,5 Millionen Dollar zu zahlen. Diese Summe fließt in einen FTC-Fonds, aus dem die Opfer entschädigt werden sollen.

Darüber hinaus wurden umfangreiche Auflagen erlassen:

• Verbot der Weitergabe von Browserdaten: Avast darf keine Browserdaten mehr weitergeben.
• Löschung der Daten: Das Unternehmen muss die gesammelten Daten löschen.
• Information der betroffenen Nutzer: Alle betroffenen US-User müssen informiert werden.
• Datenschutzprogramm und Überprüfungen: Avast muss ein Datenschutzprogramm einführen und sich regelmäßigen Überprüfungen durch unabhängige Dritte unterziehen.
• Selbstzertifizierung und Compliance Monitoring: Avast muss jährlich eine Selbstzertifizierung veröffentlichen und sich über zehn Jahre hinweg einem jährlichen Compliance Monitoring unterziehen.

Der Beschluss fiel mit den Stimmen dreier FTC-Kommissare einstimmig. Die anderen beiden Kommissare nahmen am Verfahren nicht teil.

Fazit

Avast steht nun unter strenger Beobachtung und muss umfangreiche Maßnahmen umsetzen, um das Vertrauen der Nutzer zurückzugewinnen. Der Vorfall zeigt einmal mehr, wie wichtig es ist, dass Unternehmen verantwortungsvoll mit Nutzerdaten umgehen und ihre Versprechen einhalten. Denn im digitalen Zeitalter bleibt nichts lange verborgen.

Weitere Informationen und die Verfahrensdokumente der FTC finden Sie hier.

Bleiben Sie sicher im Netz und denken Sie daran: Vertrauen ist gut, Kontrolle ist besser!