Das US-amerikanische Federal Trade Commission (FTC) hat gegen den Antivirus-Anbieter Avast eine Geldstrafe in Höhe von 16,5 Millionen Dollar verhängt. Der Vorwurf: Das Unternehmen verkaufte die Browserdaten seiner Nutzer an Werbetreibende, obwohl es behauptete, seine Produkte würden das Online-Tracking blockieren.
Darüber hinaus wurde Avast untersagt, jegliche Web-Browserdaten zu Werbezwecken zu verkaufen oder zu lizenzieren. Das Unternehmen muss außerdem die Nutzer benachrichtigen, deren Browserdaten ohne deren Einwilligung an Dritte verkauft wurden.
Die FTC wirft Avast vor, die Browserinformationen der Verbraucher über die Browsererweiterungen und Antivirus-Software des Unternehmens „unfair gesammelt, unbegrenzt gespeichert und ohne angemessene Benachrichtigung sowie ohne Zustimmung der Verbraucher verkauft zu haben“.
Zudem täuschte das in Großbritannien ansässige Unternehmen die Nutzer mit der Behauptung, die Software würde das Tracking durch Dritte blockieren und die Privatsphäre der Nutzer schützen. Es informierte sie jedoch nicht darüber, dass es ihre „detaillierten, wiedererkennbaren Browserdaten“ an mehr als 100 Dritte über seine Tochtergesellschaft Jumpshot verkaufen würde.
Die irreführende Praxis in Bezug auf den Datenschutz wurde im Januar 2020 nach einer gemeinsamen Untersuchung von Motherboard und PCMag aufgedeckt. Es wurden Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast und Intuit als einige von Jumpshots „vergangenen, aktuellen und potenziellen Kunden“ genannt.
Ein Monat zuvor hatten die Webbrowser Google Chrome, Mozilla Firefox und Opera die Browser-Add-ons von Avast aus ihren Stores entfernt, nachdem der Sicherheitsforscher Wladimir Palant diese Erweiterungen bereits im Oktober 2019 als Spyware bezeichnet hatte.
Die gesammelten Daten, zu denen Google-Suchen, Standortabfragen und der Internet-Fußabdruck eines Nutzers gehören, wurden über das auf einem Computer installierte Avast-Antivirusprogramm gesammelt, ohne dass eine informierte Zustimmung eingeholt wurde.
Laut FTC umfassten die von Jumpshot verkauften Daten Informationen über die Web-Suchen der Nutzer und die von ihnen besuchten Webseiten – was Aufschluss über religiöse Überzeugungen, Gesundheitsbedenken, politische Ausrichtungen, Standorte, finanzielle Verhältnisse, Besuche von kinderorientierten Inhalten und andere sensible Informationen der Verbraucher gab.
Jumpshot beschrieb sich selbst als das „einzige Unternehmen, das Daten aus geschlossenen Systemen zugänglich macht“ und behauptete, Daten von bis zu 100 Millionen Geräten zu haben, Stand August 2018. Die Sammlung dieser Browserinformationen begann bereits mindestens im Jahr 2014.
Die Datenschutzrückmeldungen veranlassten Avast dazu, „die Datensammlung von Jumpshot zu beenden und die Operationen von Jumpshot mit sofortiger Wirkung einzustellen“.
Seitdem hat sich Avast mit einem anderen Cybersicherheitsunternehmen, NortonLifeLock, zu einem neuen Mutterkonzern namens Gen Digital zusammengeschlossen, zu dem auch andere Produkte wie AVG, Avira und CCleaner gehören.
Diese Entwicklung erfolgt fast ein Jahr, nachdem das Unternehmen von der tschechischen Datenschutzbehörde mit einer Geldstrafe von 13,7 Millionen Euro belegt wurde, weil es gegen die EU-Datenschutzgrundverordnung (GDPR) verstieß, indem es Internet-Browserdaten sammelte und verkaufte.
„Avast versprach den Nutzern, dass seine Produkte die Privatsphäre ihrer Browserdaten schützen würden, lieferte aber das Gegenteil“, sagte Samuel Levine, Direktor des Bureau of Consumer Protection der FTC. „Die Köder-und-Schalter-Überwachungstaktiken von Avast kompromittierten die Privatsphäre der Verbraucher und verstießen gegen das Gesetz.“