Gut drei Monate nach Anklageerhebung hat die Federal Trade Commission (FTC) den britischen Security-Anbieter Avast nun zu einer Zahlung von 16,5 Millionen Dollar verdonnert. Zusätzlich zu der der Summe, die voraussichtlich für die Entschädigung der Verbraucher verwendet werden, muss Avast den "Verkauf oder die Lizenzierung von Browsing-Daten" von Avast-Produkten an Werbetreibende einstellen und alle gesammelten Web-Browsing-Daten löschen.
Anstatt die Anonymität seiner Nutzer zu schützen, hat Avast der US-Behörde zufolge seit mindestens 2014 über Browser-Erweiterungen und seine Antivirensoftware Informationen über das Surfverhalten seiner Nutzer gesammelt und über seine polnische Tochtergesellschaft Jumpshot an mehr als 100 Werbepartner verkauft.
Folgenschweres "Versäumnis"
Laut FTC hatte Avast es dabei "versäumt", die Browserdaten der Verbraucher ausreichend zu anonymisieren. Stattdessen wurden Daten mit eindeutigen Identifikatoren für jeden Browser verkauft, die Aufschluss über besuchte Websites, Zeitstempel, den Typ des verwendeten Geräts und Browsers sowie den Standort geben. Außerdem habe das Unternehmen die Verbraucher getäuscht, indem es behauptete, die Software würde die Privatsphäre der Verbraucher schützen, indem sie das Tracking durch Dritte blockiere.
"Avast hat den Nutzern versprochen, dass seine Produkte die Privatsphäre ihrer Browsing-Daten schützen würden, aber das Gegenteil war der Fall", erklärt Samuel Levine, Direktor des FTC-Büros für Verbraucherschutz in einer Mitteilung. "Avasts Lockvogeltaktik bei der Überwachung hat die Privatsphäre der Verbraucher gefährdet und verstößt gegen das Gesetz."
Noch günstig davongekommen
Mit der geforderten Zahlung von 16,5 Millionen Dollar an die FTC kommt Avast noch relativ günstig weg. In der EU werden solche Verstöße gegen die DSGVO mit einer Strafe von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten, weltweit erzielten Jahresumsatzes geahndet - je, nachdem welcher Wert höher liegt. Bei einem Umsatz von mehr als 873 Millionen Dollar im Jahr 2019 wären das mit knapp 35 Millionen Dollar mehr als das Doppelte der geforderten Summe.
Allerdings ahndet die FTC in ihrem Urteil nicht den Verstoß gegen den Datenschutz: Als unlautere Geschäftspraktik und Irreführung wird bewertet und bestraft, dass das Unternehmen heimlich Informationen gesammelt, gespeichert und verkauft hat.