Der EDSA (Europäische Datenschutzausschuss) hat am 02.05.2024 bekannt gegeben, dass die tschechische Datenschutzbehörde eine Strafe in Höhe von rund 14 Millionen Euro gegen den Antiviren-Software-Hersteller wegen rechtswidriger Datenweitergabe verhängt hat. Sie werfen Avast vor, Daten von 100 Millionen Personen an eine Schwesternfirma übertragen zu haben.

Avast^[1], bekannt als renommierter Anbieter von Sicherheits- und Antiviren-Lösungen, geriet erstmals im Jahr 2020 in das Visier der Datenschutzbehörden. Damals wurde bekannt, dass das Unternehmen große Mengen an Nutzerdaten ohne rechtliche Grundlage an das Schwesterunternehmen Jumpshot übertragen hatte. Zu den übermittelten Informationen hätten Browser-Verläufe von etwa 100 Millionen Nutzern, einschließlich pseudonymisierter Daten, die mit eindeutigen Kennungen verknüpft waren, enthalten^[2]. Im Übrigen habe Avast seine Nutzer auch nur über eine vollständig anonymisierte Übertragung informiert. Die erste Entscheidung hierüber traf die tschechische Datenschutzbehörde am 14.03.2022. Gegen das drohende Bußgeld hatte Avast Beschwerde eingelegt.

Entscheidung der Czech DPA

Die zuständige Czech DPA^[3] hat am 10. April 2024 infolge der Verstöße gegen die Datenschutzgrundverordnung (DSGVO) diesbezüglich eine Entscheidung^[4] getroffen. Dazu gehört nach der Pressemitteilung des EDSA auch ein Strafe in Höhe von 13,9 Millionen Euro gegen Avast wegen der Datenweitergabe^[5].

Bewertung nach DSGVO

Die tschechische Datenschutzbehörde stellte fest, dass Avast gegen DSGVO Art.6^[6] und DSGVO Art.13^[7] verstoßen habe, da eine explizite Einwilligung mit vorab Information der Nutzer über die Datenverarbeitung fehle. Bei Browserverläufen handle es sich um personenbezogene Daten, durch die  jedenfalls der jeweilige Nutzer bestimmbar ist. Der EDSA wies darauf hin, dass Avast als einer der führenden Experten für Cybersicherheit gelte und der Verstoß umso gravierender einzustufen sei.

Weitreichende Konsequenzen

Die 13,9 Millionen Euro Bußgeld ist nicht die einzige Strafe, mit der Avast derzeit konfrontiert wird. Die Federal Trade Commission (FTC)^[8] in den USA hat eine Geldstrafe von 16,5 Millionen US-Dollar verhängt. Der Grund ist die gleiche Datenweitergabe^[9].

Fazit

Dieser Fall unterstreicht, nicht nur aufgrund des ausgelegten Bußgeldes, die Notwendigkeit, Datenschutzbestimmungen einzuhalten und den Schutz der Privatsphäre von Nutzern ernst zu nehmen.

Quellennachweise:
[1] https://avast.com
[2] https://www.pcworld.com/article/398699/report-avast-and-avg-collect-and-sell-your-personal-info-via-their-free-antivirus-programs.html
[3] https://uoou.gov.cz/en/about-the-czech-dpa
[4] https://uoou.gov.cz/media/rozhodnuti/rozhodnuti-predsedy/2024/uoou-0102520-121-aj.pdf
[5] https://www.edpb.europa.eu/news/news/2024/czech-sa-imposed-fine-139-million-eur-infringement-art-6-and-art-13-gdpr_de
[6] https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R1036
[7] https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R1036
[8] https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-ban-avast-selling-browsing-data-advertising-purposes-require-it-pay-165-million-over
[9] https://consumer.ftc.gov/consumer-alerts/2024/02/software-provider-avast-will-pay-165-million-compromising-consumers-privacy