Handel mit Nutzerdaten Das fragwürdige Geschäftsmodell hinter Avast

Die Antivirensoftware von Avast hat Hunderte Millionen Nutzer. Deren Tochtergesellschaft Jumpshot macht laut Medienberichten mit Avast-Nutzerdaten eine Menge Geld.
Avast Antivirus: Wegen seines Umgangs mit Nutzerdaten in der Kritik

Avast Antivirus: Wegen seines Umgangs mit Nutzerdaten in der Kritik

Foto: Andre M. Chang/ imago images/ZUMA Press

Der Hersteller der Schutzsoftware Avast Antivirus muss sich für die Geschäfte einer Tochtergesellschaft namens Jumpshot rechtfertigen. Wie "Motherboard" und das "PCMag" mit Bezug auf einen Insider sowie Firmendokumente berichten , werden über die Tochter offenbar Auszüge aus Browser-Verläufen von Nutzern der kostenlosen Antivirensoftware an Drittfirmen verkauft. Avast sei zwar um eine Anonymisierung der Daten bemüht, heißt es, zugleich enthielten diese aber Details, durch die das Identifizieren einzelner Nutzer teils recht einfach möglich sei. Laut Jumpshot-Unterlagen zählen oder zählten auch Firmen wie Microsoft und Google zu den Daten-Abnehmern.

Avast stand schon im Dezember wegen seines Umgangs mit Nutzerdaten in der Kritik. Damals hatten Mozilla und Google vorübergehend Browser-Erweiterungen des Unternehmens  aus ihren Stores für Firefox und Chrome genommen. Die Erweiterungen hätten Informationen zur Aktivität von Nutzern an einen Avast-Server geschickt, hatte es schon einige Wochen zuvor geheißen . In der Datenschutzerklärung von Avast  ist die Rede von "Clickstream-Daten", die von der Software der Firma erhoben werden: "Wir pseudonymisieren und anonymisieren die Clickstream-Daten und nutzen sie für produktübergreifendes Direktmarketing, produktübergreifende Entwicklung und Trendanalysen Dritter."

"Motherboard" und das "PCMag" skizzieren nun genauer, was damit gemeint sein dürfte. Den Berichten zufolge bekommen Jumpshot-Kunden Zugang zu Daten, die teils auf die Millisekunde genau dokumentieren, welcher Nutzer wann wo geklickt hat. Die Daten seien zwar nie mit den echten Namen von Avast-Nutzern oder deren E-Mail-Adressen verbunden, schreibt das "PCMag", dafür aber mit einer sogenannten "Device ID" - einer Kennung, mit der sich Nutzer beziehungsweise deren Geräte voneinander unterscheiden lassen.

Selbst wenn die "Device ID" nur in verschleierter Form mitübermittelt wird - von diesem Vorgang ist offenbar in mindestens einem Jumpshot-Vertrag die Rede - ist sie eine wertvolle Information, beschreibt das "PCMag": Würde etwa, so ein theoretisches Beispiel des Magazins, Amazon.com erfahren, dass jemand mit einer bestimmten "Device ID" zu einer genannten Uhrzeit ein genanntes Produkt gekauft hat, könnte Amazon.com ganz einfach herausfinden, welcher Nutzer hinter jener "Device ID" steckt. Eine neue Kennung bekommt laut einem Jumpshot-Dokument nämlich nur, wer seine Avast-Software neu installiert.

"Jede Suche. Jeder Klick. Jeder Kauf."

"Motherboard" zufolge behauptet Jumpshot, Daten zu 100 Millionen Geräten zu besitzen - Avast spricht derweil von 435 Millionen monatlich aktiven Nutzern seiner Software. Auf Werbefolien wirbt Jumpshot selbst mit Slogans wie "Jede Suche. Jeder Klick. Jeder Kauf. Auf jeder Seite."

Dem "PCMag" zufolge hat das Unternehmen verschiedene Produkte im Angebot, deren Fokus zum Beispiel auf dem Videokonsum von Nutzern liegt. Der Schwerpunkt eines anderen Produkts liegt demnach auf Suchmaschinen-Eingaben, inklusive der genutzten Stichworte und der angeklickten Ergebnisse. In entsprechenden Datenpaketen tauchten Suchen zu alltäglichen Themen auf, schreibt das "PCMag", aber zum Beispiel auch solche nach Pornografie.

Ein Kunde, das Medienunternehmen Omnicom, habe sich Ende 2018 für eine Millionensumme vertraglich Zugang zu einem "All Clicks Feed" gesichert, berichten die beiden Medien. Bei einem "All Clicks Feed" handelt es sich laut "Motherboard" um eine Übersicht aller Klicks erfasster Avast-Nutzer auf bestimmten Domains wie Amazon.com. Wofür genau Firmen wie Omnicom die eingekauften Daten einsetzen, bleibt unbeantwortet.

Von Avast hieß es auf Nachfrage des "PCMag", man habe von Nutzern, deren Daten weitergegeben werden, eine Erlaubnis dafür. Wer will, der könne das Datensammeln über die Softwareeinstellungen und mittlerweile auch im Rahmen der Installation abschalten. Bei seinen umstrittenen Browser-Erweiterungen hat Avast das Sammeln von Nutzerdaten zum Zwecke der Weitergabe an Jumpshot nach eigenen Angaben "komplett eingestellt".

Die meisten Antivirenprogramme holen sich von ihren Nutzern weitgehende Berechtigungen ein, etwa die Erlaubnis dafür, ihre Aktivität beim Surfen im Internet zu überwachen. Primär soll dies dem Schutz vor Schadprogrammen, also der Sicherheit der Nutzer dienen. Die Chrome-Erweiterung "Avast Online Security" etwa benötigt vom Nutzer die Berechtigung, "alle Daten auf von ihm besuchten Websites zu lesen und zu ändern".

Anmerkung der Redaktion: Am 30. Januar hat Avast-CEO Ondrej Vlcek per offenem Brief  auf die Berichterstattung von "PCMag" und "Motherboard" reagiert und das sofortige Ende des Datenhandels verkündet. Jumpshot werde mit sofortiger Wirkung geschlossen.

mbö