Datenschutz oder Virenschutz?

Über 50 Prozent sind AGB egal

Wie bei jeder anderen Software ist der Installationsroutine eines Schutzprogramms die Bestätigung von AGB und Datenschutzerklärung vorgeschaltet. Erst dann lässt sich die Software installieren und nutzen. Ab dann greift das Schutzversprechen des gewählten Herstellers. Laut einer 2014 veröffentlichten Studie im Auftrag des Verbraucherzentrale Bundesverbandes (vzbv) stimmen 53 Prozent der Befragten bei Installation eines Programms den AGB zu, ohne sie überhaupt gelesen zu haben. Bei einer Software, die unter anderem mit dem Schutz persönlicher Daten wirbt, dürfte diese Weg-Klick-Rate noch höher sein. Immerhin erwarten Nutzer hier die Einlösung der Werbeversprechen der Hersteller, also den Schutz ihrer privaten Daten.

26 Sicherheitsprogramme überprüft

In einer aufwendigen Analyse überprüfte das AV-TEST Institut die englischsprachigen Datenschutzerklärungen von 26 Antiviren-Programmen und ermöglicht damit eine umfassende Marktübersicht. Tatsächlich wurden 24 Datenschutzerklärungen geprüft, denn für zwei Sicherheitspakete gab es eine solche Erklärung überhaupt nicht, weder auf den Hersteller-Websites noch bei Installation der Programme.

Im Fokus der Untersuchung stand die Frage, welche Rechte sich Anbieter von Schutz-Software gegenüber ihren Kunden per Datenschutzerklärung herausnehmen. Dabei wurde insbesondere überprüft

 • auf welche Daten die Hersteller rechtlichen Sammelanspruch erheben,
 • welche Rechte sie für die Nutzung der Daten proklamieren,
 • welche Rechte sie ihren Nutzern einräumen, etwa um das Erfassen von Daten zu verhindern, einzuschränken oder überhaupt darüber informiert zu werden.

Beim Durchkämmen der seitenlangen rechtlichen Erklärungen unterschieden die Privacy-Experten die Art der zu erfassenden Daten. So verlangen die Anbieter Zugriff auf Daten über die Nutzer selbst, das Nutzerverhalten am zu schützenden Gerät sowie über das Gerät selbst. Die Betrachtung bezieht sich dabei explizit auf Rechte, die sich Hersteller zur Datenspeicherung und -nutzung einräumen. Ob diese Daten wirklich erfasst werden, war nicht Inhalt dieser Untersuchung. Diese und andere Fragen gilt es in nun folgenden Gesprächen mit den Herstellern zu klären. 

Weit mehr erfasst als notwendig

In fast jeder untersuchten Datenschutzerklärung räumen sich die Hersteller in erheblichem Umfang Zugriffsrechte auf Daten ein, die für den Einsatz einer Schutz-Software nicht nötig sein dürften. Stattdessen dienen sie, laut Angaben der Hersteller, der Produktoptimierung, der Vermarktung weiterer Produkte der Hersteller oder deren Partnerfirmen. Denn die Weitergabe erfasster Daten an Dritte räumt sich jeder der untersuchten Anbieter per Datenschutzerklärung ein. 

Über den Nutzer selbst werden in den meisten Fällen Kontaktdaten, wie z. B. Name, E-Mail-Adresse, und Kauf- beziehungsweise Bezahldaten erhoben. Ebenfalls von Interesse für die Hersteller sind weitere Kontaktdaten, darunter etwa die Telefonnummer. Diese Daten sind sicherlich von Interesse, um weitere Produkte an den Nutzer zu bringen, für den Einsatz der Programme sind sie kaum nötig. Das lässt sich unter anderem auch dadurch belegen, dass diese Daten längst nicht von allen Herstellern erfasst werden.

Sexuelle Vorlieben und Fingerabdrücke erfasst

Doch viele Anbieter schießen weit über das Ziel hinaus: In den Untersuchungen von AV-TEST räumten sich Hersteller sogar Zugriff auf biometrische Daten ein, die auf dem Einsatzrechner gespeichert sind. Wozu ein Antiviren-Programm digitale Fingerabdrücke benötigt, blieb bei Sichtung der Programme unklar. Wie Informationen über das Geschlecht, die Berufsbezeichnung sowie Rasse und sexuelle Orientierung eines Nutzers bei der Jagd auf Schadprogramme helfen sollen, dürfte selbst für gewitzte Marketingexperten der Hersteller schwer zu vermitteln sein, die auf diese Informationen zugreifen wollen.

Nutzer unter Beobachtung

Auch bei der Erfassung des Nutzerverhaltens wird gern aus dem Vollen geschöpft: 15 von 24 Herstellern verlangen Zugriff auf den Browser-Verlauf ihrer Nutzer. Sechs wollen Zugriff auf deren Suchanfragen. Das Durchsuchen von E-Mails behalten sich fünf Anbieter vor. Vollzugriff auf das persönliche Adressbuch erwägen immerhin zwei. Des Weiteren interessieren sich AV-Hersteller für die Social-Media-Daten ihrer Kunden, darunter Kontodaten sowie Postings. Selbst die Veröffentlichung von Beiträgen im Namen der Nutzer räumte sich ein Hersteller ein. Einige wollen auch beim Chat mitmischen und sogar auf den Chat-Verlauf zugreifen.

Volle Gerätekontrolle

Am einfachsten ist die Daten-Sammelwut der Hersteller sicherlich bei Informationen über das zu schützende Gerät und darauf laufende Anwendungen zu erklären. Immerhin soll genau hier verhindert werden, dass Schadprogramme, etwa getarnt als reguläre Anwendungen, ihr Unwesen treiben. Das Erfassen von Basisdaten wie IP-Adresse, Geräte-ID, Betriebssystem und installierte Software klingt darum nachvollziehbar, selbst wenn längst nicht alle Hersteller Zugriff auf solche Gerätefakten in ihren Datenschutzerklärungen verlangen. Auch die Erfassung von GPS-Koordinaten (5 von 24 Herstellern) sowie die WLAN-Lokalisierung (4 von 24 Herstellern) lassen sich mit Funktionen zur Ortung verlorener oder gestohlener Geräte erklären. Allerdings müssen sich Nutzer auch darüber klar sein, dass sie diesen Geräteschutz zusätzlich mit der Verfolgbarkeit ihrer eigenen Bewegungsmuster bezahlen. 

In zehn von 24 Datenschutzerklärungen behalten sich die Hersteller zudem das Recht vor, „Nutzungsstatistiken“ zu erstellen. Allerdings ist nicht klar definiert, welche Daten hier erfasst werden, ob es sich etwa um die Nutzung des Sicherheitsprogramms selbst, die Gerätenutzung oder die Erfassung völlig anderer Daten handelt. In diesem, wie auch in vielen anderen Punkten, sind die Vorgaben der Datenschutzerklärungen aller Hersteller extrem schwammig.

Datenschutz erfordert Verständlichkeit und Transparenz

Dass kaum jemand AGB und Datenschutzerklärungen liest, verwundert nicht. Zum einen werden Nutzer durch die schiere Seitenmenge erschlagen. Im Rahmen dieser Untersuchung war eine durchschnittliche Datenschutzerklärung 12 Seiten lang. Des Weiteren hat es den Anschein, als wollten die Hersteller oft nicht verstanden werden. 

Eine zusätzlich durchgeführte Lesbarkeitsprüfung der Texte mit entsprechenden Analyse-Programmen bescheinigte vielen Datenschutzerklärungen eine zu hohe Komplexität. Mit anderen Worten: Die Erklärungen waren für normale Anwender kaum verständlich. Lange Sätze und viele Fachbegriffe erschweren das Lesen der ohnehin sehr langen Texte zusätzlich.

Zudem bleiben bei den meisten Herstellern wichtige Fragen zu Art und Dauer der Datenspeicherung offen. Wo und wie lange werden die Daten gespeichert? Werden sie verschlüsselt, und wenn ja, wie? Welche Daten werden an Dritte weitergegeben und um welche Partner der Hersteller handelt es sich? Auf all diese Fragen gaben viele Hersteller von Sicherheitsprodukten in ihren Datenschutzerklärungen keine zufriedenstellende Antwort.

Weniger ist mehr

Generell kann ein Ratschlag an die Hersteller nur lauten, Datenschutzerklärungen kürzer und verständlicher zu fassen. Diese Forderung stellt bereits seit längerem die in den USA beheimatete International Association of Privacy Professionals, kurz IAPP. Und auch in Deutschland reagierte das Bundesministerium der Justiz und für Verbraucherschutz letztes Jahr im Rahmen des Nationalen IT-Gipfels. Seit dessen Vorstellung im November bietet das Ministerium eine entsprechende Mustervorlage für eine solch kompakte und leicht zu erfassende Datenschutzerklärung auf seiner Website an.

Zudem können sich Hersteller von Schutzprogrammen, die den Schutz der Privatsphäre ihrer Nutzer versprechen, bei Datenanfrage und Speicherung von Daten ihrer Kunden selbst durch Datensparsamkeit empfehlen. Zum einen stellt der Grundsatz der Datenvermeidung ohnehin ein Grundprinzip des Datenschutzrechts dar. Zum anderen könnten Hersteller sogar damit werben, so wenig personenbezogenen Daten wie möglich zu erfassen.