Datenverkauf: Avast überwacht den Browser und verkauft Nutzerdaten

Über eine Tochterfirma verkauft der Antivirensoftware-Hersteller Avast die Webnutzungsdaten von mehreren Hundert Millionen Nutzern. Die Daten sollen von dem Browserplugin der gleichnamigen Antiviren-Software gesammelt werden, berichtet das Onlinemagazin Motherboard. Dem zufolge gehören zu den Käufern namhafte Firmen wie Google, Microsoft, McKinsey und viele andere.

Stellenmarkt

1. IT Service Manager für SaaS-Produkte (w/m/d)
   EnBW Energie Baden-Württemberg AG Holding, Karlsruhe, Köln
2. Techniker (m/w/d) im Field Service Netzbetrieb / WLAN
   willy.tel GmbH, Großraum Hamburg

Detailsuche

"Jumpshot bietet Einblicke in die Online-Reisen der Verbraucher, indem jede Suche, jeder Klick und jeder Kauf in 1.600 Kategorien von mehr als 150 Websites, darunter Amazon, Google, Netflix und Walmart, gemessen wird", schreibt die Avast-Tochter auf ihrer Firmenwebseite. Die Käufer sollen zum Teil Millionen US-Dollar für die Nutzerdaten bezahlt haben.

Jumpshot verfolgt die Nutzer mit hoher Genauigkeit durch das Internet und erfasste beispielsweise die Klicks und Bewegungen der Nutzer, betrachtet Youtube-Videos und Suchanfragen. Selbst der Aufruf von Pornoseiten und teils sogar die eingegebenen Suchbegriffe konnte Motherboard in geleakten Daten sehen.

Seit Juli 2019 mit Opt-In

Die Daten von 100 Millionen Geräten vermarktet Jumpshot. Avast selbst wirbt mit 435 Millionen monatlich aktiven Nutzern. "Die Benutzer hatten immer die Möglichkeit, einer Datennutzung zu widersprechen", betont Avast. Seit Juli 2019 habe man damit begonnen, von den Nutzern ein ausdrückliches Opt-In einzuholen. Dieser Prozess soll bis Februar 2020 abgeschlossen sein und der DSGVO entsprechen.

Golem Akademie

1. IT-Sicherheit für Webentwickler
   5.-6. Juli 2021, online
2. Microsoft 365 Security Workshop
   9.-11. Juni 2021, Online

Weitere IT-Trainings

Jumpshot verkauft deren Daten anonymisiert, diese dürften sich jedoch leicht wieder deanonymisieren und mit der betreffenden Person in Verbindung bringen lassen. "Es ist fast unmöglich, Daten zu de-identifizieren", sagte Eric Goldman zu Motherboard, Professor an der Rechtsfakultät der Universität Santa Clara. "Wenn sie versprechen, die Daten zu de-identifizieren, glaube ich es nicht."

Nachtrag vom 30. Januar 2020, 18:30 Uhr

Avast hat auf die Berichtüberstattung über den Nutzerdatenverkauf reagiert und kündigte am 30. Januar an, die Tochterfirma Jumpshot in Kürze abzuwickeln. "Die Privatsphäre unserer Nutzer hat für uns oberste Priorität, weshalb wir schnell gehandelt haben und die Geschäftstätigkeit von Jumpshot beenden werden, nachdem klar wurde, dass manche Anwender die Verbindung zwischen der Datenbereitstellung an Jumpshot sowie unserer Mission und unseren Grundsätzen, die uns als Unternehmen definieren, in Frage gestellt haben", begründet Avast den Schritt in einer Pressemitteilung - rund fünf Jahre nachdem Avast Jumpshot gegründet hatte.

Die Idee bei der Jumpshot-Gründung sei gewesen, die Datenanalysefähigkeiten über das Kernsicherheitsgeschäft hinaus zu erweitern, erklärte Ondrej Vlcek, CEO von Avast. Dass das Sammeln, Analysieren und Verkaufen von Nutzerdaten nicht unbedingt förderlich für deren Privatsphäre ist, hätte allerdings auch vor fünf Jahren schon klar sein dürfen.