Aktuelle Angriffswelle auf WooCommerce Payment Plugin

Auf das WooCommerce Plugin, welches aktuell auf ungefähr 600.000 WordPress-Seiten eingesetzt wird, gibt es eine Angriffswelle von großem Ausmaß.

Wie es scheint, haben diese Angriffe ab vergangenen Freitag begonnen – es wird von aktuell über einer Million Attacken ausgegangen.

Diese richten sich gezielt auf einzelne Websites und keine wahllose Attacke an alle Nutzer.

Ermöglicht wurden diese Attacken durch eine Sicherheitslücke, die mittlerweile aber wieder geschlossen ist. Um Sicherheit zu gewähren, müsste das Plugin aber auch aktualisiert sein. Das betroffene WooCommerce Payment Plugin sollte auf Version 5.6.2 aktualisiert werden.

Nutzer dieses Plugins sollten also schnell aus Vorsicht überprüfen, ob dieses auch auf die aktuelle Version geupdatet wurde.

Neuer Angemessenheitsbeschluss für die USA – aller guten Dinge sind Drei?

Am 10. Juli 2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss entsprechend Art. 45 DSGVO für den Datenschutzrahmen EU-USA – the Trans Atlantic Data Privacy Framework (TADPF) – angenommen. Damit soll die USA ein angemessenes Schutzniveau für personenbezogene Daten, die aus der EU an US amerikanische Unternehmen übermittelt werden, durch verbindliche Garantien gewährleistet werden.

Die Figur des Angemessenheitsbeschlusses ist dafür da, das festgestellt wird, dass ein Land außerhalb der EU – und damit außerhalb des Anwendungsbereiches der DSGVO – ein dem europäischen Datenschutz entsprechendes Niveau zusichert. Liegt ein solcher vor, müssen Unternehmen keine weiteren Schutzmaßnahmen nach der DSGVO, wie beispielsweise Auftragsverarbeitungsverträge mit Standardvertragsklauseln, mehr abschließen oder vorweisen.

So die Theorie.

Denn ein solches Abkommen gab es in der Vergangenheit bereits zweimal: den Privacy Shield und das Safe Harbor Abkommen.

Beide Abkommen wurden nach kurzer Zeit durch den EuGH gekippt. Dieser stellte fest, dass das Datenschutzniveau in den USA gerade nicht ausreichend ist und den EU Standards nicht entspricht. Die dortigen Behörden seien mit viel zu weitreichenden Befugnissen ausgestattet, die den Zugriff auf die personenbezogenen Daten von europäischen Bürgern ermöglichen.

Der TADPF soll genau diese Zugriffe ausbremsen. Er gibt vor, dass Zugriffe nur dann erfolgen dürfen, wenn dies „verhältnismäßig“ ist. Um dies zu überprüfen soll ein Gericht zur Datenschutzüberprüfung geschaffen werden, der Data Protection Review Court (DPRC). Zu diesem sollen Einzelpersonen aus der EU entsprechenden Zugang bekommen und ihnen ein unabhängiges und unparteiisches Rechtsbehelfsverfahren möglich sein.

US Unternehmen können sich dem TADPF nun anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, beispielsweise Daten zu löschen wenn sie für den Zweck für den sie erhoben wurden nicht mehr erforderlich sind – was der Datenminimierung nach Art. 5 DSGVO gleichkommen könnte. Auch sollen EU-Bürger noch mehr Rechtsbehelfe offen stehen. Dazu gehören wohl unabhängige Streitbeilegungsstellen und eine Schiedsstelle.

Genau das Stichwort der Verhältnismäßigkeit ist es jedoch, was den bekannten Datenschützern bereits missfällt. Sie haben bereits angekündigt, erneut Klage einreichen zu wollen. Konkret handelt es sich dabei um Maximilian Schrems.

Der Privacy Shield und Safe Harbor sind beide auch durch seine Klagen gekippt worden und brachte die Urteile Schrems I und II hervor.

Ob der EuGH nun davon ausgeht, dass das Schutzniveau gut genug ist oder ob Schrems III quasi bevorsteht ist noch offen.

Einer gerichtlichen Überprüfung wird der TADPF sich aber auf jeden Fall stellen müssen.

Viel Kritik an neuem Datenschutzabkommen zwischen EU und USA

Nach der Verabschiedung des EU-U.S. Data Privacy Frameworks sollte nun endlich Rechtssicherheit zum Datenaustausch zwischen den USA und der EU herrschen. Davon würden besonders kleine und mittlere Unternehmen profitieren, weil jeder Fall von Datenübermittlung nach Amerika nicht länger einzeln geprüft werden muss.
Allen voran sollten damit die Bedenken des EuGH (Europäischer Gerichtshof) ausgeräumt werden – dabei wurde vor allem der umfangreiche Zugriff von US-Geheimdiensten auf europäische personenbezogene Daten, betont.
Präsident Joe Biden und die amerikanische Regierung begrüßen das Abkommen als „den Höhepunkt einer jahrelangen engen Zusammenarbeit“.

Kritik kommt u. a. von der Datenschutzorganisation Noyb, welche im Data Privacy Framework zum größten Teil eine Kopie des in der Vergangenheit gescheiterten Privacy Shield sehen. Das Abkommen sieht vor, dass US-Geheimdienste künftig nur auf übermittelte Daten zugreifen dürfen, wenn eine Notwendig- und Verhältnismäßigkeit gegeben ist. Eben diese Definition von „verhältnismäßig“ stößt den Datenschützern aber sauer auf, da die USA diesem Wort eine andere Bedeutung zumisst als der EuGH. Man sieht außerdem ein Problem darin, dass die im Abkommen eingeräumte Rechtshilfe nicht dem EU-Recht entspräche und dass eine Verletzung der Privatsphäre von EU-Bürgern kein Problem für Amerikaner darstelle.
Der Europaabgeordnete Moritz Körner sieht das Privacy Framework Abkommen bereits als gescheitert an und kritisiert Ursula Von der Leyen: „Sie weiß, dass das neue Abkommen vor dem EuGH scheitern wird“. Von der Leyen wirkte als EU-Kommissionspräsidentin an dem Abkommen mit. Ein Scheitern vor dem EuGH würde einen dritten Ansatz zu einer Einigung zwischen EU und USA erfordern – was letztlich zu zusätzlichen finanziellen Kosten führen würde, welche die Bürger und Unternehmen Europas zu zahlen hätten.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/privacy-shield-neu-aufgelegt-viel-kritik-an-neuem-datenschutzabkommen-zwischen-eu-und-usa-2307-175729.html

Bank zahlt Bußgeld für mangelhafte Auskünfte

Die spanische Bank CaixaBank S.A. hat sich ein Bußgeld in Höhe von 15.000 Euro für ein mangelhaftes Nachkommen der Auskunftspflicht eingehandelt.

Ein Mutter wünschte, Informationen über das Bankkonto ihrer Tochter einzuholen. Die Bank hatte laut Untersuchung der zuständigen Datenschutzbehörde dabei nicht versucht, die Mutter als berechtigte Person zu identifizieren. Obendrein wurden die falschen Informationen herausgegeben, nämlich von der älteren Tochter anstatt der jüngeren. Insgesamt gab sich die Bank unkooperativ, was die Mutter schließlich zu einer Beschwerde bei der Datenschutzbehörde bewegte.
Darüber hinaus war der Vater ein Mitarbeiter der Bank, welcher sich jedoch in der Scheidung befand und das Konto seiner Tochter kündigte und das Geld auf das eigene Konto überwies. Für den dazugehörigen Antrag wären die Unterschriften beider Erziehungsberechtigten benötigt worden.

Weitere Informationen finden Sie hier:
https://www.aepd.es/es/documento/ps-00388-2022.pdf

Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten

Die Entscheidung durch die Europäische Kommission ist nun gefallen: das EU-U.S. Data Privacy Framework repräsentiert ein angemessenes Schutzniveau – nach diesem Standard können nun personenbezogene Daten ohne zusätzliche Maßnahmen von der EU an die USA übermittelt werden.
Voraussetzung hierfür ist, dass die US-basierte Organisation, welche die personenbezogenen Daten empfängt, auch unter dem Data Privacy Framework zertifiziert ist. Ob eine solche Zertifizierung vorliegt, ist zuvor vom jeweiligen EU-basierten Partner-Unternehmen zu prüfen.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html?nn=251928

Bußgeld in Schweden für Datensammeln zwecks Marketing

Gegen das schwedische Unternehmen Bonnier News AB wurden mehrfach Beschwerden eingereicht, da Bonnier News über Monate personenbezogene Daten speicherte und damit personalisierte Werbung einschließlich kommerzieller Anrufe betrieb.

Das Unternehmen sammelte Daten auf ihren diversen Tochterfirmen zum Surf- und Kaufverhalten der Kunden. Dafür wurde ein Bußgeld von 13.000.000 Schwedische Kronen (= 1.112.775 Euro) verhangen.

Weitere Informationen finden Sie hier:
https://www.imy.se/nyheter/fel-anvanda-kunders-personuppgifter-for-profilering-utan-samtycke/

Bußgeld für Privatperson wegen Überwachungskamera

Überwachungskameras sind immer wieder aufs Neue Grund für Beschwerden und Datenschutzverstöße. So auch in Spanien, wo sich eine Privatperson beschwerte, dass die Überwachungskamera eines Nachbarn auch das eigene Grundstück mit erfasste.

Die Datenschutzbehörde wurde aktiv und verhängte ein Bußgeld in ursprünglicher Höhe von 300 Euro, welches durch Schuldeingeständnis und bereitwillige Zahlung auf 180 Euro reduziert wurde.

Weitere Informationen finden Sie hier:
https://www.aepd.es/es/documento/ps-00623-2022.pdf

Bußgeld für Datenpanne auf isländischer Gesundheitswebseite

In Island wurde der Datenschutzbehörde eine Datenpanne auf der Webseite des Gesundheitsdienstes Heilsuvera gemeldet.
Dabei wurden durch eine technische Schwachstelle sensible Gesundheitsdaten wie etwa Anträge für Folgerezepte sowie Sonogrammbilder von Schwangeren für andere Nutzer einsehbar, die auf der Seite eingeloggt waren.

Verhängt wurde eine Strafe in Höhe von 12.000.000 Isländischen Kronen (= 80.699 Euro).

Weitere Informationen finden Sie hier:
https://www.personuvernd.is/urlausnir/sekt-vegna-oryggisveikleika-i-heilsuveru

KI in der Medizin: DIN gründet neuen Arbeitsausschuss

Um dem Potenzial wie auch den Herausforderungen von KI zu begegnen, hat die DIN (Deutsches Institut für Normung) den Arbeitsausschuss „KI in der Medizin“ im Normenausschuss NA 176 „Gesundheitstechnologien“ gegründet. Damit soll der zukünftige Einsatz von KI im medizinischen Bereich in Normen und Standards gefasst werden.

Diese Standards sind wichtig, um KI-gestützte Anwendungen besser nutzbar und sicherer zu machen. Darüber hinaus sollen dadurch Vertrauen unter Anwendern und Patienten geschaffen werden.

Zuvor wurde bereits eine Normungsroadmap zur Förderung von KI-Normen ins Leben gerufen, welche mittlerweile bereits eine zweite Ausgabe zur Grundlage eines Gütesiegels für KI-Technologie zusammengetragen hat. Der neue Arbeitsausschuss soll helfen, eben jene Empfehlungen der Normungsroadmap umzusetzen.

Weitere Informationen finden Sie hier:
https://www.secupedia.de/news/ki-in-der-medizin-din-gruendet-neuen-arbeitsausschuss/
https://www.din.de/de/forschung-und-innovation/themen/kuenstliche-intelligenz/fahrplan-festlegen

AfD-Mitgliedsanträge waren frei im Netz verfügbar

In einem offen einsehbaren Webverzeichnis waren kürzlich Anträge von Neumitgliedern der AfD-Partei zu sehen. Dabei waren Namen, Adressen, Geburtsdaten und Bankverbindungen einsehbar.

Laut IT-Expertin Ornella Al-Lami, welche das offene Verzeichnis entdeckte, sei ihr der offen zugängliche Speicher am 23. Juni 2023 aufgefallen – ob er für mehr als einen Tag einsehbar war, ist unklar.

Die AfD selbst erklärt, dass höchstens 15 Mitgliedsanträge einsehbar waren, äußert sich aber nicht näher, ob die Einsicht nur am 23. Juni möglich war. Aktuell wird ermittelt, ob es klare Verstöße gegen den Datenschutz gab und ob infolge dessen Betroffene zusätzlich zu Datenschutzbeauftragten informiert werden müssen.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/datenleck-afd-mitgliedsantraege-waren-frei-im-netz-verfuegbar-2306-175239.html#cmts