Der US-Behörde zufolge hat Avast seit mindestens 2014 über Browser-Erweiterungen und seine Antivirensoftware Informationen über das Surfverhalten seiner Nutzer gesammelt. Auf diese Weise konnte das Unternehmen Daten über religiöse Überzeugungen, gesundheitliche Bedenken, politische Ansichten, Standorte und den finanziellen Status sammeln. Das Unternehmen speicherte diese Informationen dann "auf unbestimmte Zeit" und verkaufte sie ohne das Wissen der Kunden über seine polnische Tochtergesellschaft Jumpshot an mehr als 100 Werbepartner, heißt es in der Klageschrift.
Als Konsequenz fordert die FTC von Avast die Zahlung einer Strafe in Höhe von 16,5 Millionen Dollar. Außerdem muss Avast den "Verkauf oder die Lizenzierung von Browsing-Daten" von Avast-Produkten an Werbetreibende einstellen und alle von Jumpshot gesammelten Web-Browsing-Daten löschen. Avast ist außerdem verpflichtet, die betroffenen Kunden darüber zu informieren, dass ihre Daten ohne ihr Wissen verkauft worden sind.
Handel mit nicht-anonymisierten Nutzerdaten
Laut FTC hatte Avast es versäumt, die Browserdaten der Verbraucher ausreichend zu anonymisieren. Stattdessen wurden Daten mit eindeutigen Identifikatoren für jeden Browser verkauft, die Aufschluss über besuchte Websites, Zeitstempel, den Typ des verwendeten Geräts und Browsers sowie den Standort geben. Außerdem habe das Unternehmen die Verbraucher getäuscht, indem es behauptete, die Software würde die Privatsphäre der Verbraucher schützen, indem sie das Tracking durch Dritte blockiere.
"Avast hat den Nutzern versprochen, dass seine Produkte die Privatsphäre ihrer Browsing-Daten schützen würden, aber das Gegenteil ist der Fall", erklärte Samuel Levine, Direktor des Bureau of Consumer Protection der FTC. Damit nicht genug habe Avast mit seiner Lockvogel-Überwachungstaktik die Privatsphäre der Verbraucher gefährdet und gegen das Gesetz verstoßen.
Aufmerksam auf diese Praxis war die FTC im Jahr 2020 durch eine gemeinsame Untersuchung von Motherboard und PCMag geworden, berichtet The Verge. Kurz nach Veröffentlichung der Berichterstattung stellte Avast dann seine Datenerfassungssparte ein.
Noch günstig davongekommen?
Warum die FTC erst jetzt Maßnahmen ergreift, ist unklar. Auch die Höhe der geforderten Summe dürfte europäischen Datenschützern überraschend niedrig vorkommen: In der EU werden solche Verstöße gegen die DSGVO mit einer Strafe von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes geahndet, wobei der höhere Wert gilt. Bei einem Umsatz von mehr als 873 Millionen US-Dollar im Jahr 2019 wären das mit knapp 35 Millionen Dollar mehr als das Doppelte der geforderten Summe. Allerdings ist möglich, dass auf die FTC-Klage bald zivilrechtliche Sammelklagen von geschädigten Nutzern folgen.