Populärer Gratis-Virenscanner verkauft Surf-Daten seiner User

Wenn etwas im Internet gratis ist, zahlt der User mit seinen Daten: Das predigen Datenschützer schon seit Langem. Im Falle von Facebook und Google scheinen sich viele User damit abgefunden zu haben. Jetzt wurde aber bekannt, dass ein Produkt, dessen Hauptzweck es ist den User zu beschützen, das gesamte Surfverhalten abgreift und an Werbekunden verkauft.

Dahinter steckt Avast, zu dessen Produkten auch der kostenlose Virenscanner Avast Free Antivirus gehört. Nach eigenen Angaben hat das Unternehmen mehr als 435 Millionen aktive User jeden Monat. Zu Avast gehört auch die Tochterfirma Jumpshot. Deren Geschäftsmodell: Die Daten der Avast-User zu verkaufen, berichten Vice und PCMag. Ihnen liegen Insider-Informationen und Dokumente vor, die das belegen.

Jeder Klick

Jumpshot gibt selbst an, jeden Klick aufzuzeichnen, den User im Browser machen. Diese werden zusammen mit der URL auf die Millisekunde genau gesammelt. Ebenfalls aufgezeichnet werden Google-Suchen, gesuchte Orte auf Google Maps, besuchte LinkedIn-Seiten, angesehene YouTube-Videos, Suchabfragen auf Porno-Websites und viele weitere Daten.

Jumpshot gibt an, diese Daten zu anonymisieren. Jedem User eines Avast-Produkts wird aber eine individuelle Geräte-ID zugewiesen. Diese behält er, bis er das Avast-Produkt deinstalliert. Anhand dieser durchgehenden ID ist es aber für Unternehmen nicht besonders schwer, den User ausfindig zu machen. In den Daten von Jumpshot ist etwa zu lesen, dass der User mit der Geräte-ID „abc-1234“ aus Wien um 15:59:03 auf Amazon Duracell AA-Batterien gekauft hat. Amazon könnte jetzt einfach nachschauen, wer zu dieser Zeit dieses Produkt gekauft hat und kennt damit Namen und Adresse von „abc-1234“. Und damit weiß Amazon dank der Jumpshot-Daten auch, was die Person noch so online getrieben hat.

De-Anonymisieren als Geschäftsmodell

Laut Jumpshot wird die Geräte-ID üblicherweise nicht an seine Kunden weitergegeben. Allerdings liegen Vice und PCMag ein Vertrag mit der Marketing-Firma Omnicom vor, in dem die Weitergabe der Daten, inklusive Geräte-ID, explizit beschlossen wurde. Noch problematischer ist, dass Omnicom diese Daten an die Tochterfirma Annalect weitergibt. Diese hat sich darauf spezialisiert, Lösungen anzubieten, mit denen Unternehmen ihre eigenen Kundeninformationen mit zugekauften Daten verknüpfen können. Dies lässt den Verdacht aufkommen, dass Omnicom bewusst vorhat, die Jumpshot-Daten für seine eigenen Kunden zu de-anonymisieren.

Jumpshot listet auf seiner Website bekannte Unternehmen als Kunden auf. Darunter sind Microsoft, IBM, Google, Unilever, Nestle und auch Marketing-Institute, wie GfK. Microsoft gab auf Nachfrage von PCMag an, derzeit keine Geschäftsbeziehungen zu Jumpshot zu haben. IBM gab an, nie Kunde von Avast oder Jumpshot gewesen zu sein. Google habe auf die Anfrage nicht geantwortet, so PCMag.

Wie die Daten gesammelt werden

Die Userdaten wurden seit 2015 mit Browser-Plugins von Avast-Virenscannern gesammelt. Diese sollten User eigentlich vor gefährlichen Websites warnen. Als das im Oktober 2019 aufflog, schmissen Google, Firefox und Opera die Plugins aus ihren Browsern. Avast gibt an, seitdem die Daten, die die Plugins sammeln, nicht mehr an Jumpshot zu schicken.

Wie Unterlagen jetzt belegen, werden diese Daten weiterhin gesammelt und an Jumpshot geschickt. Allerdings geschieht dies jetzt direkt über die Antivirus-Software. Wer Avast-Produkte installiert oder bereits nutzt, bekommt ein Pop-up angezeigt, das fragt, ob man „ein paar Daten“ teilen möchte. Laut dem Pop-up wird ein Auszug der Browser-Historie, die anonymisiert ist, von Jumpshot gesammelt. Diese Daten werden „vielleicht“ als zusammengesetzte Informationen mit den Kunden von Jumpshot geteilt.

Dass hier bis auf den Klick genau Daten gesammelt und weitergegeben werden, ist nicht zu lesen. Auch, wie einfach die Daten aufgrund der präzisen Aufzeichnungen bestimmten Personen namentlich zugewiesen werden können, wird nicht erwähnt. Vielen Usern scheint dies nicht bewusst zu sein. Jumpshot gibt an, Daten von über 100 Millionen Geräten, darunter Computer und Smartphones, zu erhalten.