Strafe für Avast: Daten von rund 100 Millionen Personen weitergegeben
Die Antiviren-Software-Firma Avast muss eine hohe DSGVO-Geldbuße zahlen, weil sie rechtswidrig Nutzerdaten an ihre Tochterfirma Jumpshot transferiert hat.
Die Antivirensoftware-Firma Avast wurde zu einer Geldstrafe verurteilt, weil das Unternehmen Kundschaftsdaten ohne deren Einwilligung weitergegeben hat.
(Bild: Zolnierek/Shutterstock.com)
Nach rund fünf Jahren Streit ist nun endgültig entschieden: Der Antiviren-Software-Hersteller Avast muss eine Strafe wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) in Höhe von rund 13,9 Millionen Euro zahlen (351 Millionen Tschechische Kronen). Die Buße hat die tschechische Datenschutzbehörde verhängt, denn das Unternehmen hat seinen Hauptsitz in Prag. Die Kontrolleure witterten schon 2020 massive DSGVO-Verletzungen, nachdem Avast im großen Stil Nutzerdaten aus dem eigenen Kernprodukt und zugehörigen Browser-Erweiterungen an seine Tochterfirma Jumpshot ohne einen entsprechenden rechtlichen Anspruch auf eine solche Verarbeitung weitergeleitet hatte.
Die übertragenen Daten betrafen laut der finalen, jetzt vom Europäischen Datenausschuss (EDSA) veröffentlichten Entscheidung vom 10. April 2024 rund 100 Millionen Nutzer. Enthalten gewesen seien insbesondere auch "pseudonymisierte Internetbrowser-Verläufe" der Betroffenen, verknüpft mit einer eindeutigen Kennung. Ferner habe Avast seine Kunden "falsch über die genannten Datenübermittlungen informiert" und behauptet, diese seien anonymisiert gewesen und ausschließlich für statistische Trendanalysen verwendet worden.
Erschwerend: Avast tritt als Experte für Cybersicherheit auf
Die tschechischen Prüfer kamen zu dem Schluss, dass der Browserverlauf im Internet – auch wenn er nicht vollständig ist – personenbezogene Daten darstellen kann. Denn damit sei es möglich, zumindest einige der Betroffenen erneut zu identifizieren. Der Verstoß von Avast sei umso gravierender, da das Unternehmen als "einer der führenden Experten für Cybersicherheit" öffentlich auftrete und Instrumente zum Schutz von Daten und der Privatsphäre der Nutzer anbiete. Konkret sieht die Aufsicht die Artikel 6 und 13 der DSGVO verletzt, in denen es etwa um das Erfordernis einer informierten Einwilligung sowie die Informationspflicht beim Erheben von personenbezogenen Daten bei der betroffenen Person geht.
Avast versicherte 2020, die Sorgen von Nutzern rund um ihre Privatsphäre sehr ernst zu nehmen. Deswegen habe man Jumpshot geschlossen. Man halte die Vorgehensweise inzwischen zwar nicht mehr für angemessen, alle Handlungen seien im Rahmen der DSGVO aber absolut legal gewesen.
Weitere Strafe durch US-Handelsbehörde
Das Verfahren leiteten die Datenschützer auf Grundlage von Medienberichten von Ende 2019 und Anfang 2020 und anonymen Hinweisen ein. Der Zeitraum der umstrittenen Transfers lag zwischen April und Juli 2019. Die Aufsichtsbehörde erließ ihre erste einschlägige Entscheidung am 14. März 2022. Avast legte dagegen eine Beschwerde nach dem Verwaltungsrecht ein, die die Kontrollinstanz nun zurückwies. Damit sind die Rechtsmittel ausgeschöpft. Der Beschluss kann daher nun durchgesetzt werden.
Eine weitere hohe Strafe in Höhe von 16,5 Millionen US-Dollar hat die US-Handelsbehörde, die Federal Trade Commission (FTC), dem Antiviren-Software-Anbieter aufgebrummt. Auch dabei geht es etwa um das Fehlverhalten von der Browser-Erweiterung, die angeblich Tracking-Schutz liefern sollte, und die Datenübermittlung an Jumpshot.
(are)
