Die Federal Trade Commission (FTC) ordnete an, dass Avast etwa 15,3 Millionen US-Dollar Schadensersatz zahlen musste, nachdem festgestellt wurde, dass das Unternehmen die Browsing-Daten der Nutzer ohne ausreichende Vorankündigung oder Zustimmung gesammelt und verkauft hatte. Avast ist ein globales Cybersicherheitsunternehmen, das für seine Antivirensoftware und Sicherheitstools für Verbraucher bekannt ist. Die FTC erklärte, das Unternehmen habe Nutzer in die Irre geführt, indem es seine Produkte als Datenschutz bewarb und detaillierte Informationen über Online-Aktivitäten sammelte.
Das Rückerstattungsprogramm markiert die letzte Phase eines zuvor angekündigten Vergleichs. Zahlungen werden an mehr als 100.000 berechtigte Verbraucher ausgezahlt, die gültige Ansprüche eingereicht haben. Rückerstattungen werden per Scheck, PayPal oder Zelle geliefert. Der Vergleich verlangt außerdem, dass Avast den Verkauf oder die Lizenzierung von Browsing-Daten, die über seine Produkte gesammelt werden, einstellen und ein umfassendes Datenschutz-Compliance-Programm einführen.
Regulierungsbehörden erklärten, Avast nutze seine Antivirensoftware und Browsererweiterungen, um Browserverläufe, Suchanfragen, Metadaten und Geräteinformationen zu sammeln. Die Daten wurden an eine Tochtergesellschaft übertragen, die sie an Werbetreibende und Datenhändler verkaufte. Die FTC erklärte, die Nutzer seien nicht ordnungsgemäß darüber informiert worden, dass ihre Aktivitäten verfolgt würden, und dass die gesammelten Informationen nicht ausreichend anonymisiert wurden, um eine Identifikation zu verhindern.
Die FTC argumentierte, dass Marketingbehauptungen über das Blockieren von Tracking und zum Schutz der Privatsphäre irreführend seien, da das Unternehmen die Art der Datenerhebung betraf, die die Nutzer vermeiden wollten. Die Regulierungsbehörden erklärten, dass dieses Verhalten gegen Verbraucherschutzstandards verstoße, da Nutzer keine informierte Zustimmung geben konnten. Sie fügten hinzu, dass das Ausmaß der Datenverteilung Risiken mit sich bringt, einschließlich der Möglichkeit, dass Dritte Browserdaten bestimmten Personen zuordnen könnten.
Der Vergleich verlangt von Avast, zuvor gesammelte Browserdaten zu löschen und sicherzustellen, dass zukünftige Produkte Datenschutzverpflichtungen erfüllen. Das Unternehmen muss dokumentieren, wie es Nutzerinformationen sammelt, teilt und speichert, und muss regelmäßige Compliance-Berichte vorlegen. Regulierungsbehörden beschrieben den Fall als Beispiel für eine zunehmende Kontrolle von Datenpraktiken im Verbrauchersektor der Cybersicherheit.
Verbraucher, die glauben, betroffen zu sein, wird geraten, offizielle Mitteilungen der FTC oder des Rückerstattungsverwalters zu prüfen. Beamte erklärten, dass keine Gebühr für die Zahlung erforderlich ist. Sie warnten die Nutzer, vorsichtig vor betrügerischen Nachrichten zu sein, die eine Entschädigung angeben, aber persönliche oder finanzielle Informationen verlangen.
Datenschutzexperten sagten, der Fall unterstreiche die Bedeutung, die Bedingungen der Datenerhebung vor der Installation von Sicherheitssoftware zu überprüfen. Sie sagten, kostenlose oder kostengünstige Tools könnten auf Datenaustausch angewiesen sein, um Einnahmen zu generieren, und dass unklare Datenschutzerklärungen zur Vorsicht anregen sollten. Sie fügten hinzu, dass von Unternehmen, die Sicherheitsprodukte anbieten, höhere Standards erfüllen müssen, da die Nutzer ihnen vertrauen, sensible Informationen zu schützen.