Avast muss wegen Datenweitergabe 16,5 Millionen Dollar zahlen
Die Antiviren-Firma Avast muss auch in den USA Millionen zahlen, weil sie Browserverläufe und Cookies heimlich an die Werbewirtschaft verkauft hat.
Intime Daten sind Geld wert.
(Bild: TierneyMJ/Shutterstock.com)
Software des Antiviren-Spezialisten Avast sollte Kunden vor Überwachung im Internet schützen. Tatsächlich sammelte und speicherte Avast durch das Programm und Browser-Plugins detaillierte Daten über die Webbrowsernutzung der Kunden: Suchbegriffe, abgerufene URLs samt im Hintergrund geladener Ressourcen und sogar Cookies samt Inhalt. Die Avast-Tochter Jumpshot verkaufte die bei "über 100 Millionen Nutzern" gesammelten Daten von 2014 bis 2020 an über 100 Werbefirmen – pseudonymisiert, aber offenbar re-identifizierbar. Nach einer Datenschutzstrafe in Tschechien in Höhe von rund 13,9 Millionen Euro muss Avast nun in den USA 16,5 Millionen Dollar zahlen (rund 15,4 Millionen Euro.
Zwar fehlt den USA nach wie vor ein einheitliches Datenschutzgesetz, doch hat die Handelsbehörde FTC (Federal Trade Commission) in diesem Fall einen anderen rechtlichen Hebel gefunden: Sie stuft die heimliche Sammlung, Speicherung und Verkauf der Daten als unlautere Geschäftspraktik und Irreführung ein. Zudem habe Avast entgegen seinen Versprechen die Daten nicht aggregiert und anonymisiert, was die FTC als Falschdarstellung erkennt. All das ist laut FTC-Gesetz verboten.
Auf dieser Basis schreibt die Behörde dem Unternehmen die Zahlung von 16,5 Millionen US-Dollar vor. Im Unterschied zur tschechischen Buße handelt es sich hiebei nicht um eine Strafe, sondern um eine Zahlung in einen FTC-Fonds, aus dem Opfer entschädigt werden sollen. Zusätzlich macht die Behörde eine lange Reihe von Auflagen: Von einem Verbot der Offenlegung der Browserdaten und falscher Behauptungen, über ein Gebot, die Daten zu löschen und betroffene US-User zu informieren, bis zu einem Datenschutzprogramm, Überprüfungen durch unabhängige Dritte, jährlich veröffentlichte Selbstzertifizierungen für 20 Jahre und jährliches Compliance Monitoring für zehn Jahre.
Der Beschluss ist mit den Stimmen dreier FT-Commissioner einstimmig gefallen; die beiden anderen haben am Verfahren In the Matter of Avast Limited, Avast Software et Jumpshot, Az. C-4805, nicht teilgenommen.
- Der FTC-Beschluss und andere Verfahrensdokumente
(ds)
