Zum Inhalt springen

Datenschutz oder Virenschutz?

Welcher Privatanwender liest schon ellenlange Datenschutzerklärungen bei Kauf oder Installation von Software? Vor allem, wenn es sich um Sicherheitssoftware handelt. Immerhin verspricht diese nicht nur Schutz vor Internet-Attacken, sondern auch der Privatsphäre. Die Datenschutzexperten von AV-TEST kämpften sich durch das Dickicht der Datenschutzerklärungen. Die Analyse lässt Zweifel aufkommen, ob der Vertrauensvorschuss der Nutzer gerechtfertigt ist.

Datenschutzerklärungen auf dem Prüfstand

Die Datenschutzrichtlinie des Herstellers AVG zeigt transparent, welche Daten erfasst werden.

Viele Hersteller räumen sich das Recht ein, Kundendaten mit anderen Firmen zu teilen. Die wenigsten kommunizieren dies so offen wie McAfee (Intel Security).

Zu lange Sätze, zu komplizierte Wortwahl: Lesbarkeitsprüfungen wie das Readability Test Tool von webpagefx.com zeigen, dass viele Datenschutzerklärungen für normale Menschen kaum zu verstehen sind. (Quelle: www.webpagefx.com/tools/read-able/)

Verständliche, übersichtliche und vor allem kurze Datenschutzerklärungen  fordert die IAPP bereits seit geraumer Zeit. (Quelle: https://iapp.org/)

Umfassender Schutz verlangt umfangreichen Zugriff

Mit Aussagen wie „Schützen Sie Ihre Daten und Privatsphäre“ oder „Schutz Ihrer Identität“ werben quasi alle Hersteller von Sicherheitspaketen um kaufwillige Endanwender. Denn angesichts der aktuellen Online-Bedrohungslage haben sich Internet Security Suiten vom reinen Virenschutz mit Firewall zu Komplett-Schutzlösungen entwickelt. Längst gilt es nicht mehr nur, Rechner und Daten gegen Malware-Attacken und Hacker-Angriffe zu verteidigen. Im Fokus ganz unterschiedlicher Angreifer stehen auch über PCs, Tablets und Smartphones verwaltete Online-Konten und Social-Media-Profile, die etwa gegen Phishing-Versuche abgeschirmt werden müssen. Zudem verfolgen Werbefirmen Internetnutzer immer aggressiver über Tracking-Software, die heimlich das Surf- und Nutzerverhalten sowie Gerätekonfiguration und andere sensible Daten ausspäht (PUA). 

Ein gutes Schutzprogramm muss darum heute nicht nur Angriffe abwehren, sondern auch den ungewollten Abfluss schützenswerter Daten verhindern. Um all diese Funktionen erfüllen zu können, benötigt Sicherheitssoftware umfangreichen Zugriff auf das zu schützende System – und damit auch auf die privaten Daten seiner Nutzer. Angesichts der realen Bedrohung bleibt denen im Grunde keine andere Möglichkeit, als mit dem Vertrauen auf das Schutzversprechen der Anbieter entsprechend tiefe Einblicke in System und Datenbestand zu gewähren. Allerdings dürfte das nur unter der Annahme geschehen, dass diese Zugriffsrechte allein dazu genutzt werden, mögliche Bedrohungen zu erkennen und abzuwehren.

Über 50 Prozent sind AGB egal

Wie bei jeder anderen Software ist der Installationsroutine eines Schutzprogramms die Bestätigung von AGB und Datenschutzerklärung vorgeschaltet. Erst dann lässt sich die Software installieren und nutzen. Ab dann greift das Schutzversprechen des gewählten Herstellers. Laut einer 2014 veröffentlichten Studie im Auftrag des Verbraucherzentrale Bundesverbandes (vzbv) stimmen 53 Prozent der Befragten bei Installation eines Programms den AGB zu, ohne sie überhaupt gelesen zu haben. Bei einer Software, die unter anderem mit dem Schutz persönlicher Daten wirbt, dürfte diese Weg-Klick-Rate noch höher sein. Immerhin erwarten Nutzer hier die Einlösung der Werbeversprechen der Hersteller, also den Schutz ihrer privaten Daten.

26 Sicherheitsprogramme überprüft

In einer aufwendigen Analyse überprüfte das AV-TEST Institut die englischsprachigen Datenschutzerklärungen von 26 Antiviren-Programmen und ermöglicht damit eine umfassende Marktübersicht. Tatsächlich wurden 24 Datenschutzerklärungen geprüft, denn für zwei Sicherheitspakete gab es eine solche Erklärung überhaupt nicht, weder auf den Hersteller-Websites noch bei Installation der Programme.

Im Fokus der Untersuchung stand die Frage, welche Rechte sich Anbieter von Schutz-Software gegenüber ihren Kunden per Datenschutzerklärung herausnehmen. Dabei wurde insbesondere überprüft

 • auf welche Daten die Hersteller rechtlichen Sammelanspruch erheben,
 • welche Rechte sie für die Nutzung der Daten proklamieren,
 • welche Rechte sie ihren Nutzern einräumen, etwa um das Erfassen von Daten zu verhindern, einzuschränken oder überhaupt darüber informiert zu werden.

Beim Durchkämmen der seitenlangen rechtlichen Erklärungen unterschieden die Privacy-Experten die Art der zu erfassenden Daten. So verlangen die Anbieter Zugriff auf Daten über die Nutzer selbst, das Nutzerverhalten am zu schützenden Gerät sowie über das Gerät selbst. Die Betrachtung bezieht sich dabei explizit auf Rechte, die sich Hersteller zur Datenspeicherung und -nutzung einräumen. Ob diese Daten wirklich erfasst werden, war nicht Inhalt dieser Untersuchung. Diese und andere Fragen gilt es in nun folgenden Gesprächen mit den Herstellern zu klären. 

Weit mehr erfasst als notwendig

In fast jeder untersuchten Datenschutzerklärung räumen sich die Hersteller in erheblichem Umfang Zugriffsrechte auf Daten ein, die für den Einsatz einer Schutz-Software nicht nötig sein dürften. Stattdessen dienen sie, laut Angaben der Hersteller, der Produktoptimierung, der Vermarktung weiterer Produkte der Hersteller oder deren Partnerfirmen. Denn die Weitergabe erfasster Daten an Dritte räumt sich jeder der untersuchten Anbieter per Datenschutzerklärung ein. 

Über den Nutzer selbst werden in den meisten Fällen Kontaktdaten, wie z. B. Name, E-Mail-Adresse, und Kauf- beziehungsweise Bezahldaten erhoben. Ebenfalls von Interesse für die Hersteller sind weitere Kontaktdaten, darunter etwa die Telefonnummer. Diese Daten sind sicherlich von Interesse, um weitere Produkte an den Nutzer zu bringen, für den Einsatz der Programme sind sie kaum nötig. Das lässt sich unter anderem auch dadurch belegen, dass diese Daten längst nicht von allen Herstellern erfasst werden.

Sexuelle Vorlieben und Fingerabdrücke erfasst

Doch viele Anbieter schießen weit über das Ziel hinaus: In den Untersuchungen von AV-TEST räumten sich Hersteller sogar Zugriff auf biometrische Daten ein, die auf dem Einsatzrechner gespeichert sind. Wozu ein Antiviren-Programm digitale Fingerabdrücke benötigt, blieb bei Sichtung der Programme unklar. Wie Informationen über das Geschlecht, die Berufsbezeichnung sowie Rasse und sexuelle Orientierung eines Nutzers bei der Jagd auf Schadprogramme helfen sollen, dürfte selbst für gewitzte Marketingexperten der Hersteller schwer zu vermitteln sein, die auf diese Informationen zugreifen wollen.

Nutzer unter Beobachtung

Auch bei der Erfassung des Nutzerverhaltens wird gern aus dem Vollen geschöpft: 15 von 24 Herstellern verlangen Zugriff auf den Browser-Verlauf ihrer Nutzer. Sechs wollen Zugriff auf deren Suchanfragen. Das Durchsuchen von E-Mails behalten sich fünf Anbieter vor. Vollzugriff auf das persönliche Adressbuch erwägen immerhin zwei. Des Weiteren interessieren sich AV-Hersteller für die Social-Media-Daten ihrer Kunden, darunter Kontodaten sowie Postings. Selbst die Veröffentlichung von Beiträgen im Namen der Nutzer räumte sich ein Hersteller ein. Einige wollen auch beim Chat mitmischen und sogar auf den Chat-Verlauf zugreifen.

Volle Gerätekontrolle

Am einfachsten ist die Daten-Sammelwut der Hersteller sicherlich bei Informationen über das zu schützende Gerät und darauf laufende Anwendungen zu erklären. Immerhin soll genau hier verhindert werden, dass Schadprogramme, etwa getarnt als reguläre Anwendungen, ihr Unwesen treiben. Das Erfassen von Basisdaten wie IP-Adresse, Geräte-ID, Betriebssystem und installierte Software klingt darum nachvollziehbar, selbst wenn längst nicht alle Hersteller Zugriff auf solche Gerätefakten in ihren Datenschutzerklärungen verlangen. Auch die Erfassung von GPS-Koordinaten (5 von 24 Herstellern) sowie die WLAN-Lokalisierung (4 von 24 Herstellern) lassen sich mit Funktionen zur Ortung verlorener oder gestohlener Geräte erklären. Allerdings müssen sich Nutzer auch darüber klar sein, dass sie diesen Geräteschutz zusätzlich mit der Verfolgbarkeit ihrer eigenen Bewegungsmuster bezahlen. 

In zehn von 24 Datenschutzerklärungen behalten sich die Hersteller zudem das Recht vor, „Nutzungsstatistiken“ zu erstellen. Allerdings ist nicht klar definiert, welche Daten hier erfasst werden, ob es sich etwa um die Nutzung des Sicherheitsprogramms selbst, die Gerätenutzung oder die Erfassung völlig anderer Daten handelt. In diesem, wie auch in vielen anderen Punkten, sind die Vorgaben der Datenschutzerklärungen aller Hersteller extrem schwammig.

Datenschutz erfordert Verständlichkeit und Transparenz

Dass kaum jemand AGB und Datenschutzerklärungen liest, verwundert nicht. Zum einen werden Nutzer durch die schiere Seitenmenge erschlagen. Im Rahmen dieser Untersuchung war eine durchschnittliche Datenschutzerklärung 12 Seiten lang. Des Weiteren hat es den Anschein, als wollten die Hersteller oft nicht verstanden werden. 

Eine zusätzlich durchgeführte Lesbarkeitsprüfung der Texte mit entsprechenden Analyse-Programmen bescheinigte vielen Datenschutzerklärungen eine zu hohe Komplexität. Mit anderen Worten: Die Erklärungen waren für normale Anwender kaum verständlich. Lange Sätze und viele Fachbegriffe erschweren das Lesen der ohnehin sehr langen Texte zusätzlich.

Zudem bleiben bei den meisten Herstellern wichtige Fragen zu Art und Dauer der Datenspeicherung offen. Wo und wie lange werden die Daten gespeichert? Werden sie verschlüsselt, und wenn ja, wie? Welche Daten werden an Dritte weitergegeben und um welche Partner der Hersteller handelt es sich? Auf all diese Fragen gaben viele Hersteller von Sicherheitsprodukten in ihren Datenschutzerklärungen keine zufriedenstellende Antwort.

Weniger ist mehr

Generell kann ein Ratschlag an die Hersteller nur lauten, Datenschutzerklärungen kürzer und verständlicher zu fassen. Diese Forderung stellt bereits seit längerem die in den USA beheimatete International Association of Privacy Professionals, kurz IAPP. Und auch in Deutschland reagierte das Bundesministerium der Justiz und für Verbraucherschutz letztes Jahr im Rahmen des Nationalen IT-Gipfels. Seit dessen Vorstellung im November bietet das Ministerium eine entsprechende Mustervorlage für eine solch kompakte und leicht zu erfassende Datenschutzerklärung auf seiner Website an.

Zudem können sich Hersteller von Schutzprogrammen, die den Schutz der Privatsphäre ihrer Nutzer versprechen, bei Datenanfrage und Speicherung von Daten ihrer Kunden selbst durch Datensparsamkeit empfehlen. Zum einen stellt der Grundsatz der Datenvermeidung ohnehin ein Grundprinzip des Datenschutzrechts dar. Zum anderen könnten Hersteller sogar damit werben, so wenig personenbezogenen Daten wie möglich zu erfassen. 

Weniger Daten, mehr Schutz

Anett Hoppe -
IT-Security-Expertin bei AV-TEST

Anbieter von Schutzprogrammen genießen meist das Vertrauen ihrer Kunden und haben umfangreichen Zugriff auf deren System und Daten. Diesem Vertrauensvorschuss sollten sie auch durch klare Datenschutzerklärungen gerecht werden, findet Anett Hoppe, IT-Security-Expertin bei AV-TEST:

Viele Nutzer gehen davon aus, dass eine Antiviren-Software nicht nur die Sicherheit des Nutzers verteidigt, sondern auch die Privatsphäre schützt. Stimmt das?

Bisher gab es dazu keinerlei Studien. Und tatsächlich verzeichnen wir bei AV-TEST zwar regelmäßig Anfragen verunsicherter Nutzer, wenn es etwa um verdächtige E-Mails oder zweifelhafte Funktionen von Programmen geht. Anfragen zum Umgang mit Nutzerdaten durch Anbieter von Schutz-Software und -diensten erreichen uns dagegen meist von Firmen und Behörden. Zunehmend fragen aber auch kritische Privatnutzer, wer was mit ihren Daten anstellen will. Dabei profitieren die Hersteller von Schutzprogrammen für Endanwender nach wie vor von einem immensen Vertrauensvorschuss ihrer Kunden – einige zu Unrecht, wie unsere Untersuchung zeigt.

Welche Daten werden erfasst und was geschieht mit ihnen? 

Einige der erfassten Daten sind nötig, damit ein Schutzprogramm seinen Dienst erledigen kann. Welche Relevanz dagegen Geschlecht und Geburtsdatum für die Funktionalität einer Virenschutz-Software haben, dürfte selbst findige Hersteller in Erklärungsnot bringen. Es gilt zu unterscheiden, auf welche Daten ein Hersteller laut Datenschutzerklärung zugreifen will und welche er tatsächlich erfasst. Unsere Untersuchung zeigt die Rechte auf, die sich Hersteller gegenüber ihren Kunden einräumen.

Auf welche Formulierungen in der Datenschutzerklärung sollte ich achten und welches sind Kriterien, an denen ich mich orientieren kann? 

Zunächst lautet die Empfehlung, sich bei der Registrierung und Konfiguration der Produkte an Datenschutzfragen zu orientieren. Das fängt bei Angaben zur eigenen Person bei der Installation an – oft genug sind nicht alle Felder des Anmeldeformulars verpflichtend und werden ohne weiteres Nachdenken mit ausgefüllt. Des Weiteren sollten Nutzer die Datenschutzerklärung zumindest überfliegen. Nur wer diese kennt kann entscheiden, ob das Adressbuch oder private Fotos wirklich auf die Server eines Herstellers hochgeladen werden sollen.

Beitrag teilen: