Fast 14 Millionen Euro für illegalen Datentransfer des Cybersecurity-Giganten

  • Autor: Wolfgang von Sandersleben, DP-Dock GmbH
  • Letzte Aktualisierung: Juni 2024
  • Kategorie: Datensicherheit

Die Bedeutung des Datenschutzes kann nicht nur für Einzelpersonen, sondern auch für Unternehmen schwer zu begreifen sein. Wenn jedoch selbst einer der führenden Experten für Cybersicherheit wegen eines Verstoßes gegen die DSGVO mehr als 10 Millionen Euro zahlen muss, scheinen angemessene Schutzmechanismen umso notwendiger. Am 10. April 2024 beschloss die tschechische Datenschutzbehörde, dem Cybersicherheitsgiganten Avast eine Geldstrafe von 13,9 Millionen Euro aufzuerlegen, weil dieser illegale Übertragungen von Benutzerdaten an eine Tochtergesellschaft namens Jumpshot praktizierte – denken Sie daran: gemäß Art. 83 (5) DSGVO kann die von einer Datenschutzbehörde verhängte Verwaltungsstrafe bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.

Der gesamte Fall betraf Daten von über 100 Millionen Benutzern, die aus dem eigenen Kernprodukt von Avast, aber auch aus zugehörigen Browsererweiterungen stammten. Die gesammelten Daten wurden dann an Jumpshot übertragen, das die Daten an Google, Microsoft und andere wichtige Akteure verkaufte, die Daten zur Profilerstellung verwenden. Obwohl die Daten anonymisiert waren, konnte Jumpshot sie über IDs und Bewegungsprofile identifizierbaren Personen zuordnen. Avast hatte 2020 zunächst behauptet, die Daten nicht verkauft zu haben. Kurz nachdem die Behauptungen publik wurden, schloss Avast seine Tochtergesellschaft, um seinen Ruf in der Öffentlichkeit nicht weiter zu schädigen, da es ihre Mission ist, eine sicherere digitale Umgebung zu schaffen.

Die Bemühungen, das Vertrauen in der Öffentlichkeit wiederherzustellen, wurden jedoch wahrscheinlich durch die Entscheidung der DPA im April zunichte gemacht. Avast hat nicht nur Daten zu Unrecht übertragen, sondern seine Kunden auch falsch über die betreffenden Übertragungen informiert, indem es behauptete, die Daten seien anonymisiert und ausschließlich zu statistischen Zwecken verarbeitet worden.

Außerhalb der EU musste Avast außerdem eine weitere hohe Geldstrafe in Höhe von 16,5 Millionen US-Dollar zahlen, die von der US-Handelsbehörde auf der Rechtsgrundlage des Fehlverhaltens der Browsererweiterung verhängt wurde, die ursprünglich entwickelt wurde, um zusätzlichen Schutz zu bieten. Der Fall Avast zeigt, wie schwerwiegend unrechtmäßige Datenübertragungen und der unerlaubte Verkauf personenbezogener Daten sind. Dienste wie DPOs sind hier unerlässlich, um die Einhaltung der EU-DSGVO sicherzustellen, insbesondere für Unternehmen mit Sitz außerhalb der EU.                            

Weitere Informationen finden Sie hier.

Datenschutzeinstellungen

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.

In dieser Übersicht können Sie einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Essenziell
Name Matomo
Technischer Name
Anbieter
Ablauf in Tagen 72
Datenschutz
Zweck Nutzung ohne Cookies
Erlaubt
Gruppe Externe Medien
Name Calendly
Technischer Name __cf_bm,__cfruid,OptanonConsent,
Anbieter Calendly LLC
Ablauf in Tagen 365
Datenschutz https://calendly.com/privacy
Zweck Zum Vereinbaren von Terminen über den Anbieter Calendly
Erlaubt
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name Contao HTTPS CSRF Token
Technischer Name csrf_https_contao_csrf_token
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt