Datenverkauf: Avast verkauft Nutzerdaten williger Antivir-Anwender

Ein Tochterunternehmen von Avast soll Browser-Daten von den Nutzern des kostenlosen Antiviren-Programms an Dritte verkauft haben. Das berichten das Vice-Magazin Motherboard und PCMag unter Berufung auf interne Dokumente sowie Quellen aus dem Unternehmen.

Verantwortlich für das Datengeschäft ist die Avast-Tochter Jumpshot, die Datensätze unter dem Motto „Every search. Every click. Every buy. On every site“ anbietet. Zu den Abnehmern solcher Produkte zählen und zählten eine Vielzahl von Unternehmen wie Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot und Condé Nast. Manche Kunden sollen Millionen US-Dollar für Produkte wie einen „All Click Feed“ gezahlt haben, die das Nutzerverhalten auf Webseiten in hoher Präzision darstellen sollen.

Avast selbst wirbt mit 435 Millionen monatlichen Nutzern, während Jumpshot erklärt, die Daten von 100 Millionen Geräten zu vermarkten. Gesammelt wurden die Informationen über das Browser-Plugin von Avast. Die Nutzer selbst hatten offenbar per se eingewilligt, laut dem Bericht von Vice aber keine Kenntnis davon, was Jumpshot tatsächlich mit den Daten anstellt.

Datensätze: Von Webseiten-Aufrufen bis Porno-Suchen

Auf diese Weise erhielt Jumpshot eine Vielzahl von Informationen. Die Datensätze, die Motherboard und PCMag einsehen konnten, umfassten etwa Google-Suchanfragen, Koordinaten von Google Maps, besuchte LinkedIn-Profile, YouTube-Videos und auch die aufgesuchten Porno-Webseiten. In manchen Fällen ließen sich sogar die bei Porno-Seiten eingegebenen Suchbegriffe ablesen.

Die Datensätze enthalten zwar keine persönlichen Informationen wie Nutzernamen. Allerdings gibt es eine Vielzahl von spezifischen Browser-Daten, sodass Experten laut Vice davon ausgehen, dass einzelne Nutzer identifiziert werden könnten. Hinzu kommt, dass Avast jeden Nutzer der Software mit einer ID ausstattet, die nicht veränderbar ist – diese IDs soll Jumpshot aber nicht erhalten haben.

Bis vor kurzem erfasste Avast die Daten über das Browser-Plugin. Im Oktober hatten Sicherheitsforscher und der AdBlock-Plus-Entwickler Wladimir Palan publik gemacht, dass die Erweiterung Nutzerdaten sammelt. Kurz darauf entfernten Mozilla, Opera und Google die Erweiterung.

Avast stoppte aber nicht die Datensammlung. Wie Vice berichtet, soll die nun über die kostenlose Antiviren-Software selbst laufen. Nutzer sollen in den letzten Wochen ein Popup erhalten haben, um in die Nutzerdatenerfassung einzuwilligen.

Zweifel an der Anonymisierung

So erklärt Avast auf Anfrage von Vice: „Aufgrund unseres Ansatzes stellen wir sicher, dass Jumpshot keine persönlichen Identifikationsdaten – einschließlich Name, E-Mail-Adresse oder Kontaktdaten – von Personen erhält, die unsere populäre und kostenlose Antiviren-Software nutzen.“ So hätten Nutzer immer die Option gehabt, den Datentransfer zu Jumpshot zu widersprechen (Opt-out). Seit Juli 2019 erfolge zudem die Umstellung auf ein Opt-In-Verfahren, der Prozess soll im Februar abgeschlossen sein und das Vorgehen generell der DSGVO entsprechen.

Ob solche Anonymisierungsmechanismen wie die von Jumpshot ausreichen, bezweifeln Experten allerdings. Wenn etwa Zeitstempel bei Webseiten-Aufrufen erfasst werden, könnten sich Nutzer identifizieren lassen, wenn die Informationen etwa mit anderen Datensätzen kombiniert werden. „It's almost impossible to de-identify data“, erklärte der Professor Eric Goldman von der Santa Clara University School of Law.