Der Antivirus-Anbieter Avast ist in der Tschechischen Republik von der AVG zu einer Geldstrafe von 14 Millionen Euro verurteilt worden. Das Unternehmen hat jahrelang Nutzerdaten an Werbetreibende weiterverkauft und dabei eine Browsererweiterung verwendet, die genau diese Daten blockieren sollte. Zuvor war Avast bereits in den USA zu einer ähnlichen Geldstrafe verurteilt worden.
Die tschechische Datenschutzbehörde Úřad pro ochranu osobních údajů (UOOU) verurteilt Avast zu einer Geldstrafe von 351 Millionen tschechischen Kronen, umgerechnet 13,94 Millionen Euro. Das Unternehmen wird wegen Jumpshot mit einer Geldstrafe belegt. Avast bietet seit 2014 eine Browsererweiterung an, die Tracking-Cookies von Drittanbietern blockiert, aber die Erweiterung sammelt selbst Daten der Nutzer. Avast verkaufte diese Daten an Werbeplattformen weiter. Dies geschah über eine Tochtergesellschaft namens Jumpshot.
Die UOOU sagt nun, dass Avast im Jahr 2019, als AVG in Kraft war, Daten von mindestens 100 Millionen Nutzern verarbeitet hat. Das Unternehmen hat den Verkauf dieser Daten im Jahr 2020 selbst eingestellt, als mehrere Medien, darunter Vice und PCMag, von dem Datenhandel erfuhren. Laut der Datenschutzaufsichtsbehörde hat Avast die Nutzer nicht darüber informiert, was mit ihren Daten passiert ist.
Avast behauptete auch, dass die Daten anonymisiert wurden. Die UOOU sagt nun nach einer Untersuchung, dass dies nicht der Fall war. Die Daten einzelner Nutzer könnten immer noch zurückverfolgt werden. Darüber hinaus verfolgte Avast mit dem Sammeln der Daten einen ganz anderen Zweck, als es zunächst behauptet hatte. Das Unternehmen hat damit auch Geld verdient, statt nur statische Analysen zu erstellen.
Die Aufsichtsbehörde prangerte insbesondere die falschen Behauptungen an, mit denen Avast das Tool eingesetzt hat. „Avast ist einer der führenden Cybersicherheitsexperten und stellt der Öffentlichkeit Tools zum Schutz von Daten und Privatsphäre zur Verfügung“, so das OUUO. „Seine Kunden konnten nicht erwarten, dass dieses Unternehmen ihre persönlichen Daten oder Daten übermittelt, auf deren Grundlage nicht nur ihre Identität, sondern beispielsweise auch ihre Interessen, Vorlieben, ihren Wohnort, ihr Vermögen, ihren Beruf und andere Daten, die ihre Privatsphäre betreffen, ermittelt werden können.“
Avast wurde bereits Anfang des Jahres wegen genau desselben Verstoßes mit einer Geldstrafe belegt, allerdings in den Vereinigten Staaten. Damals wurde das Unternehmen von der US Federal Trade Commission mit einer Geldstrafe von 16,5 Millionen Dollar belegt. Interessanterweise begannen die Ermittlungen gegen Avast bereits im Jahr 2020, so dass es vier Jahre dauerte, bis das OUUO zu einem Ergebnis kam.
