IT-Diagnose-Daten – Gefahr für Massenklagen?

Juristisch bietet das Thema IT-Diagnose-Daten Chancen und Angriffspunkte für Legal Tech. Kunden, Patienten, Mandanten, Mitarbeiter und alle, deren persönliche Daten von Unternehmen oder von Institutionen des öffentlichen Sektors verarbeitet werden, sind potentielle Opfer des DSGVO-verletzenden IT-Diagnose-Daten-Exports.

Das juristische „Massenpotential“ resultiert aus einem Basis-Sachverhalt, gefolgt von mehreren „Skalierungsstufen“.

Basis-Sachverhalt: DSGVO-Verletzung mit jedem einzelnen Upload

• Jede IT-Organisation erzeugt regelmäßig IT-Diagnose-Daten: Dumps, Logs und Traces fallen fortlaufend und in allen IT-Systemen an. Sie dienen der Fehleranalyse.

• IT-Diagnose-Daten enthalten versteckt eingelagert ein breites Spektrum unterschiedlicher, schutzbedürftiger Daten: Daten mit Personenbezug und damit DSGVO-Relevanz, IT-sicherheitskritische Informationen sowie Firmengeheimnisse. D.h. mehrere Rechtsgebiete werden berührt.

• Hohe Volumina versteckt eingelagerter Daten in Dumps (Speicherauszüge) sind Basis der nächsten Skalierungsstufe.

• Die IT-Administratoren laden regelmäßig einen Teil der IT-Diagnose-Daten zum Support der Hersteller für das Problem Management hoch. Dieser Upload ist durch die Support- und Wartungsverträge mit den Herstellern vereinbart.

• Nach dem Empfang des Uploads auf einem Hersteller-Server – meist in Europa – erfolgt herstellerintern eine stufenweise Weiterleitung der IT-Diagnose-Daten in die eigenen weltweit verteilten Support-Zentren und Labore, z.B. auch in die USA, Indien oder China. Die finale Destination des Uploads kann also „irgendwo“ liegen, in Europa, aber insbesondere auch in Drittstaaten. Dies hängt allein von der internen Organisation und Größe des Software-Herstellers ab.

• Die „Vogel Strauß“-Haltung besteht darin, dass niemand genau wissen möchte, was alles „versehentlich“ mitgeschickt wird und wo es landet. Natürlich ahnen die IT-Spezialisten die Brisanz der Daten, aber es hinterfragt aktuell keiner dieses seit Jahrzehnten praktizierte „Ritual“. Pro-aktiv möchte man es auch nicht wirklich wissen. Denn was wäre die Konsequenz? Dass der Upload und damit die Problemanalyse nicht durchgeführt werden dürften! Das Risikothema IT-Diagnose-Daten läuft daher bewusst „unter dem Radar“. Teilweise kann, bis hin zur Leitungsebene, von einer gewissen Form des vorsätzlichen Nichtwissens über die Brisanz ausgegangen werden.

• Der Einblick in die interne Organisation der Hersteller fehlt weitestgehend. Niemand weiß genau, was dort mit den IT-Diagnose-Daten insgesamt passiert und welche „Sonderverwertungen“ stattfinden. Z.B. könnten Machine-Learning-Modelle trainiert werden. Oder „abtrünnige“ Mitarbeiter extrahieren gezielt sensible Datenanteile und verkaufen sie im Darknet. Auch sind Dumps beliebte Beuteobjekte von Hackern, wie im Microsoft-Fall des Schlüsseldiebstahls im Jahre 2023 angenommen wurde.

Juristische Einordnung der versteckten Dateneinlagerung

Wichtig ist festzuhalten, dass der Versand versteckt eingelagerter sensibler Daten gemäß DSGVO vollkommen zweckfremd, sachlich nicht begründbar und damit ohne Nutzen ist. Der Software-Hersteller benötigt diese Daten in keiner Weise für die Analyse des Software-Problems, dem eigentlichen und einzigen Zweck des Transfers von IT-Diagnose-Daten und deren Verarbeitung. Eventuell bestehende Auftragsverarbeitungen sind daher juristisch angreifbar, selbst wenn die sensiblen Datentypen explizit aufgeführt wurden – aufgrund des fehlenden Zwecks. Da der Datentransfer versteckt erfolgt, kann auch sehr leicht an der Vollständigkeit der Datentypenliste im Auftragsverarbeitungsvertrag gezweifelt werden. RA Horst Speichert hat das Thema in der DuD 47 (04/2023), S. 229–232 bereits juristisch erläutert (https://www.enterprise-it-security.com/DuD-Artikel-Speichert-042023-LT).

Jeder Upload von IT-Diagnose-Daten bedeutet ein immenses Potential an immateriellen Schadensfällen auf der Basis der EuGH-Entscheidung zum immateriellen Schadensersatzanspruch iSd Art 82 DSGVO (EuGH (04.05.2023). Siehe zum Thema auch RA Paul Malek: Datenschutzrechtliche Haftungsrisiken nach Cyber-Vorfällen im Spiegel aktueller EuGH-Rechtsprechung, in: Die VersicherungsPraxis 2 (Februar 2024), S. 3-6. Man kann jeder professionell betriebenen IT ab einer gewissen Größe pauschal vorwerfen, DSGVO-bezogene Daten von Kunden, Patienten, Mandanten oder Mitarbeitern zweckfremd zu weltweiten Support-Zentren hochzuladen und sie von Dritten speichern und verarbeiten zu lassen. Würde dies vom IT-Betrieb verneint, bestünden Zweifel an seiner Professionalität, außer er könnte z.B. die vor dem Upload vollzogene Bereinigung, d.h. Anonymisierung belegen. Insgesamt können sich die Voraussetzungen für eine Beweislastumkehr ergeben.

Skalierungsstufe #1: Hohe Anzahl Geschädigter pro einzelner IT-Diagnose-Datei

• Dumps (Speicherauszüge) gehören größenbedingt in die höchste Risikoklasse. Dumps enthalten Live-Daten aller zum Crash-Zeitpunkt aktuell verarbeiteten und in den Speicher geladenen Daten. Das hohe Risiko von Dump-Dateien zeigt sich bereits in ihrer Größe von mehreren Giga-Bytes. Das Gesamtvolumen an DSGVO-relevanten Daten hängt von der Unternehmensgröße, der Kundenanzahl, dem IT-Verarbeitungsvolumen und dem System als solchem ab. Ein einzelner Dump, „gezogen“ bei einem Crash auf einem Produktionssystem, z.B. einer Krankenversicherung oder Bank, kann je nach betroffenem Prozess (Applikation), gerne einmal 10.000 Kunden-Datensätze beinhalten.

• Voraussetzung für das Erscheinen personenbezogener Daten in einem Dump ist nicht notwendigerweise ihre Verarbeitung. Z.B. halten In-Memory-Datenbanken oder Speicher-Appliances zwecks hoher Performance „alle“ Daten im Speicher vor. Ein entsprechender Crash-Dump enthält dann alle diese Datensätze. Durch den regelmäßigen Upload von IT-Diagnose-Daten wächst die Menge an Geschädigten stetig.

Zwischen-Fazit: Bereits mit dem Upload eines einzigen Dumps werden potentiell die Persönlichkeitsrechte 1000er Kunden verletzt – eine beachtliche erste Skalierung.

Skalierungsstufe #2: Universalität der „IT“ bewirkt unbegrenzte Angriffsflächen

• Die DSGVO-Verletzung durch den Versand nicht bereinigter IT-Diagnose-Daten findet in allen Branchen und für alle Personengruppen statt. Jede IT-basierte Infrastruktur erzeugt IT-Diagnose-Daten. Nicht nur Server, Clients, Applikationen, sondern auch IoT-Devices, Mobile Devices etc. erzeugen IT-Diagnose-Daten und damit die Problematik.

• Erweiterung der Angriffsfläche durch Cloud & Co: Cloud-Provider, Hostings, Server- und Applikationsprovider sowie externe Entwicklungsabteilungen, off- oder nearshore, erweitern die Angriffsfläche für den pauschalen Vorwurf nachhaltig. Denn hier entscheiden externe Dritte, z.B. die System- und Applikations-Verantwortlichen über den Upload der IT-Diagnose-Daten.

Zwischen-Fazit: Geschätzte 50.000 Rechenzentren (gemäß Bitkom e.V., Stand 2022) mit jeweils ca. 100 Uploads pro Jahr (Schätzung Autor) ergeben ein geschätztes Volumen von ca. 5 Mio. IT-Diagnose-Dateien, allein für Deutschland.

Skalierungsstufe #3: Erfolgsformel „kleiner immaterieller Schaden x große Anzahl Betroffener“

• Aufgrund der Masse an „standardisierten“ DSGVO-Verletzungen ist die Anzahl der Betroffenen und potentiellen Kläger extrem hoch.

• Hohe Erfolgschancen, denn jeder Kunde, Patient, Mandant oder Mitarbeiter kann grundsätzlich davon ausgehen, dass seine Daten zweckfremd und ohne jeden Nutzen per IT-Diagnose-Daten-Upload an Dritte übertragen werden. Potentiell werden sie auch an IT-Dienstleister ohne ausreichendes Schutzniveau, wie im Fall von Drittstaaten, widerrechtlich verschickt.

• Durch diese Datenschutz-Verletzung können Betroffene auf Basis von Artikel 82 DSGVO einen immateriellen Schaden reklamieren. Denn wer möchte schon, dass eigene persönliche Informationen, bis hin zu Gesundheitsdaten und Kontoständen, von IT-Support-Mitarbeitern irgendwo auf der Welt eingesehen und potentiell entwendet werden können?

Zwischen-Fazit: Zweifelsohne ist die Größe der Unternehmen und damit ihrer IT sowie die Sensibilität der Daten ausschlagend für das „Massenpotential“. Je mehr Kunden, Patienten, Mandanten und Mitarbeiter, desto größer ist die potentielle Klägergruppe und desto einfacher ist auch die Beweislage. Denn mit zunehmender Größe einer IT-Organisation steigt ihre Professionalität und die Menge an IT-Diagnose-Daten, die sie zu Herstellern hochlädt. Das Thema würde sicher auch bei Hauptversammlungen von Konzernen für Überraschung sorgen, wenn man nach den Haftungsrücklagen für eventuelle Massenklagen fragen würde.

Fazit

IT-Diagnose-Daten und insbesondere Dumps haben einen sehr hohen Wert für alle, die sensible Daten ausspähen. Sie haben einen Marktwert im Darknet und bieten auch Cyberkriminellen ein großes Potential für ihre Angriffe und Erpressungen. Legal Tech und technologieaffinen Juristen bietet das Thema „IT-Diagnose-Daten“ das Potential für volumenstarke Massenklagen. Dies, insbesondere vor dem Hintergrund der aktuell stattfindenden Weiterentwicklung der Rechtsprechung zur Haftung für immaterielle Schäden aus DSGVO-Verletzungen. Zukünftige Fälle der Rechtsverletzung sind auch im Rahmen von NIS-2, PCI-DSS- oder DORA-Compliance zu erwarten. Eine Massenklage wäre dank der Option des pauschalen Vorwurfs sogar noch einfacher „automatisierbar“ als Impressums-Abmahnungen.

Autor: Dr. Stephen Fedtke, Head of Technology, Enterprise-IT-Security.com