Nutzerdaten verkauft: Avast muss für DSGVO-Verstöße Millionenstrafe zahlen
Der tschechische Hersteller der Antivirensoftware Avast muss wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) eine Geldstrafe in Höhe von 351 Millionen Tschechischen Kronen (rund 13,9 Millionen Euro) zahlen. Das geht aus einer Mitteilung des Europäischen Datenschutzausschusses(öffnet im neuen Fenster) (EDSA) hervor, in der auf eine am 10. April gefällte Entscheidung der zuständigen tschechischen Datenschutzbehörde verwiesen wird.
Die tschechische Staatsanwaltschaft stellte demnach fest, dass Avast in einem Untersuchungszeitraum von April bis Juli 2019 personenbezogene Daten von etwa 100 Millionen Nutzern seiner Antivirensoftware und seiner Browsererweiterungen unrechtmäßig an seine Tochterfirma Jumpshot weitergegeben hatte.
Medienberichte bezüglich dieser Praxis gab es schon Anfang 2020 . Damals hieß es, Kunden wie Google, Microsoft, McKinsey und viele andere hätten Jumpshot die Nutzerdaten zum Teil für Millionen von US-Dollar abgekauft. Erfasst wurden etwa Daten über Bewegungen und Klicks der Nutzer im Internet sowie über deren Suchanfragen und aufgerufene Youtube-Videos. Avast hatte sich damals infolge der medialen Aufmerksamkeit entschieden, Jumpshot aufzulösen.
Nutzer wurden falsch informiert
Zu den übermittelten Daten zähle insbesondere "der pseudonymisierte Internet-Browsing-Verlauf der Nutzer" , verknüpft mit einer eindeutigen Kennung, heißt es in der Mitteilung des EDSA. Außerdem habe Avast seine Kunden "falsch über die besagten Datenübermittlungen informiert" und behauptet, die Daten seien anonymisiert und würden ausschließlich für statistische Trendanalysen verwendet.
Die federführende Aufsichtsbehörde sei jedoch zu dem Schluss gekommen, dass betroffene Personen anhand ihres Browsing-Verlaufs identifiziert werden könnten. Der Verlauf könne personenbezogene Daten darstellen, selbst wenn er nicht vollständig sei.
Der Umstand, dass es sich bei Avast um "einen der führenden Experten für Cybersicherheit" handle, der Anwendern Tools zum Schutz ihrer Daten und ihrer Privatsphäre anbiete, mache das Vergehen umso schwerwiegender. Dem Hersteller werden mit der Entscheidung der Datenschützer Verstöße gegen Artikel 6 und 13 der DSGVO zur Last gelegt. Es handelt sich um eine nun rechtskräftige Berufungsentscheidung, durch die eine vorherige erstinstanzliche Entscheidung bestätigt wird.