Update, 31.1.2020: Avast hat nun Konsequenzen nach dem umstrittenen Verkauf von Nutzerdaten (siehe unten) angekündigt. Das Tochterunternehmen Jumpshot, welches die Daten erhalten hatte, wird laut Avast-Chef Ondrej Vicek geschlossen. Auf die Kernfunktionen aller Avast- und AVG-Produkte werde dies keine Auswirkungen haben. Die mit der Entscheidung zusammenhängenden Auswirkungen auf die Mitarbeiter von Jumpshot werden bedauert.
"Die Kernaufgabe von Avast besteht darin, die Sicherheit der Nutzer im Internet zu gewährleisten und den Nutzern die Kontrolle über ihre Privatsphäre zu geben", erklärt Vlcek und weiter: "Das Fazit ist, dass alle Praktiken, die das Vertrauen der Nutzer gefährden, für Avast inakzeptabel sind. Wir sind wachsam über die Privatsphäre unserer Benutzer und haben schnell gehandelt, um die Geschäftstätigkeit von Jumpshot abzubrechen, nachdem sich herausstellte, dass einige Benutzer die Ausrichtung der Datenbereitstellung an Jumpshot in Bezug auf unsere Mission und unsere Grundsätze, die uns als Unternehmen definieren, in Frage gestellt haben."
Update Ende
Das Sicherheitsunternehmen Avast und dessen Tochterunternehmen AVG sollen einem gemeinsamen Bericht von Motherboard und PCMag zufolge die Daten der Nutzer ihrer Gratis-Antiviren-Programme gesammelt und veräußert haben. Als Ausgangslage für die Untersuchung diente ein Bericht des Adblock-Plus-Entwicklers Wladimir Palant, der im Oktober 2019 meldete, dass die Erweiterung Avast Online Security Extension und der AVG Secure Browser die Nutzer ausspähen und Informationen über sie sammeln.
Die Daten landen der neuen Untersuchung zufolge dann schließlich beim Unternehmen Jumpshot, welches seit einigen Jahren zu Avast gehört. Von dort aus sollen die Nutzerinformationen dann an viele große Unternehmen wie Microsoft, Google, Experia oder Intuit weiterverkauft worden sein. Dabei soll Avast mit den Daten der Nutzer einige Millionen US-Dollar verdient haben.
Die Daten der Nutzer sind wahrscheinlich anonymisiert, aber es gibt die Befürchtung, dass die Daten auch wieder einem Nutzer zugeordnet und damit entanonymisiert werden könnten. Unter anderem soll Jumpshot an seine Kunden Nutzerdaten verkauft haben, zu denen die Suchanfragen bei Google, die Ortsabfragen bei Google Maps und Videoabrufe bei Youtube gehören.
Erst seit letzter Woche, so heißt es in den Berichten, soll Avast den Nutzer seiner Gratis-Antiviren-Programmen einen Opt-In für die Datensammlung anbieten, dem die Nutzer zustimmen müssen. Gegenüber unserer US-Schwesterpublikation PC-WORLD erklärte Avast, dass an Jumpshot seit Dezember keinerlei persönliche Daten der Nutzer von AVG- und Avast-Produkte erhalte.
Lesen Sie auch: Datenschutz nach dem Brexit - Großbritannien und die EU-DSGVO
Wir haben natürlich auch bei Avast zu diesem Thema nachgehakt und ein Statement erhalten. Darin heißt es:
Wir haben im Dezember 2019 schnell gehandelt, um unsere Browser-Extensions zu aktualisieren, die jetzt mit den Anforderungen der Browser konform sind. Gleichzeitig haben wir in unseren Browsererweiterungen jede Art der Datenerhebung eingestellt, die nicht für die Sicherheitsfunktionen notwendig ist, und geben durch die Browser-Extensions gesammelte Daten nicht mehr an unsere Tochtergesellschaft Jumpshot weiter.
Hinzugefügt wird seitens Avast außerdem:
Wir stellen sicher, dass Jumpshot keine persönlichen Daten wie Name, E-Mail-Adresse oder Kontaktdaten erhält, die eine Person identifizieren könnten. Nutzer hatten bisher die Möglichkeit, der Weitergabe von Daten mit Jumpshot per Opt-out zu widersprechen. Seit Juli 2019 implementieren wir ein Opt-in-Verfahren für alle neuen Downloads unserer Antivirus-Lösungen. Zudem fordern wir alle bestehenden Nutzer unserer Gratis-Antiviren-Versionen auf, eine Opt-in- oder Opt-out-Wahl zu treffen. Dieser Prozess wird im Februar 2020 abgeschlossen sein. Unsere Datenschutzrichtlinie beschreibt im Einzelnen die Sicherheitsmaßnahmen, die wir für alle unsere Anwender vornehmen. Innerhalb unserer Produkte können unsere Nutzer auch ihre Privatsphäreneinstellungen anpassen - und dabei auch die Datenweitergabe ein- oder ausschalten. Wir halten uns freiwillig für alle Nutzer weltweit an die Datenschutzanforderungen der DSGVO und des California Consumer Privacy Act (CCPA). Wir schützen die Geräte unserer Nutzer seit Jahrzehnten vor Cybergefahren und verstehen und nehmen unsere Verantwortung sehr ernst, die Balance zwischen der Privatsphäre unserer Nutzer und der notwendigen Nutzung derer Daten durch unsere Sicherheitsprodukte zu halten.