1. Cisco Catalyst SD-WAN Controller: Authentifizierungs-Umgehung (CVSS 10.0) aktiv ausgenutzt

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Dienstag, 2. Juni 2026 · Score 95

Cisco bestätigt die aktive Ausnutzung von CVE-2026-20182 im Catalyst SD-WAN Controller (vormals vSmart) und im SD-WAN Manager (vormals vManage). Eine Schwäche der Peering-Authentifizierung über DTLS (UDP 12346) erlaubt nicht authentifizierten Angreifern administrativen Zugriff aus dem Netz; die Lücke ist mit CVSS 10.0 maximal kritisch und steht im CISA-KEV-Katalog.

Letzte Entwicklung: Die in Europa beobachteten Scan-Wellen halten an, und ein öffentliches Metasploit-Modul senkt die Einstiegshürde für Massenangriffe. Betreiber sollten exponierte Management-Ebenen weiterhin als kompromittiert behandeln, bis Patch-Stand und Integrität verifiziert sind.

2. LiteSpeed cPanel-Plugin CVE-2026-48172 (CVSS 10.0): Root-Eskalation aktiv ausgenutzt

Seit Donnerstag, 28. Mai 2026 · zuletzt aktualisiert Dienstag, 2. Juni 2026 · Score 90

Über die Funktion lsws.redisAble lassen sich beliebige Skripte mit Root-Rechten ausführen. CISA hatte die Lücke Ende Mai in den KEV-Katalog aufgenommen und Bundesbehörden eine sehr kurze Patch-Frist gesetzt. Betroffen sind die Versionen 2.3 bis 2.4.4; behoben ist sie im cPanel-Plugin 2.4.7 sowie im WHM-Plugin 5.3.1.0.

Letzte Entwicklung: Die KEV-Frist ist abgelaufen, die Massenausnutzung gegen Hosting-Umgebungen hält an, teils mit nachgelagerter Ransomware. Hosting-Anbieter sollten ihre Knoten auf eingeschleuste Skripte und neue Root-Prozesse untersuchen.

3. Microsoft Defender CVE-2026-41091: aktiv ausgenutzte SYSTEM-Privilegieneskalation – KEV-Frist heute

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Mittwoch, 3. Juni 2026 · Score 90

In der Malware Protection Engine ermöglicht eine fehlerhafte Symlink-Auflösung lokale Privilegieneskalation auf SYSTEM. Microsoft bestätigt die aktive Ausnutzung; CISA hat die Schwachstelle in den KEV-Katalog aufgenommen.

Letzte Entwicklung: Die KEV-Umsetzungsfrist endet am heutigen 3. Juni 2026. Da die Engine automatisch verteilt wird, sollten Administratoren die ausgerollten Versionsstände aktiv verifizieren, statt sich allein auf die automatische Aktualisierung zu verlassen.

4. Palo Alto PAN-OS GlobalProtect CVE-2026-0257: Authentifizierungs-Umgehung aktiv ausgenutzt

Seit Sonntag, 31. Mai 2026 · zuletzt aktualisiert Dienstag, 2. Juni 2026 · Score 90

Eine Authentifizierungs-Umgehung (CVSS 9.1) in Portal und Gateway von GlobalProtect erlaubt bei aktivierten Authentication-Override-Cookies eine unautorisierte VPN-Verbindung. Erste Ausnutzung am 18. Mai, zweite Welle am 21. Mai; Hersteller und ein unabhängiger MDR-Anbieter bestätigen die Angriffe.

Letzte Entwicklung: Die Schwachstelle steht mit kurzer Frist im KEV-Katalog; Sicherheitsforscher beobachten gefälschte VPN-Cookies bei mehreren Kunden. Betroffene Gateways sollten auf unautorisierte Sitzungen geprüft werden.

5. unimed-Datenpanne: über 120.000 Patientendaten der Universitätskliniken kompromittiert

Seit Mittwoch, 21. Mai 2026 · zuletzt aktualisiert Dienstag, 2. Juni 2026 · Score 88

Beim Abrechnungsdienstleister unimed wurden Daten von inzwischen mehr als 120.000 Patientinnen und Patienten entwendet, in rund 1.500 Fällen einschließlich Diagnoseinhalten. Betroffen sind vor allem Privatversicherte und Wahlleistungspatienten mehrerer Universitätskliniken.

Letzte Entwicklung: Zwölf Häuser melden Fälle; Betroffene sollten mit gezielten Folgebetrugsversuchen rechnen. Die Aufarbeitung beim Dienstleister und die Information der Betroffenen laufen weiter.

1.1 Data-Act-Durchführungsgesetz (DADG) in Kraft – geteilte Aufsicht zwischen BNetzA und Datenschutzbehörden

01.06.2026 · datenschutz notizen · Bundesnetzagentur · HmbBfDI

Zusammenfassung: Das „Datenverordnung-Anwendungs-und-Durchsetzungs-Gesetz“ (DADG) ist am 30. Mai 2026 in Kraft getreten und schließt rund neun Monate verspätet die Lücke zur europäischen Data-Act-Verordnung (vgl. BGBl.-Nr. 157). Es regelt Zuständigkeiten, Verfahrensvorschriften und den Bußgeldrahmen für die Durchsetzung in Deutschland. Die Pflichten aus dem Data Act – etwa zum Abschluss von Datennutzungsverträgen für nicht-personenbezogene Daten – gelten dem Grunde nach bereits seit dem 12. September 2025, lassen sich nun aber konkret prüfen und ahnden.

Hintergrund & Einordnung: Im Gesetzgebungsverfahren wurde lange über die Aufsichtszuständigkeit gestritten. Durchgesetzt hat sich ein zentralisiertes Modell: Nach § 2 DADG ist die Bundesnetzagentur grundsätzlich zuständige Behörde für Anwendung und Durchsetzung. Nach § 3 DADG bleibt die BfDI die Datenschutzaufsicht für die Verarbeitung personenbezogener Daten bei nicht-öffentlichen Stellen, während für öffentliche Stellen weiterhin die Landesdatenschutzbehörden zuständig sind; der HmbBfDI hat hierzu bereits eine erste Mitteilung veröffentlicht. § 15 DADG sieht einen Bußgeldrahmen bis zu zwei Prozent des weltweiten Gesamtumsatzes vor, bei juristischen Personen mit mehr als 250 Millionen Euro Umsatz.

Praxisfolgen / Handlungsempfehlung: Unternehmen und öffentliche Stellen sollten ihre Data-Act-Compliance jetzt verbindlich aufsetzen, da nun formelle Verfahren, Beanstandungen und Kontrollen drohen. Bestehende und neue Verträge über vernetzte Produkte und verbundene Dienste sind auf Datenzugangs- und Weitergabepflichten zu prüfen. Intern ist zu klären, welche der drei in Frage kommenden Behörden – BNetzA, BfDI oder Landesaufsicht – für den jeweiligen Anwendungsfall zuständig ist, und die Zusammenarbeit entsprechend zu dokumentieren.

1.2 Orientierungshilfe zu KI in Medizinprodukten

07.05.2026 · BfDI-Kurzmeldung · Dr. Datenschutz

Zusammenfassung: Die Bundesnetzagentur, das Hessische Ministerium für Digitalisierung und Innovation sowie die BfDI haben eine gemeinsame Orientierungshilfe für den Einsatz von Künstlicher Intelligenz in Medizinprodukten veröffentlicht. Die Roadmap erläutert das Zusammenspiel der europäischen KI-Verordnung mit dem bestehenden Medizinprodukterecht. Sie soll Herstellern und Anwendern mehr Rechtssicherheit bei Entwicklung und Einsatz KI-basierter Medizinprodukte verschaffen.

Hintergrund & Einordnung: Medizinprodukte mit KI-Komponenten unterliegen künftig gleich mehreren, teils überlagernden Regelwerken: der KI-Verordnung, dem Medizinprodukterecht und der DSGVO. Die Orientierungshilfe ordnet diese Pflichten und adressiert insbesondere Hochrisiko-Anwendungen, Konformitätsbewertung und Datenschutz-Folgenabschätzung. Sie reiht sich in eine Serie behördlicher Hilfestellungen zur praktischen Umsetzung der KI-Verordnung ein.

Praxisfolgen / Handlungsempfehlung: Hersteller und Betreiber KI-gestützter Medizinprodukte sollten Governance-Strukturen, Risikoklassifizierung und Datenschutz-Folgenabschätzungen frühzeitig an der Orientierungshilfe ausrichten. Die Verzahnung von Konformitätsbewertung nach Medizinprodukterecht und Datenschutzanforderungen sollte dokumentiert werden. Wer KI-Funktionen einkauft, sollte die Verantwortlichkeiten entlang der Lieferkette vertraglich klarstellen.

1.3 Jahresbericht 2025 des Europäischen Datenschutzbeauftragten

Mai 2026 · EDSB Annual Report 2025

Zusammenfassung: Der Europäische Datenschutzbeauftragte (EDSB) hat seinen Jahresbericht 2025 vorgelegt, der die KI-Aufsicht und internationale Datentransfers in den Mittelpunkt stellt. Der Bericht dokumentiert die Aufsichtstätigkeit über die EU-Institutionen und benennt Schwerpunkte für die kommenden Jahre. Datentransfers in Drittländer und der Einsatz generativer KI gehören zu den am intensivsten beleuchteten Themen.

Hintergrund & Einordnung: Der EDSB beaufsichtigt die Verarbeitung personenbezogener Daten durch EU-Organe und berät den europäischen Gesetzgeber. Sein Jahresbericht gibt Hinweise darauf, wie europäische Aufsichtsstellen die Schnittstellen von DSGVO, KI-Verordnung und Datentransfer-Recht künftig auslegen werden. Die Schwerpunktsetzung auf KI deckt sich mit dem Trend der nationalen Aufsichtsbehörden.

Praxisfolgen / Handlungsempfehlung: Organisationen mit EU-Bezug sollten die im Bericht formulierten Erwartungen an KI-Governance und Transfer-Folgenabschätzungen als Orientierung für die eigene Compliance nutzen. Wer generative KI einsetzt, sollte Rechtsgrundlagen, Transparenzpflichten und Datenflüsse sauber dokumentieren. Internationale Transfers gehören weiterhin auf den Prüfstand.

2.1 CISA nimmt zwei aktiv ausgenutzte Schwachstellen in den KEV-Katalog auf

02.06.2026 · CISA Alert · Help Net Security

Zusammenfassung: CISA hat am 2. Juni 2026 zwei Schwachstellen wegen belegter aktiver Ausnutzung in den KEV-Katalog aufgenommen: CVE-2022-0492, eine Improper-Authentication-Schwachstelle im Linux-Kernel über die cgroups-v1-Funktion release_agent, die Privilegieneskalation erlaubt, sowie CVE-2025-48595, einen Integer-Overflow im Android-Framework. Für Bundesbehörden gelten damit verbindliche Remediation-Fristen nach BOD 22-01.

Hintergrund & Einordnung: CVE-2022-0492 ist seit Jahren bekannt und betrifft Container-Umgebungen, in denen unprivilegierte Prozesse die release_agent-Funktion missbrauchen können, um aus dem Container auszubrechen. CVE-2025-48595 wird laut Google unter „begrenzter, gezielter Ausnutzung“ beobachtet; der lokale Angriffsvektor ohne erforderliche Nutzerinteraktion deutet auf bösartige Apps hin, die Opfern untergeschoben werden. Die Lücke betrifft Android 14, 15, 16 und 16-QPR2 und wird mit dem Juni-Patch geschlossen.

Praxisfolgen / Handlungsempfehlung: Linux-Betreiber sollten den Patch-Stand für CVE-2022-0492 prüfen und Container-Capabilities sowie unprivilegierte cgroup-Nutzung restriktiv konfigurieren. Für die mobile Flotte ist der Android-Patch-Level 2026-06-05 zeitnah durchzusetzen, idealerweise per MDM. Da CVE-2025-48595 ohne Nutzerinteraktion zu vollständigem Gerätezugriff führen kann, sollte die Installation von Apps aus inoffiziellen Quellen technisch unterbunden werden.

2.2 CIFSwitch (CVE-2026-46243): 19 Jahre alte lokale Root-Eskalation im Linux-CIFS-Umfeld

01.06.2026 · BleepingComputer · SecurityWeek

Zusammenfassung: Mit CIFSwitch (CVE-2026-46243) ist eine 19 Jahre alte lokale Root-Eskalation im CIFS-Umfeld des Linux-Kernels bekannt geworden, für die ein Proof-of-Concept verfügbar ist. Die Schwachstelle betrifft zahlreiche Enterprise-Distributionen, darunter die RHEL-, Rocky-, Alma- und SLES-Familien. Ein lokaler Angreifer kann darüber Root-Rechte erlangen.

Hintergrund & Einordnung: Die Lücke liegt im Zusammenspiel von cifs.upcall und der Kernel-Verarbeitung, sodass sie in vielen Umgebungen mit CIFS-/SMB-Mounts grundsätzlich ausnutzbar ist. Das hohe Alter zeigt, wie lange tief im Kernel verankerte Fehler unbemerkt bleiben können. Die Verfügbarkeit eines PoC erhöht die Wahrscheinlichkeit einer raschen Aufnahme in Angriffs-Werkzeugkästen.

Praxisfolgen / Handlungsempfehlung: Administratoren sollten den von der jeweiligen Distribution bereitgestellten Patch zeitnah einspielen. Wo das kurzfristig nicht möglich ist, sind der lokale Zugriff und die cifs.upcall-Nutzung einzuschränken. Besonders Multi-User- und Shared-Hosting-Systeme sind prioritär zu behandeln, da dort lokale Angreifer eher Zugriff haben.

2.3 ShinyHunters: Datendiebstähle bei Carnival und Charter

27.05.2026 · BleepingComputer (Carnival) · BleepingComputer (Charter)

Zusammenfassung: Der Erpresser- und Datendiebstahl-Gruppe ShinyHunters werden zwei große Vorfälle zugeschrieben: bei Carnival Corporation rund sechs Millionen Datensätze von Kundinnen und Kunden des Treueprogramms und bei Charter Communications etwa 42 Millionen Datensätze. In beiden Fällen geht es vorrangig um Stamm- und Kontaktdaten, die für Folgebetrug verwertbar sind.

Hintergrund & Einordnung: ShinyHunters ist seit Jahren für die Veröffentlichung und den Verkauf großer Datensätze bekannt und nutzt häufig kompromittierte Cloud- und CRM-Zugänge. Auch wenn die betroffenen Unternehmen vorrangig in Nordamerika tätig sind, gelangen die Daten über Untergrundforen in einen globalen Markt. Das Muster zeigt, wie schnell große Mengen personenbezogener Daten für Phishing und Identitätsbetrug zur Verfügung stehen.

Praxisfolgen / Handlungsempfehlung: Unternehmen mit umfangreichen Kundendatenbeständen sollten CRM- und Cloud-Zugänge mit phishing-resistenter Mehrfaktor-Authentifizierung absichern und Datenexporte überwachen. Betroffene Endkundinnen und Endkunden sollten mit gezieltem Phishing rechnen, das auf die geleakten Daten Bezug nimmt. Eindeutige Hinweise auf Folgebetrug sind den Aufsichtsbehörden und Strafverfolgern zu melden.

3.1 Cisco Catalyst SD-WAN CVE-2026-20182 (CVSS 10.0) weiterhin aktiv ausgenutzt

02.06.2026 · Cisco Security Advisory · BleepingComputer

Zusammenfassung: Cisco bestätigt die fortlaufende aktive Ausnutzung von CVE-2026-20182 im Catalyst SD-WAN Controller und Manager. Über eine fehlerhafte Peering-Authentifizierung via DTLS (UDP 12346) erlangen nicht authentifizierte Angreifer administrativen Zugriff. Die Lücke ist mit CVSS 10.0 maximal kritisch und steht im KEV-Katalog.

Hintergrund & Einordnung: Cisco führt die Angriffe mit hoher Konfidenz auf einen bestimmten Aktivitäts-Cluster zurück; ein öffentliches Metasploit-Modul senkt die Hürde für breit angelegte Scans erheblich. SD-WAN-Controller sind besonders attraktiv, weil sie zentrale Steuerungsfunktion über verteilte Netze besitzen. Eine erfolgreiche Kompromittierung kann sich auf das gesamte verwaltete Netz auswirken.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten umgehend auf die bereinigten Versionen aktualisieren und exponierte Management-Ebenen bis zur Verifizierung als kompromittiert behandeln. Der Zugriff auf die DTLS-Peering-Ports ist netzseitig strikt zu beschränken. Logdaten sind auf unautorisierte administrative Sitzungen und Konfigurationsänderungen zu prüfen.

3.2 LiteSpeed cPanel-Plugin CVE-2026-48172: Root-Eskalation, KEV-Frist verstrichen

02.06.2026 · CISA Alert · The Hacker News

Zusammenfassung: Die LiteSpeed-cPanel-Lücke CVE-2026-48172 (CVSS 10.0) erlaubt über die Funktion lsws.redisAble die Ausführung beliebiger Skripte mit Root-Rechten. CISA nahm sie Ende Mai in den KEV-Katalog auf; die Frist für Bundesbehörden ist verstrichen. Betroffen sind die Versionen 2.3 bis 2.4.4; behoben im cPanel-Plugin 2.4.7 und WHM-Plugin 5.3.1.0.

Hintergrund & Einordnung: Hosting-Plattformen wie cPanel/WHM sind hochattraktive Ziele, weil ein einzelner kompromittierter Knoten Zugriff auf zahlreiche gehostete Domains und Datenbanken eröffnet. Die Massenausnutzung gegen exponierte Umgebungen hält an, teils mit nachgelagerter Ransomware. Die maximale CVSS-Bewertung unterstreicht das Risiko vollständiger Übernahme.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten die fehlerbereinigten Plugin-Versionen sofort einspielen und ihre Knoten auf eingeschleuste Skripte, neue Root-Prozesse und unbekannte Cronjobs untersuchen. Kompromittierte Systeme sind als Ganzes zu bereinigen, nicht nur zu patchen. Backups und Integrität gehosteter Inhalte sind zu verifizieren.

3.3 Android- und Samsung-Juni-Patchday: 18 kritische Lücken

02.06.2026 · heise online (Android) · heise online (Samsung)

Zusammenfassung: Google hat im Juni-Patchday 18 als kritisch eingestufte Lücken in Android 14, 15, 16 und 16-QPR2 geschlossen, darunter Schwachstellen in System und Framework (z. B. CVE-2026-0043, CVE-2025-65018, CVE-2025-64720). Samsung verteilt im selben Zyklus 44 Fehlerbehebungen, davon fünf kritische, darunter eine Bluetooth-LE-Lücke (CVE-2026-0097), die ohne Nutzerinteraktion zur lokalen Rechteausweitung ausgenutzt werden kann.

Hintergrund & Einordnung: Während Google für die im Bulletin gelisteten Lücken zunächst keine aktive Ausnutzung meldet, ist die separat in den KEV-Katalog aufgenommene CVE-2025-48595 bereits gezielt ausgenutzt worden. Betroffen sind neben dem Android-Kern auch Komponenten von MediaTek, Qualcomm, Unisoc und Imagination Technologies. Der Patch-Level trägt das Datum 2026-06-05.

Praxisfolgen / Handlungsempfehlung: Organisationen sollten den Patch-Level 2026-06-05 für ihre mobile Flotte zeitnah durchsetzen und die Verteilung per MDM überwachen, da die Verfügbarkeit je nach Hersteller und Region variiert. Geräte ohne aktuellen Support sollten aus sensiblen Anwendungsfällen ausgeschlossen werden. Nutzerinnen und Nutzer privater Geräte sind aktiv zur Installation des Juni-Updates aufzufordern.

3.4 Palo Alto PAN-OS GlobalProtect CVE-2026-0257: Authentifizierungs-Umgehung

02.06.2026 · CISA Alert

Zusammenfassung: Die Authentifizierungs-Umgehung CVE-2026-0257 (CVSS 9.1) in PAN-OS GlobalProtect erlaubt bei aktivierten Authentication-Override-Cookies eine unautorisierte VPN-Verbindung. Hersteller und ein unabhängiger MDR-Anbieter haben die aktive Ausnutzung bestätigt; die Lücke steht im KEV-Katalog. Erste Angriffe wurden am 18. Mai beobachtet, eine zweite Welle am 21. Mai.

Hintergrund & Einordnung: VPN-Gateways sind seit Jahren ein bevorzugtes Einfallstor, weil sie per Definition aus dem Internet erreichbar sind und privilegierten Netzzugang vermitteln. Gefälschte Override-Cookies erlauben es Angreifern, sich ohne gültige Anmeldedaten als legitime Nutzer auszugeben. Sicherheitsforscher beobachten solche Cookies bei mehreren Kunden.

Praxisfolgen / Handlungsempfehlung: Betroffene Portale und Gateways sind umgehend zu aktualisieren und auf unautorisierte Sitzungen zu prüfen. Die Konfiguration der Authentication-Override-Funktion sollte kritisch hinterfragt und – wo nicht zwingend nötig – deaktiviert werden. Sitzungs- und Authentifizierungsprotokolle gehören in die forensische Auswertung.

4.1 VG Berlin: Ausweiskontrollen und punktuelle Videoüberwachung in Schwimmbädern zulässig

VG Berlin · 06.05.2026 · VG 42 K 73/25 · datenschutz notizen

Sachverhalt: Die Berliner Bäder-Betriebe hatten aus konkretem Anlass – wiederholte Gewaltvorfälle – Ausweiskontrollen ab 14 Jahren sowie punktuelle, also örtlich und zeitlich begrenzte Videoüberwachung in mehreren Freibädern eingeführt. Hiergegen richtete sich eine datenschutzrechtliche Beanstandung. Streitig war, ob diese Maßnahmen mit der DSGVO vereinbar sind.

Entscheidung: Das Verwaltungsgericht Berlin hat mit Urteil der 42. Kammer vom 6. Mai 2026 entschieden, dass die Ausweiskontrollen und die punktuelle Videoüberwachung datenschutzkonform sind. Die Maßnahmen wurden als verhältnismäßig und durch den Sicherheitszweck gerechtfertigt angesehen.

Begründungs-Kernpunkte: Maßgeblich war die Begrenzung der Maßnahmen auf konkrete Anlässe sowie ihre örtliche und zeitliche Beschränkung. Das Gericht stellte auf die Erforderlichkeit zur Wahrung der Sicherheit der Badegäste und Beschäftigten ab und sah die Eingriffsintensität als angemessen an. Pauschale oder flächendeckende Überwachung wäre demgegenüber kritisch zu bewerten gewesen.

Praxisfolgen: Betreiber öffentlicher Einrichtungen können Sicherheitsmaßnahmen auf eine tragfähige Rechtsgrundlage stützen, wenn sie sie anlassbezogen, dokumentiert und verhältnismäßig ausgestalten. Eine vorherige Datenschutz-Folgenabschätzung und klare Hinweisbeschilderung bleiben essenziell. Das Urteil ist ein Maßstab für die Abwägung zwischen Sicherheit und informationeller Selbstbestimmung im öffentlichen Raum.

4.2 BVerwG: Grenzen der Verarbeitung von PKV-Gesundheitsdaten für Vorsorgeprogramme

BVerwG · 6 C 7.24 · BVerwG-Entscheidung 6 C 7.24

Sachverhalt: Eine private Krankenversicherung wertete Gesundheitsdaten ihrer Versicherten aus, um Vorsorge- und Versorgungsprogramme zu steuern. Streitig war, unter welchen Voraussetzungen eine solche Verarbeitung besonderer Kategorien personenbezogener Daten zulässig ist. Das Verfahren betraf die Reichweite der erforderlichen Rechtsgrundlage und der Information der Betroffenen.

Entscheidung: Das Bundesverwaltungsgericht hat die Grenzen gezogen, innerhalb derer eine PKV Gesundheitsdaten für Vorsorgeprogramme auswerten darf. Es betont, dass dafür eine eigenständige, tragfähige Rechtsgrundlage und eine vollständige Information der Betroffenen erforderlich sind.

Begründungs-Kernpunkte: Gesundheitsdaten unterliegen als besondere Kategorie nach Art. 9 DSGVO einem erhöhten Schutz. Das Gericht stellt klar, dass eine Auswertung nicht allein auf das Versicherungsverhältnis gestützt werden kann, sondern Zweckbindung, Erforderlichkeit und Transparenz im Einzelnen gewahrt sein müssen. Eine umfassende Information der Versicherten ist Voraussetzung für die Rechtmäßigkeit.

Praxisfolgen: Versicherer und andere Verarbeiter sensibler Gesundheitsdaten sollten ihre Programme auf eine klare Rechtsgrundlage und vollständige Transparenzinformationen stützen. Datenschutz-Folgenabschätzungen und Zweckbindungskonzepte sind zu dokumentieren. Das Urteil hat Signalwirkung für die gesamte Branche der Gesundheitsdatenverarbeitung.

4.3 KG Berlin: Sorgfaltspflichten beim Einsatz von KI in anwaltlichen Schriftsätzen

KG Berlin · 17 WF 144/25 · heise online

Sachverhalt: In einem familienrechtlichen Verfahren hatten Anwälte in einem Schriftsatz eine Gerichtsentscheidung zitiert, die von einem KI-System frei erfunden („halluziniert“) worden war. Die vermeintliche Entscheidung existierte nicht. Das Gericht musste über die prozessualen Folgen und die Sorgfaltspflichten befinden.

Entscheidung: Das Kammergericht Berlin hat das Vorgehen gerügt und klargestellt, dass die Verwendung ungeprüfter KI-Ausgaben anwaltliche Sorgfaltspflichten verletzt. Wer KI-generierte Inhalte in Schriftsätze übernimmt, bleibt für deren Richtigkeit verantwortlich.

Begründungs-Kernpunkte: Das Gericht betont, dass die Berufsträger Quellen und Zitate eigenständig verifizieren müssen, bevor sie sie verwenden. Generative KI kann plausibel klingende, aber nicht existente Belege erzeugen; die Verantwortung für die Prüfung lässt sich nicht auf das Werkzeug verlagern. Eine sorgfältige Kontrolle ist Teil der prozessualen Wahrheitspflicht.

Praxisfolgen: Kanzleien und andere Organisationen, die generative KI einsetzen, sollten verbindliche Prüf- und Freigabeprozesse für KI-gestützte Texte etablieren. Zitate, Aktenzeichen und Fundstellen sind grundsätzlich gegen Primärquellen abzugleichen. Das Urteil ist über das Anwaltsrecht hinaus ein Maßstab für den verantwortungsvollen KI-Einsatz in der Sachbearbeitung.

5.1 MLU B.V. (Yango): 100 Millionen Euro für unzulässige Datentransfers nach Russland

18.05.2026 · Datatilsynet (Norwegen) · boerse-express

Behörde: Norwegische Datenschutzaufsicht (Datatilsynet) · Adressat: MLU B.V. (Betreiber des Fahrdienstes Yango) · Höhe: 100 Millionen Euro

Verstoß / Rechtsgrundlage: Die Aufsicht beanstandet unzulässige Übermittlungen personenbezogener Daten in ein Drittland (Russland) ohne ausreichende Garantien im Sinne der Kapitel-V-Vorgaben der DSGVO. Im Kern geht es um Transfers von Fahrgast- und Standortdaten an eine in Russland ansässige Stelle.

Begründung: Standardvertragsklauseln allein gewährleisten keinen rechtssicheren Transfer, wenn das Schutzniveau im Empfängerland nicht tatsächlich gewahrt ist und die Rollen der Beteiligten nicht korrekt abgebildet werden. Die Behörde wertet das Risiko des Zugriffs durch staatliche Stellen im Empfängerland als gravierend. Die Höhe des Bußgelds spiegelt die Schwere und die strukturelle Natur des Verstoßes wider.

Praxisfolgen: Verantwortliche sollten ihre Drittlandtransfers anhand einer aktuellen Transfer-Folgenabschätzung überprüfen und die praktische Wirksamkeit ergänzender technischer Maßnahmen belegen. Die rollenrichtige Abbildung von Verantwortlichen und Auftragsverarbeitern in den SCC ist zu kontrollieren. Transfers in Hochrisiko-Drittländer bedürfen besonderer Begründung.

5.2 Vodafone: 45-Millionen-Euro-Bußgeld

Mai 2026 · BfDI-Pressemitteilung

Behörde: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) · Adressat: Vodafone GmbH · Höhe: 45 Millionen Euro

Verstoß / Rechtsgrundlage: Gegenstand sind Defizite bei der Auftragsverarbeitung und der Sicherheit der Verarbeitung, die unter anderem den Schutz von Kundendaten gegen missbräuchliche Vertragsabschlüsse und unzureichende Kontrolle von Partnerstrukturen betreffen. Die Sanktion stützt sich auf Verstöße gegen die Rechenschafts- und Sicherheitspflichten der DSGVO.

Begründung: Die Aufsicht beanstandet, dass interne Kontroll- und Sicherungsmechanismen über Partner- und Vertriebsstrukturen hinweg nicht ausreichten, um Missbrauch wirksam zu verhindern. Die Höhe berücksichtigt Schwere, Dauer und die Zahl der betroffenen Personen. Das Verfahren unterstreicht die Verantwortung des Verantwortlichen für die gesamte Verarbeitungskette.

Praxisfolgen: Unternehmen mit ausgedehnten Partner- und Vertriebsnetzen sollten ihre Auftragsverarbeitungs- und Kontrollstrukturen überprüfen und wirksame Mechanismen gegen Identitäts- und Vertragsmissbrauch einrichten. Die Dokumentation technischer und organisatorischer Maßnahmen ist entscheidend für die Rechenschaftspflicht. Lieferketten- und Partnerrisiken gehören in das regelmäßige Datenschutz-Monitoring.

5.3 BlnBDI: Verwarnung gegen die BVG

Mai 2026 · Berliner Beauftragte für Datenschutz

Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) · Adressat: Berliner Verkehrsbetriebe (BVG) · Höhe: Verwarnung (kein Bußgeld)

Verstoß / Rechtsgrundlage: Anlass war ein Datenschutzvorfall im Umfeld der Kundendatenverarbeitung. Die Aufsicht sprach eine Verwarnung nach Art. 58 DSGVO aus, verzichtete aber auf ein Bußgeld. Im Vordergrund stehen Mängel bei der Sicherheit der Verarbeitung und der Reaktion auf den Vorfall.

Begründung: Die Behörde wertete das Verhalten als sanktionswürdig, hielt angesichts der Umstände und der ergriffenen Abhilfemaßnahmen jedoch eine Verwarnung für ausreichend. Eine Verwarnung dient als formelle Beanstandung und Mahnung, ohne den finanziellen Charakter eines Bußgelds zu haben. Sie kann bei wiederholten Verstößen verschärfend berücksichtigt werden.

Praxisfolgen: Auch eine Verwarnung ist eine dokumentierte aufsichtliche Maßnahme und sollte zum Anlass für eine Überprüfung der eigenen Sicherheits- und Meldeprozesse genommen werden. Verantwortliche sollten Vorfälle proaktiv und vollständig aufarbeiten, da kooperatives Verhalten in die Bewertung einfließt. Die Abgrenzung zwischen Verwarnung und Bußgeld hängt stark vom Einzelfall ab.

6.1 Rundfunkbeitrag-Phishing: täuschend echte „Zahlungsplan“-Mails

23.05.2026 · ZDFheute · wmn.de

Zusammenfassung: Seit Mitte Mai kursieren E-Mails mit dem Betreff „Ihr Zahlungsplan für den Rundfunkbeitrag ab 2026″, die das offizielle Logo und eine konkrete Beitragsnummer tragen und kaum von echter Post des Beitragsservice zu unterscheiden sind. Die Verbraucherzentrale warnt, dass alle Nachrichten dieselbe Beitragsnummer (826 737 149) und eine ausländische IBAN verwenden. Wer reagiert, überweist direkt an die Täter.

Hintergrund & Einordnung: Behördennahe Absender sind besonders wirksam, weil Empfänger eine Zahlungsaufforderung des Beitragsservice für plausibel halten. Die Absenderadresse führt nicht auf rundfunkbeitrag.de, sondern auf fremde Domains wie acuityscheduling.com; das Logo entspricht nicht dem aktuellen Corporate Design. Die immer gleiche Beitragsnummer entlarvt den Massenversand.

Praxisfolgen / Handlungsempfehlung: Empfänger sollten keine Links anklicken und offene Forderungen ausschließlich über das offizielle Beitragskonto prüfen. Verdächtige Mails lassen sich an das Phishing-Radar der Verbraucherzentrale melden. Unternehmen sollten ihre Beschäftigten gezielt für behördennahe Zahlungs-Phishings sensibilisieren, da diese auch im Geschäftskontext auftreten.

6.2 Kritische WordPress-Plugin-Lücke und Malware-Kampagne über kompromittierte Seiten

02.06.2026 · Security Affairs

Zusammenfassung: In der WordPress-Erweiterung WP Maps Pro wurde mit CVE-2026-8732 eine kritische Schwachstelle bekannt, über die Angreifer ohne Authentifizierung privilegierte Aktionen auslösen können. Parallel läuft eine breit angelegte Kampagne, die über rund 1.980 kompromittierte WordPress-Seiten Schadsoftware ausliefert. Beide Entwicklungen treffen vor allem kleinere Website-Betreiber.

Hintergrund & Einordnung: WordPress-Plugins sind ein bevorzugtes Einfallstor, weil viele Installationen selten aktualisiert werden und ein einzelnes verwundbares Plugin die gesamte Seite gefährdet. Über kompromittierte Seiten lassen sich Besucher auf Schadcode umleiten oder direkt infizieren. Die hohe Zahl betroffener Seiten zeigt die Skalierbarkeit solcher Angriffe.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten alle Plugins umgehend aktualisieren, nicht benötigte Erweiterungen entfernen und die Benutzerliste auf unbekannte Administratorkonten prüfen. Verfügbare Updates für WP Maps Pro sind sofort einzuspielen. Eine Überwachung auf unerwartete Dateiänderungen und ausgehende Weiterleitungen hilft, Kompromittierungen früh zu erkennen.

6.3 Signal-Backup-Phishing gegen Journalisten und Aktivisten

29.05.2026 · TechCrunch · Malwarebytes

Zusammenfassung: Eine Phishing-Kampagne versucht gezielt, an die Wiederherstellungsschlüssel für verschlüsselte Signal-Backups zu gelangen. Über gefälschte Anmelde- und Verifizierungsseiten sollen Opfer dazu gebracht werden, ihre Backup-Schlüssel preiszugeben. Betroffen sind vor allem Journalistinnen, Journalisten und politisch aktive Personen.

Hintergrund & Einordnung: Gelingt der Zugriff auf den Backup-Schlüssel, können Angreifer verschlüsselte Chatverläufe auf ein eigenes Gerät übertragen und mitlesen. Die Kampagne zielt auf eine besonders schützenswerte Nutzergruppe, lässt sich aber auf jeden übertragen. Sie zeigt, dass auch sichere Messenger über die Wiederherstellungsfunktion angegriffen werden.

Praxisfolgen / Handlungsempfehlung: Wiederherstellungs- und Backup-Schlüssel dürfen niemals auf einer Seite eingegeben werden, zu der ein Link geführt hat. Signal fragt solche Schlüssel nicht per Nachricht oder über externe Seiten ab. Besonders gefährdete Personen sollten ihre Geräte- und Backup-Konfiguration überprüfen und auf phishing-resistente Verfahren setzen.