FTC will 16,5 Millionen Dollar-Strafe und Verbot des Verkauf von Browserdaten für AVAST

Sicherheit (Pexels, allgemeine Nutzung)Antivirus-Anbieter AVAST hatte in der Vergangenheit Nutzerdaten beim Browsen gesammelt und diese dann für Werbezwecke verkauft. Nun hat die US-Handelsbehörde (FTC) vorgeschlagen, das Unternehmen AVAST zu einer Strafe von 16,5 Millionen Dollar zu verurteilen. Zudem soll AVAST der Verkauf von Browserdaten seiner Nutzer explizit untersagt werden. Das geht aus einer aktuellen FTC-Mitteilung hervor.

AVAST verkaufte Benutzerdaten

Antivirus-Anbieter AVAST hatte mit seinen Produkten wohl fleißig Nutzerdaten (Suche, Klicks, Käufe etc.) gesammelt. Die Tochter JumpShot des Herstellers AVAST, dessen Antivirenprogramm auf Hunderten von Millionen Systemen verwendet wird, verkaufte dann die hochsensible Browser-Daten seiner Nutzer an Dritte. Zu den Käufern gehören viele der größten Unternehmen der Welt, wie Home Depot, Google, Microsoft, Pepsi und McKinsey.

Aufgedeckt wurde dies durch eine gemeinsame Untersuchung von Motherboard und PCMag. Ich hatte 2020 im Blog-Beitrag Leak enthüllt: Avast-Nutzerdaten wurden verkauft über diesen Skandal berichtet. Inzwischen ist Avast ja an Norton verkauft worden und ist im Besitz von Investoren. Generell taucht AVAST hier im Blog in Verbindung mit Problemen auf.

Die FTC greift ein

In dieser Mitteilung gab die Federal Trade Commission (US-Handelsbehörde, FTC) bekannt, dass man den Softwareanbieter Avast zur Zahlung von 16,5 Millionen Dollar Geldstrafe auffordern wird. Außerdem wird dem Unternehmen der Verkauf oder die Lizenzierung von Web-Browsing-Daten für Werbezwecke verbieten.

FTC gegen AVAST

Damit sollen die oben erwähnten Vorwürfe beigelegt werden, dass das Unternehmen und seine Tochtergesellschaften solche Informationen an Dritte verkauft haben, nachdem sie versprochen hatten, dass ihre Produkte die Verbraucher vor Online-Tracking schützen würden.

In ihrer Beschwerde gibt die FTC an, dass das im Vereinigten Königreich ansässige Unternehmen Avast Limited über seine tschechische Tochtergesellschaft in unlauterer Weise Browsing-Daten von Verbrauchern über die Browser-Erweiterungen und die Antiviren-Software des Unternehmens gesammelt, auf unbestimmte Zeit gespeichert und ohne angemessene Benachrichtigung und ohne Zustimmung der Verbraucher verkauft hat.

Die FTC wirft Avast außerdem vor, die Nutzer getäuscht zu haben, indem es behauptete, die Software würde die Privatsphäre der Verbraucher schützen, indem sie das Tracking durch Dritte blockiert, die Verbraucher aber nicht angemessen darüber informiert hat, dass es ihre detaillierten, wieder identifizierbaren Browserdaten verkauft. Die FTC schreibt, dass Avast diese Daten über seine Tochtergesellschaft Jumpshot an mehr als 100 Dritte verkauft habe.

„Avast hat den Nutzern versprochen, dass seine Produkte die Privatsphäre ihrer Browsing-Daten schützen würden, aber das Gegenteil ist eingetreten“, sagte Samuel Levine, Direktor des FTC-Büros für Verbraucherschutz. „Die Lockvogel-Überwachungstaktik von Avast hat die Privatsphäre der Verbraucher gefährdet und gegen das Gesetz verstoßen.“

Laut der FTC sammelt Avast seit mindestens 2014 Browserdaten von Verbrauchern über Browsererweiterungen, die die Funktionalität der Webbrowser der Verbraucher verändern oder erweitern können, sowie über Antivirensoftware, die auf den Computern und Mobilgeräten der Verbraucher installiert ist. Diese Browsing-Daten enthielten Informationen über die Websuchen der Nutzer und die von ihnen besuchten Webseiten, die Aufschluss über die religiösen Überzeugungen, die gesundheitlichen Bedenken, die politische Einstellung, den Standort, den finanziellen Status, den Besuch von Inhalten, die für Kinder bestimmt sind, und andere sensible Informationen gaben.

Der FTC zufolge hat Avast es nicht nur versäumt, die Verbraucher darüber zu informieren, dass es ihre Browsing-Daten sammelt und verkauft, sondern auch behauptet, dass seine Produkte das Tracking im Internet verringern würden. Wenn Benutzer beispielsweise nach Avast-Browsererweiterungen suchten, wurde ihnen gesagt, Avast würde „lästige Tracking-Cookies blockieren, die Daten über Ihre Browsing-Aktivitäten sammeln“ und versprach, dass seine Desktop-Software „Ihre Privatsphäre schützen“ würde. Verhindern Sie, dass jeder auf Ihren Computer zugreifen kann“.

Praxis von 2014-2020

Nachdem Avast Jumpshot, einen konkurrierenden Anbieter von Antivirensoftware, gekauft hatte, wurde aus der Firma ein Analyseunternehmen. Laut der FTC-Mitteilung verkaufte Jumpshot von 2014 bis 2020 Browsing-Informationen, die Avast von Verbrauchern gesammelt hatte, an eine Reihe von Kunden, darunter Werbe-, Marketing- und Datenanalyseunternehmen sowie Datenbroker. Das Unternehmen behauptete, es habe einen speziellen Algorithmus verwendet, um identifizierende Informationen zu entfernen, bevor es die Daten an seine Kunden weitergegeben habe.

Die FTC beschreibt in ihrer Mitteilung, dass das Unternehmen es versäumt hat, die Browsing-Informationen der Verbraucher, die es in nicht aggregierter Form über verschiedene Produkte verkaufte, ausreichend zu anonymisieren. So enthielten die Dateneinspeisungen beispielsweise eine eindeutige Kennung für jeden Webbrowser, von dem Informationen gesammelt wurden, und konnten jede besuchte Website, genaue Zeitstempel, den Typ des Geräts und des Browsers sowie Stadt, Bundesland und Land enthalten.

Als Avast seine Praktiken zur Weitergabe von Daten beschrieb, behauptete das Unternehmen fälschlicherweise, es würde die persönlichen Daten der Verbraucher nur in zusammengefasster und anonymer Form weitergeben, heißt es in der Beschwerde der FTC.

Die FTC wirft AVAST zudem vor, dass das Unternehmen es versäumt habe, einigen seiner Datenkäufer zu untersagen, Avast-Benutzer auf der Grundlage der von Jumpshot bereitgestellten Daten zu identifizieren. Und selbst in den Fällen, in denen die Avast-Verträge solche Verbote enthielten, waren die Verträge so formuliert, dass die Datenkäufer die Möglichkeit hatten, nicht persönlich identifizierbare Informationen mit den Browsing-Daten der Avast-Benutzer zu verknüpfen. Einige Jumpshot-Produkte waren sogar so konzipiert, dass sie den Kunden die Möglichkeit boten, bestimmte Daten zu verfolgen.

Wie aus der FTC-Mitteilung hervorgeht, schloss Jumpshot beispielsweise einen Vertrag mit Omnicom, einem Werbekonglomerat. Der Vertrag sah vor, dass Jumpshot Omnicom einen „All Clicks Feed“ für 50 % seiner Kunden in den Vereinigten Staaten, dem Vereinigten Königreich, Mexiko, Australien, Kanada und Deutschland zur Verfügung stellt. Gemäß dem Vertrag war es Omnicom gestattet, die Daten von Avast mit den Datenquellen von Datenmaklern auf der Basis einzelner Nutzer in Verbindung zu bringen.

FTC-Vorschlag einer Untersagung

Neben der Zahlung von 16,5 Millionen Dollar, die zur Entschädigung der Verbraucher verwendet werden sollen, verbietet die vorgeschlagene FTC-Anordnung Avast und seinen Tochtergesellschaften, falsche Angaben über die Verwendung der von ihnen gesammelten Daten zu machen. Das umfasst folgende Vorgaben:

  • Verbot des Verkaufs von Browsing-Daten: Avast wird es untersagt, Browsing-Daten von Avast-Produkten zu Werbezwecken an Dritte zu verkaufen oder zu lizenzieren;
  • Einholung einer ausdrücklichen Zustimmung: Das Unternehmen muss die ausdrückliche Zustimmung der Verbraucher einholen, bevor es Browsing-Daten von Nicht-Avast-Produkten an Dritte zu Werbezwecken verkauft oder lizenziert;
  • Löschung von Daten und Modellen: Avast muss die an Jumpshot übertragenen Browsing-Daten und alle Produkte oder Algorithmen, die Jumpshot aus diesen Daten abgeleitet hat, löschen;
  • Benachrichtigung von Verbrauchern: Avast ist verpflichtet, Verbraucher, deren Browserdaten ohne ihre Zustimmung an Dritte verkauft wurden, über die Maßnahmen der FTC gegen das Unternehmen zu informieren; und
  • Implementierung eines Datenschutzprogramms: Avast wird verpflichtet, ein umfassendes Datenschutzprogramm einzuführen, das sich mit dem von der FTC aufgezeigten Fehlverhalten befasst.

Damit schiebt die FTC der Praxis, Daten von Nutzern zu sammeln und diese gewinnbringend zu verkaufen, einen Riegel vor. Für mich war AVAST mit seinen Produkten seit vielen Jahren ein No-Go und taucht hier im Blog immer nur im Zusammenhang mit Problemen auf.

Ähnliche Artikel:
Addons von AVG/AVAST im Firefox blockiert/entfernt
Firefox Addons von AVG/AVAST wieder im Store
Avast ’spioniert‘ HTTPS-Verbindungen aus
Abbis: AVAST wehrt Cyber-Angriff auf Netzwerk ab
Avast Free Antivirus: Lizenz lässt sich nicht verlängern
AVAST CCleaner 5.45 und die Telemetrie
Vorsicht vor CCleaner – AVAST als PUP im Beifang
CCleaner Malware – weitere Analysen von AVAST

PoC: Avast, AVG und Microsoft Defender von „Wiper-Tool“ zum Löschen von Dateien missbraucht
Avast Anti-Rootkit-Treiber bei Ransomware-Angriff zur Erhöhung der Berechtigung verwendet
„I don’t care about cookies“ an AVAST verkauft
Jahre alte Schwachstellen in Avast und AVG gefährden Millionen Nutzer
Avast wird von Norton für 8,6 Milliarden US-Dollar gekauft

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu FTC will 16,5 Millionen Dollar-Strafe und Verbot des Verkauf von Browserdaten für AVAST

  1. Luzifer sagt:

    *********************
    Avast würde „lästige Tracking-Cookies blockieren, die Daten über Ihre Browsing-Aktivitäten sammeln“
    *********************
    Stimmt ja auch, Dritte werden ausgeschlossen. Sie haben halt nur nicht erwähnt das sie stattdessen nun diesen Part übernehmen ;-P

    Na dann hoffen wir mal das die Geldstrafe auch durchgesetzt werden… nicht so wie per DSGVO in Deutschland, wo zwar hohe Strafen anfangs verhängt werden und diese dann vor Gericht auf Peanuts zusammengestutzt werden oder gar ganz unter den Tisch fallen.

    • Bernd B. II sagt:

      Eine interessante tabellarische Darstellung hierzu: https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank
      Quergelesen gewinne ich den Eindruck, dass die von deutschen Datenschutzbehörden verhängten Bußgelder seltener erfolgen und geringer ausfallen als in anderen europäischen Staaten.
      Beispiel:
      10.03.2023 500 €
      Arzt
      Veröffentlichung von Patientdaten nach schlechter Google Bewertung.

    • Bernd B. sagt:

      16,5 Mio ist ein Schnäppchen, eine Belohnung für Dreistigkeit.
      Der Betriebswirtschaftler rechnet Einnahmen – Strafe == Gewinn und die Einnahmen werden recht sicher deutlich höher gewesen sein.

      • Werner sagt:

        Nun ja,

        das ist ja ’nur‘ die STrafe der FTC. Da hier falsche Werbeaussagen usw. im Raum stehen, bleibt die Frage, wie viele User da am Ende klagen. Wenn nach der hier beschriebenen Anordnung alle betroffenen User benachrichtigt(sprich mit der Nase draufgestoßen) werden müssen, ist da alles für eine schöne Sammelklage wegen böswilliger Verbrauchertäuschung etc. vorbereitet. Selbet wenn nur jeder klagende User 100 Euro/Dollar bekommt, das läppert sich schnell und kann dann schon wehtun.

  2. Ralf M. sagt:

    Stellt sich für mich nun die Frage, hat Avast dies bei allen Produkten Free und Premium so durchgezogen? Wie so oft zahlt man bei Free mit seinen Daten.

    Hoffe da wird ganz schnell ein Riegel vorgeschoben. Bin gespannt ob da noch andere Hersteller mit auftauchen, die ein ähnliches Spiel abgezogen haben.

  3. Anonym sagt:

    Gerade test Ausgabe März 2024 (Stiftung Warentest) am Kiosk gekauft, darin enthalten Testbericht zu 19 Antivirenprogrammen.

    Unter den ersten 5 zwei Avast-Produkte! Zwei Kaspersky Produkte liessen sie unter Hinweis auf den Ukrainekrieg ausser Konkurrenz (ohne Gesamtnote) laufen, bei Avast aber sind sie geschichtsvergessen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert