1. Plattform-Haftung für KI-generierte Inhalte nimmt Konturen an

Seit Dienstag, 16. Juni 2026 · zuletzt aktualisiert Dienstag, 16. Juni 2026 · Score 86

Mit dem Urteil des LG München I zur „Übersicht mit KI“ verdichtet sich eine Rechtsprechungslinie, die Betreibern generativer KI-Funktionen die volle Verantwortung für deren Aussagen zuweist (nach LG Frankfurt a.M. und LG Hamburg).

Letzte Entwicklung: Google haftet als unmittelbarer Störer für unwahre Tatsachenbehauptungen in AI Overviews; Ordnungsgeld bis 250.000 EUR angedroht. Einstweilige Verfügung, nicht rechtskräftig.

2. Aktiv ausgenutzte Schwachstellen in Unternehmenssoftware

Seit Wochenbeginn · zuletzt aktualisiert Montag, 15. Juni 2026 · Score 71

Mehrere kritische Lücken werden derzeit aktiv angegriffen oder sind trivial ausnutzbar.

Letzte Entwicklung: ShinyHunters attackiert Oracle PeopleSoft; in phpBB ermöglicht eine kritische Lücke Kontoübernahme/Kompromittierung.

1.1 § 38 BDSG: Überprüfung der Pflicht zum Datenschutzbeauftragten bis Ende 2026

16.06.2026 · Dr. Datenschutz

Zusammenfassung: Die Bundesregierung hat in ihrer Föderalen Modernisierungsagenda angekündigt, § 38 Abs. 1 BDSG – die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten ab 20 ständig mit automatisierter Verarbeitung befassten Personen – bis Ende 2026 zu überprüfen.

Hintergrund & Einordnung: Die deutsche Sonderregelung geht über die DSGVO-Vorgaben hinaus, die einen DSB nur unter engeren Voraussetzungen (Art. 37 DSGVO) verlangt. Eine Anhebung der Schwelle würde kleinere Betriebe entlasten, aber die organisatorische Verankerung des Datenschutzes schwächen.

Praxisfolgen / Handlungsempfehlung: Noch ist nichts entschieden – die DSB-Pflicht gilt unverändert fort. Keine voreiligen Abbestellungen; die materiellen DSGVO-Pflichten bleiben unabhängig vom DSB bestehen.

2.1 EU-Kommission veröffentlicht ersten Leitlinien-Entwurf zum Cyber Resilience Act

16.06.2026 · Dr. Datenschutz

Zusammenfassung: Die Europäische Kommission hat einen ersten, rund 66-seitigen Entwurf für Leitlinien zur praktischen Anwendung des Cyber Resilience Act (CRA) vorgelegt, der Umsetzungsfragen für Hersteller von Produkten mit digitalen Elementen beantwortet.

Hintergrund & Einordnung: Der CRA verpflichtet Hersteller über den gesamten Produktlebenszyklus zu Security-by-Design, Schwachstellenmanagement und Update-Bereitstellung. Die Leitlinien sind die erste offizielle Auslegungshilfe.

Praxisfolgen / Handlungsempfehlung: Hersteller und Inverkehrbringer digitaler Produkte sollten den Entwurf gegen ihre Produkt- und Update-Prozesse spiegeln und die Konsultationsphase nutzen.

2.2 Routerhersteller fordern Kontrolle importierter Geräte

15.06.2026 · heise online

Zusammenfassung: Während für den 5G-Mobilfunk EU-Sicherheitsvorschriften zur Spionageabwehr gelten, fehlen vergleichbare Regeln für Heimnetz-Geräte. Routerhersteller fordern nun eine Kontrolle importierter Geräte.

Hintergrund & Einordnung: Heimrouter und IoT-Geräte sind ein wiederkehrendes Einfallstor; ohne Mindestanforderungen an importierte Hardware bleibt eine Lücke in der Lieferkette. Der CRA adressiert dies mittelfristig.

Praxisfolgen / Handlungsempfehlung: Eigenverantwortung bleibt: Geräte mit Update-Versorgung kaufen, Firmware aktuell halten, Geräte ohne Hersteller-Support austauschen.

3.1 phpBB: Kritische Sicherheitslücke ermöglicht Kompromittierung

16.06.2026 · heise online

Zusammenfassung: In der weit verbreiteten Forensoftware phpBB haben Forscher eine kritische Schwachstelle gefunden, die mit jedem angelegten Konto eine Kompromittierung ermöglicht.

Hintergrund & Einordnung: phpBB betreibt zahllose Community-Foren; eine niederschwellig ausnutzbare Lücke ist attraktiv für Massen-Scans und Übernahmen.

Praxisfolgen / Handlungsempfehlung: Umgehend auf die gepatchte Version aktualisieren, Konten und Rechte prüfen, ungenutzte Registrierungen einschränken.

3.2 ShinyHunters attackiert Oracle-PeopleSoft-Schwachstelle

15.06.2026 · heise Security

Zusammenfassung: Die kriminelle Gruppe ShinyHunters greift eine kritische Sicherheitslücke in Oracle PeopleSoft an, die zum Wochenende bekannt wurde.

Hintergrund & Einordnung: PeopleSoft verwaltet Personal- und Finanzdaten; eine aktiv ausgenutzte Lücke bedeutet konkretes Datenabfluss- und Erpressungsrisiko. ShinyHunters ist für großvolumige Datendiebstähle bekannt.

Praxisfolgen / Handlungsempfehlung: Verfügbare Patches sofort einspielen, exponierte Instanzen absichern, Logs auf Ausnutzung prüfen, Meldepflichten (Art. 33 DSGVO) bewerten.

3.3 Claude Code: zweckentfremdeter MCP-Token als unsichtbare Angriffsfläche

15.06.2026 · Computerwoche

Zusammenfassung: Sicherheitsforscher von Mitiga Labs beschreiben ein Szenario, in dem über Claude Code Abfragen mit einem MCP-Token ausgeführt werden, den der Nutzer für andere Zwecke autorisiert hatte – in den Protokollen sieht das wie legitime Aktivität aus. Anthropic stuft den Fall bislang als „out of scope“ ein.

Hintergrund & Einordnung: KI-Entwicklungswerkzeuge mit weitreichenden Berechtigungen werden zur neuen Angriffsfläche. Frühere, von Check Point Research gemeldete Lücken (RCE über Konfigurations-Hooks, API-Key-Extraktion) wurden gepatcht; das Vertrauens-/Token-Problem zeigt die strukturelle Dimension.

Praxisfolgen / Handlungsempfehlung: MCP-Berechtigungen und Tokens nach Least-Privilege vergeben, Trust-Entscheidungen dokumentieren und prüfen, nicht-vertrauenswürdige Repositories nicht in KI-Tools öffnen, Tool-Aktivität gesondert auditieren.

4.1 LG München I: Google haftet als Störer für KI-Suchübersichten

LG München I · 28.05.2026 · 26 O 869/26 · beck-aktuell

Sachverhalt: Ein Verlag und seine Tochter wurden in Googles „Übersicht mit KI“ fälschlich mit Betrugsmaschen und Abo-Fallen in Verbindung gebracht; die Vorwürfe waren unwahr und durch Googles eigene Quellen nicht gedeckt.

Entscheidung: Google haftet als unmittelbarer Störer; Unterlassung, Ordnungsgeld bis 250.000 EUR je Zuwiderhandlung, rund 80 % der Kosten zulasten Googles. Einstweilige Verfügung, nicht rechtskräftig.

Begründungs-Kernpunkte: Eine KI-Übersicht, die eine eigenständige, affirmative Antwort formuliert, ist ein dem Betreiber zurechenbarer eigener Inhalt – kein bloßer Suchtreffer. Das Suchmaschinen-Haftungsprivileg und das Notice-and-take-down-Regime (auch Art. 6 Abs. 1 DSA) greifen nicht; die KI-Funktion ist ein nicht zwingend erforderliches Zusatzangebot.

Praxisfolgen: Jedes Unternehmen kann betroffen sein, dessen Name in einer KI-Antwort mit fremden Vorwürfen vermengt wird. Der Klageweg funktioniert; KI-Governance und Äußerungsrecht rücken zusammen.

4.2 ÖBVwG: Cookie-Banner-Optionen müssen gleichwertig sein

Österr. Bundesverwaltungsgericht · April 2026 · W171 2303402-1/7E · Dr. Datenschutz

Sachverhalt: Ein Cookie-Banner hob „Alle akzeptieren“ farblich hervor, während die Ablehn-/Präferenz-Optionen visuell zurückhaltend gestaltet waren.

Entscheidung: Die ungleichwertige Gestaltung ist unzulässig; es lässt sich nicht mehr sicher feststellen, ob die Einwilligung freiwillig erfolgt.

Begründungs-Kernpunkte: Freiwilligkeit nach Art. 4 Nr. 11 DSGVO setzt eine „echte und freie Wahl“ voraus (ErwG 42). Gezieltes „Nudging“ über Farbe, Kontrast oder Platzierung kompromittiert sie und macht die Einwilligung unwirksam.

Praxisfolgen: Zustimmen und Ablehnen müssen gleichwertig (Größe, Farbe, Kontrast, Schrift) und gleich erreichbar sein; Scrollen/Weitersurfen ist keine Einwilligung. Für DACH-Website-Betreiber unmittelbar relevant.

4.3 BGH: Akteneinsicht in der Zwangsversteigerung ohne Schwärzung

BGH (V. Zivilsenat) · 21.05.2026 · V ZB 90/25 · Volltext-PDF

Sachverhalt: Streit über die Frage, ob bei Akteneinsicht im Zwangsversteigerungsverfahren personenbezogene Daten vorher zu schwärzen sind.

Entscheidung: § 42 ZVG gestattet jedem die Einsicht ohne vorherige Schwärzung; Rechtsgrundlage ist Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO. Die Vorinstanzen wurden aufgehoben.

Begründungs-Kernpunkte: Das gesetzliche Einsichtsrecht ist eine Verarbeitungsbefugnis im öffentlichen Interesse; ein pauschaler Schwärzungsanspruch besteht nicht. Der Schutz wird über die Verwendung gesichert: Weiterverbreitung und zweckfremde Übermittlung bleiben nach § 299 Abs. 4 Satz 2 ZPO i.V.m. § 869 ZPO untersagt.

Praxisfolgen: Vollstreckungsgerichte müssen nicht vorab anonymisieren; Einsichtnehmende dürfen die Daten nur verfahrensbezogen nutzen.

6.1 Cyberangriff auf staatliche Banken im Iran

15.06.2026 · heise Security

Zusammenfassung: Ein Hackerangriff auf staatliche Banken im Iran hat den Online-Zahlungsverkehr landesweit gestört – ein weiterer Schlag gegen eine ohnehin fragile Infrastruktur.

Hintergrund & Einordnung: Angriffe auf Finanz- und Zahlungsinfrastruktur haben unmittelbare gesellschaftliche Wirkung und sind zunehmend Teil geopolitischer Auseinandersetzungen.

Praxisfolgen / Handlungsempfehlung: Für deutsche Organisationen Anlass, Notfall- und Wiederanlaufpläne (auch für Zahlungs-/Kernprozesse) und die Abhängigkeit von einzelnen Dienstleistern zu prüfen.

6.2 BSI-Cybersicherheitsmonitor 2026: KI-getriebene Phishing-Lage

16.06.2026 · ComputerBase

Zusammenfassung: Der BSI-Cybersicherheitsmonitor 2026 zeigt eine deutliche Verschärfung: Ein Großteil der Phishing-Angriffe ist KI-generiert, klassische Erkennungsmerkmale entfallen, und die Einstiegshürde für Täter sinkt.

Hintergrund & Einordnung: Phishing und Datenlecks gelten dem BSI zufolge als größte Bedrohung für Verbraucher. Angreifer wählen die einfachsten, nicht die größten Ziele – KMU und Privatpersonen geraten in den Fokus.

Praxisfolgen / Handlungsempfehlung: Awareness-Schulungen inhaltlich aktualisieren (Absender-/Link-/Prozessprüfung statt „Tippfehler“), Phishing-resistente MFA einführen, Meldewege niedrigschwellig gestalten.