Cyber-Security.academy

Daily-Briefing Datenschutz & IT-Sicherheit

Deutschland · Datenschutz · Datensicherheit · IT-Sicherheit · Urteile · Bußgelder · Cyber-Sicherheit

Stand: Dienstag, 7. Juli 2026

Schnellüberblick für alle ↓  ·  IT-Detailansicht ↓

Worauf Sie heute achten sollten


Aktuelle Phishing- und Betrugswellen

Im Zentrum steht diese Woche eine Welle im Namen von Spotify: Unter dem Betreff „Ihr Abonnement ist momentan pausiert" behaupten die E-Mails, eine Zahlung sei fehlgeschlagen und das Premium-Abo deaktiviert; über einen eingebetteten Link sollen die Empfänger ihre Zahlungsdaten „reaktivieren". Die Mail imitiert das Spotify-Design täuschend echt, nutzt aber eine gefälschte Absenderadresse und führt auf eine Seite zum Abgreifen von Kreditkartendaten.

Parallel läuft eine SMS-Betrugswelle zu angeblichen Parkstrafen (Smishing): Eine Kurznachricht behauptet eine offene Parkgebühr; der Link führt auf eine täuschend echte Bezahlseite, auf der zunächst das Kfz-Kennzeichen und dann die Kreditkartendaten abgefragt werden. Am Ende haben die Täter Fahrzeug- und Zahlungsdaten. Die Masche funktioniert auf Smartphones besonders gut, weil die echte Adresse im Browser oft nicht sichtbar ist. Grundregel: Weder Spotify noch Behörden fordern per Link zur Eingabe von Zahlungsdaten auf; offizielle Bußgeldbescheide kommen ausschließlich per Post. Aktuelle Warnungen führt die Verbraucherzentrale im Phishing-Radar.


Was war los?

Rechtlich prägt der Tag ein Beschluss des OLG Köln, der Streamern und Social-Media-Nutzern klare Grenzen für den Umgang mit heimlichen Aufnahmen setzt. Auf der Sicherheitsseite meldet die Deutsche Bank einen Ransomware-Vorfall bei einem externen Dienstleister, und das BSI warnt vor einer kritischen IBM-WebSphere-Lücke. Datenschutzaufsichtlich startet eine europaweite koordinierte Prüfung der Transparenzpflichten.


Was sich rechtlich geändert hat

Das OLG Köln stärkt das allgemeine Persönlichkeitsrecht gegenüber der ungefragten Veröffentlichung privater Wortbeiträge — und klärt zugleich das Verhältnis von DSGVO und nationalem Unterlassungsrecht: Wer künftige Unterlassung statt Löschung verlangt, kann sich auf den deutschen Anspruch aus § 823/§ 1004 BGB stützen, ohne dass die DSGVO sperrt. Auf europäischer Aufsichtsebene rückt mit der koordinierten Transparenz-Prüfung die Qualität von Datenschutzinformationen in den Fokus.


IT-Detailansicht für Fachpublikum

Der folgende Teil vertieft die Meldungen für IT-Verantwortliche, Datenschutzbeauftragte und Sicherheitsfachkräfte.


Top-Themen der Woche

Persönlichkeitsrecht schlägt DSGVO-Sperrargument. Mit dem OLG-Köln-Beschluss 15 W 48/26 wird bestätigt: Der nationale vorbeugende Unterlassungsanspruch (§ 823/§ 1004 BGB analog) bleibt neben der DSGVO anwendbar, solange nicht Löschung, sondern künftige Unterlassung begehrt wird (Anschluss an EuGH C-655/23). Für das Äußerungs- und Persönlichkeitsrecht eine wichtige Stabilisierung. Zuletzt aktualisiert: 2026-07-07.

Management Summary

Der 7. Juli 2026 ist rechtlich und aufsichtlich geprägt. Das OLG Köln hat im Eilverfahren entschieden, dass die Veröffentlichung heimlich angefertigter Tonaufnahmen aus einem privaten Livestream das allgemeine Persönlichkeitsrecht verletzt und per einstweiliger Verfügung untersagt werden kann. Der Beschluss ist über den Einzelfall hinaus bedeutsam, weil er das Verhältnis von DSGVO und nationalem Deliktsrecht im Anschluss an die EuGH-Entscheidung C-655/23 klärt: Der präventive Unterlassungsanspruch bleibt Sache des nationalen Rechts. Aufsichtsseitig startet der Europäische Datenschutzausschuss seine fünfte koordinierte Durchsetzungsaktion, in der 25 Behörden die Transparenz- und Informationspflichten (Art. 12–14 DSGVO) prüfen.

Auf der Bedrohungsseite meldet die Deutsche Bank einen Ransomware-Vorfall bei einem externen deutschen Dienstleister (Gruppe „UnSafe"); die internen Systeme der Bank seien nicht betroffen. Das BSI warnt vor einer verkettbaren Schwachstellenkette in IBM WebSphere, die eine vollständige Server-Übernahme ohne Authentifizierung ermöglicht. International sorgt ein Einbruch in die US-Behördenplattform HSIN für Aufsehen, und eine Kampagne (ChocoPoC) zielt gezielt auf Sicherheitsforscher über trojanisierte Proof-of-Concept-Exploits. Ein neuer DSGVO-Bußgeldbescheid liegt nicht vor.

Die wichtigsten Punkte im Überblick


Top-Risiken – Handlungsempfehlungen für heute


1. Datenschutz

EU-Datenschutzbehörden starten koordinierte Prüfung der Transparenzpflichten

26. Juni 2026 (Start), laufend · CNPD Luxemburg · Stiftung Datenschutz

Zusammenfassung: Der Europäische Datenschutzausschuss (EDPB) führt seine fünfte koordinierte Durchsetzungsaktion (Coordinated Enforcement Framework, CEF 2026) durch. Prüfgegenstand sind die Transparenz- und Informationspflichten nach Art. 12, 13 und 14 DSGVO — also die Frage, wie Organisationen betroffene Personen über die Verarbeitung ihrer Daten informieren. 25 Datenschutzbehörden aus dem EWR nehmen zeitgleich Unternehmen und Behörden unter die Lupe; die luxemburgische CNPD hat als erste eine Umfrage bei Verantwortlichen gestartet.

Hintergrund & Einordnung: Datenschutzhinweise sind in der Praxis häufig unvollständig, schwer verständlich oder schlecht erreichbar — die Aufsicht hat hier in Vorjahren signifikante Mängel festgestellt. Am Ende der Aktion veröffentlicht der EDPB einen konsolidierten, behördenübergreifenden Bericht, der die Prüfmaßstäbe für die Folgejahre prägt.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten ihre Datenschutzhinweise (Website, App, interne Beschäftigten- und Kundenprozesse) proaktiv auf Vollständigkeit, Verständlichkeit, Erreichbarkeit und Aktualität prüfen — bevor eine Behördenanfrage eingeht. Besonderes Augenmerk verdient die Informationskette bei Auftragsverarbeitern und Datenweitergaben (Art. 13 Abs. 1 lit. e, Art. 14 DSGVO).

Mecklenburg-Vorpommern weitet Nextcloud-Umstieg auf 50.000 Landesbeschäftigte aus

3. Juli 2026 · Landesregierung M-V

Zusammenfassung: Mecklenburg-Vorpommern hat die Migration von Microsoft SharePoint auf die quelloffene Plattform Nextcloud abgeschlossen und erweitert den Rollout nun auf über 50.000 Beschäftigte im gesamten öffentlichen Dienst des Landes — von Ministerien bis zu kommunalen Einrichtungen (aktuell rund 5.000 Nutzer). Als nächste Schritte folgen Chat, Videokonferenzen und Groupware.

Hintergrund & Einordnung: Begründet wird der Schritt primär mit digitaler Souveränität: Der quelloffene Code (AGPLv3) ist prüf- und anpassbar, die Datenverwaltung liegt auf landeseigener Infrastruktur ohne externe Abhängigkeiten. Datenschutzrechtlich vermeidet die Lösung die bei US-Cloud-Diensten heiklen Fragen der Auftragsverarbeitung (Art. 28 DSGVO) und des Drittstaatentransfers. Datenschutz-Compliance allein begründet den Wechsel nicht — die Souveränitäts- und Kontrollargumente stehen im Vordergrund —, der Effekt ist aber datenschutzrelevant.

Praxisfolgen / Handlungsempfehlung: Für öffentliche Stellen und regulierte Branchen liefert das Vorgehen eine Referenz, wie sich Transfer- und AV-Risiken durch souveräne, quelloffene Kollaborationsplattformen reduzieren lassen — bei entsprechendem Betriebs- und Migrationsaufwand.


2. Datensicherheit

Ransomware-Gruppe „UnSafe" trifft externen Dienstleister der Deutschen Bank

4.–6. Juli 2026 · BornCity

Zusammenfassung: Die neu aufgetauchte Ransomware-Gruppe „UnSafe" hat behauptet, die Deutsche Bank angegriffen und rund 10,6 GB interne Daten erbeutet zu haben (Systemprotokolle, Verzeichnisstrukturen, Ordnerinhalte). Die Deutsche Bank hat reagiert und erklärt, es gebe keine Anhaltspunkte, dass eigene interne Systeme oder Netzwerke betroffen seien — der Vorfall habe einen externen Dienstleister in Deutschland getroffen.

Hintergrund & Einordnung: Damit liegt ein bestätigter Sicherheitsvorfall bei einem namentlich nicht genannten deutschen Dienstleister vor. Die Gruppe „UnSafe" ist neu und ohne belastbaren Track Record; der Wahrheitsgehalt der behaupteten Daten ließ sich zum Berichtszeitpunkt nicht vollständig verifizieren. Der Fall ist ein weiteres Beispiel für das Lieferkettenrisiko: Angriffe auf Dienstleister treffen mittelbar auch deren große Auftraggeber.

Praxisfolgen / Handlungsempfehlung: Auftraggeber sollten das Sicherheitsniveau ihrer Auftragsverarbeiter regelmäßig prüfen (Art. 28 DSGVO, TOM nach Art. 32) und Melde- und Eskalationswege vertraglich sichern. Betroffene Dienstleister: BSI- und Aufsichtsmeldung prüfen, Kunden zeitnah informieren.

DHS bestätigt Einbruch in Behörden-Informationsplattform HSIN

1. Juli 2026 · BleepingComputer

Zusammenfassung: Das US-Heimatschutzministerium (DHS) hat einen Einbruch in das Homeland Security Information Network (HSIN) bestätigt — eine nicht klassifizierte Plattform zum Informationsaustausch zwischen Bundes-, Landes- und Kommunalbehörden sowie privaten Partnern. Betroffen waren HSIN-Server und ein SharePoint-Kollaborationssystem; der Zugriff erfolgte zwischen Ende Mai und Anfang Juni 2026.

Hintergrund & Einordnung: Ob Daten exfiltriert wurden, ist unklar; klassifizierte Netze seien nicht betroffen. Brisant ist der Zeitpunkt: HSIN koordiniert Sicherheitsplanungen für die laufende FIFA-WM 2026 in den USA. Eine Täterattribution liegt nicht vor. Für europäische Stellen ist der Fall relevant, weil HSIN auch Informationen zur transatlantischen Sicherheitskooperation enthalten kann.

Praxisfolgen / Handlungsempfehlung: Behörden und Betreiber sensibler Kollaborationsplattformen sollten Legacy-Infrastruktur und exponierte SharePoint-Systeme priorisiert prüfen und segmentieren.


3. IT-Sicherheit

IBM WebSphere: BSI warnt vor verkettbarer Schwachstellenkette zum Full Takeover

BSI-Warnung 3. Juli 2026 (WID-SEC-2026-2050) · BSI/b2b-cyber-security · Oligo Security

Zusammenfassung: Das BSI hat am 3. Juli den Sicherheitshinweis WID-SEC-2026-2050 (CVSS 9.3) zu mehreren kritischen Schwachstellen in IBM WebSphere Application Server und Liberty veröffentlicht. Die gefährlichste, CVE-2026-1561, macht die SAML-Cookie-Integritätsprüfung wirkungslos — ein Angreifer kann ohne Authentifizierung über einen erreichbaren SAML-Endpunkt beliebige serialisierte Java-Objekte einspielen und Remote-Code-Ausführung erreichen.

Hintergrund & Einordnung: Die Lücken lassen sich zur vollständigen Server-Übernahme verketten: Weitere Schwachstellen geben Zugriff auf LTPA-Schlüsseldateien, legen hartcodierte Standard-Passwörter offen (Token-Fälschung) und ermöglichen über einen Zip-Slip beliebige Datei-Schreibzugriffe. Betroffen sind die Versionen 17.0.0.3 bis 26.0.0.3, sofern das Feature samlWeb-2.0 aktiv ist. Die Analyse stammt von Oligo Security.

Praxisfolgen / Handlungsempfehlung: Umgehend APAR PH70017 bzw. das aktuelle Fix Pack einspielen. Wo ein sofortiges Patchen nicht möglich ist: den erreichbaren SAML-Endpunkt absichern bzw. samlWeb-2.0 prüfen und den externen Zugriff einschränken.


4. Urteile

OLG Köln: Heimliche Tonaufnahmen aus privatem Livestream verletzen das Persönlichkeitsrecht

OLG Köln, Beschluss vom 18.05.2026 – 15 W 48/26 · CSA-Aufbereitung ur-329 · Volltext nrwe.justiz.nrw.de

Sachverhalt: Ein Streamer hatte einen privaten Livestream mit beschränktem Teilnehmerkreis abgehalten. Ein Teilnehmer fertigte heimlich Tonaufnahmen an und spielte diese eine Woche später in einem eigenen öffentlichen Livestream ab — identifizierend, unter Nennung von Vorname und Plattform-Name. Das LG Bochum wies den Eilantrag zunächst ab.

Entscheidung: Auf die sofortige Beschwerde erließ das OLG Köln die einstweilige Verfügung und untersagte die Veröffentlichung (Ordnungsgeld bis 250.000 Euro).

Begründungs-Kernpunkte: Das gesprochene Wort gehört zum Kern des allgemeinen Persönlichkeitsrechts; jeder darf selbst bestimmen, ob und vor wem seine aufgenommene Stimme abgespielt wird. Auf eine Strafbarkeit nach § 201 StGB kommt es für den zivilrechtlichen Anspruch nicht an. Zentral ist die Klärung des DSGVO-Verhältnisses: Nach EuGH C-655/23 sieht die DSGVO keinen eigenen präventiven Unterlassungsrechtsbehelf vor, hindert die Mitgliedstaaten aber nicht, einen solchen vorzusehen — im deutschen Recht § 823 Abs. 1 BGB i.V.m. § 1004 Abs. 1 S. 2 BGB analog. Da nur Unterlassung (nicht Löschung) begehrt wurde, sperrt die DSGVO den nationalen Anspruch nicht. In der Abwägung überwog das Persönlichkeitsrecht, weil kein schützenswertes Informationsinteresse erkennbar war.

Praxisfolgen: Aufnahmen aus privaten Streams dürfen ohne Einwilligung der aufgenommenen Person nicht öffentlich gemacht werden — plattformübergreifend (TikTok, Twitch, Discord, YouTube). Betroffene können bei zügigem Vorgehen (Abmahnung, dann unverzüglicher Eilantrag) ohne Dringlichkeitsproblem eine Verfügung erwirken; DSGVO-Löschungsansprüche bleiben daneben möglich, sind für die Unterlassung aber nicht nötig. Ausführliche Aufbereitung: ur-329.


5. Bußgelder

Für das Fenster der vergangenen zwei Wochen ist kein neuer, seriös belegter DSGVO-Bußgeldbescheid einer europäischen Aufsichtsbehörde auffindbar; die einschlägigen Sanktionsdatenbanken (CNIL, Enforcement Tracker, GDPRhub) weisen keine jüngere Neuentscheidung aus. Die datenschutzrechtliche Bewegung des Tages liegt im Aufsichts- und Rechtsprechungsbereich (siehe k1 und k4).


6. Cyber-Sicherheit

ChocoPoC: trojanisierte PoC-Exploits infizieren gezielt Sicherheitsforscher

1. Juli 2026 · Sekoia · The Hacker News

Zusammenfassung: Sekoia und YesWeHack haben eine Kampagne aufgedeckt, die Cybersicherheitsforscher gezielt über trojanisierte Proof-of-Concept-Exploits auf GitHub infiziert. Die Schadfunktion steckt nicht im PoC-Code selbst, sondern in einer bösartigen Python-Abhängigkeit: Das Paket frint zieht skytext nach, das eine kompilierte Native Extension lädt, die beim üblichen Code-Review nicht auffällt. Das finale Schadprogramm — der RAT „ChocoPoC" — stiehlt Browser-Zugangsdaten, Cookies und Shell-Historie und erlaubt beliebige Befehlsausführung.

Hintergrund & Einordnung: Die C2-Kommunikation läuft getarnt über legitime Mapbox-Dataset-APIs (Dead-Drop-Technik). Das Paket skytext wurde rund 2.400-mal heruntergeladen, überwiegend auf Linux-Systemen. Mindestens sieben Repositories mit PoCs für Schwachstellen in FortiWeb, PAN-OS, Ivanti Sentry, Check Point VPN und anderen Produkten sind betroffen. Spanischsprachige Funktionsnamen und Coding-Fehler deuten auf manuell entwickelten Code hin; eine Attribution zu einer bekannten Gruppe fehlt.

Praxisfolgen / Handlungsempfehlung: PoC-Exploits ausschließlich in isolierten, wegwerfbaren Umgebungen (VM/Container ohne Zugangsdaten) ausführen; Python-Abhängigkeiten und deren transitive Pakete vor der Installation prüfen; auf ungewöhnliche Netzwerkverbindungen zu Dienst-APIs achten, die als Dead Drop missbraucht werden können.


KI & große Sprachmodelle

Diese Woche prägen Souveränitäts- und Datenschutzfragen die Anbieter-Nachrichten.


Ausblick / Termine


Methodik

Stichtag dieses Briefings ist der 7. Juli 2026. Berücksichtigt wurden Meldungen der vergangenen 24 bis 72 Stunden (bei Urteilen bis acht Wochen ab Verfügbarkeit der Gründe). Alle Angaben sind über Deep-Links auf Primärquellen (Gerichte, Behörden, Hersteller, Sicherheitsforschung) oder etablierte Fachmedien belegt. Ransomware-Opfermeldungen aus Leak-Site-/Blog-Beobachtung sind als solche gekennzeichnet und ohne unabhängige Bestätigung mit Vorbehalt zu behandeln. Bereits behandelte Sachverhalte werden nicht wiederholt. Dieses Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.


Quellenverzeichnis

  1. nrwe.justiz.nrw.de — OLG Köln 18.05.2026, 15 W 48/26
  2. Cyber Security Academy — Urteilsaufbereitung ur-329
  3. CNPD Luxemburg — CEF 2026 Transparenz
  4. Stiftung Datenschutz — DatenschutzWoche 6. Juli 2026
  5. Landesregierung Mecklenburg-Vorpommern — Nextcloud-Rollout
  6. BornCity — Deutsche Bank / UnSafe-Ransomware
  7. BleepingComputer — DHS bestätigt HSIN-Breach
  8. BSI/b2b-cyber-security — IBM WebSphere WID-SEC-2026-2050
  9. Oligo Security — WebSphere Liberty Vulnerabilities
  10. Sekoia — Don't eat the ChocoPoCs
  11. The Hacker News — ChocoPoC RAT
  12. TechCrunch — Alibaba verbietet Claude Code
  13. xAI — Release Notes (Grok 4.1)
  14. Mistral — News
  15. Verbraucherzentrale — Phishing-Radar