RSS FeedsTwitterEnglish Version
DSGVO
Datendiebstahl
Datenleck

DSGVO-Briefing

DSGVO-Briefing
Datum13. Juli 2026

Lidl meldet nach einem Angriff auf einen Dienstleister gestohlene Kundendaten, die seit Kurzem von deutschen Behörden genutzte Open Source-Lösung Nextcloud leakte Kundendaten, die Datenschutzkonferenz kritisiert die „Stuttgarter Impulse“, und das EU-US Data Privacy Framework könnte nach FTC-Urteil auf der Kippe stehen.

Angriff auf Dienstleister: Lidl-Kundendaten aus Onlineshop gestohlen.

Am 10. Juli informierte Lidl Digital seine Kunden über einen Angriff auf einen seiner Onlineshop-Dienstleister. Der Meldung zufolge wurde Lidl Anfang derselben Woche über die Supply Chain-Attacke informiert, bei der die Hacker auf eine getrennt abgelegte Datei mit Kundeninformationen zugreifen konnten. Betroffen sind demnach Namen, Geburtsdaten, Kundennummern, Mail-Adressen und Telefonnummern. Finanz- und Logindaten seien jedoch sicher.

In der Nachricht betont das Unternehmen zudem, dass ausschließlich die betroffene Datei kompromittiert worden sei, nicht die Systeme des Online-Shops selbst.

Sicherheitslücke bei Nextcloud: Verträge und Rechnungen geleakt.

Nur Tage, nachdem Mecklenburg-Vorpommern Anfang der vergangenen Woche die Umstellung ihrer Systeme auf Nextclouds Open Source-Lösung ankündigte, berichtete cybernews am 6. Juli von einer Sicherheitslücke bei einer ElasticSearch-Datenbank des Unternehmens. Entdeckt wurde die Schwachstelle schon am 18. Mai 2026.

Die knapp 8 GB umfassende Datenbank enthielt demnach interne Daten des Betreibers, darunter Mitarbeiterdetails, Verträge, Rechnungen mit dazugehörigen E-Mail-Adressen, Informationen von Unternehmenskunden, Daten zu Beta-Testern und Client-Skripte. Verantwortlich für die Lücke war ein Konfigurationsfehler. Kundenserver, so der Betreiber, waren nicht in Gefahr. Die 367.000 Dateneinträge waren allerdings nicht verschlüsselt.

Nextcloud schloss die Sicherheitslücke zwei Tage, nachdem das cybernews-Team Kontakt zum Unternehmen aufnahm.

Supreme Court-Urteil zur FTC könnte EU-US DPF gefährden.

Die gesetzlich festgelegte Unabhängigkeit der US-amerikanischen FTC (Federal Trade Commission) ist verfassungswidrig. Dies entschied der Supreme Court Ende Juni. Das EU-US Privacy Framework, der aktuelle Angemessenheitsbeschluss für die Datenübermittlung aus der EU in die USA, benennt jedoch genau diese Behörde als die für die Überwachung des Datenschutzes Verantwortliche. EU-Richtlinien nach muss es sich dabei um ein unabhängiges Organ handeln – eine Tatsache, die nun nicht mehr gegeben sein könnte.

Die Datenschutzorganisation noyb hat die EU-Kommission nun aufgefordert, den Angemessenheitsbeschluss zu überprüfen. Außerdem soll vor dem EuGH auf Annullierung des Beschlusses geklagt werden.

„Stuttgarter Impulse“ in der Kritik: Datenschützer sprechen sich gegen Zentralisierung aus.

Nachdem die unabhängigen Datenschutzaufsichtsbehörden ihre „Stuttgarter Impulse zur Modernisierung des Datenschutzes“ veröffentlichten, kam nun Kritik vom Berufsverband der Datenschutzbeauftragten Deutschlands. Dieser betonte, dass der risikobasierte Ansatz der DSGVO zur Unternehmensentlastung nicht auf die Unternehmensgröße ausgerichtet sein dürfe, sondern danach gehen muss, wie hoch das Risiko bei den konkret verarbeiteten Daten wirklich ist.

Der Verband kritisierte die Pläne scharf: Ein deutscher Alleingang bei Datenschutzreformen sei der falsche Weg; Änderungen müssten stattdessen auf EU-Ebene passieren, um wirklich effektiv zu sein. Auch vor der Verlagerung von Pflichten weg von Datenschutzbeauftragten hin zu verantwortlichen Behörden, besonders kleineren Stellen, warnt der Bundesverband: DSBs sorgen für eine (möglichst) unbürokratische Compliance bei den vielfältigen und unübersichtlichen Pflichten, die die DSGVO mit sich bringt.

Quellen