Posted in  Daily Briefing  on  Juni 22, 2026 by  Achim Schmidt0 comments

Daily Briefing • 22. Juni 2026

  • Home
  • /
  • Daily Briefing • 22. Juni 2026
Schulungen zu Datenschutz & Cyber-Sicherheit Firmen-Flatrate
mehr erfahren
Daily-Briefing Datenschutz & IT-Sicherheit · 22.06.2026
Cyber-Security.academy

Daily-Briefing Datenschutz & IT-Sicherheit

Deutschland · Datenschutz · Datensicherheit · IT-Sicherheit · Urteile · Bußgelder · Cyber-Sicherheit

Stand: Montag, 22. Juni 2026

Schnellüberblick für alle ↓  ·  IT-Detailansicht ↓

Worauf Sie heute achten sollten

  • PSD2-Phishing trifft jetzt easybank-Kunden. Die seit Tagen laufende Betrugswelle im Namen von Banken erfasst heute easybank: Eine gefälschte „Mitteilung zur Aktualisierung Ihrer Kontodaten“ beruft sich auf die PSD2-Sicherheitsrichtlinien und droht mit Sperrung des Online-Bankings. Klicken Sie nicht auf den Link, sondern öffnen Sie Ihr Banking ausschließlich über die bekannte Adresse oder die offizielle App. Keine seriöse Bank fordert per Mail unter Fristdruck zur „Verifizierung“ auf.
  • BGH: Makler dürfen Innenraumfotos nicht ohne Erlaubnis verbreiten. Der Bundesgerichtshof hat klargestellt, dass dem Eigentümer einer Immobilie ein Unterlassungsanspruch zusteht, wenn ein Makler Innenaufnahmen ohne seine Einwilligung öffentlich zur Vermarktung nutzt. Wer eine Wohnung oder ein Ladenlokal besitzt, kann der ungenehmigten Verwendung solcher Fotos widersprechen — und im Fall einer berechtigten Abmahnung die Anwaltskosten ersetzt verlangen.
  • Datenschützer wollen mehr Durchsetzungskraft. Die Datenschutzkonferenz fordert in ihren „Stuttgarter Impulsen“, die Aufsicht im Bundesdatenschutzgesetz fester zu verankern und Entscheidungen verbindlicher zu machen — bei zuletzt über 60.000 Beschwerden pro Jahr. Für Verbraucher kann das bedeuten, dass Datenschutz-Verstöße künftig einheitlicher und konsequenter verfolgt werden.
  • Wenn der Dienstleister gehackt wird. Ein Datenleck beim Branchen-Dienstleister Klue zeigt, wie ein einzelner Vorfall Dutzende Kundenunternehmen trifft. Auch wenn Sie selbst gut abgesichert sind: Ihre Daten liegen oft bei Dienstleistern. Bei ungewöhnlichen Kontaktaufnahmen, die sich auf bestehende Geschäftsbeziehungen berufen, lohnt erhöhte Vorsicht.

Aktuelle Phishing- und Betrugswellen

Die seit gut einer Woche laufende Banking-Phishing-Welle setzt sich fort und wechselt dabei laufend den vorgetäuschten Absender. Nach PayPal, Volksbanken/Raiffeisenbanken und Commerzbank verzeichnet der Phishing-Radar der Verbraucherzentrale am 22. Juni eine Masche im Namen der easybank: Eine angebliche „Mitteilung zur Aktualisierung Ihrer Kontodaten“ beruft sich auf die PSD2-Sicherheitsrichtlinien und droht mit der Sperrung des Online-Bankings, falls nicht umgehend „verifiziert“ werde.

Das Grundmuster bleibt über alle Wellen identisch: eine erfundene Frist, die Drohung mit Sperrung oder Einschränkung und ein Link auf eine täuschend echte Anmeldeseite. Geben Sie Zugangsdaten, TAN oder Kartendaten niemals über einen Link aus einer E-Mail oder SMS ein. Rufen Sie Ihr Konto stattdessen über die selbst gespeicherte Adresse oder die offizielle App auf und melden Sie verdächtige Nachrichten Ihrer Bank. Im Zweifel gilt: Eine echte Sperrung wird Ihnen Ihre Bank über die offiziellen Kanäle mitteilen, nicht per Drohmail mit Countdown.

Was war los?

Auf der technischen Seite steht eine kritische, bereits aktiv ausgenutzte Sicherheitslücke in der weit verbreiteten Analyse-Software Splunk im Vordergrund (CVE-2026-20253). Angreifer können sie ohne Anmeldung ausnutzen; die US-Cyberbehörde CISA hat sie auf ihre Liste der dringend zu schließenden Lücken gesetzt. Für Privatpersonen ist das kein direktes Risiko, illustriert aber, wie schnell aus einer veröffentlichten Schwachstelle ein realer Angriff wird.

Daneben zeigt ein Datenleck beim Wettbewerbsanalyse-Dienstleister Klue die Verletzlichkeit von Lieferketten: Über gestohlene Zugangs-Token zu einem angebundenen Cloud-Dienst gelangten Angreifer an Daten zahlreicher Kundenunternehmen, eine neue Erpressergruppe setzte eine Veröffentlichungsfrist. Solche Vorfälle bei Dienstleistern betreffen am Ende auch die Daten von Menschen, die mit dem Dienstleister selbst nie zu tun hatten.

Was sich rechtlich geändert hat

Der Bundesgerichtshof hat in einem Versäumnisurteil bekräftigt, dass die öffentliche Vermarktung einer Immobilie mit Innenraumfotos einen Unterlassungsanspruch des Eigentümers aus § 1004 BGB auslösen kann, wenn dieser nicht eingewilligt hat. Die Entscheidung stärkt die Kontrolle von Eigentümern über Aufnahmen aus ihren Räumen und ist für die gängige Maklerpraxis relevant (Details in Kapitel 4).

Auf der Aufsichtsebene hat die Datenschutzkonferenz mit den „Stuttgarter Impulsen“ ein Reformpapier vorgelegt, das die bislang informell arbeitende Konferenz gesetzlich im BDSG verankern und ihre Beschlüsse verbindlicher machen will. Das ist noch kein geltendes Recht, sondern eine politische Forderung mit Konsultationsphase — könnte die Datenschutzaufsicht in Deutschland aber spürbar vereinheitlichen.

IT-Detailansicht für Fachpublikum

Im Folgenden die fachliche Detailansicht: Top-Themen der Woche, Management Summary, Top-Risiken sowie die sechs Kapitel (Datenschutz, Datensicherheit, IT-Sicherheit, Urteile, Bußgelder, Cyber-Sicherheit), ergänzt um einen Überblick zu KI und großen Sprachmodellen, einen Ausblick, die Methodik und das Quellenverzeichnis.

Top-Themen der Woche

1. Splunk Enterprise: unauthentifizierte RCE (CVE-2026-20253, CVSS 9.8) aktiv ausgenutzt

Seit Mittwoch, 10. Juni 2026 · zuletzt aktualisiert Montag, 22. Juni 2026 · Score 90

Eine fehlende Authentifizierung im lokalen PostgreSQL-Sidecar von Splunk Enterprise erlaubt unauthentifizierten Angreifern Dateioperationen bis zur Codeausführung.

Letzte Entwicklung: Splunk bestätigte am 18. Juni begrenzte aktive Ausnutzung; CISA nahm die Lücke am selben Tag in den KEV-Katalog auf (Behördenfrist 21. Juni) — die erste Splunk-CVE überhaupt im KEV. Öffentlicher PoC seit 12. Juni. Betroffen sind die Branches 10.0 und 10.2 (Fixes in 10.0.7 / 10.2.4), Branch 10.4 nicht.

2. Klue/Icarus: Lieferketten-Datenleck über gestohlene OAuth-Token

Seit Freitag, 12. Juni 2026 · zuletzt aktualisiert Montag, 22. Juni 2026 · Score 78

Beim Competitive-Intelligence-Anbieter Klue griffen Angreifer über entwendete OAuth-Token zur Salesforce-Anbindung Kundendaten ab; die neue Erpressergruppe „Icarus“ setzte eine Veröffentlichungsfrist auf den 22. Juni.

Letzte Entwicklung: Salesforce deaktivierte die Integration am 17. Juni, Klue machte den Vorfall am 19. Juni öffentlich. Bestätigt betroffen sind u. a. Huntress, Recorded Future, Jamf, Tanium, Insurity und Sprout Social — abgeflossen sind Firmennamen, genutzte Produkte, Abodetails und Geschäftskontakte.

Management Summary

Das technische Lagebild des Tages wird von einer kritischen, bereits aktiv ausgenutzten Schwachstelle bestimmt: CVE-2026-20253 in Splunk Enterprise (CVSS 9.8). Eine fehlende Authentifizierung (CWE-306) im lokalen PostgreSQL-Sidecar-Endpoint leitet Anfragen vom öffentlichen Webserver an interne Recovery-Endpunkte weiter und akzeptiert beliebige — auch leere — Zugangsdaten; im Ergebnis sind unauthentifizierte Dateierstellung und -überschreibung bis hin zur Remote Code Execution möglich. Splunk bestätigte am 18. Juni eine begrenzte aktive Ausnutzung, CISA nahm die Lücke noch am selben Tag in den KEV-Katalog auf (Behördenfrist 21. Juni); ein öffentlicher Proof-of-Concept kursiert seit dem 12. Juni. Betroffen sind die Versionszweige 10.0 und 10.2 (behoben in 10.0.7 bzw. 10.2.4), während 10.4 nicht betroffen ist; als Sofortmaßnahme empfiehlt sich die Deaktivierung des Sidecar-Dienstes. Parallel zeigt ein Datenleck beim Wettbewerbsanalyse-Dienstleister Klue die Verwundbarkeit von Lieferketten: Über gestohlene OAuth-Token zur Salesforce-Anbindung flossen Daten zahlreicher Kundenunternehmen ab; die neue Erpressergruppe „Icarus“ setzte eine Veröffentlichungsfrist auf den heutigen 22. Juni.

Datenschutz- und rechtsseitig prägen drei Entwicklungen den Tag. Die Datenschutzkonferenz hat mit den „Stuttgarter Impulsen“ ein Reformpapier beschlossen, das die Konferenz gesetzlich im BDSG verankern, ihre Beschlüsse im nicht-öffentlichen Bereich verbindlicher machen und eine feste Geschäftsstelle schaffen will — begründet mit über 60.000 Beschwerden im Jahr 2025. Der Bundesgerichtshof hat in einem Versäumnisurteil (III ZR 164/25) bekräftigt, dass Innenraumfotos einer Immobilie ohne Einwilligung des Eigentümers einen Unterlassungsanspruch aus § 1004 BGB begründen können. Und die französische Aufsicht CNIL hat ein Bußgeld von 5 Millionen Euro gegen den Gesundheitsdaten-Dienstleister IQVIA verhängt (Sanktion vom 26. Mai, hier erstmals aufgegriffen). Auf Verbraucherseite läuft die Banking-Phishing-Welle weiter und trifft nun easybank-Kunden. Neue deutsche DSGVO-Bußgelder mit Primärquelle aus dem engen Berichtszeitraum lagen nicht vor.

Die wichtigsten Punkte im Überblick

  • Splunk Enterprise CVE-2026-20253 (CVSS 9.8): unauthentifizierte RCE, aktiv ausgenutzt, erste Splunk-CVE im CISA-KEV — auf 10.0.7 / 10.2.4 aktualisieren, Sidecar deaktivieren.
  • Klue/Icarus: Lieferketten-Datenleck über Salesforce-OAuth-Token; Huntress, Recorded Future, Jamf, Tanium u. a. betroffen, Erpresserfrist 22.06.
  • DSK „Stuttgarter Impulse“: gesetzliche Verankerung der Konferenz im BDSG gefordert, > 60.000 Beschwerden in 2025.
  • BGH III ZR 164/25: Innenraumfotos durch Makler ohne Einwilligung → Unterlassungsanspruch des Eigentümers aus § 1004 BGB.
  • CNIL: 5 Mio. € gegen IQVIA wegen Gesundheitsdaten-Warehouses (SAN-2026-008, 26.05.).
  • easybank-PSD2-Phishing als jüngster Ableger der laufenden Banking-Welle.

Top-Risiken – Handlungsempfehlungen für heute

  • Splunk sofort patchen – Splunk Enterprise auf 10.0.7 bzw. 10.2.4 aktualisieren; wo das nicht sofort möglich ist, den PostgreSQL-Sidecar-Dienst deaktivieren und den öffentlichen Webserver-Zugang einschränken.
  • OAuth-/Cloud-Integrationen prüfen – angebundene SaaS-Integrationen (Salesforce u. a.) auf aktive Token und ungewöhnliche Zugriffe kontrollieren, Token rotieren, Least-Privilege durchsetzen — der Klue-Fall lief über gestohlene OAuth-Token.
  • Lieferketten-Exposition bewerten – welche Dienstleister halten welche Daten? Melde- und Informationswege für Dienstleister-Vorfälle bereithalten.
  • Phishing-Sensibilisierung – Beschäftigte und Kundschaft vor der weiterlaufenden Banking-/PSD2-Welle (jetzt easybank) warnen; Zugangsdaten nie über Mail-Links eingeben.

1. Datenschutz

Datenschutzseitig steht eine aufsichtspolitische Weichenstellung im Vordergrund: Die Datenschutzkonferenz will ihre eigene Rolle stärken und verbindlicher machen.

1.1 DSK beschließt „Stuttgarter Impulse zur Modernisierung des Datenschutzes“

18.06.2026 · LfDI Baden-Württemberg — Pressemitteilung

Zusammenfassung: Die 16 deutschen Datenschutzaufsichtsbehörden haben auf der 111. Konferenz in Stuttgart (Vorsitz Prof. Dr. Tobias Keber, Baden-Württemberg) einstimmig ein Reformpapier beschlossen. Kernforderung ist die gesetzliche Verankerung der bislang nur informell arbeitenden Datenschutzkonferenz im Bundesdatenschutzgesetz, ergänzt um verbindliche Mehrheitsentscheidungen im nicht-öffentlichen Bereich und eine feste zentrale Geschäftsstelle.

Hintergrund & Einordnung: Begründet wird der Reformbedarf unter anderem mit bundesweit über 60.000 Beschwerden im Jahr 2025 und der föderal zersplitterten Zuständigkeit, die zu uneinheitlicher Rechtsanwendung führt. Die Impulse sind als Diskussionsgrundlage formuliert; eine Konsultationsphase schließt sich an. Es handelt sich ausdrücklich nicht um geltendes Recht, sondern um eine abgestimmte Position der Aufsicht gegenüber dem Gesetzgeber. (Abzugrenzen von den am 19.06. gemeldeten DSK-Beschlüssen zu 6G-Radarsensorik und Jugendmedienbildung — hier geht es um die Struktur der Aufsicht selbst.)

Praxisfolgen / Handlungsempfehlung: Für Unternehmen mit bundesweiter Tätigkeit könnte eine gestärkte, verbindlicher entscheidende DSK mittelfristig mehr Rechtssicherheit, aber auch konsequentere Durchsetzung bedeuten. Verantwortliche sollten die Konsultation beobachten; an den materiellen DSGVO-Pflichten ändert sich vorerst nichts.

2. Datensicherheit

Der Vorfall des Tages ist ein Lehrstück über Cloud-Integrationen: Nicht ein Server wurde direkt kompromittiert, sondern die Vertrauensbeziehung zwischen zwei Diensten.

2.1 Klue: Lieferketten-Datenleck über gestohlene Salesforce-OAuth-Token

19.06.2026 · Infosecurity Magazine

Zusammenfassung: Beim kanadischen Competitive-Intelligence-Anbieter Klue wurde am 12. Juni ein Einbruch über gestohlene OAuth-Token zur Salesforce-Authentifizierung erkannt. Salesforce deaktivierte die Integration am 17. Juni, CEO Jason Smith machte den Vorfall am 19. Juni öffentlich. Die neue Erpressergruppe „Icarus“ beanspruchte die Tat und setzte kontaktierten Klue-Kunden eine Frist bis zum 22. Juni, bevor Daten veröffentlicht werden.

Hintergrund & Einordnung: Bestätigt betroffen sind unter anderem die Sicherheitsfirmen Huntress, Recorded Future, Jamf und Tanium sowie Insurity und Sprout Social. Bei Huntress-Kunden flossen Firmennamen, getestete und genutzte Produkte, Abodetails, Geschäftskontakte sowie Vertriebs- und Marketingkommunikation ab. Der Angriff reiht sich in eine Serie von Vorfällen ein, bei denen nicht das Zielunternehmen selbst, sondern die OAuth-Vertrauensstellung zu einem SaaS-Dienst der Hebel war.

Praxisfolgen / Handlungsempfehlung: Organisationen sollten angebundene SaaS-Integrationen inventarisieren, OAuth-Token regelmäßig rotieren und auf das notwendige Mindestmaß an Berechtigungen beschränken, Zugriffe protokollieren und auf anomale Token-Nutzung überwachen. Da abgeflossene B2B-Kontaktdaten für gezieltes Spear-Phishing taugen, ist eine Sensibilisierung der genannten Kundenkreise angezeigt.

3. IT-Sicherheit

Im Zentrum steht eine unauthentifizierte Remote-Code-Execution-Lücke mit Höchstwertung, die bereits aktiv ausgenutzt wird.

3.1 Splunk Enterprise: unauthentifizierte RCE (CVE-2026-20253, CVSS 9.8), aktiv ausgenutzt

18.06.2026 · Security Affairs · Help Net Security

Zusammenfassung: Splunk offenbarte am 10. Juni eine Missing-Authentication-Schwachstelle (CWE-306) im lokalen PostgreSQL-Sidecar-Endpoint von Splunk Enterprise: Anfragen an den öffentlichen Webserver werden an interne Recovery-Endpunkte weitergeleitet, wobei beliebige — auch leere — Zugangsdaten akzeptiert werden. Ergebnis ist eine unauthentifizierte Dateierstellung und -überschreibung bis hin zur Remote Code Execution (CVSS 9.8).

Hintergrund & Einordnung: Betroffen sind die Versionszweige 10.0 und 10.2 (behoben in 10.0.7 bzw. 10.2.4); Branch 10.4 ist nicht betroffen. Ein öffentlicher Proof-of-Concept kursiert seit dem 12. Juni (watchTowr). Splunk bestätigte am 18. Juni eine begrenzte aktive Ausnutzung; CISA nahm die Lücke am selben Tag in den KEV-Katalog auf — die erste Splunk-CVE überhaupt im Katalog — mit Behördenfrist zum 21. Juni.

Praxisfolgen / Handlungsempfehlung: Betroffene Installationen umgehend auf 10.0.7 bzw. 10.2.4 aktualisieren. Wo ein sofortiges Update nicht möglich ist, den PostgreSQL-Sidecar-Dienst deaktivieren und den Zugriff auf den öffentlichen Webserver einschränken. Da Splunk häufig sicherheitsrelevante Logdaten zentralisiert, wiegt eine Kompromittierung doppelt — Angreifer erhielten potenziell Einblick in die Detektionsbasis selbst.

4. Urteile

Im Urteilskapitel steht eine höchstrichterliche Entscheidung zu Bildaufnahmen aus privaten bzw. gemieteten Räumen — relevant für die gesamte Immobilien-Vermarktungspraxis.

4.1 BGH: Innenraumfotos durch Makler begründen Unterlassungsanspruch des Eigentümers

BGH · 30.04.2026 · III ZR 164/25 · BGH-Volltext (PDF)

Sachverhalt: Der Eigentümer einer an eine GmbH vermieteten Münchner Gewerbeimmobilie verlangte Erstattung der Anwaltskosten für eine Abmahnung. Die Mieterin hatte ein Maklerunternehmen mit der Unter-/Nachmietersuche beauftragt; dieses vermarktete das Ladenlokal ab April 2024 über Internetportale mit Innenraumfotos, ohne dass der Eigentümer eingewilligt hatte. Nach Abmahnung gab der Makler eine modifizierte Unterlassungserklärung ab, verweigerte aber die Kostenübernahme.

Entscheidung: Der III. Zivilsenat hob das Berufungsurteil des LG München I per Versäumnisurteil auf und verwies zurück. Im Kern bestätigt er: Dem Eigentümer kann gegen die ungenehmigte öffentliche Verwendung von Innenraumfotos ein Unterlassungsanspruch aus § 1004 Abs. 1 BGB zustehen (Fortführung der BGH-Linie zu Außen- und Innenaufnahmen).

Begründungs-Kernpunkte: Ein Anspruch aus berechtigter Geschäftsführung ohne Auftrag (§§ 677, 681 BGB) — auf den das Berufungsgericht abgestellt hatte — scheidet aus, wenn der Mieter den Makler nur mit der Unter-/Nachmietersuche beauftragt hat; der Vermieter ist davon nur reflexhaft betroffen. Bei einer berechtigten Abmahnung können die erforderlichen Anwaltskosten jedoch nach §§ 677, 683 Satz 1, 670 BGB ersetzt werden.

Praxisfolgen: Eigentümer behalten die Kontrolle über Aufnahmen aus ihren Räumen; Makler und Vermarkter sollten die Einwilligung des Eigentümers für Innenraumfotos dokumentieren, bevor sie Objekte öffentlich bewerben. Die Entscheidung betrifft Bild- und Eigentümerrechte und ergänzt die datenschutzrechtliche Diskussion um die Verbreitung von Raumaufnahmen. Aufbereitung in der KB-Urteilssammlung (BGH III ZR 164/25).

5. Bußgelder

5.1 CNIL: 5 Millionen Euro gegen IQVIA wegen Gesundheitsdaten-Warehouses

26.05.2026 · CNIL

Behörde: Commission nationale de l’informatique et des libertés (CNIL, Frankreich) · Adressat: IQVIA Operations France · Höhe: 5.000.000 Euro (Délibération SAN-2026-008)

Verstoß / Rechtsgrundlage: Nichteinhaltung der CNIL-Autorisierungsbedingungen für zwei Gesundheitsdaten-Warehouses (Art. 66 frz. Datenschutzgesetz), unzureichende Information der Betroffenen (Art. 14 DSGVO), Sicherheitsmängel (Art. 32 DSGVO — u. a. fehlende Log-Analyse, keine Mehrfaktor-Authentifizierung beim EMR-Warehouse) sowie mangelhafte Umsetzung des Widerspruchsrechts.

Begründung: Betroffen sind die Warehouses LRX (Daten aus rund 14.000 Apotheken) und EMR (aus mehreren tausend Arztpraxen) mit Daten in zweistelliger Millionenhöhe an Personen. Die für die Autorisierung geltenden Auflagen wurden nicht eingehalten. Hinweis: Die Sanktion datiert vom 26. Mai 2026 und wird hier erstmals aufgegriffen, da im engen Berichtszeitraum keine neuere DSGVO-Bußgeldentscheidung mit belastbarer Primärquelle vorlag.

Praxisfolgen: Wer Gesundheits- oder andere besondere Datenkategorien in großem Stil verarbeitet, muss die Auflagen der jeweiligen Genehmigung strikt einhalten, Betroffene transparent informieren und technische Mindeststandards (MFA, Protokollierung und deren Auswertung) nachweisbar umsetzen. Eine erteilte Autorisierung schützt nicht vor Sanktionen, wenn ihre Bedingungen verfehlt werden.

6. Cyber-Sicherheit

Der prägende Cyber-Vorfall mit Kampagnen- und Erpressungscharakter ist das Klue/Icarus-Lieferketten-Datenleck (siehe Kapitel 2), das zugleich Token-Diebstahl, Branchenbreite und eine laufende Erpressungsfrist verbindet. Eine darüber hinausgehende, unabhängig bestätigte neue Großkampagne oder APT-Aktivität mit belastbarem Deep-Link ließ sich im Berichtszeitraum (19.–22. Juni) nicht verifizieren; auf schwach belegte Leak-Site-Claims wird bewusst verzichtet.

KI & große Sprachmodelle

In den letzten Tagen wurde kein bestätigtes neues Frontier-Modell veröffentlicht; die Übersicht gibt den Stand der einschlägigen Tracker (u. a. llm-stats.com) wieder, unbestätigte Angaben sind gekennzeichnet.

  • OpenAI: Aktuelles Flaggschiff bleibt GPT-5.5 (Rollout seit Ende April); kein Juni-Release.
  • Google: Gemini 3.5 Flash ist seit der I/O (19.05.) allgemein verfügbar und Default in App und AI-Modus; Gemini 3.5 Pro ist für „nächsten Monat“ angekündigt, jedoch noch ohne festes Datum und öffentliche Model-Card (unbestätigt).
  • Anthropic: Die Mythos-Modellklasse ist aktiv; Berichte nennen ein breiter zugängliches Modell mit hohen SWE-bench-Werten. Versionsbezeichnungen mit Mitte-Juni-Release sind bislang Gerücht (unbestätigt).
  • Moonshot AI: Kimi K2.7 Code (12.06.) ist das jüngste getrackte Release.
  • Mistral: Mistral 3 (dense- und sparse-Varianten) als jüngste Open-Weight-Linie; kein neues Release im Zeitfenster.
  • Meta / DeepSeek / Alibaba-Qwen / xAI: Kein bestätigtes neues Modell im Zeitfenster; Grok 5 (xAI) bleibt angekündigt/verzögert (unbestätigt).

Datenschutz-/Sicherheitsrelevanz: Maßgeblich bleiben — unabhängig vom Modellstand — die Eingabe sensibler Daten, Auftragsverarbeitung und das Modell-Hosting.

Ausblick / Termine

  • 30.06.–01.07.2026, Berlin: GITEX AI Europe, Leitthema „Digital Sovereignty“; am 01.07. spricht Prof. Dr. Dennis-Kenji Kipker zu generativer KI und Angriffsdynamik.
  • 30.06.2026 (online): Webinar „Desinformation als Unternehmensrisiko“ (VSW Bundesverband).
  • 01.–02.07.2026: SicherheitsExpo (u. a. KRITIS- und Behörden-Sicherheitstechnik).
  • 15.–16.07.2026, Münster: KRIFA Münster — Schutz Kritischer Infrastrukturen.
  • 21.10.2026 (vorgemerkt): BGH-Entscheidung zu Schufa-Auskunftsansprüchen nach Art. 15 DSGVO erwartet (Verhandlung am 18.06.).

Methodik

Stichtag dieser Ausgabe ist Montag, der 22. Juni 2026; berücksichtigt sind Meldungen der letzten Tage inklusive Wochenende (bei dünner Lage bis sieben Tage zurück, bei Urteilen bis zu acht Wochen ab Verfügbarkeit der schriftlichen Entscheidung), sofern in vorherigen Briefings noch nicht behandelt. Aufgenommen werden ausschließlich über konkrete Deep-Links belegte Sachverhalte; bevorzugt Primärquellen (Behörden, Gerichte, Hersteller-Advisories) und etablierte Fachmedien. Englischsprachige Quellen werden sinngemäß ins Deutsche übersetzt, der Originallink bleibt erhalten. Eine als Quelle vorgesehene Phishing-Warnung (mimikama, gefälschte Allianz-Umfrage) war wegen einer Bot-Schutz-Wall nicht verifizierbar und wurde gestrichen. Das CNIL-Bußgeld gegen IQVIA datiert vom 26.05. und wurde mangels neuerer belastbarer Bußgeldentscheidung erstmals aufgegriffen. Dieses Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.

Quellenverzeichnis

  1. Verbraucherzentrale — Phishing-Radar: aktuelle Warnungen
  2. LfDI Baden-Württemberg — Stuttgarter Impulse zur Modernisierung des Datenschutzes
  3. Infosecurity Magazine — Klue breach compromises cybersecurity vendors
  4. Security Affairs — CISA adds Splunk Enterprise flaw (CVE-2026-20253) to KEV
  5. Help Net Security — Splunk vulnerability CVE-2026-20253 exploited
  6. CNIL — Health data: fine of 5 million euros against IQVIA (SAN-2026-008)
  7. BGH — III ZR 164/25, Versäumnisurteil vom 30.04.2026 (Volltext-PDF)
  8. LLM Stats — LLM Updates / Model-Releases (Juni 2026)
  9. Informatik Aktuell — IT-Security-Konferenzen 2026 (Termine)
Achim Schmidt · cyber-security.academy · Stand: Montag, 22. Juni 2026

Unsere Kurse

Demozugang  bestellen
Demozugang  bestellen

Die Infos auf unserem Blog stellen grundsätzlich keine Rechtsberatung dar,
sondern dienen lediglich der Information.

Schulungen zu Datenschutz & Cyber-Sicherheit Firmen-Flatrate

mehr erfahren
>