Verkauf von Nutzerdaten: FTC verhängt Millionenstrafe gegen Avast
Vor rund vier Jahren wurde bekannt, dass der Hersteller von Antiviren-Software Avast über eine Tochterfirma Browsing-Daten ohne Wissen seiner Anwender veräußerte. Jetzt haben die Wettbewerbshüter der FTC eine Strafe von 16,5 Millionen US-Dollar gegen das Unternehmen verhängt und gleichzeitig den Verkauf der Daten untersagt.
Die Federal Trade Commission (FTC) der USA sah es dabei als erwiesen an, dass das in Großbritannien ansässige Unternehmen mindestens seit 2014 mithilfe von Browser-Erweiterungen und Antiviren-Software Daten über das Online-Verhalten seiner Nutzer gesammelt und diese zu Werbezwecken veräußert hatte.
Die übermittelten Daten sollen dabei den Ausführungen der FTC nach eindeutige Kennungen für jeden Webbrowser sowie eine Kombination aus Informationen über jede besuchte Website mit Zeitstempel, Gerätetyp und Browser sowie Stadt, Bundesland und Land des Nutzers enthalten haben. Avast soll diese Daten über eine unbestimmte Zeit gespeichert und diese zwischen 2014 und 2020 über ihre Tochterfirma Jumpshot an über 100 Dritte verkauft haben.
Unter Vortäuschung von Sicherheit Daten gesammelt
So soll Jumpshot laut der Beschwerde (PDF) unter anderem eine Übereinkunft mit dem Werbeunternehmen Omnicom getroffen haben, wonach Jumpshot diesem Zugriff auf rund die Hälfte der gesammelten Daten aus sechs Ländern gewährt. Neben Deutschland werden weiter die USA, Großbritannien, Mexiko, Australien und Kanada genannt.
Für die Wettbewerbshüter steht dabei fest, dass Avast seine Nutzer in die Irre geführt hat, indem es ihnen durch das Blockieren von Tracking-Maßnahmen durch Dritte versprach, ihre Privatsphäre zu schützen. Das Unternehmen vermied es jedoch, die Nutzer über den Verkauf der detaillierten, wieder identifizierbaren Browser-Daten zu informieren. Bei der Beschreibung seiner Praktiken zur Datenweitergabe behauptete das Unternehmen außerdem fälschlicherweise, dass es die persönlichen Daten der Benutzer nur in aggregierter und anonymer Form weitergeben würde.
„Während sich die Datenschutzklagen der FTC routinemäßig gegen Unternehmen richten, die ihre Datenpraktiken falsch darstellen, ist die Entscheidung von Avast, seine Produkte ausdrücklich so zu vermarkten, dass sie die Browser-Daten der Verbraucher schützen und vor Verfolgung bewahren, nur um diese Daten dann zu verkaufen, besonders ärgerlich“, so Lina M. Khan, Vorsitzende der FTC.
Massive Menge an Daten
Die Datenmenge, die Avast bis 2020 gesammelt und interessierten Käufern angeboten habe, sei dabei „atemberaubend“ gewesen. So soll das Unternehmen alleine für das Jahr 2014 acht Petabyte an persönlichen Informationen über das Surf-Verhalten seiner Nutzer gewonnen haben. Jumpshot selbst gab seinerzeit an, im Besitz von Daten von mehr als 100 Millionen Geräten zu sein. Avast selbst warb zum gleichen Zeitpunkt mit über 435 Millionen monatlichen Nutzern, die die angebotenen Daten generieren.
Praktiken seit rund vier Jahren bekannt
Die Praktiken des Unternehmens wurden im Dezember 2019 aufgedeckt, nachdem Berichte aufkamen, dass vier Browser-Erweiterungen des Unternehmens – Avast Online Security, Avast SafePrice, AVG Online Security und AVG SafePrice – das Surf-Verhalten der Nutzer verfolgen würden und Mozilla diese umgehend aus dem Firefox-Addon-Repository entfernte. Eine gemeinsame Untersuchung von Motherboard und PCMag einen Monat später ergab, dass die Avast-Tochter Jumpshot die von den Kunden gesammelten Browsing-Daten an Dritte verkaufte, darunter auch an das in der FTC-Beschwerde genannte Werbeunternehmen Omnicom. Als Konsequenz aus den Ermittlungen kündigte Avast-CEO Ondrej Vlcek die sofortige Schließung der Tochtergesellschaft Jumpshot an, der Verkauf der über das Antivirenprogramm gesammelten Nutzerdaten sollte ebenfalls eingestellt werden.
Erhebliche Strafen ausgesprochen
Zusätzlich zu der jetzt verhängten Strafe über 16,5 Millionen US-Dollar wird dem Unternehmen untersagt, Browsing-Daten, die mit Produkten der Marke Avast erfasst wurden, zu Werbezwecken an Dritte zu lizenzieren oder zu verkaufen. Darüber hinaus muss das Unternehmen die Zustimmung aller Kunden einholen, bevor es Browsing-Daten verkauft oder lizenziert, die von Nicht-Avast-Produkten stammen. Die FTC wird Avast außerdem auffordern, alle mit Jumpshot ausgetauschten Daten sowie alle von Jumpshot unter Verwendung dieser Daten entwickelten Produkte oder Algorithmen zu löschen. Weiter muss Avast die Nutzer, deren Daten ohne deren Zustimmung an Dritte verkauft wurden, über die Maßnahmen der FTC gegen das Unternehmen informieren.
„Avast hat den Nutzern versprochen, dass seine Produkte die Privatsphäre ihrer Browsing-Daten schützen würden, aber das Gegenteil bewiesen. Die Lockvogel-Überwachungstaktik von Avast hat die Privatsphäre der Verbraucher gefährdet und gegen das Gesetz verstoßen“, kommentierte Samuel Levine, Leiter des FTC-Büros für Verbraucherschutz, die verhängten Strafen.
Gegenüber BleepingComputer erklärte ein Avast-Sprecher, dass sich das Unternehmen bereits mit der FTC geeinigt habe, um die Ermittlungen bezüglich der Daten, die mit der im Januar 2020 geschlossenen Jumpshot-Tochtergesellschaft geteilt wurden, zu beenden. „Wir sind unserer Mission verpflichtet, das digitale Leben der Menschen zu schützen und zu ermöglichen“, teilte das Unternehmen über seinen Sprecher mit. Auch wenn dieses mit der Behauptung und der Darstellung der Fakten durch die FTC nicht einverstanden sei, freue man sich über die Beilegung dieser Angelegenheit und darauf, weiterhin weltweit Millionen von Kunden bedienen zu können.