Avast hat angeordnet, den Verkauf von Browserdaten aus seinen Browser-Datenschutz-Apps einzustellen

Avast, ein Name, der für seine Sicherheitsforschung und Antiviren-Apps bekannt ist, bietet seit langem Chrome-Erweiterungen, mobile Apps und andere Tools zur Verbesserung der Privatsphäre an.

Die Apps von Avast würden „lästige Tracking-Cookies blockieren, die Daten über Ihre Browsing-Aktivitäten sammeln“ und Webdienste daran hindern, „Ihre Online-Aktivitäten zu verfolgen“. Tief in seiner Datenschutzrichtlinie sagte Avast, dass die gesammelten Informationen „anonym und aggregiert“ seien In seiner schärfsten Rhetorik behauptete die Desktop-Software von Avast, sie würde verhindern, dass „Hacker mit Ihren Suchanfragen Geld verdienen“.

Nach Angaben der Federal Trade Commission wurde diese gesamte Sprache angeboten, während Avast von 2014 bis 2020 die Browserinformationen der Benutzer sammelte und diese dann über ein inzwischen geschlossenes Unternehmen namens Jumpshot an mehr als 100 andere Unternehmen verkaufte. Gemäß einer vorgeschlagenen aktuellen FTC-Anordnung (PDF) muss Avast 16,5 Millionen US-Dollar zahlen, die laut FTC „voraussichtlich zur Bereitstellung von Wiedergutmachung für Verbraucher verwendet werden sollen“ . Avast wird es außerdem untersagt sein, zukünftige Browserdaten zu verkaufen, es muss eine ausdrückliche Zustimmung zur künftigen Datenerfassung einholen, Kunden über frühere Datenverkäufe informieren und ein „umfassendes Datenschutzprogramm“ implementieren, um früheres Verhalten zu bekämpfen.

Avast wurde um einen Kommentar gebeten und gab eine Erklärung ab, in der darauf hingewiesen wurde, dass das Unternehmen Jumpshot Anfang 2020 geschlossen habe. „Wir fühlen uns unserer Mission verpflichtet, das digitale Leben der Menschen zu schützen und zu stärken.“ „Obwohl wir mit den Behauptungen der FTC und der Charakterisierung des Sachverhalts nicht einverstanden sind, freuen wir uns, diese Angelegenheit klären zu können und freuen uns darauf, unsere Millionen Kunden auf der ganzen Welt weiterhin zu bedienen“, heißt es in der Erklärung.

Die Daten waren alles andere als anonym

In der Beschwerde der FTC (PDF) heißt es, dass Avast nach der Übernahme des damaligen Antiviren-Konkurrenten Jumpshot Anfang 2014 das Unternehmen in Analyseverkäufer umbenannte. Jumpshot gab an, dass es „einzigartige Einblicke“ in die Gewohnheiten von „mehr als 100 Millionen Online-Konsumenten weltweit“ biete. Dazu gehörte auch die Möglichkeit, „zu sehen, wohin sich Ihr Publikum bewegt, bevor und nachdem es Ihre Website besucht.“ Websites von Mitbewerbern und verfolgen Sie sogar diejenigen, die eine bestimmte URL besuchen.“

Während Avast und Jumpshot behaupteten, aus den Daten seien identifizierende Informationen entfernt worden, argumentiert die FTC, dass dies „nicht ausreichend“ sei. Jumpshot-Angebote umfassten eine eindeutige Gerätekennung für jeden Browser, die in Daten wie einem „All Clicks Feed“ oder „Search Plus Click Feed“ enthalten war „“, „Transaktions-Feed“ und mehr. In der Beschwerde der FTC wurde detailliert dargelegt, wie verschiedene Unternehmen diese Feeds kauften, häufig mit dem ausdrücklichen Zweck, sie mit den eigenen Daten eines Unternehmens zu verknüpfen, bis hin zu einzelnen Benutzern. In einigen Jumpshot-Verträgen wurde versucht, die erneute Identifizierung von Avast-Benutzern zu verbieten, aber „diese Verbote waren begrenzt“, heißt es in der Beschwerde.

Die Verbindung zwischen Avast und Jumpshot wurde im Januar 2020 allgemein bekannt, nachdem Berichte von Vice und PC Magazine enthüllten, dass Kunden, darunter Home Depot, Google, Microsoft, Pepsi und McKinsey, Daten von Jumpshot kauften, wie aus vertraulichen Verträgen hervorgeht. Die von den Veröffentlichungen erhaltenen Daten zeigten, dass Käufer Daten kaufen konnten, darunter Google Maps-Suchen, einzelne LinkedIn- und YouTube-Seiten, Pornoseiten und mehr. „Es ist sehr detailliert und es sind großartige Daten für diese Unternehmen, weil sie bis auf Geräteebene mit Zeitstempel reichen“, sagte eine Quelle gegenüber Vice.

Die Beschwerde der FTC enthält weitere Einzelheiten dazu, wie Avast in seinen eigenen Webforen versuchte, seine Jumpshot-Präsenz herunterzuspielen. Avast schlug sowohl vor, dass Jumpshot nur nicht aggregierte Daten zur Verfügung gestellt wurden, als auch dass Benutzer während der Produktinstallation über das Sammeln von Daten informiert wurden, um „neue und interessante Trends besser zu verstehen“. Keine dieser Behauptungen erwies sich als wahr, schlägt die FTC vor. Und die gesammelten Daten waren angesichts ihrer Wiederidentifizierbarkeit alles andere als harmlos:

Beispielsweise zeigte eine Stichprobe von nur 100 Einträgen aus Billionen, die von den Befragten gespeichert wurden,
Besuche von Verbrauchern auf den folgenden Seiten: eine wissenschaftliche Arbeit über eine Studie über Symptome
von Brustkrebs; Ankündigung der Präsidentschaftskandidatur von Senatorin Elizabeth Warren; ein CLE-Kurs
über Steuerbefreiungen; Regierungsjobs in Fort Meade, Maryland mit einem Gehalt von mehr als
100.000 US-Dollar; ein (dann unterbrochener) Link zum Mittelpunkt eines FAFSA-Antrags (Finanzhilfeantrag);
Wegbeschreibungen auf Google Maps von einem Ort zum anderen; ein spanischsprachiges
YouTube-Video für Kinder; ein Link zu einer französischen Dating-Website, einschließlich einer eindeutigen Mitglieds-ID; und Cosplay
-Erotik.

In einem Blogbeitrag zu ihrer Ankündigung schreibt Lesley Fair, leitende Anwältin der FTC, dass die FTC neben der Doppelnatur der Datenschutzprodukte von Avast und der umfangreichen Nachverfolgung von Jumpshot Browserdaten zunehmend als „hochsensible Informationen, die größte Sorgfalt erfordern“ ansieht. „Daten über die Websites, die eine Person besucht, sind nicht nur ein weiterer Unternehmenswert, der uneingeschränkt kommerziell genutzt werden kann“, schreibt Fair.

Die FTC-Kommissare stimmten mit 3:0 für die Einreichung der Beschwerde und die Annahme der vorgeschlagenen Zustimmungsvereinbarung. Die Vorsitzende Lina Khan gab zusammen mit den Kommissaren Rebecca Slaughter und Alvaro Bedoya eine Erklärung zu ihrer Abstimmung ab.

Seit der Beschwerde der FTC und ihrem Jumpshot-Geschäft wurde Avast von Gen Digital übernommen , einem Unternehmen, zu dem neben anderen Sicherheitsunternehmen Norton, Avast, LifeLock, Avira, AVG, CCLeaner und ReputationDefender gehören.

Offenlegung: Condé Nast, die Muttergesellschaft von Ars Technica, erhielt vor der Schließung Daten von Jumpshot.