Posted in  Daily Briefing  on  Juli 6, 2026 by  Achim Schmidt0 comments
  • Home
  • /
  • Daily Briefing • 6. Juli 2026
Schulungen zu Datenschutz & Cyber-Sicherheit Firmen-Flatrate
Daily-Briefing Datenschutz & IT-Sicherheit · 06.07.2026
Cyber-Security.academy

Daily-Briefing Datenschutz & IT-Sicherheit

Deutschland · Datenschutz · Datensicherheit · IT-Sicherheit · Urteile · Bußgelder · Cyber-Sicherheit

Stand: Montag, 6. Juli 2026

Schnellüberblick für alle ↓  ·  IT-Detailansicht ↓

Worauf Sie heute achten sollten

  • Wer RT-Videos auf seiner Website teilt, kann sich strafbar machen — auch privat. Der Europäische Gerichtshof hat entschieden, dass das EU-Verbot, Inhalte des russischen Staatssenders RT zu verbreiten, auch für ganz normale Website- und Blog-Betreiber gilt — selbst wenn die Seite kostenlos ist und nur über Spenden finanziert wird. In Deutschland droht dafür Freiheitsstrafe. Wer politische Videos einbettet oder teilt, sollte wissen, wessen Inhalte sanktioniert sind.
  • Falsche „Sommer-Klimabeihilfe“ im Umlauf. Betrüger versenden E-Mails, die eine staatliche steuerfreie Sonderzahlung wegen der Energiekosten versprechen — man müsse nur schnell Meldedaten und Steuer-ID über einen Link „abgleichen“. Diesen Regierungsbeschluss gibt es nicht. Nicht anklicken. Parallel läuft eine Phishing-Welle im Namen des ADAC.
  • Die Bundesregierung plant, den Datenschutz zu lockern. Deutschland setzt sich in Brüssel dafür ein, pseudonyme Daten teilweise aus dem Schutzbereich der DSGVO zu nehmen, und will zugleich das Informationsfreiheitsgesetz stark einschränken. Datenschützer und die Bundesbeauftragte warnen deutlich.
  • Für Firmen: kritische Citrix-Lücke wird bereits angegriffen. Eine Schwachstelle in Citrix NetScaler (VPN-/Gateway-Systeme) wird aktiv ausgenutzt — teils schon vor dem Patch. Wer solche Systeme betreibt, sollte sofort aktualisieren.

Aktuelle Phishing- und Betrugswellen

Die auffälligste Masche der Woche gibt sich als staatliche Hilfszahlung aus: Unter Betreffzeilen wie „Wichtiger Hinweis: Sommer-Klimabeihilfe (Juni/Juli 2026) – Frist beachten“ behaupten die E-Mails, aufgrund eines Regierungsbeschlusses werde eine steuerfreie Sonderzahlung ausgezahlt; zur „Auszahlung“ müsse man vorab Meldedaten und Steuer-Identifikationsnummer über einen Link abgleichen. Einen solchen Beschluss gibt es nicht. Die Welle nutzt geschickt die reale politische Debatte um Energiekosten-Entlastungen, um glaubwürdig zu wirken, und arbeitet mit den üblichen Druckmitteln: unpersönliche Anrede, kurze Frist, Androhung von Nachteilen.

Parallel kursieren zwei Wellen im Namen des ADAC: Eine Mail fordert unter Berufung auf eine angebliche EU-Richtlinie zur Bestätigung eines Vorgangs auf, eine zweite gibt vor, ein „Freigabeticket“ zur Registrierung eines Rettungswerkzeugs zu versenden — beide mit Links auf Phishing-Seiten, die auf das Vertrauen der über 21 Millionen ADAC-Mitglieder zielen. Grundregel: Weder Behörden noch der ADAC fordern per E-Mail zur Dateneingabe über einen Link auf. Im Zweifel die Organisation direkt über die offizielle Website oder ein Lesezeichen ansteuern. Aktuelle Warnungen führt die Verbraucherzentrale im Phishing-Radar.


Was war los?

Rechtlich prägt der Tag ein weitreichendes EuGH-Urteil zur Reichweite der Russland-Sanktionen, das erstmals klar auch private Website-Betreiber in die Pflicht nimmt. Auf der Bedrohungsseite häufen sich Ransomware-Meldungen zu deutschen Mittelständlern, und eine Citrix-Lücke wird aktiv ausgenutzt. Datenschutzpolitisch sorgt der Kurs der Bundesregierung für Aufsehen, die auf EU- wie auf Bundesebene Datenschutz und Informationsfreiheit zurückfahren will.


Was sich rechtlich geändert hat

Der EuGH hat den Begriff des „Betreibers“ im EU-Sanktionsrecht weit ausgelegt: Auch nicht-kommerzielle, spendenfinanzierte Website-Betreiber dürfen Inhalte gelisteter russischer Medien nicht verbreiten. Zugleich verschieben sich in Deutschland die datenschutzpolitischen Weichen — von der geplanten Herausnahme pseudonymer Daten aus der DSGVO bis zur Einschränkung des Informationsfreiheitsgesetzes. Für Arbeitgeber rückt zudem die Frage in den Fokus, wann Beschäftigte über den Einsatz von KI-Diensten informiert werden müssen — ab dem 2. August verschärft die KI-Verordnung hier die Pflichten bei Hochrisiko-Systemen.


IT-Detailansicht für Fachpublikum

Der folgende Teil vertieft die Meldungen für IT-Verantwortliche, Datenschutzbeauftragte und Sicherheitsfachkräfte.


Top-Themen der Woche

Sanktionsrecht erreicht die Website-Betreiber

Mit dem EuGH-Urteil C-67/25 wird das RT-Verbreitungsverbot auf jede natürliche Person ausgedehnt, die gelistete Inhalte über eine öffentlich zugängliche Website verbreitet — unabhängig von Gewinnabsicht, Umfang und Dauer. Das verschiebt das Haftungsrisiko von Plattformen und Medienunternehmen hin zu Bloggern, Vereinen und Privatpersonen. Zuletzt aktualisiert: 2026-07-06.

Konzertierter Datenschutzabbau in Deutschland

Bundesregierung und Koalitionsausschuss treiben zeitgleich mehrere Lockerungen voran (pseudonyme Daten aus der DSGVO, Einschränkung der Informationsfreiheit, KI in Jobcentern). Aufsicht und Zivilgesellschaft laufen Sturm. Zuletzt aktualisiert: 2026-07-06.


Management Summary

Der 6. Juli 2026 ist rechtlich und datenschutzpolitisch geprägt. Der Europäische Gerichtshof hat mit dem Urteil C-67/25 entschieden, dass das unionsrechtliche Verbreitungsverbot für Inhalte gelisteter russischer Staatsmedien (Art. 2f der Russland-Sanktionsverordnung) auch für natürliche Personen gilt, die solche Inhalte über eine öffentlich zugängliche, lediglich spendenfinanzierte Website verbreiten. Damit trifft die Sanktion nicht nur Rundfunkanbieter und Plattformen, sondern potenziell jeden Blogger und Website-Betreiber — in Deutschland strafbewehrt mit Freiheitsstrafe nach § 18 AWG.

Parallel verschieben sich die datenschutzpolitischen Weichen: Die Bundesregierung setzt sich im EU-Rat dafür ein, pseudonyme Daten teilweise aus dem Schutzbereich der DSGVO zu nehmen, und der Koalitionsausschuss beschloss eine faktische Einschränkung des Informationsfreiheitsgesetzes. Technisch dominieren eine aktiv ausgenutzte Citrix-NetScaler-Lücke, sieben ungepatchte Schwachstellen im weitverbreiteten Embedded-Dateisystem FatFs sowie eine APT-Kampagne (Armored Likho), deren Schadsoftware Anzeichen KI-gestützter Entwicklung trägt. Bei den Ransomware-Fällen stehen erneut deutsche Mittelständler auf den Leak-Seiten. Ein neuer DSGVO-Bußgeldbescheid liegt nicht vor.

Die wichtigsten Punkte im Überblick

  • EuGH C-67/25: RT-Verbreitungsverbot erfasst auch private, spendenfinanzierte Website-Betreiber.
  • Datenschutzpolitik: DE will pseudonyme Daten aus der DSGVO nehmen + Informationsfreiheitsgesetz einschränken.
  • Beschäftigtendatenschutz: ab 2. August aktive Informationspflicht bei Hochrisiko-KI (Art. 26 KI-VO), Betriebsrat einbeziehen.
  • Citrix NetScaler CVE-2026-8451 (CVSS 8.8): aktiv ausgenutzt, teils vor dem Patch.
  • FatFs: sieben ungepatchte Lücken (CVE-2026-6682 u. a.) in Millionen IoT-/OT-Geräten.
  • Armored Likho / BusySnake: APT-Infostealer mit KI-generiertem Loader.
  • DE-Ransomware: Tofutown (Payload), SGS GmbH (MedusaLocker) auf Leak-Seiten gelistet.

Top-Risiken – Handlungsempfehlungen für heute

  • Citrix NetScaler ADC/Gateway sofort patchen (auf 14.1-72.61 bzw. 13.1-63.18); SAML-IDP-Konfigurationen priorisiert prüfen und auf Kompromittierung untersuchen.
  • Website-/Redaktions-Verantwortliche sensibilisieren: keine Inhalte gelisteter russischer Medien einbetten/teilen — Sanktions- und Strafbarkeitsrisiko (§ 18 AWG).
  • Beschäftigteninformationen prüfen: „KI-Dienstleister“ als Empfängerkategorie ausweisen; bei Hochrisiko-KI den Betriebsrat vor dem 2. August einbeziehen.
  • IoT-/OT-Bestand auf FatFs-Abhängigkeiten prüfen und Hersteller-Patches anfragen; betroffene Geräte netzseitig isolieren.
  • RDP-/Remote-Zugänge härten (MFA, keine offene Exposition) angesichts der anhaltenden Ransomware-Welle gegen deutsche KMU.

1. Datenschutz

Bundesregierung treibt Datenschutz- und Informationsfreiheits-Abbau voran

2./3. Juli 2026 · netzpolitik.org — Bundesregierung sägt am Datenschutz · netzpolitik.org — Angriff auf Informationsfreiheit

Zusammenfassung: Die Bundesregierung verfolgt auf zwei Ebenen eine Schwächung des Datenschutzes. Im EU-Rat setzt sich Deutschland — neben Dänemark als einziger großer Mitgliedstaat — dafür ein, pseudonymisierte Daten teilweise aus dem Schutzbereich der DSGVO herauszunehmen: Daten sollen nicht mehr als personenbezogen gelten, „wenn es unwahrscheinlich ist“, dass der Verarbeiter die dahinterstehenden Personen re-identifiziert. Zeitgleich beschloss der Koalitionsausschuss am 2./3. Juli, das Informationsfreiheitsgesetz faktisch einzuschränken — künftig sollen Antragsteller ein „berechtigtes Interesse“ nachweisen müssen, statt dass der Staat eine Nichtherausgabe begründet.

Hintergrund & Einordnung: Datenschutzbehörden und Zivilgesellschaft warnen, der Re-Identifizierungsaufwand werde regelmäßig unterschätzt, sodass die Pseudonymisierungs-Ausnahme die DSGVO faktisch aushöhlen könnte; fünf weitere EU-Staaten (Österreich, Belgien, Kroatien, Bulgarien, Niederlande) lehnen den deutschen Vorstoß ab. Die Bundesbeauftragte sprach mit Blick auf die IFG-Pläne von einer Tragweite, die einer Abschaffung der seit zwanzig Jahren bestehenden Informationsfreiheit nahekomme. Der neu gewählte BfDI Moritz Hennemann gilt als wirtschaftsnah und hatte die EU-Deregulierungslinie zuvor begrüßt.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten die Entwicklung eng verfolgen, aber ihre Pseudonymisierungs- und Anonymisierungskonzepte nicht vorschnell lockern — bis zu einer verabschiedeten Rechtsänderung gilt der bisherige, weite Personenbezug fort. Wer sich auf Informationszugangsrechte stützt (Journalismus, Recherche, Transparenzarbeit), sollte laufende Anträge zeitnah stellen.

Informationspflichten des Arbeitgebers beim KI-Einsatz

Fachbeitrag, 29. Juni 2026 · Dr. Datenschutz

Zusammenfassung: Setzen Arbeitgeber KI-Dienste externer Anbieter ein, stellt sich die Frage, ob Beschäftigte gesondert darüber informiert werden müssen. Nach Art. 13 DSGVO besteht keine eigenständige Pflicht, ausdrücklich auf „KI“ hinzuweisen — verlangt werden nur Zweck, Rechtsgrundlage, Speicherdauer und Empfängerkategorien. Der Transparenzgrundsatz (Art. 5 Abs. 1 lit. a DSGVO) wirkt jedoch schärfer: Eine pauschale Angabe wie „IT-Dienstleister“ genügt im KI-Kontext regelmäßig nicht; „KI-Dienstleister“ sollte als eigene Empfängerkategorie ausgewiesen werden.

Hintergrund & Einordnung: Eine weitergehende Pflicht kommt mit der KI-Verordnung hinzu: Art. 26 Abs. 7 KI-VO (anwendbar ab 2. August 2026) verlangt, dass Arbeitgeber Beschäftigte und deren Vertretung (Betriebsrat) vor der Inbetriebnahme von Hochrisiko-KI-Systemen — etwa bei KI-gestützter Leistungsbewertung oder Bewerberauswahl — aktiv und ausdrücklich informieren. § 26 BDSG liefert keine eigenständige KI-Informationspflicht, bleibt aber Rechtsgrundlage der Beschäftigtendatenverarbeitung. Die Datenschutzkonferenz hat eine Regelungslücke erkannt und Ergänzungen in Art. 13-15 DSGVO vorgeschlagen.

Praxisfolgen / Handlungsempfehlung: Beschäftigteninformationen und Datenschutzerklärungen auf die Kategorie „KI-Dienstleister“ prüfen; bei Hochrisiko-Systemen den Betriebsrat rechtzeitig vor dem 2. August 2026 einbeziehen und die Informationsprozesse dokumentieren.

Sächsische Polizeirechtsnovelle weitet Überwachung aus

In Kraft seit 1. Juli 2026 · netzpolitik.org

Zusammenfassung: Das novellierte sächsische Polizeigesetz ist zum 1. Juli 2026 in Kraft getreten; CDU, SPD und BSW stimmten trotz erheblicher Kritik dafür. Die Novelle weitet die Überwachungsbefugnisse der Polizei deutlich aus, unter anderem beim Zugriff auf digitale Kommunikationsdaten und bei der Videoüberwachung.

Hintergrund & Einordnung: Staatliche Massenüberwachung ist an den DSGVO-Öffnungsklauseln für Strafverfolgung (Art. 23 DSGVO) und an den Grundrechten (Art. 8 GRCh) zu messen; Verfassungsbeschwerden wurden angekündigt. Der Vorgang reiht sich in einen bundesweiten Trend zunehmender Überwachungsbefugnisse ein — parallel beschloss der Koalitionsausschuss den KI-Einsatz in Jobcentern zur Missbrauchsbekämpfung, ohne veröffentlichte Datenschutz-Folgenabschätzung.

Praxisfolgen / Handlungsempfehlung: Für Verantwortliche in Sachsen (insbesondere Kommunen, Verkehrsbetriebe, Betreiber videoüberwachter Bereiche) empfiehlt sich die Prüfung, ob neue Kooperations- oder Datenweitergabepflichten entstehen, und eine saubere Dokumentation der Rechtsgrundlagen.


2. Datensicherheit

Ransomware-Welle trifft weiter deutschen Mittelstand

1./2. Juli 2026 · ransomware.live — Tofutown · ransomware.live — SGS GmbH

Zusammenfassung: Auf den Leak-Seiten der Ransomware-Gruppen sind erneut deutsche Unternehmen aufgetaucht. Die Gruppe „Payload“ listete am 2. Juli den hessischen Bio-Lebensmittelhersteller Tofutown (Hammersbach). Die Gruppe MedusaLocker beanspruchte am 1. Juli die deutsche SGS GmbH und gibt an, unter anderem 933 E-Mail-Adressen exfiltriert zu haben.

Hintergrund & Einordnung: In beiden Fällen liegen bislang keine offiziellen Bestätigungen der betroffenen Unternehmen vor; die Angaben stammen aus den Dark-Web-Ankündigungen der Täter und sind mit Vorsicht zu behandeln. MedusaLocker operiert seit 2021 im Ransomware-as-a-Service-Modell, dessen Affiliates typischerweise über exponierte RDP-Dienste und gestohlene Zugangsdaten eindringen. Das Muster bestätigt: Auch mittelständische Produzenten und Dienstleister stehen im Fokus.

Praxisfolgen / Handlungsempfehlung: RDP-Exposition prüfen, MFA für alle Remote-Zugänge erzwingen, Offsite- und unveränderbare Backups sicherstellen und die Netzsegmentierung überprüfen. Bei Betroffenheit: Meldung an BSI und zuständige Aufsichtsbehörde, Einschaltung der Strafverfolgung.


3. IT-Sicherheit

Citrix NetScaler: CVE-2026-8451 aktiv ausgenutzt — teils vor dem Patch

1. Juli 2026 (Patch), Ausnutzung ab 30. Juni · The Hacker News

Zusammenfassung: Citrix hat am 1. Juli sechs Schwachstellen in NetScaler ADC und NetScaler Gateway gepatcht. Die schwerwiegendste, CVE-2026-8451 (CVSS 8.8), ist eine Speicherkorruption in der SAML-IDP-Konfiguration, die entfernten Angreifern Codeausführung ermöglichen kann. Das Threat-Intelligence-Unternehmen Lupovis dokumentierte bereits am 30. Juni — einen Tag vor dem Patch — aktive Ausnutzungsversuche aus einer in Frankfurt georteten IP-Adresse.

Hintergrund & Einordnung: Die Angreifer validierten Ziele vor der Payload-Auslieferung, was auf gezielte statt breit gestreute Angriffe hindeutet. Betroffen sind NetScaler ADC/Gateway vor 14.1-72.61 und 13.1-63.18. NetScaler-Systeme sind als internet-exponierte VPN-/Gateway-Komponenten ein hochwertiges Ziel; die Historie zeigt, dass solche Appliances nach Bekanntwerden rasch in großem Stil angegriffen werden.

Praxisfolgen / Handlungsempfehlung: Sofort auf die gepatchten Versionen aktualisieren; Systeme mit aktiver SAML-IDP-Konfiguration priorisieren und auf Kompromittierungsspuren prüfen (ungewöhnliche Prozesse, ausgehende Verbindungen).

FatFs: sieben ungepatchte Lücken in Millionen Embedded-Geräten

1. Juli 2026 · The Hacker News

Zusammenfassung: Forscher von runZero haben sieben Schwachstellen in FatFs offengelegt, einem weit verbreiteten Open-Source-FAT-Dateisystem, das in Millionen Embedded-Geräten steckt — von Industriecontrollern über Sicherheitskameras und Drohnen bis zu Hardware-Krypto-Wallets. Die kritischste Lücke, CVE-2026-6682 (CVSS 7.6), ist ein Integer-Overflow beim Einhängen von FAT32-Volumes, der zu Speicherkorruption und Codeausführung auf der physischen Hardware führen kann.

Hintergrund & Einordnung: Der FatFs-Maintainer reagierte trotz mehrfacher Kontaktversuche nicht; ein Upstream-Patch für die Speicherkorruptions-Bugs existiert nicht (nur CVE-2026-6684 wurde in FatFs R0.16 behoben). Alle übrigen Lücken müssen von den Downstream-Herstellern individuell gepatcht werden (u. a. Espressif ESP-IDF, STM32Cube, Zephyr, MicroPython, ArduPilot). Da FatFs tief in Firmware eingebettet ist, wird die Behebung in der Praxis langwierig.

Praxisfolgen / Handlungsempfehlung: Den IoT-/OT-Gerätebestand auf FatFs-Abhängigkeiten prüfen, Hersteller aktiv nach Patches anfragen und den Netzwerkzugang zu betroffenen Geräten bis zur Behebung einschränken — insbesondere bei Geräten, die manipulierte Datenträger oder FAT-Images verarbeiten.


4. Urteile

EuGH: RT-Verbreitungsverbot gilt auch für private Website-Betreiber

EuGH, Urteil vom 02.07.2026 – C-67/25 (Traugott Ickeroth) · CSA-Aufbereitung ur-269 · Volltext EUR-Lex

Sachverhalt: Drei Personen hatten auf ihrem privaten Blog (traugott-ickeroth.com) in vier Fällen Videos des Senders RT Germany verbreitet. Die Seite war kostenlos zugänglich; die Betreiber warben um Spenden und nahmen rund 60.000 Euro ein. Das LG Saarbrücken, das ein Strafverfahren nach § 18 AWG führt, legte dem EuGH die Frage vor, ob solche nicht-gewerblichen Betreiber unter das Verbreitungsverbot des Art. 2f der Russland-Sanktionsverordnung fallen.

Entscheidung: Ja. Der Begriff „Betreiber“ erfasst jede natürliche oder juristische Person, die für die Verbreitung gelisteter Inhalte an die Öffentlichkeit verantwortlich ist — unabhängig von wirtschaftlicher Tätigkeit, Entgeltlichkeit, Gewinnabsicht sowie Umfang und Dauer der Verbreitung.

Begründungs-Kernpunkte: Der Wortlaut verwendet „Betreiber“ in fast allen Sprachfassungen ohne das Adjektiv „wirtschaftlich“; entscheidend ist allein die Verantwortung für die Verbreitung. Die einschränkenden Kommissions-Leitlinien (gewerbliche/berufliche Tätigkeit) sind unverbindliches Arbeitsdokument. Eine Beschränkung auf gewerbliche Betreiber nähme dem Verbot die praktische Wirksamkeit; zudem erschwert die Finanzierung über anonyme Spenden die Nachverfolgbarkeit ausländischer Einflussnahme. Die Grundrechtsabwägung (Art. 11 GRCh) verlagert der EuGH auf die nationalen Gerichte.

Praxisfolgen: Website-Betreiber, Blogger, Vereine und Plattformen dürfen Inhalte gelisteter russischer Medien nicht einbetten oder weiterverbreiten — auch nicht privat und ohne Gewinnabsicht. In Deutschland ist ein Verstoß nach § 18 AWG mit Freiheitsstrafe von drei Monaten bis fünf Jahren bewehrt. Offen bleiben Randfragen (bloße Verlinkung ohne eigenes Hosting, Einzel-Posts in sozialen Netzwerken, Grenze zur zulässigen kritischen Auseinandersetzung). Ausführliche Aufbereitung: ur-269.


5. Bußgelder

Für das Fenster der vergangenen zwei Wochen ist kein neuer, seriös belegter DSGVO-Bußgeldbescheid einer europäischen Aufsichtsbehörde auffindbar. Die zuletzt bekannten Sanktionen waren bereits Gegenstand früherer Ausgaben. Die aktuelle datenschutzrechtliche Bewegung liegt heute im regulatorisch-politischen Bereich (siehe k1), nicht im Bußgeldgeschehen.


6. Cyber-Sicherheit

Armored Likho: APT-Kampagne mit KI-generierter Schadsoftware

3. Juli 2026 · Kaspersky Securelist · The Hacker News

Zusammenfassung: Kaspersky hat eine laufende Spionagekampagne der Gruppe Armored Likho (möglicherweise identisch mit „Eagle Werewolf“, aktiv seit 2023) aufgedeckt. Ziele sind Behörden und Stromversorger in Russland, Brasilien und Kasachstan. Zum Einsatz kommt ein neuer Python-Infostealer namens BusySnake, der über Spear-Phishing mit NSIS-Droppern oder bösartigen LNK-Dateien verbreitet wird und Browser-Passwörter, Cookies, Screenshots, Telegram-Sitzungen, Einmalpasswort-Geheimnisse und Krypto-Wallet-Dateien stiehlt.

Hintergrund & Einordnung: Bemerkenswert ist ein Detail zur Herkunft der Schadsoftware: In frühen Loader-Samples fanden die Analysten stilistische Merkmale KI-generierter Texte (ausführliche Inline-Kommentare, Emoji-Bullets, redundante Codeblöcke). Das deutet darauf hin, dass die Gruppe große Sprachmodelle zur Malware-Entwicklung einsetzt — und damit klassische code-basierte Attributionsmerkmale verwischt. Persistenz stellt die Malware über geplante Tasks im Fünf-Minuten-Takt her und nutzt RustDesk für Fernzugriff. Der Fall reiht sich in die zunehmende Zahl von Angriffen ein, bei denen KI in der Angriffskette selbst auftaucht.

Praxisfolgen / Handlungsempfehlung: Spear-Phishing-Abwehr und LNK-/Skript-Ausführungskontrollen härten; auf verdächtige geplante Tasks und RustDesk-Installationen achten; Browser-Session- und OTP-Diebstahl durch Phishing-resistente Verfahren (Passkeys, FIDO2) erschweren.


KI & große Sprachmodelle

Diese Woche stehen Datenschutz-Auseinandersetzungen und sicherheitsnahe Werkzeuge im Vordergrund.

  • OpenAI vs. New York Times — Streit um Nutzergespräche: OpenAI wehrt sich vor Gericht gegen die Forderung der NYT, rund 20 Millionen private ChatGPT-Konversationen (April–September 2025) herauszugeben, und kündigt an, den Datenschutz-Fahrplan zu beschleunigen — inklusive geplanter clientseitiger Ende-zu-Ende-Verschlüsselung für ChatGPT-Gespräche. Der Fall ist ein Präzedenzfall für den Schutz von KI-Nutzerdaten in Rechtsstreitigkeiten. (openai.com)
  • Mistral — Leanstral 1.5 für Code-Verifikation: Der französische Anbieter hat am 2. Juli ein quelloffenes Modell (Apache 2.0) speziell für formale Code-Verifikation veröffentlicht; in Tests fand es fünf bislang unbekannte Fehler in 57 Open-Source-Projekten — ein potenziell nützliches Werkzeug zur automatisierten Schwachstellensuche. (mistral.ai)
  • Google — Gemini Spark auf dem Desktop: Googles agentischer Desktop-Assistent ist seit 1. Juli als Mac-Beta verfügbar; er greift auf lokale Dateien zu und bindet Drittanbieter-Apps ein. Konkrete Datenschutzmaßnahmen für den lokalen Dateizugriff werden nicht genannt — für den Unternehmenseinsatz ein Klärungspunkt. (TechCrunch)

Ausblick / Termine

  • 2. August 2026: Anwendbarkeit der KI-VO-Pflichten für Hochrisiko-KI im Beschäftigungskontext (Art. 26 Abs. 7 — Informationspflicht ggü. Beschäftigten/Betriebsrat); zugleich Beginn der GPAI-Durchsetzung durch das EU AI Office.
  • Laufend: Trilog zum EU-„Digital Omnibus“ (DSGVO-Deregulierung, Pseudonymisierung) — offener Ausgang.
  • Laufend: Citrix-NetScaler-Ausnutzung — Patch-Stand prüfen.

Methodik

Stichtag dieses Briefings ist der 6. Juli 2026 (Montag); wegen des Wochenendes wurde das Zeitfenster auf Meldungen bis etwa den 1. Juli erweitert (bei Urteilen bis acht Wochen ab Verfügbarkeit der Gründe). Alle Angaben sind über Deep-Links auf Primärquellen (Gerichte, Behörden, Hersteller, Sicherheitsforschung) oder etablierte Fachmedien belegt. Ransomware-Opfermeldungen aus Leak-Site-Beobachtung sind als solche gekennzeichnet und ohne Unternehmensbestätigung mit Vorbehalt zu behandeln. Bereits behandelte Sachverhalte werden nicht wiederholt. Dieses Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.


Quellenverzeichnis

  1. EUR-Lex — EuGH C-67/25, Urteil vom 02.07.2026
  2. Cyber Security Academy — Urteilsaufbereitung ur-269
  3. netzpolitik.org — Bundesregierung sägt am Datenschutz
  4. netzpolitik.org — Frontalangriff auf Informationsfreiheit
  5. Dr. Datenschutz — Informationspflichten des Arbeitgebers beim KI-Einsatz
  6. netzpolitik.org — Sächsische Polizeirechtsnovelle
  7. ransomware.live — Tofutown (Payload)
  8. ransomware.live — SGS GmbH (MedusaLocker)
  9. The Hacker News — Citrix NetScaler CVE-2026-8451
  10. The Hacker News — FatFs ungepatchte Lücken
  11. Kaspersky Securelist — Armored Likho / BusySnake
  12. The Hacker News — Armored Likho targets government
  13. OpenAI — Fighting NYT user privacy invasion
  14. Mistral — Leanstral 1.5
  15. TechCrunch — Gemini Spark auf Mac
  16. Verbraucherzentrale — Phishing-Radar

Die Infos auf unserem Blog stellen grundsätzlich keine Rechtsberatung dar,
sondern dienen lediglich der Information.

Schulungen zu Datenschutz & Cyber-Sicherheit Firmen-Flatrate

>