1. Cisco Catalyst SD-WAN Controller – CVE-2026-20182 (CVSS 10.0), aktiv ausgenutzt

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Dienstag, 19. Mai 2026 · Score 95

Cisco bestätigt eine aktiv ausgenutzte Authentifizierungs-Umgehung im Peering-Dienst des Catalyst SD-WAN Controllers und Managers. Nicht authentifizierte Angreifer können über DTLS auf UDP 12346 die Identität eines internen, hoch privilegierten Nicht-Root-Nutzers übernehmen und anschließend per NETCONF die gesamte SD-WAN-Fabric konfigurieren. CISA hat die Lücke in den KEV-Katalog aufgenommen, US-Bundesbehörden hatten bis zum 17.05.2026 Zeit zur Remediation.

Letzte Entwicklung: Cisco führt die Angriffe mit hoher Konfidenz auf den Cluster UAT-8616 zurück. Es ist die sechste in 2026 durch Zero-Day-Angriffe ausgenutzte Cisco-SD-WAN-Schwachstelle. Workarounds reichen laut Hersteller nicht aus.

2. BfDI Prof. Dr. Specht-Riemenschneider kündigt Rückzug aus gesundheitlichen Gründen an

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Dienstag, 19. Mai 2026 · Score 85

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat ihren Rückzug aus dem Amt angekündigt. Sie bleibt im Amt, bis eine Nachfolgeregelung steht. Zeitgleich übergab sie den 34. Tätigkeitsbericht 2025 an Bundestagspräsidentin Julia Klöckner.

Letzte Entwicklung: Die Personalie fällt mit dem laufenden Trilateralen KI-Reallabor und der Sandbox „ReguLab“ in eine besonders aktivitätsreiche Phase der Behörde. Die Linie der Behörde gegenüber Sicherheitsdiensten und im transatlantischen Datenverkehr ist mittelfristig offen.

3. Microsoft Patch Tuesday Mai 2026: 120+ Schwachstellen, kritische Outlook- und DNS-Lücken

Seit Mittwoch, 13. Mai 2026 · zuletzt aktualisiert Dienstag, 19. Mai 2026 · Score 85

Im Mai-Patchday hat Microsoft je nach Zählweise 120 bzw. 138 Schwachstellen geschlossen, darunter 17 als „Critical“ eingestufte. Hervorzuheben sind ein Zero-Click-Use-After-Free in Outlook (CVE-2026-40361), eine Windows-DNS-Client-RCE (CVE-2026-41096), eine Windows-GDI-RCE (CVE-2026-35421) sowie eine SharePoint-RCE (CVE-2026-40365).

Letzte Entwicklung: Microsoft meldet, dass 16 Lücken vom internen KI-System MDASH gefunden wurden. Zum Erscheinungstag sind nach Microsoft-Angaben keine Zero-Days aktiv ausgenutzt – Schwerpunkt liegt damit auf disziplinierter Patch-Welle.

4. Linux-Kernel „Copy Fail“ – CVE-2026-31431, Root-Eskalation aktiv ausgenutzt

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Dienstag, 19. Mai 2026 · Score 80

Die Schwachstelle im Crypto-Interface algif_aead (CVSS 7.8) erlaubt einem nicht-privilegierten Nutzer durch das Schreiben von vier kontrollierten Bytes in den Page-Cache jeder lesbaren Datei Root-Rechte. CISA-KEV-Frist: 15.05.2026.

Letzte Entwicklung: Distributionen rollen die Patches aus; in Container-Hosts und CI/CD-Pipelines ergibt sich häufig eine Verzögerung. Multiuser-Server und Hybrid-Workloads mit lokal eingeloggten Nutzern sind besonders exponiert.

5. Datev-Datenpanne: Lodas-Probeabrechnungen an fremde Kanzleien versendet

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Dienstag, 19. Mai 2026 · Score 75

Beim Software-Dienstleister Datev wurden Probeabrechnungen mit Klartextdaten an fremde Mandanten versendet. Betroffen sind Lohnabrechnungen mit Namen, Anschriften, Sozialversicherungsnummern und Verdienstdaten. BayLDA ist informiert.

Letzte Entwicklung: Ursache war eine technische Störung im Rechenzentrum, die zu fehlerhafter Versandsteuerung führte. Schwelle für die Meldepflicht nach Art. 33 DSGVO ist überschritten; Benachrichtigung Betroffener nach Art. 34 DSGVO wird derzeit risikobasiert geprüft.

1.1 BfDI: Prof. Dr. Specht-Riemenschneider kündigt Rückzug aus gesundheitlichen Gründen an

19.05.2026 · BfDI Pressemitteilung 05/2026

Zusammenfassung: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat ihren Rückzug aus dem Amt aus gesundheitlichen Gründen angekündigt. Sie wird das Amt erst niederlegen, sobald eine Nachfolgeregelung steht. Ziel ist die geordnete Fortführung laufender Gesetzgebungsvorhaben und ein nahtloser Übergang. Die Mitteilung erfolgt zeitgleich mit der Übergabe des 34. Tätigkeitsberichts an die Bundestagspräsidentin.

Hintergrund & Einordnung: Prof. Dr. Specht-Riemenschneider hat in ihrer Amtszeit die ReguLab-Sandbox aufgebaut, das trilaterale KI-Reallabor mitgetragen und eine Linie etabliert, die Beschäftigtendatenschutz, KI-Aufsicht und internationale Datentransfers ins Zentrum rückt. Der Wechsel fällt damit in eine besonders aktivitätsreiche Phase. Politisch dürfte die Nachfolgeregelung in den nächsten Monaten zwischen Bundestag und Bundesregierung verhandelt werden. Die Linie der Behörde gegenüber Sicherheitsdiensten und im transatlantischen Datenverkehr ist mittelfristig offen.

Praxisfolgen / Handlungsempfehlung: Verantwortliche und Datenschutzbeauftragte sollten ihre laufenden Abstimmungen mit dem BfDI dokumentieren und auf einen möglichen Personalwechsel vorbereiten. Bei strategischen Themen ist mit Übergangsperioden bei der behördlichen Linie zu rechnen. Stellungnahmen oder Antragsverfahren mit langer Laufzeit sollten frühzeitig dokumentiert und nachvollziehbar begründet sein. Inhaltliche Kontinuität ist nur dort gesichert, wo Verfahrensstände schriftlich festgehalten sind.

1.2 BfDI übergibt 34. Tätigkeitsbericht 2025 an Bundestagspräsidentin

19.05.2026 · BfDI Pressemitteilung 06/2026 · 34. Tätigkeitsbericht 2025

Zusammenfassung: Der Bericht legt die Schwerpunkte „beraten, kontrollieren, Rechtsklarheit schaffen“ und thematisiert insbesondere KI-Aufsicht, Sicherheitsbehörden, Beschäftigtendatenschutz sowie internationale Datentransfers. Begleitend werden die Datenschutz-Sandbox „ReguLab“ und das trilaterale Pilotprojekt zum KI-Reallabor weiter ausgebaut. Der Bericht ist die zentrale jährliche Bestandsaufnahme der Bundesaufsicht.

Hintergrund & Einordnung: Tätigkeitsberichte prägen regelmäßig die Linie für Aufsichtsverfahren und sind Referenz für die Diskussion zwischen Aufsicht, Wirtschaft und Politik. Insbesondere die KI-Aufsicht steht durch die parallele EU-AI-Act-Umsetzung im Fokus. Beschäftigtendatenschutz bleibt in Ermangelung eines BDSG-Sondergesetzes weiterhin ein Querschnittsthema. Die Aufsicht signalisiert mit dem Bericht, dass sie ihre Beratungsfunktion gegenüber Bundesbehörden und Gesetzgebung stärker betont.

Praxisfolgen / Handlungsempfehlung: Datenschutzbeauftragte sollten den Bericht hinsichtlich Schwerpunkten der BfDI auswerten – insbesondere Beanstandungen, Prüfschwerpunkte und Auslegungsfragen zu KI-Verarbeitungen. Wer KI-Systeme im Unternehmen einsetzt, sollte die Hinweise zu ReguLab und zum trilateralen Pilotprojekt als Orientierung für eigene Risikobewertungen nutzen. Empfehlenswert ist außerdem ein Abgleich der eigenen Verzeichnisse der Verarbeitungstätigkeiten mit den im Bericht hervorgehobenen Aufsichtsschwerpunkten.

1.3 EDPB: Themenbericht zum „berechtigten Interesse“ (Art. 6 Abs. 1 lit. f DSGVO)

Mai 2026 · datenschutz notizen

Zusammenfassung: Der Europäische Datenschutzausschuss hat eine thematische Fallzusammenfassung zum „berechtigten Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO veröffentlicht. Der Bericht bündelt aktuelle Entscheidungen der Aufsichtsbehörden zur dreistufigen Prüfung – Zweck, Erforderlichkeit, Interessenabwägung – und versteht sich als Leitfaden für die Praxis. Schwerpunkte sind Direktmarketing, Tracking, konzerninterne Datenflüsse und Sicherheitsmaßnahmen.

Hintergrund & Einordnung: Das berechtigte Interesse ist eine der am häufigsten gewählten Rechtsgrundlagen außerhalb der Einwilligung und steht regelmäßig im Zentrum aufsichtsbehördlicher Verfahren. Die Auswertung bündelt Entscheidungen aus mehreren Mitgliedstaaten und schafft eine Vergleichsbasis. Damit knüpft der EDPB an seine Leitlinien zum berechtigten Interesse an und stellt deren praktische Anwendung in den Fokus. Für deutsche Verantwortliche ist der Bericht ein willkommener Querschnittsblick, da die deutsche Aufsicht in einzelnen Bewertungen pointierter ist als andere Behörden.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten ihre Interessenabwägungen schriftlich dokumentieren und an den Beispielen des EDPB ausrichten. Bei Direktmarketing, Tracking und Profiling ist mit einem erhöhten Begründungsaufwand zu rechnen. Eine Konsistenzprüfung der eigenen Verzeichnisse der Verarbeitungstätigkeiten anhand der EDPB-Beispiele ist sinnvoll. Wo der Bericht eine Verarbeitungssituation aufgreift, die auch im eigenen Haus relevant ist, lohnt sich ein dokumentierter Abgleich der Argumentationslinie.

2.1 Datev-Datenpanne: Lohnabrechnungs-Probeläufe an fremde Kanzleien versendet

19.05.2026 · heise online · heise online (Folgemeldung)

Zusammenfassung: Beim Nürnberger Software-Dienstleister Datev kam es zu einer meldepflichtigen Panne im System Lodas: Probeabrechnungen zur Qualitätskontrolle wurden wahllos an fremde Mandanten versendet. Die Dokumente enthielten Namen, Anschriften, Sozialversicherungsnummern und Verdienstdaten von Beschäftigten. Datev hat die Anwender und die Aufsicht (BayLDA) informiert. Die Größenordnung des Vorfalls und die genaue Zahl Betroffener werden derzeit ermittelt.

Hintergrund & Einordnung: Ursache war zunächst eine technische Störung im Rechenzentrum, die zu einer fehlerhaften Versandsteuerung führte. Die Schwelle für die Meldepflicht nach Art. 33 DSGVO dürfte deutlich überschritten sein; eine Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO ist je nach Risikoabschätzung wahrscheinlich. Die Datev-Mandantschaft umfasst einen wesentlichen Teil der deutschen Steuerberatungs- und Lohnabrechnungslandschaft, was die Reichweite des Vorfalls erhöht. Die kombinierte Sensibilität der Datenarten (Sozialversicherungsnummern, Gehälter) erhöht zudem das Schadenspotenzial.

Praxisfolgen / Handlungsempfehlung: Kanzleien und Unternehmen, die Lodas nutzen, sollten die eigenen Eingangs- und Ausgangsprotokolle der letzten Tage prüfen und versehentlich erhaltene Fremddaten dokumentieren und sicher löschen. Datenschutzbeauftragte sollten den Vorfall in das Verzeichnis der Verarbeitungstätigkeiten und ihre Prozessdokumentation aufnehmen. Außerdem empfiehlt sich eine Prüfung des Vertragspartners und der Auftragsverarbeitungsvereinbarung mit Datev sowie eine eigene Risikoabschätzung gemäß Art. 34 DSGVO.

2.2 Hinweis: Datenpannen-Meldepflichten und Fristen

Mai 2026 · interne Einordnung

Zusammenfassung: Aus aktuellem Anlass der Häufung von Vorfällen – Datev, anhaltende SharePoint-Ausnutzung, Ivanti-EPMM-Angriffe – erinnern Aufsichtsbehörden an die enge 72-Stunden-Frist nach Art. 33 DSGVO. Erste Meldungen mit dem Stand zum Zeitpunkt der Kenntnisnahme können fristwahrend ergehen; eine Nachmeldung mit weiteren Details ist zulässig. Die Behörden erwarten, dass Organisationen einen funktionierenden Erst-Bewertungsprozess vorhalten.

Hintergrund & Einordnung: Aufsichtsbehörden sanktionieren verspätete oder unterlassene Meldungen weiterhin spürbar. Eine dokumentierte Erst-Meldung mit klaren Vorbehalten ist regelmäßig die bessere Wahl als ein verzögerter, „polierter“ Bericht. In komplexen Fällen mit mehreren Verantwortlichen oder Auftragsverarbeitern ist zudem zu prüfen, welche Stelle die Meldepflicht trägt.

Praxisfolgen / Handlungsempfehlung: Organisationen sollten ihre Meldekette regelmäßig im Trockenlauf prüfen. Vorlagen für Erst-Meldungen sind in greifbarer Nähe vorzuhalten, ebenso eine klare Entscheidungs-Hilfe zur Risikoabwägung nach Art. 34 DSGVO. Empfehlenswert ist außerdem eine Tabelle aller Aufsichtsbehörden mit Ansprechpunkten und Meldewegen für die jeweils zuständige Behörde.

3.1 CVE-2026-20182 – Cisco Catalyst SD-WAN Controller, Authentication-Bypass (CVSS 10.0)

Mai 2026 · The Hacker News · CISA-KEV-Eintrag · Cisco Security Advisory · BleepingComputer

Zusammenfassung: Eine Schwachstelle im Peering-Authentifizierungsmechanismus (DTLS über UDP-Port 12346) erlaubt nicht authentifizierten Angreifern aus dem Netz, sich als interner, hoch privilegierter Nicht-Root-Nutzer am Controller anzumelden. Über NETCONF lässt sich anschließend die SD-WAN-Fabric konfigurieren. Cisco führt die aktive Ausnutzung mit hoher Konfidenz auf den Cluster UAT-8616 zurück, denselben Akteur wie bei CVE-2026-20127. Die Lücke ist mit CVSS 10.0 maximal kritisch eingestuft.

Hintergrund & Einordnung: Es ist die sechste in 2026 durch Zero-Day-Angriffe ausgenutzte Cisco-SD-WAN-Schwachstelle. Die CISA hat die CVE in den Known-Exploited-Vulnerabilities-Katalog aufgenommen; US-Bundesbehörden hatten bis zum 17.05.2026 Zeit zur Remediation. Die Kombination aus exponiertem Peering-Dienst und administrativer Kontrolle macht die Lücke besonders attraktiv für staatlich gestützte Angreifergruppen. Wer Catalyst SD-WAN Controller im Internet erreichbar betreibt, ist akut gefährdet.

Praxisfolgen / Handlungsempfehlung: Sofortiger Upgrade auf eine fehlerbereinigte Software-Release; Workarounds reichen laut Cisco nicht aus. Logs internet-exponierter Catalyst SD-WAN Controller auf Anomalien beim Peering prüfen, insbesondere unerwartete DTLS-Verbindungen auf UDP 12346 sowie unbekannte NETCONF-Aktivitäten. Wenn der Controller in den letzten Wochen ungepatcht und exponiert war, ist eine forensische Vorabprüfung zu empfehlen.

3.2 CVE-2026-31431 – Linux-Kernel „Copy Fail“ Privilege Escalation

Mai 2026 · The Hacker News · BleepingComputer

Zusammenfassung: Lokale Schwachstelle im Crypto-Interface algif_aead des Linux-Kernels (CVSS 7.8). Ein nicht-privilegierter lokaler Nutzer kann durch das Schreiben von vier kontrollierten Bytes in den Page-Cache jeder lesbaren Datei Root-Rechte erlangen. Die CISA hat die Lücke wegen aktiver Ausnutzung in den KEV-Katalog aufgenommen, Frist für US-Bundesbehörden war der 15.05.2026.

Hintergrund & Einordnung: Schwachstellen im Crypto-Subsystem des Kernels sind seit Jahren ein wiederkehrendes Risiko. Distributionen rollen die Patches aus, in CI/CD-Pipelines und Container-Hosts ergibt sich aber häufig eine Verzögerung durch Image-Baselines und Reboot-Fenster. Multiuser-Systeme – etwa Build-Server, JupyterHub-Instanzen oder Kubernetes-Nodes – sind besonders exponiert.

Praxisfolgen / Handlungsempfehlung: Kernel-Updates priorisieren, insbesondere auf Container-Hosts, Multiuser-Servern und in Cloud-Workloads mit lokal eingeloggten Nutzern. Wo möglich, restriktive Seccomp-Profile prüfen, die den Zugriff auf das algif-Interface unterbinden. Bei Long-Running-Workloads mit verzögerten Reboots empfiehlt sich eine Risiko-Abwägung mit kompensierenden Kontrollen wie temporärem Login-Verbot oder restriktiver Sudo-Politik.

3.3 Microsoft Patch Tuesday Mai 2026: 120+ Schwachstellen, 17 „Critical“

13.05.2026 · BleepingComputer · The Hacker News (138-Zählung) · MDASH-Hintergrund

Zusammenfassung: Microsoft schließt im Mai-Patchday je nach Zählweise 120 bzw. 138 Schwachstellen, davon 17 als „Critical“ (14 RCE, 2 EoP, 1 Information Disclosure). Hervorzuheben sind CVE-2026-40361 (Zero-Click-Use-After-Free in Outlook, RCE durch reine Vorschau), CVE-2026-41096 (Windows DNS Client RCE durch präparierte DNS-Antwort), CVE-2026-35421 (Windows GDI RCE über manipulierte EMF in MS Paint) und CVE-2026-40365 (SharePoint Server RCE, authentifiziert).

Hintergrund & Einordnung: Microsoft meldet 16 von der internen KI „MDASH“ gefundene Lücken im Windows-Netzwerk- und Authentifizierungsstack. Die hohe Zahl an Critical-RCE-Lücken in einem Monat unterstreicht die Bedeutung disziplinierter Patch-Wellen. Zum Veröffentlichungstag sind nach Microsoft-Angaben keine Zero-Days aktiv ausgenutzt; die Erwartung in Threat-Intelligence-Kreisen ist jedoch, dass Reverse-Engineering der Patches in wenigen Tagen erste Proof-of-Concept-Exploits hervorbringen wird.

Praxisfolgen / Handlungsempfehlung: Mai-Patches priorisiert ausrollen. Outlook-Clients, exponierte DNS-Resolver-Konfigurationen und SharePoint-on-prem stehen ganz oben. EMF-/GDI-Klick-Risiken sollten über Hardening (etwa Attack Surface Reduction Rules) zusätzlich abgemildert werden. Eine inventarisierte Outlook-Versionsmatrix hilft, M365-Clients und langlebige On-Prem-Outlook-Installationen sauber zu trennen.

3.4 Ivanti EPMM CVE-2026-6973 – Zero-Day, BSI-Sicherheitshinweis

07.05.2026 · BSI WID 2026-221601-1032 · The Hacker News · Ivanti Blog

Zusammenfassung: Ivanti hat fünf Schwachstellen in Endpoint Manager Mobile (EPMM) geschlossen, darunter die in gezielten Angriffen ausgenutzte CVE-2026-6973 – eine Improper-Input-Validation-Lücke. Sie ist von authentifizierten Admin-Konten ausnutzbar und führt zu Remote Code Execution. Die übrigen vier Lücken sind als hoch oder mittel eingestuft.

Hintergrund & Einordnung: Das BSI hat am 07.05.2026 einen Sicherheitshinweis mit Kritikalität „Hoch“ herausgegeben. In Vorgänger-Wellen registrierte Rapid7 binnen 24 Stunden hunderte Exploit-Versuche aus über 130 IPs. Ivanti-Produkte stehen seit Jahren regelmäßig im Fokus von Angreifern, weil sie zentrale Verwaltungsfunktionen für mobile Flotten innehaben und häufig direkt internet-exponiert sind. Wer Admin-Konten ohne MFA oder ohne IP-Restriktion betreibt, vergrößert das Risiko deutlich.

Praxisfolgen / Handlungsempfehlung: EPMM-Instanzen umgehend auf den Mai-Stand bringen, Admin-Aktivität und Authentifizierungs-Logs überprüfen, MFA für administrative Zugänge und IP-Restriktionen einsetzen. Mittelfristig empfiehlt sich eine Trennung zwischen Verwaltungs- und Geräte-Netz sowie eine kontinuierliche Überwachung der Ivanti-Logs auf ungewöhnliche Admin-Logins.

3.5 CVE-2026-32201 – SharePoint-Spoofing weiterhin ausgenutzt

Update 19.05.2026 · BleepingComputer · MSRC · BSI-Sicherheitswarnung

Zusammenfassung: Die SharePoint-Spoofing-Lücke CVE-2026-32201 (CVSS 6.5) wird weiterhin aktiv ausgenutzt. Eine fehlerhafte Eingabevalidierung erlaubt nicht authentifizierten Angreifern Network-Spoofing in Low-Complexity-Angriffen ohne Nutzerinteraktion. Betroffen sind SharePoint Enterprise Server 2016, SharePoint Server 2019 und Subscription Edition.

Hintergrund & Einordnung: Trotz seit Wochen verfügbarer Patches sind nach Auswertungen von BleepingComputer noch mehr als 1.300 öffentlich erreichbare SharePoint-Server ungepatcht. Das BSI hat den Sachverhalt in seine laufende Warnseite aufgenommen. SharePoint bleibt im on-prem-Betrieb ein bevorzugtes Ziel, weil dort häufig Authentifizierungsbrücken zu Active Directory und SAP-Systemen existieren.

Praxisfolgen / Handlungsempfehlung: Patchstand prüfen. Authentifizierungs- und Zugriffsprotokolle auf Spoofing-Indikatoren reviewen. Wo möglich, Reverse-Proxy- oder Web-Application-Firewall-Schutz für on-prem SharePoint einrichten. Wer SharePoint-Server nicht zeitnah patchen kann, sollte zumindest den Internetzugang temporär einschränken oder hinter ein Identity-Proxy stellen.

Update vom 19. Mai 2026: BleepingComputer berichtet weiterhin über 1.300 ungepatchte SharePoint-Server; BSI nimmt die CVE in seine laufende Warnseite auf.

3.6 BSI: Bericht zur IT-Sicherheit öffentlicher Ladeinfrastruktur

07.05.2026 · BSI-Pressemitteilung

Zusammenfassung: Das BSI hat erstmals einen Bericht zur IT-Sicherheit der öffentlichen Ladeinfrastruktur veröffentlicht. Identifiziert werden Schwächen bei Authentifizierung, Backend-Schnittstellen und Resilienz gegen Manipulation. Im Worst Case sieht das BSI Risiken für die Netzstabilität durch koordinierte Manipulation großer Lasten. Empfohlen werden u. a. Härtung der Backendsysteme, Einsatz signierter Firmware, klare Verantwortlichkeiten und einheitliche Mindeststandards.

Hintergrund & Einordnung: Die Ladeinfrastruktur wächst durch die fortschreitende Elektromobilität rasch und wird zunehmend zu einem KRITIS-nahen Sektor. Anforderungen aus dem KRITIS-Dachgesetz und der NIS-2-Umsetzung treffen die Betreiber zeitnah. Die Verzahnung mit Energie- und Mobilitätsökosystemen erhöht die Komplexität.

Praxisfolgen / Handlungsempfehlung: Betreiber von Ladeinfrastruktur und nachgelagerter OT/IT sollten Authentifizierungs- und Backend-Härtung priorisieren, signierte Firmware verwenden und Verantwortlichkeiten dokumentieren. Auch Energieversorger und Stadtwerke sollten die Berichtsempfehlungen in ihr Lieferanten-Audit und in ihre Notfallplanung übernehmen.

4.1 EuGH C-526/24 „Brillen Rottler“ – Rechtsmissbrauch beim Auskunftsanspruch

Europäischer Gerichtshof · 19.03.2026 · C-526/24 · LTO

Sachverhalt: Streit um einen Auskunftsanspruch nach Art. 15 DSGVO, der nach Auffassung der Beklagten allein zur Vorbereitung eines Schadensersatzanspruchs ohne tatsächliches Datenschutzinteresse gestellt wurde. Die Vorinstanzen hatten den Anspruch zugesprochen.

Entscheidung: Der EuGH stellt klar, dass bereits ein erster Auskunftsanspruch als rechtsmissbräuchlich abgewiesen werden kann, wenn er ausschließlich der Vorbereitung eines Schadensersatzanspruchs dient und kein erkennbares Datenschutzinteresse erkennbar ist.

Begründungs-Kernpunkte: Der unionsrechtliche Schutz gegen Rechtsmissbrauch ist auch im DSGVO-Kontext anwendbar. Eine missbräuchliche Berufung auf Art. 15 DSGVO genießt keinen Schutz der Norm. Maßgeblich ist die Gesamtschau der objektiven Umstände – die Anforderungen an den substantiierten Vortrag zum Missbrauch bleiben jedoch hoch.

Praxisfolgen: Verantwortliche erhalten eine erweiterte Verteidigungslinie gegen seriellen DSGVO-Schadensersatz. Der Missbrauch ist allerdings substantiiert darzulegen, ein pauschaler Verdacht reicht nicht. In der Bearbeitung von Auskunftsbegehren empfiehlt sich eine genaue Dokumentation des Kontextes – etwa identische Anschreiben in Serien, fehlender Bezug zum geltend gemachten Datenschutzinteresse oder zeitliche Nähe zu Schadensersatzklagen.

4.2 BGH 24.02.2026 – Art. 15 DSGVO ist kein automatisches Nebenrecht abgetretener Ansprüche

Bundesgerichtshof · 24.02.2026 · LTO – Datenschutz-Urteile

Sachverhalt: Ein Erwerber abgetretener Erstattungs- bzw. Schadensersatzansprüche machte zugleich Auskunftsansprüche nach Art. 15 DSGVO geltend. Die Klägerseite argumentierte, der Auskunftsanspruch sei ein zwangsläufiges Nebenrecht.

Entscheidung: Der BGH lehnt einen automatischen Übergang des Art. 15 DSGVO-Anspruchs als Nebenrecht ab. Erforderlich ist eine konkrete und nachvollziehbare Abtretungsvereinbarung.

Begründungs-Kernpunkte: Der Auskunftsanspruch ist höchstpersönlich geprägt und folgt nicht ohne Weiteres dem Schicksal der Hauptforderung. Eine konkrete und nachvollziehbare Abtretungsvereinbarung kann erforderlich sein. Im Übrigen ist zu prüfen, ob der Erwerber selbst Verantwortlicher oder Betroffener im Sinne der DSGVO ist.

Praxisfolgen: Inkasso- und Legal-Tech-Modelle, die pauschal Auskunftsansprüche mit der Hauptforderung abtreten, geraten unter Druck. Verantwortliche können in einschlägigen Konstellationen die Aktivlegitimation des Anspruchstellers prüfen und entsprechende Einreden konsequent vortragen.

5.1 Verlaufseintrag: Höchstes BfDI-Bußgeld als Maßstab

Verlaufseintrag 2025 · Referenz für die Sanktionspraxis

Behörde: BfDI · Adressat: Vodafone GmbH (Verlauf 2025) · Höhe: 45 Mio. €

Verstoß / Rechtsgrundlage: Das bislang höchste durch den BfDI verhängte Bußgeld bleibt das Verfahren gegen die Vodafone GmbH (Verlaufseintrag aus 2025). Es dient in laufenden Diskussionen als Referenzgröße für die Sanktionspraxis bei größeren Telekommunikations- und Medienanbietern und betraf insbesondere Schwächen in der Beschwerdebearbeitung und Auftragsverarbeitung.

Begründung: Die Behörde sieht in Verfahren mit hohem Adressaten- und Datenvolumen die Notwendigkeit einer abschreckenden Sanktion und betont die Bedeutung organisatorischer Verantwortlichkeit, Auftragsverarbeitung und Beschwerdebearbeitung. Wiederholte Beanstandungen wirken sich erschwerend aus.

Praxisfolgen: Aufsichtsbehörden weisen wiederholt auf konsequente Sanktionspraxis bei verspäteten Meldungen nach Art. 33 DSGVO hin. Eine dokumentierte Meldekette und ein nachvollziehbares Risikobewertungsverfahren sind weiterhin der wichtigste Schutz gegen empfindliche Bußgelder. Auch ein internes Eskalationsschema mit klaren Zuständigkeiten ist Pflicht.

6.1 Gemeinsamer Sicherheitshinweis BfV/BSI: Phishing über Messengerdienste

Mai 2026 · BSI-Cybersicherheitswarnung 202602

Zusammenfassung: Bundesamt für Verfassungsschutz und BSI warnen vor Phishing-Kampagnen über WhatsApp, Telegram und Signal. Die Angreifer adressieren gezielt Beschäftigte sicherheitsrelevanter Branchen und versuchen, über Social Engineering Zugangsdaten oder Session-Tokens zu erbeuten. Empfohlen werden Awareness, klare Reaktionswege, MFA mit phishing-resistenten Verfahren und Einschränkungen für die dienstliche Messengernutzung.

Hintergrund & Einordnung: Messengerdienste sind in vielen Organisationen ein blinder Fleck der Endpoint- und Awareness-Programme. Während E-Mail-Filter und Phishing-Trainings stetig verfeinert wurden, bleiben mobile Messenger-Kanäle oft außerhalb der zentralen Detektion. Gerade Führungskräfte und Sicherheitsverantwortliche werden gezielt adressiert, weil ein erfolgreicher Angriff einen weitreichenden Zugang ermöglicht.

Praxisfolgen / Handlungsempfehlung: Awareness-Maßnahmen aktualisieren, klare Reaktionswege etablieren, MFA mit phishing-resistenten Verfahren (FIDO2/WebAuthn) ausrollen und die dienstliche Messengernutzung an MDM-Policy und Endpoint-Security koppeln. Wer Messenger für berufliche Zwecke nutzt, sollte eine getrennte Beruflich/Privat-Konfiguration und definierte Verifikations-Kanäle für sensible Anfragen vorhalten.

6.2 Verbraucherzentrale: Aktuelle Phishing-Wellen (Volksbank, Behörden, Telekom)

Mai 2026 · Phishing-Radar Verbraucherzentrale · Behörden-Phishing · Telekom-Fake-Mails

Zusammenfassung: Aktuell laufen Phishing-Wellen im Namen der Volksbank („Aktualisierung Ihrer Kundendaten“ mit 48-Stunden-Frist), im Namen von Ministerien und Behörden (Steuerrückerstattungen, Bußgelder, Förderprogramme) und im Namen der Deutschen Telekom (Rechnungs- und AGB-Vorwände). Die Verbraucherzentrale rät jeweils dazu, Links zu ignorieren und in der App oder über die selbst eingegebene Webadresse zu prüfen.

Hintergrund & Einordnung: Die Kombination aus Druckaufbau, vertrauten Markenidentitäten und zeitlich knappen Fristen funktioniert weiterhin verlässlich. Telekommunikationsunternehmen und Banken berichten zudem von einer Zunahme von SMS-Phishing („Smishing“). Auch unternehmensseitig sind Phishing-Wellen ein Anlass, Awareness-Kampagnen zu auffrischen, weil viele Beschäftigte ihre private E-Mail-Adresse mit dienstlichen Geräten nutzen.

Praxisfolgen / Handlungsempfehlung: Awareness-Material im Unternehmen anpassen, Endkunden-Hinweise auf eigenen Webpräsenzen kuratieren, IT-Hotline auf erhöhtes Anfrage-Volumen vorbereiten. Bei wiederkehrenden Markenmissbräuchen lohnt sich ein Hinweis an die Marken-Inhaber und ggf. eine Anzeige – die Verbraucherzentrale nimmt verdächtige Mails über phishing@verbraucherzentrale.nrw entgegen.

6.3 Lage-Hinweis: Login-as-a-Weapon

Mai 2026 · heise online (englisch)

Zusammenfassung: Auswertungen zeigen einen klaren Trend: Cyberkriminelle und staatlich gestützte Akteure verschieben den Fokus von komplexer System-Intrusion hin zur Anmeldung mit gestohlenen Anmeldedaten. Identity Threat Detection and Response (ITDR), konsequente Multi-Faktor-Authentifizierung und Hardware-Token werden zur Kernverteidigung.

Hintergrund & Einordnung: Der Trend ist eine Folge des breiten Angebots an Stealer-Logs und Initial-Access-Brokern. Wer einen funktionierenden Login besitzt, spart sich aufwändige Exploits und bleibt für klassische EDR-Lösungen oft unauffällig. Erst die Verknüpfung mit Identity-Signalen liefert Hinweise auf laufende Angriffe.

Praxisfolgen / Handlungsempfehlung: Konsequente Einführung phishing-resistenter MFA, Reduktion von Standing-Privileges, Continuous Access Evaluation, Identity-Threat-Detection und gezielte Stealer-Bekämpfung an den Endpunkten. Auch ein konsequentes Token-Lifecycle-Management mit kurzen Laufzeiten und Re-Authentifikation für kritische Aktionen ist empfohlen.

6.4 BSI-Cybersicherheitsmonitor 2026: Jeder Zehnte von Cyberkriminalität betroffen

11.05.2026 · BSI

Zusammenfassung: Das BSI hat den Cybersicherheitsmonitor 2026 veröffentlicht. Demnach war jede zehnte Person in Deutschland im Vorjahr von Cyberkriminalität betroffen. Schwerpunkte sind Phishing, Identitätsdiebstahl, Schadsoftware und Betrug im Online-Handel.

Hintergrund & Einordnung: Der Monitor ist die größte regelmäßige Bevölkerungsbefragung zu Cybersicherheit in Deutschland. Die Quote von rund 10 Prozent bleibt auf hohem Niveau und unterstreicht, dass Awareness, sichere Authentifizierung und Notfallprozesse fest in private wie geschäftliche Routinen gehören.

Praxisfolgen / Handlungsempfehlung: Unternehmen sollten den Bericht in Awareness-Materialien einbauen und Beschäftigte gezielt auf häufige Angriffsmuster hinweisen. Privat empfiehlt sich ein einmaliger Selbstcheck zu Passwortmanager, Multi-Faktor-Authentifizierung und sicheren Backups.