1. Cisco Catalyst SD-WAN Controller: Authentication-Bypass (CVSS 10.0) aktiv ausgenutzt

Seit Montag, 19. Mai 2026 · zuletzt aktualisiert Freitag, 5. Juni 2026 · Score 95

Eine mit dem Höchstwert CVSS 10.0 bewertete Authentifizierungs-Umgehung im Cisco Catalyst SD-WAN Controller erlaubt es nicht authentifizierten Angreifern, die vollständige Kontrolle über zentrale Netzwerk-Management-Komponenten zu übernehmen. Die Schwachstelle steht im CISA-KEV-Katalog und wird in freier Wildbahn ausgenutzt.

Letzte Entwicklung: Cisco und mehrere Sicherheitsdienstleister beobachten weiterhin Ausnutzungsversuche; ein Update steht bereit, und ungepatchte Controller gelten als unmittelbar gefährdet.

2. Microsoft Defender (CVE-2026-41091): aktiv ausgenutzte SYSTEM-Privilegieneskalation

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Freitag, 5. Juni 2026 · Score 90

Über eine Schwachstelle in Microsoft Defender können lokale Angreifer SYSTEM-Rechte erlangen; CISA hat den Fehler als aktiv ausgenutzt in den KEV-Katalog aufgenommen. Da Defender flächendeckend auf Windows-Systemen läuft, ist die Reichweite hoch.

Letzte Entwicklung: Microsoft verteilt die Korrektur über die Plattform-Updates; Administratoren sollten die installierte Defender-Plattformversion gezielt verifizieren.

3. LiteSpeed cPanel-Plugin (CVE-2026-48172, CVSS 10.0): Root-Eskalation

Seit Donnerstag, 28. Mai 2026 · zuletzt aktualisiert Freitag, 5. Juni 2026 · Score 90

Eine mit CVSS 10.0 bewertete Lücke im LiteSpeed-Plugin für cPanel erlaubt eine Eskalation bis auf Root-Ebene. CISA setzte Bundesbehörden eine besonders kurze Frist zur Behebung, was die Dringlichkeit unterstreicht.

Letzte Entwicklung: Hosting-Provider und Betreiber von cPanel-Servern sind aufgefordert, das Plugin umgehend zu aktualisieren; die aktive Ausnutzung dauert an.

4. Palo Alto PAN-OS GlobalProtect (CVE-2026-0257): Authentifizierungs-Umgehung

Seit Sonntag, 31. Mai 2026 · zuletzt aktualisiert Freitag, 5. Juni 2026 · Score 90

Eine Authentifizierungs-Umgehung im GlobalProtect-Portal von PAN-OS wird aktiv ausgenutzt. Betroffen sind exponierte VPN-Gateways, die als Einfallstor in Unternehmensnetze dienen können.

Letzte Entwicklung: Rapid7 und weitere Beobachter bestätigen Exploitation in freier Wildbahn; Palo Alto stellt Fixes bereit, ungepatchte Gateways sind hochriskant.

5. Windows Netlogon RCE (CVE-2026-41089, CVSS 9.8): Codeausführung auf Domänencontrollern

Seit Donnerstag, 4. Juni 2026 · zuletzt aktualisiert Freitag, 5. Juni 2026 · Score 90

Über eine kritische Netlogon-Schwachstelle können nicht authentifizierte Angreifer SYSTEM-Code auf Windows-Domänencontrollern ausführen. Microsoft hatte bereits im Mai gepatcht, doch ungepatchte Systeme werden gezielt angegriffen.

Letzte Entwicklung: Mehrere Sicherheitsfirmen bestätigen die laufende Ausnutzung; Domänencontroller ohne das Mai-Update gelten als akut kompromittierbar.

1.1 unimed-Datenpanne: über 100.000 Patientendatensätze kompromittiert

21.05.2026 · Deutsches Ärzteblatt · Borncity

Zusammenfassung: Beim Abrechnungsdienstleister unimed, der einen Großteil der deutschen Universitätskliniken sowie zahlreiche größere Krankenhäuser bedient, sind durch einen Cyberangriff im April 2026 sensible Patientendaten abgeflossen. Inzwischen melden weitere Kliniken, dass tausende ihrer Patientendaten betroffen sind, sodass die Gesamtzahl der kompromittierten Datensätze über 100.000 liegt. Betroffen sind Stamm- und Behandlungsdaten, die sich für besonders glaubwürdige Folgeangriffe eignen. Das BSI und mehrere Landesdatenschutzbehörden haben Betroffene vor gezielten Phishing- und Erpressungsversuchen gewarnt.

Hintergrund & Einordnung: Der Fall ist ein Lehrstück für das Lieferketten- und Auftragsverarbeitungsrisiko im Gesundheitswesen: Ein einziger zentraler Dienstleister bündelt die Daten zahlreicher Einrichtungen, sodass ein Angriff auf ihn unmittelbar viele Verantwortliche trifft. Für die betroffenen Kliniken stellen sich Fragen der Meldepflicht nach Art. 33 und 34 DSGVO sowie der Auftragsverarbeitung nach Art. 28 DSGVO. Gesundheitsdaten zählen zu den besonderen Kategorien nach Art. 9 DSGVO, was Sensibilität und Haftungsrisiko erhöht.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten ihre Auftragsverarbeiter-Verträge und die dort vereinbarten Sicherheits- und Meldeprozesse prüfen und betroffene Personen klar über die konkreten Risiken informieren. Betroffene selbst sollten bei unerwarteten Kontakten zu Klinikbehandlungen oder Rechnungen besonders wachsam sein. Mittelfristig empfiehlt sich eine Überprüfung der Abhängigkeit von einzelnen zentralen Dienstleistern.

Update vom Montag, 8. Juni 2026: Die Behördenwarnungen vor gezielten, datenbasierten Betrugsversuchen bleiben aktiv; die Aufarbeitung in den betroffenen Kliniken dauert an.

1.2 Carnival Corporation: rund 6 Millionen Datensätze nach Vishing-Angriff

27.05.2026 · BleepingComputer · Help Net Security

Zusammenfassung: Die Reederei-Gruppe Carnival Corporation hat einen Datenabfluss bestätigt, von dem nahezu sechs Millionen Mitglieder des Bonusprogramms „Mariner Society“ betroffen sind. Auslöser war ein Vishing-Angriff (Telefon-Phishing) Anfang April, bei dem Angreifer Zugangsdaten erbeuteten. Betroffen sind Kontakt- und Programmdaten der Kundinnen und Kunden. Die Gruppe ShinyHunters wird mit dem Vorfall in Verbindung gebracht.

Hintergrund & Einordnung: Der Fall reiht sich in eine Serie von Angriffen ein, bei denen menschliche Schwachstellen über Telefon und Social Engineering ausgenutzt werden, statt rein technische Lücken anzugreifen. Für europäische Kundinnen und Kunden greift die DSGVO, soweit deren Daten betroffen sind. Datenabflüsse dieser Größenordnung erhöhen das Risiko von Identitätsmissbrauch und gezielten Betrugsversuchen erheblich.

Praxisfolgen / Handlungsempfehlung: Unternehmen sollten Vishing-Resistenz in ihre Awareness-Programme aufnehmen und Help-Desk-Prozesse gegen Identitätsvortäuschung absichern, etwa durch Rückruf-Verifikation. Betroffene Personen sollten Phishing-Versuche erwarten und keine Daten auf telefonische Anfrage preisgeben. Die Wiederverwendung von Passwörtern über Dienste hinweg sollte vermieden werden.

1.3 Data-Act-Durchführungsgesetz (DADG): geteilte Aufsicht durch BNetzA und BfDI

30.05.2026 · BfDI

Zusammenfassung: Mit dem Data-Act-Durchführungsgesetz wird die nationale Durchsetzung des europäischen Data Act geregelt. Die Aufsicht teilen sich künftig die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Der Data Act regelt insbesondere den Zugang zu und die Nutzung von Daten vernetzter Produkte. Für Unternehmen entstehen neue Pflichten beim Datenzugang und der Datenweitergabe.

Hintergrund & Einordnung: Der Data Act ergänzt die DSGVO um eine wirtschaftsbezogene Datenregulierung und betrifft vor allem Hersteller vernetzter Geräte und Anbieter von Datenverarbeitungsdiensten. Die geteilte Zuständigkeit zwischen BNetzA und BfDI verlangt von Unternehmen, künftig zwei Aufsichtslogiken zu berücksichtigen. Schnittstellen zum Datenschutzrecht ergeben sich überall dort, wo Maschinendaten auch Personenbezug aufweisen.

Praxisfolgen / Handlungsempfehlung: Betroffene Unternehmen sollten frühzeitig prüfen, welche ihrer Produkte und Dienste unter den Data Act fallen, und Prozesse für Datenzugangsanfragen aufbauen. Die Abgrenzung zwischen personenbezogenen und nicht-personenbezogenen Daten ist sauber zu dokumentieren. Verträge mit Geschäftspartnern sollten an die neuen Zugangs- und Weitergaberegeln angepasst werden.

2.1 LiteSpeed cPanel-Plugin (CVE-2026-48172, CVSS 10.0): Root-Eskalation aktiv ausgenutzt

28.05.2026 · The Hacker News · CISA Alert

Zusammenfassung: Eine mit dem Höchstwert CVSS 10.0 bewertete Schwachstelle im LiteSpeed-Plugin für die Hosting-Verwaltung cPanel erlaubt eine Rechteausweitung bis auf Root-Ebene. CISA hat die Lücke als aktiv ausgenutzt eingestuft und in den KEV-Katalog aufgenommen. Bundesbehörden wurde laut Berichten eine besonders kurze Frist zur Behebung gesetzt. Betroffen sind cPanel-Server mit dem LiteSpeed-Plugin.

Hintergrund & Einordnung: cPanel ist im Shared-Hosting weit verbreitet, sodass eine Root-Eskalation potenziell viele Webauftritte und Datenbanken zugleich gefährdet. Hosting-Umgebungen sind attraktive Ziele, weil ein einzelner kompromittierter Server zahlreiche Mandanten betreffen kann. Die kurze KEV-Frist signalisiert, dass aktive Angriffe bereits laufen.

Praxisfolgen / Handlungsempfehlung: Betreiber von cPanel-Servern sollten das LiteSpeed-Plugin umgehend aktualisieren und Server auf Kompromittierungsspuren prüfen. Wo ein sofortiges Update nicht möglich ist, sind Mitigationen und eine verschärfte Überwachung geboten. Hosting-Provider sollten ihre Kundschaft proaktiv informieren.

2.2 Exim-Mailserver (CVE-2026-45185, CVSS 9.8): unauthentifizierte RCE über BDAT

04.06.2026 · The Hacker News · BleepingComputer

Zusammenfassung: Im weit verbreiteten Mailserver Exim wurde eine mit CVSS 9.8 bewertete Use-after-free-Schwachstelle im Zusammenspiel mit der BDAT-Verarbeitung und GnuTLS gefunden. Sie ermöglicht eine unauthentifizierte Remote-Code-Ausführung. Exim betreibt einen erheblichen Anteil der weltweiten Mailinfrastruktur. Patches stehen bereit.

Hintergrund & Einordnung: Mailserver sind per Definition aus dem Internet erreichbar und damit attraktive Ziele für automatisierte Angriffe. Eine unauthentifizierte RCE auf einem Mail-Gateway kann als Einstieg in das gesamte Netz dienen. Aufgrund der hohen Verbreitung von Exim ist mit Scanning- und Exploitation-Versuchen zu rechnen.

Praxisfolgen / Handlungsempfehlung: Administratoren sollten Exim umgehend auf eine gepatchte Version aktualisieren und exponierte SMTP-Dienste prüfen. Eine Netzsegmentierung und das Einschränken der Erreichbarkeit reduzieren das Risiko zusätzlich. Logs sollten auf auffällige BDAT-Sequenzen kontrolliert werden.

2.3 Mirasvit Cache Warmer für Magento (CVE-2026-45247, CVSS 9.8): Objekt-Injektion

05.06.2026 · Sansec Research · CISA Alert

Zusammenfassung: Eine Deserialisierungs-Schwachstelle im Mirasvit-Cache-Warmer-Plugin für Magento bzw. Adobe Commerce erlaubt eine unauthentifizierte Objekt-Injektion. CISA hat die mit CVSS 9.8 bewertete Lücke am 3. Juni als aktiv ausgenutzt in den KEV-Katalog aufgenommen. Betroffen sind Online-Shops, die das Plugin einsetzen. Damit drohen Datenabfluss und Manipulation im E-Commerce.

Hintergrund & Einordnung: Magento-Umgebungen sind ein wiederkehrendes Ziel für Magecart-artige Angriffe, bei denen Zahlungsdaten abgegriffen werden. Deserialisierungs-Lücken erlauben oft tiefgreifende Kompromittierungen bis zur Code-Ausführung. Da Shops sensible Kunden- und Zahlungsdaten verarbeiten, ist die datenschutzrechtliche Relevanz hoch.

Praxisfolgen / Handlungsempfehlung: Shop-Betreiber sollten das Plugin umgehend aktualisieren oder deaktivieren und ihre Systeme auf Skimming-Code und unautorisierte Änderungen prüfen. Eine Überprüfung der Integrität von Checkout-Seiten ist dringend angeraten. Bei Hinweisen auf Datenabfluss greifen die Meldepflichten der DSGVO.

2.4 Android-Framework (CVE-2025-48595): aktiv ausgenutzter Integer-Overflow im KEV

02.06.2026 · CISA Alert · Börse Express

Zusammenfassung: CISA hat am 2. Juni einen Integer-Overflow im Android-Framework (CVE-2025-48595) als aktiv ausgenutzt in den KEV-Katalog aufgenommen. Über die Lücke konnten Angreifer Systemrechte erlangen und Schadcode ausführen. Sie wurde im Android-Juni-Update geschlossen, das insgesamt 124 Schwachstellen behebt. Betroffen sind Geräte ab Android 14.

Hintergrund & Einordnung: Mobile Endgeräte sind zunehmend Teil der Unternehmens-IT und enthalten sensible Daten sowie Zugänge zu Cloud-Diensten. Ein aktiv genutzter Zero-Day im Framework betrifft potenziell eine sehr große Gerätebasis. Die Verteilung der Patches hängt stark von den Geräteherstellern ab, was zu verzögertem Schutz führen kann.

Praxisfolgen / Handlungsempfehlung: Nutzerinnen und Nutzer sollten das Juni-Sicherheitsupdate umgehend installieren, sobald es für ihr Gerät verfügbar ist. In Unternehmen sollte das Mobile-Device-Management den Patch-Stand erzwingen und veraltete Geräte aussteuern. Geräte ohne Herstellersupport gehören aus sensiblen Bereichen entfernt.

3.1 Cisco Catalyst SD-WAN Controller (CVE-2026-20182, CVSS 10.0): Authentication-Bypass

19.05.2026 · Cisco Security Advisory · The Hacker News

Zusammenfassung: Eine mit CVSS 10.0 bewertete Authentifizierungs-Umgehung im Cisco Catalyst SD-WAN Controller erlaubt nicht authentifizierten Angreifern die vollständige Übernahme der Management-Ebene. Cisco hat ein Sicherheitsadvisory veröffentlicht und stellt Updates bereit. Die Schwachstelle ist im CISA-KEV-Katalog gelistet und wird aktiv ausgenutzt.

Hintergrund & Einordnung: SD-WAN-Controller steuern die Netzwerkverbindungen ganzer Standortverbünde, sodass eine Kompromittierung weitreichende Kontrolle über den Datenverkehr ermöglicht. Ein Höchstwert von 10.0 bedeutet, dass weder Authentifizierung noch Nutzerinteraktion erforderlich sind. Solche Kernkomponenten sollten ohnehin nicht ungeschützt aus dem Internet erreichbar sein.

Praxisfolgen / Handlungsempfehlung: Betroffene Controller sind umgehend zu aktualisieren und auf Anzeichen einer Kompromittierung zu prüfen. Der Management-Zugang sollte strikt auf vertrauenswürdige Netze begrenzt werden. Wo ein sofortiges Update nicht möglich ist, sind die Hersteller-Mitigationen zwingend umzusetzen.

3.2 Palo Alto PAN-OS GlobalProtect (CVE-2026-0257): Authentifizierungs-Umgehung ausgenutzt

31.05.2026 · Palo Alto Security Advisory · Rapid7

Zusammenfassung: Im GlobalProtect-Portal von Palo Alto PAN-OS wird eine Authentifizierungs-Umgehung aktiv ausgenutzt. Rapid7 hat Exploitation in freier Wildbahn bestätigt. Betroffen sind aus dem Internet erreichbare VPN-Gateways. Palo Alto stellt Korrekturen bereit.

Hintergrund & Einordnung: VPN-Gateways sind ein bevorzugtes Einfallstor, da sie naturgemäß exponiert sind und Zugang zum internen Netz vermitteln. Authentifizierungs-Umgehungen sind besonders gefährlich, weil sie etablierte Zugangskontrollen vollständig aushebeln. PAN-OS-Schwachstellen stehen seit Jahren wiederholt im Fokus von Angreifern.

Praxisfolgen / Handlungsempfehlung: Exponierte GlobalProtect-Gateways sind sofort zu patchen und auf unautorisierte Sitzungen zu prüfen. Eine Multi-Faktor-Authentifizierung und die Beschränkung der Erreichbarkeit erhöhen die Resilienz. Kompromittierungsindikatoren der Hersteller und von Rapid7 sollten abgeglichen werden.

3.3 Windows Netlogon RCE (CVE-2026-41089, CVSS 9.8): Angriffe auf Domänencontroller

04.06.2026 · SecurityWeek · BleepingComputer

Zusammenfassung: Über die mit CVSS 9.8 bewertete Netlogon-Schwachstelle können nicht authentifizierte Angreifer SYSTEM-Code auf Windows-Domänencontrollern ausführen. Microsoft hatte bereits im Mai gepatcht, doch mehrere Sicherheitsfirmen bestätigen, dass ungepatchte Systeme nun gezielt angegriffen werden. Domänencontroller sind das Herzstück von Windows-Netzen.

Hintergrund & Einordnung: Eine Kompromittierung des Domänencontrollers bedeutet faktisch die Übernahme der gesamten Domäne inklusive aller Konten. Netlogon-Schwachstellen haben in der Vergangenheit – etwa mit „Zerologon“ – verheerende Folgen gehabt. Dass trotz vorhandenem Patch aktiv angegriffen wird, zeigt eine gefährliche Patch-Lücke in der Fläche.

Praxisfolgen / Handlungsempfehlung: Das Mai-Sicherheitsupdate ist auf allen Domänencontrollern unverzüglich einzuspielen, sofern noch nicht geschehen. Der morgige Patchday sollte zum Anlass für eine vollständige Verifikation des Patch-Stands genommen werden. Bei Verdacht auf Kompromittierung sind Incident-Response-Maßnahmen einzuleiten.

3.4 Microsoft Defender (CVE-2026-41091): SYSTEM-Privilegieneskalation im KEV

21.05.2026 · BleepingComputer · Help Net Security

Zusammenfassung: In Microsoft Defender können lokale Angreifer über CVE-2026-41091 SYSTEM-Rechte erlangen; eine zweite Lücke (CVE-2026-45498) ermöglicht einen Denial of Service. CISA hat die Eskalation als aktiv ausgenutzt in den KEV-Katalog aufgenommen. Defender ist auf nahezu allen Windows-Systemen aktiv, was die Reichweite maximiert.

Hintergrund & Einordnung: Privilegieneskalationen werden typischerweise als zweite Stufe nach einem ersten Zugang genutzt, um vollständige Kontrolle zu erlangen. Dass ausgerechnet die Schutzsoftware selbst betroffen ist, erhöht die Brisanz. Die Korrektur wird über die Defender-Plattform verteilt, nicht zwingend über den klassischen Windows-Update-Kanal.

Praxisfolgen / Handlungsempfehlung: Administratoren sollten die installierte Defender-Plattform- und Engine-Version gezielt verifizieren, statt sich allein auf automatische Updates zu verlassen. In verwalteten Umgebungen ist der Rollout-Status zentral zu kontrollieren. Endgeräte ohne aktuelle Plattformversion sind nachzupflegen.

3.5 Ivanti EPMM: Zero-Day-Schwachstellen aktiv ausgenutzt – BSI warnt

06.06.2026 · BSI-Cybersicherheitswarnung · B2B Cyber Security

Zusammenfassung: Das BSI warnt vor aktiv ausgenutzten Zero-Day-Schwachstellen in Ivanti Endpoint Manager Mobile (EPMM), die eine Remote-Code-Ausführung ermöglichen. EPMM dient der Verwaltung mobiler Endgeräte in Unternehmen und Behörden. Es werden bereits Angriffe über die Lücken beobachtet. Der Hersteller stellt Mitigationen und Updates bereit.

Hintergrund & Einordnung: Mobile-Device-Management-Systeme sind hochsensibel, weil sie weitreichende Kontrolle über die angebundenen Endgeräte besitzen. Eine Kompromittierung des Management-Servers kann zur Übernahme zahlreicher verwalteter Geräte führen. Ivanti-Produkte standen in der Vergangenheit wiederholt im Fokus aktiver Angriffe.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten die BSI-Warnung sowie die Hersteller-Advisories prüfen und Patches bzw. Mitigationen umgehend umsetzen. Der Zugriff auf die Management-Oberfläche ist strikt zu beschränken. Systeme sind auf Kompromittierungsspuren zu untersuchen.

3.6 Home Assistant Companion App (CVE-2026-44698, CVSS 8.3)

05.06.2026 · ad-hoc-news

Zusammenfassung: Eine mit CVSS 8.3 bewertete Schwachstelle betrifft die Home-Assistant-Companion-App für Android und iOS. Home Assistant ist eine weit verbreitete Plattform zur Smart-Home-Steuerung. Über die Lücke drohen unautorisierte Zugriffe auf die Anbindung. Ein Update steht zur Verfügung.

Hintergrund & Einordnung: Smart-Home-Systeme verbinden zunehmend sicherheitsrelevante Funktionen wie Türschlösser, Kameras und Alarmanlagen. Schwachstellen in den Steuerungs-Apps können daher physische und datenschutzbezogene Folgen haben. Die hohe Verbreitung der Plattform vergrößert die potenzielle Angriffsfläche.

Praxisfolgen / Handlungsempfehlung: Nutzerinnen und Nutzer sollten die App zeitnah aktualisieren und Fernzugriffe nur abgesichert – etwa über VPN statt direkter Portfreigabe – betreiben. Standard-Zugangsdaten sind zu ändern und die Multi-Faktor-Authentifizierung zu aktivieren, wo verfügbar. Nicht benötigte externe Erreichbarkeit sollte abgeschaltet werden.

4.1 BAG: bloßes „Störgefühl“ begründet keinen DSGVO-Schadensersatz

Bundesarbeitsgericht · Aktenzeichen 8 AZR 61/24 · LTO

Sachverhalt: Ein Beschäftigter machte gegenüber seinem Arbeitgeber einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO geltend. Begründet wurde dies im Kern mit einem Unbehagen über die Verarbeitung personenbezogener Daten. Ein darüber hinausgehender, konkreter Nachteil wurde nicht hinreichend dargelegt. Das Verfahren reiht sich in eine Serie arbeitsrechtlicher DSGVO-Schadensersatzklagen ein.

Entscheidung: Das Bundesarbeitsgericht stellte klar, dass ein bloßes „Störgefühl“ oder Unbehagen für sich genommen keinen ersatzfähigen Schaden darstellt. Erforderlich ist die Darlegung eines tatsächlichen – auch immateriellen – Schadens, etwa eines spürbaren Kontrollverlusts mit nachvollziehbaren Folgen.

Begründungs-Kernpunkte: Das Gericht folgt der Linie des EuGH und des BGH, wonach ein Verstoß allein noch keinen Schadensersatz auslöst. Der Anspruchsteller trägt die Darlegungs- und Beweislast für den konkreten Schaden. Eine bloß abstrakte oder hypothetische Beeinträchtigung genügt nicht.

Praxisfolgen: Für Arbeitgeber sinkt das Risiko pauschaler Massenklagen, die allein auf einem behaupteten Verstoß beruhen. Beschäftigte müssen ihren Schaden künftig substantiiert vortragen. Sorgfältige Dokumentation der Datenverarbeitung bleibt für Verantwortliche dennoch zentral, um Verstöße von vornherein zu vermeiden.

4.2 EuGH (C-526/24, Brillen Rottler): erster Auskunftsantrag kann „exzessiv“ sein

Europäischer Gerichtshof · Rechtssache C-526/24 · delegedata · Haufe

Sachverhalt: Im Streit ging es um die Reichweite des Auskunftsrechts nach Art. 15 DSGVO und die Frage, wann ein Antrag als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO gilt. Der Verantwortliche hielt das Auskunftsbegehren für rechtsmissbräuchlich. Strittig war insbesondere, ob bereits ein erster Antrag exzessiv sein kann.

Entscheidung: Der EuGH stellte fest, dass auch ein erstmaliger Auskunftsantrag ausnahmsweise exzessiv sein kann, wenn er erkennbar zweckfremd gestellt wird. Maßgeblich ist nicht die Häufigkeit allein, sondern eine missbräuchliche Absicht. Die Darlegung des Missbrauchs obliegt dem Verantwortlichen.

Begründungs-Kernpunkte: Das Auskunftsrecht dient der Kontrolle über die eigenen Daten, nicht der Verfolgung sachfremder Ziele. Ein pauschaler Missbrauchseinwand ist unzulässig; es bedarf konkreter Anhaltspunkte. Damit wird dem „DSGVO-Hopping“ eine Grenze gesetzt, ohne das Auskunftsrecht generell zu schwächen.

Praxisfolgen: Verantwortliche können sich in eng begrenzten Ausnahmefällen auf Exzessivität berufen, müssen den Missbrauch aber sorgfältig dokumentieren und begründen. Im Regelfall bleibt die fristgerechte und vollständige Auskunft Pflicht. Pauschale Ablehnungen bergen weiterhin ein erhebliches Bußgeld- und Schadensersatzrisiko.

4.3 VG Berlin: Ausweiskontrollen und Videoüberwachung in Sommerbädern

Verwaltungsgericht Berlin · 06.05.2026 · Aktenzeichen VG 42 K 73/25 · VG Berlin (Pressemitteilung) · LTO

Sachverhalt: Gegenstand des Verfahrens waren Ausweiskontrollen und eine Videoüberwachung in Berliner Sommerbädern. Im Streit stand, ob die eingesetzten Maßnahmen mit dem Datenschutzrecht vereinbar sind. Hintergrund waren Sicherheitsvorfälle in den Bädern. Die Maßnahmen greifen in die informationelle Selbstbestimmung der Badegäste ein.

Entscheidung: Das Verwaltungsgericht Berlin befasste sich mit der Verhältnismäßigkeit und Rechtsgrundlage der Maßnahmen. Maßstab ist, ob Eingriffe in den Datenschutz durch ein legitimes Sicherheitsinteresse gerechtfertigt und erforderlich sind. Die Entscheidung hat Signalwirkung für vergleichbare öffentliche Einrichtungen.

Begründungs-Kernpunkte: Eingriffe wie Identitätskontrollen und Videoüberwachung müssen auf einer tragfähigen Rechtsgrundlage beruhen und dem Grundsatz der Datenminimierung genügen. Die Erforderlichkeit ist konkret zu begründen, pauschale Sicherheitserwägungen reichen nicht. Transparenz gegenüber den Betroffenen ist sicherzustellen.

Praxisfolgen: Betreiber öffentlich zugänglicher Einrichtungen sollten Überwachungs- und Kontrollmaßnahmen sorgfältig auf Rechtsgrundlage und Verhältnismäßigkeit prüfen und dokumentieren. Eine Datenschutz-Folgenabschätzung ist bei umfangreicher Videoüberwachung in der Regel geboten. Die Speicherfristen sind eng zu begrenzen.

5.1 MLU B.V. (Yandex/Yango): 100 Mio. EUR für Drittlandtransfers

21.05.2026 · Kiteworks (DSGVO-Durchsetzung 2026)

Behörde: Europäische Datenschutzaufsicht · Adressat: MLU B.V. (Yandex/Yango) · Höhe: 100 Mio. EUR

Verstoß / Rechtsgrundlage: Im Zentrum stehen unzulässige Übermittlungen personenbezogener Daten in Drittländer ohne ausreichende Garantien nach Kapitel V der DSGVO. Bei einem Mobilitäts- und Plattformdienst fallen umfangreiche Standort- und Nutzungsdaten an, deren Transfer besonders sensibel ist. Die Aufsicht beanstandet das Fehlen tragfähiger Transfermechanismen.

Begründung: Drittlandtransfers ohne Angemessenheitsbeschluss oder geeignete Garantien wie Standardvertragsklauseln und ergänzende Maßnahmen verstoßen gegen die DSGVO. Die Höhe des Bußgelds spiegelt die Sensibilität der betroffenen Daten und die Reichweite des Dienstes wider. Internationale Datenflüsse stehen weiterhin im besonderen Fokus der Aufsicht.

Praxisfolgen: Unternehmen mit Datenflüssen in Drittländer sollten ihre Transfer-Folgenabschätzungen und vertraglichen Garantien dringend überprüfen. Die tatsächliche Wirksamkeit ergänzender Schutzmaßnahmen ist zu belegen, nicht nur formal zu vereinbaren. Anbieter aus Hochrisiko-Jurisdiktionen verdienen besondere Sorgfalt.

5.2 BfDI: 45 Mio. EUR Gesamtbußgeld gegen Vodafone bestätigt

22.05.2026 · BfDI-Pressemitteilung (34. Tätigkeitsbericht)

Behörde: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) · Adressat: Vodafone · Höhe: 45 Mio. EUR (Gesamtsumme)

Verstoß / Rechtsgrundlage: Der BfDI hat im 34. Tätigkeitsbericht ein Gesamtbußgeld in Höhe von 45 Millionen Euro gegen Vodafone bestätigt. Es geht im Kern um Defizite bei der Kontrolle von Vertriebspartnern sowie um Sicherheitsmängel, die unbefugte Zugriffe ermöglichten. Betroffen sind Pflichten aus Art. 28 (Auftragsverarbeitung) und Art. 32 DSGVO (Sicherheit der Verarbeitung).

Begründung: Verantwortliche müssen ihre Dienstleister und Vertriebsstrukturen wirksam kontrollieren und technisch-organisatorische Maßnahmen zum Schutz der Daten gewährleisten. Versäumnisse in der Lieferkette werden dem Verantwortlichen zugerechnet. Die Höhe verdeutlicht die Erwartung an die Kontrolle über externe Partner.

Praxisfolgen: Unternehmen sollten ihr Auftragsverarbeiter- und Partnermanagement überprüfen und Kontrollen über bloße Vertragsklauseln hinaus tatsächlich durchführen. Sicherheitsmaßnahmen sind regelmäßig zu testen und zu dokumentieren. Gerade dezentrale Vertriebsmodelle bergen erhebliche Datenschutzrisiken.

6.1 Breite Apple-/iCloud-Phishing-Welle im Juni 2026

06.06.2026 · ad-hoc-news · it-boltwise

Zusammenfassung: Seit Anfang Juni läuft eine breite Phishing-Kampagne gegen Apple-Kundinnen und -Kunden. Die Täter geben sich als Apple-Support aus und behaupten Speicher-, Abonnement- oder Zahlungsprobleme der Apple-ID. Über gefälschte Anmeldeseiten greifen sie Apple-ID, Passwort und Kreditkartendaten ab. Charakteristisch ist der erzeugte Zeitdruck.

Hintergrund & Einordnung: Phishing-as-a-Service-Kits senken die Einstiegshürde für Kriminelle erheblich und ermöglichen professionell aussehende Kampagnen. Zunehmend kommen QR-Codes in PDF-Anhängen zum Einsatz, um klassische Filter zu umgehen. Die Imitation großer Marken wie Apple maximiert die Trefferquote.

Praxisfolgen / Handlungsempfehlung: Nutzerinnen und Nutzer sollten Speicher und Abonnements ausschließlich direkt in den Geräteeinstellungen prüfen und keinen Links aus Nachrichten folgen. Unternehmen sollten ihre Belegschaft konkret vor dieser Welle warnen. Verdächtige Nachrichten lassen sich an Apple melden und sollten gelöscht werden.

6.2 Cyberangriffe auf Belimed und eine Landeszentrale für politische Bildung

05.06.2026 · Computer Weekly

Zusammenfassung: Der Medizintechnik-Hersteller Belimed wurde am 29. Mai Opfer eines Cyberangriffs, bei dem Angreifer auf Teile der IT zugriffen und Unternehmensdaten kopierten; der Kundenbetrieb war nach Unternehmensangaben nicht betroffen und es kam zu keiner Verschlüsselung. Bereits am 28. Mai musste eine Landeszentrale für politische Bildung ihre Websites sowie die ihrer Gedenkstätten isolieren. Die Vorfälle sind Teil einer dichten Angriffsserie der Woche.

Hintergrund & Einordnung: Die Bandbreite der Ziele – vom Mittelständler bis zur öffentlichen Bildungseinrichtung – zeigt, dass Angreifer opportunistisch vorgehen und jede erreichbare Schwachstelle nutzen. Datendiebstahl ohne Verschlüsselung gewinnt als Erpressungsmodell an Bedeutung. Öffentliche Einrichtungen sind besonders auf funktionierende Notfallpläne angewiesen.

Praxisfolgen / Handlungsempfehlung: Organisationen sollten Incident-Response-Pläne aktuell halten und regelmäßig üben sowie Backups offline vorhalten. Eine konsequente Netzsegmentierung begrenzt die Ausbreitung im Ernstfall. Datenabflüsse lösen Melde- und Informationspflichten nach der DSGVO aus.

6.3 WordPress-Plugin Kirki (CVE-2026-8206, CVSS 9.8): Account-Takeover

04.06.2026 · BleepingComputer · SecurityWeek

Zusammenfassung: Eine mit CVSS 9.8 bewertete Schwachstelle im verbreiteten WordPress-Plugin Kirki erlaubt die Übernahme von Administratorkonten. Betroffen sind über 500.000 Webseiten, und die Lücke wird aktiv ausgenutzt. Angreifer können sich darüber Vollzugriff auf die betroffenen Seiten verschaffen. Ein Update steht bereit.

Hintergrund & Einordnung: Das WordPress-Ökosystem ist aufgrund seiner enormen Verbreitung und der Vielzahl an Plugins ein Dauerziel für Angreifer. Ein Account-Takeover ermöglicht das Einschleusen von Schadcode, Defacements oder das Abgreifen von Nutzerdaten. Plugins von Drittanbietern sind ein wiederkehrendes Einfallstor.

Praxisfolgen / Handlungsempfehlung: Seitenbetreiber sollten Kirki umgehend aktualisieren und ihre Installationen auf unautorisierte Administratorkonten prüfen. Nicht benötigte Plugins gehören entfernt, aktive Plugins zeitnah gepatcht. Eine Zwei-Faktor-Authentifizierung für Administratoren reduziert das Übernahmerisiko zusätzlich.

6.4 Bundeskabinett: Cybersicherheitsgesetz mit erweiterten Befugnissen

27.05.2026 · Bundesregierung · t-online

Zusammenfassung: Das Bundeskabinett hat ein Cybersicherheitsgesetz auf den Weg gebracht, das BSI, BKA und Bundespolizei erweiterte Befugnisse zur Cyberabwehr verleihen soll. Es dient unter anderem der Umsetzung europäischer Vorgaben und der Stärkung der Resilienz kritischer Infrastrukturen. Das Gesetz muss noch das parlamentarische Verfahren durchlaufen. Über Reichweite und Grenzen der Befugnisse wird kontrovers diskutiert.

Hintergrund & Einordnung: Der Entwurf steht im Kontext der NIS-2-Umsetzung und der zunehmenden Bedrohung durch staatliche und kriminelle Akteure. Erweiterte Eingriffsbefugnisse werfen regelmäßig Fragen der Verhältnismäßigkeit und des Grundrechtsschutzes auf. Für Unternehmen sind vor allem die mittelbaren Pflichten zur Meldung und Absicherung relevant.

Praxisfolgen / Handlungsempfehlung: Betreiber kritischer und wichtiger Einrichtungen sollten den Gesetzgebungsprozess verfolgen und ihre Melde- und Sicherheitsprozesse auf die kommenden Anforderungen ausrichten. Frühzeitige Vorbereitung auf NIS-2-Pflichten reduziert späteren Umsetzungsdruck. Verantwortlichkeiten und Meldewege sollten jetzt definiert werden.