5. Oktober 2015 - Malware-Schutz oder Datensammler?

Verkaufen Antiviren-Lösungen Nutzerdaten?

Meldungen über einen Antiviren-Anbieter, der die Daten seiner Nutzer an Werbepartner weitergibt, machten kürzlich die Runde. Auch wenn der Anbieter umgehend Entwarnung gegeben hat: Behalten Sie als Datenschutzbeauftragter dieses Risiko im Auge.

Was machen Antivirus-Hersteller mit den Nutzerdaten? Je nach Geschäftsmodell sammeln Antivirus-Lösungen Nutzerdaten (Bild: milian / iStock / Thinkstock)

Manche sehen Datenschutz und IT-Sicherheit als zwei feindliche Brüder. Doch ohne IT-Sicherheit kein umfassender Datenschutz! Andererseits muss klar sein, dass sich die IT-Sicherheitslösungen an Datenschutzvorgaben halten.

Die Zeiten, in denen IT-Sicherheitsanbieter auf Messen dem Autor dieses Beitrags stolz Lösungen präsentierten, die heimlich im Minutentakt Screenshots der Mitarbeiter-Displays machten und dem Vorgesetzten zur Kontrolle anboten, sollten endgültig vorbei sein. Doch gehen Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter nicht davon aus, dass das wirklich so ist. Prüfen Sie alle IT-Verfahren, auch die der IT-Sicherheit, daraufhin, wie sie personenbezogene Daten verarbeiten, nutzen und speichern.

Datenschutzerklärung hinterfragen

Umfragen zeigen, dass Nutzer die Datenschutzerklärungen und Nutzungsbedingungen nicht oder nur oberflächlich lesen. Und wenn sie sie lesen, bleiben viele Punkte unklar. Datenschutzerklärungen müssen einfacher werden. Andererseits müssen Nutzer sie lesen und kontrollieren. So lassen sich Verfahrensweisen eines Anbieters oder neuen Produkts, die den Nutzer überraschen oder verärgern, vor dem Einsatz feststellen.

Ein aktuelles Beispiel ist die überarbeitete Datenschutzerklärung eines Antiviren-Anbieters, die für Verwunderung gesorgt hat, bevor der Anbieter seine Datenschutzerklärung „erklärt“ hat. Verschiedene Medien hatten berichtet, dass der IT-Sicherheitsanbieter von nun an die Nutzerdaten an Werbepartner verkauft. Dem widersprach der Anbieter sogleich.

Behalten Sie als Datenschutzbeauftragter dennoch im Hinterkopf, dass nicht jeder IT-Sicherheitsanbieter automatisch die Datenschutzvorgaben umsetzt, wie es sich der Nutzer vorstellt. Bedenken Sie, dass hinter jeder Lösung ein Geschäftsmodell steckt. Und das kann sein, die Daten zu Werbezwecken zu nutzen.

IT-Sicherheitsanbieter sammeln Nutzerdaten meist anonymisiert

Tatsächlich sammeln viele IT-Sicherheitslösungen Nutzerdaten, allerdings in der Regel nur

  • nach Einwilligung,
  • nach Anonymisierung und
  • zu IT-Sicherheitszwecken oder
  • zur Optimierung ihrer Lösungen.

Bevor also eine IT-Sicherheitslösung zum Einsatz kommt oder wenn sich eine Datenschutzerklärung ändert: Prüfen Sie, ob und zu welchem Zweck der Anbieter Nutzerdaten sammelt und wie er die Nutzerdaten schützt.

Vor allem bei kostenlosen Antiviren-Lösungen ist es sinnvoll, das Geschäftsmodell zu hinterfragen. Mitunter bieten IT-Sicherheitsanbieter Lösungen für Endkunden kostenlos an, um möglichst viele Installationen zu bekommen. Das bedeutet nicht nur Marktpräsenz, sondern auch das Sammeln von Erfahrungen und von (anonymisierten) Bedrohungsdaten für die Vorhersage neuer Risiken. Darauf sollte der Anbieter in der Datenschutzerklärung hinweisen.

Sensibilisieren Sie die Nutzer in Ihrem Unternehmen, dass sie bei IT-Sicherheitslösungen die Datenschutzerklärung lesen sollten. Auch bei privaten Endgeräten, die zunehmend zu betrieblichen Zwecken zum Einsatz kommen. Nutzen Sie für die Mitarbeiterinformation die Arbeitshilfe:


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.


Noch mehr Datenschutz-Checklisten finden Sie unter den Praxishilfen.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln