1. EuGH zieht neue Grenze für die Plattformhaftung

Seit Dienstag, 16. Juni 2026 · zuletzt aktualisiert Mittwoch, 24. Juni 2026 · Score 88

In den verbundenen Rechtssachen C-188/24 und C-190/24 hat die Große Kammer des EuGH entschieden, dass ein Dienst, der per Algorithmus im eigenen Interesse über Bedingungen, Art und Rangfolge der Verbreitung nutzergenerierter Inhalte bestimmt, Kontrolle ausübt und damit kein neutraler Hosting-Dienst im Sinne des Art. 14 der E-Commerce-Richtlinie mehr ist. Das Verbot allgemeiner Überwachungspflichten (Art. 15) greift dann ebenfalls nicht.

Letzte Entwicklung: Die schriftlichen Gründe liegen vor; erste Kanzlei-Einordnungen ordnen das Urteil als Verschärfung der „aktiven Rolle“-Doktrin ein. Die ausführliche Aufbereitung erscheint als CSA-Urteilsbeitrag (ur-164).

2. PTC Windchill: aktiv ausgenutzte CVSS-10-Lücke, BSI warnte nachts

Seit Mittwoch, 17. Juni 2026 · zuletzt aktualisiert Mittwoch, 24. Juni 2026 · Score 84

In den PLM-Produkten PTC Windchill PDMLink und FlexPLM erlaubt eine unsichere Deserialisierung (CVE-2026-12569, CVSS 3.1: 10.0) unauthentifizierte Angriffe über das Netzwerk. Es laufen bereits aktive Angriffe, bei denen Backdoors platziert werden.

Letzte Entwicklung: Das BSI stufte den Fall über das Nationale IT-Lagezentrum als so dringend ein, dass Administratoren mitten in der Nacht alarmiert wurden – ein seltener Eskalationsgrad. Patches stehen bereit; verwundbare Systeme sind forensisch auf Kompromittierung zu prüfen.

1.1 Der Blue Guide als versteckte Pflichtlektüre für die KI-Verordnung

10.06.2026 · EUR-Lex (Blue Guide) · Noerr

Zusammenfassung: Der „Blue Guide“ ist der zentrale, rechtlich unverbindliche Leitfaden der EU-Kommission zur Umsetzung der Produktvorschriften (Bekanntmachung 2022/C 247/01, ABl. C 247 vom 29.6.2022). Er erläutert Kernbegriffe wie „Inverkehrbringen“, „Bereitstellung auf dem Markt“ sowie die Rollen von Hersteller, Einführer und Händler. Weil sich die KI-Verordnung (VO (EU) 2024/1689) für ihre Hochrisiko-Logik systematisch auf das Produktsicherheitskonzept des New Legislative Framework stützt, liefert der Blue Guide die oft ungeschriebene Logik hinter zentralen Begriffen.

Hintergrund & Einordnung: Besonders relevant ist der „Blue-Guide-Test“, mit dem sich beurteilen lässt, ab welcher Schwelle eine wesentliche Veränderung eines KI-Systems oder -Modells einen Betreiber zum haftenden Anbieter macht. Auch die Konformitätsvermutung bei Anwendung harmonisierter Normen wird hier erläutert. Maßgeblich bleibt jedoch, dass der Leitfaden nicht rechtsverbindlich ist – die verbindliche Auslegung obliegt dem EuGH, und Teile der Praxis-Literatur kritisieren, dass die Kommission Definitionen über den Wortlaut hinaus erweitert.

Praxisfolgen / Handlungsempfehlung: Wer KI-Systeme entwickelt oder substanziell modifiziert, sollte den Blue Guide heranziehen, um zu bestimmen, wann ein Produkt in Verkehr gebracht ist und ab wann eine Modifikation die eigene Einstufung als Anbieter mit den vollen KI-VO-Pflichten auslöst. Das ist gerade mit Blick auf den Anwendungsbeginn weiter Teile der KI-Verordnung zum 2. August 2026 entscheidend.

1.2 LfD Niedersachsen fordert staatsanwaltsgleiche Rechte im Bußgeldverfahren

04.06.2026 · LfD Niedersachsen · heise online

Zusammenfassung: Der Landesbeauftragte für den Datenschutz Niedersachsen, Denis Lehmkemper, schlägt eine Reform des Bußgeld-Verfahrensrechts vor. Bislang verliert die Datenschutzaufsicht die Verfahrensführung, sobald gegen einen Bußgeldbescheid Einspruch eingelegt wird und die Sache zu Gericht geht – sie geht an die Staatsanwaltschaft über. Die Behörde kann insbesondere nicht selbst Rechtsbeschwerde einlegen.

Hintergrund & Einordnung: Anlass sind Verfahren, in denen Bußgelder massiv reduziert oder aufgehoben wurden – etwa notebooksbilliger.de (10,4 Mio. Euro auf 900.000 Euro) und ein VW-Verfahren, in dem eine Rechtsbeschwerde an einem Formfehler scheiterte. Vorbild ist das Kartellrecht: Landesdatenschutzbehörden sollen als Antragsbeteiligte neben der Staatsanwaltschaft auftreten, eigene Schriftsätze einreichen und ihre Bußgeldbemessung fachlich erläutern dürfen. Der Vorstoß fällt zeitlich mit dem Deutsche-Wohnen-Urteil des LG Berlin I zusammen.

Praxisfolgen / Handlungsempfehlung: Wird der Vorschlag über ein Bundesratsverfahren umgesetzt, würden gerichtliche DSGVO-Bußgeldverfahren effizienter und für Unternehmen schwerer „herunterzuklagen“. Kurzfristig bleibt die heutige Lage bestehen – Einspruch und Gerichtsverfahren reduzieren Bußgelder in der Praxis weiterhin erheblich.

1.3 LfDI Rheinland-Pfalz: aktualisierter Handlungsrahmen Social Media für öffentliche Stellen

05.06.2026 · LfDI Rheinland-Pfalz

Zusammenfassung: Der LfDI Rheinland-Pfalz hat seinen Handlungsrahmen zur Nutzung sozialer Medien durch öffentliche Stellen aktualisiert. Hintergrund sind die seit Jahren bekannten Probleme von Behörden-Fanpages: die Übermittlung personenbezogener Daten an Plattform- und Fanpage-Betreiber, ohne dass Besucher dem ausweichen können.

Hintergrund & Einordnung: Behörden müssen ein Nutzungskonzept erstellen, das begründet, warum ein Verzicht auf Social Media die Aufgabenerfüllung beeinträchtigen würde; diese Konzepte will der LfDI stichprobenartig prüfen. Zentral ist das Cross-Media-Gebot: Es müssen alternative Informationskanäle betrieben und beworben werden, damit sich kein Bürger zur Nutzung sozialer Medien gezwungen sieht. Hinzu kommen Pflichten zum Verarbeitungsverzeichnis (Art. 30) und zu technisch-organisatorischen Maßnahmen (Art. 24, 25, 32 DSGVO).

Praxisfolgen / Handlungsempfehlung: Öffentliche Stellen – faktisch bundesweit als Orientierung – müssen ihre Social-Media-Präsenzen dokumentiert rechtfertigen und parallele, barrierearme Kanäle vorhalten, sonst drohen aufsichtsbehördliche Beanstandungen. Das betrifft auch Kommunen, Hochschulen und kommunale Unternehmen.

2.1 Texas Parks & Wildlife: Datenleck bei Lizenz-Dienstleister trifft über drei Millionen

18.06.2026 · SecurityWeek

Zusammenfassung: Bei einem Drittanbieter, der die Jagd- und Angellizenz-Verkäufe des Texas Parks and Wildlife Department abwickelt, wurden personenbezogene Daten von 3.087.721 Personen abgegriffen – Führerschein- und, sofern angegeben, Passnummern, E-Mail-Adressen, Telefonnummern und Wohnadressen. Sozialversicherungsnummern, Geburtsdaten und Finanzdaten waren laut Behörde nicht betroffen. Das Texas Cyber Command entdeckte den unbefugten Zugriff; die Behörde wurde am 13. Mai 2026 informiert.

Hintergrund & Einordnung: Einstiegsweg, Angriffsmethode und Dauer des Zugriffs sind noch ungeklärt; eine Tätergruppe hat sich bislang nicht bekannt. Führerschein- und Passnummern sind – anders als Passwörter – nicht zurücksetzbar und für Identitätsdiebstahl besonders wertvoll. Es gilt als das bislang größte staatliche Datenleck in Texas in diesem Jahr.

Praxisfolgen / Handlungsempfehlung: Der Fall ist ein klassisches Beispiel für Auftragsverarbeiter-Risiko: Auch bei intakten eigenen Systemen haftet die Organisation nach außen. Für Organisationen im DACH-Raum bedeutet das, Auftragsverarbeiter-Verträge, Zugriffskontrollen auf Profildaten und das Monitoring beim Dienstleister regelmäßig zu prüfen. Betroffene erhalten ein Jahr kostenloses Kredit-Monitoring.

2.2 Veeam Backup & Replication: kritische RCE-Lücke auf domänengebundenen Servern

09.06.2026 · The Hacker News · BleepingComputer

Zusammenfassung: In Veeam Backup & Replication ermöglicht eine Deserialisierungs-Lücke (CVE-2026-44963, CVSS 9.4) einem authentifizierten Domänen-Benutzer die Ausführung beliebigen Codes auf dem Backup-Server. Es genügt ein Standard-Domänenkonto ohne Admin-Rechte. Entscheidend: Nur domänengebundene Backup-Server sind verwundbar; Workgroup-Konfigurationen sind sicher. Eine aktive Ausnutzung ist bislang nicht bestätigt.

Hintergrund & Einordnung: Backup-Server sind ein bevorzugtes Ziel von Ransomware-Gruppen, weil deren Kontrolle die Wiederherstellung sabotiert. CISA hat in der Vergangenheit bereits mehrere Veeam-Lücken als aktiv ausgenutzt geführt; erfahrungsgemäß werden solche Lücken schnell waffenfähig gemacht. Die Schwachstelle verwandelt einen beliebigen Foothold (Phishing, gestohlene Zugangsdaten) in Kontrolle über ein Kernsystem.

Praxisfolgen / Handlungsempfehlung: Alle 12.x-Deployments identifizieren und auf die offizielle Fix-Version des Zweigs 12.3.2 aktualisieren – die genaue Build-Nummer gegen das Veeam-Advisory verifizieren, da Drittquellen widersprüchliche Angaben nannten. Prüfen, welche Veeam-Server zwingend domänengebunden sein müssen; Backup-Infrastruktur möglichst von der Produktiv-Domäne trennen und immutable Backups vorhalten.

3.1 FFmpeg „PixelSmash“: manipulierte Videodateien als Waffe gegen Media-Server

17.06.2026 · JFrog · BleepingComputer

Zusammenfassung: JFrog hat im MagicYUV-Decoder von FFmpeg einen Heap-Out-of-Bounds-Write entdeckt (CVE-2026-8461, CVSS 8.8). Eine präparierte AVI-, MKV- oder MOV-Datei von rund 50 KB schreibt 640 angreifergesteuerte Bytes über das Heap-Buffer-Ende hinaus und kann einen Funktionszeiger überschreiben – bis hin zu beliebiger Codeausführung. JFrog demonstrierte vollständige Remote-Code-Execution gegen einen Jellyfin-Media-Server über die normale Bibliotheks-Scan-Pipeline, teils sogar ohne Nutzerinteraktion via Torrent-Download in den überwachten Ordner.

Hintergrund & Einordnung: Wichtige Einschränkung: Die RCE-Demonstration gelang nur bei deaktiviertem ASLR; mit aktivem ASLR bleibt es ein zuverlässiger Denial-of-Service-Vektor. Die libavcodec-Bibliothek ist als transitive Abhängigkeit in nahezu jeder videoverarbeitenden Anwendung enthalten – bestätigt betroffen sind u. a. Kodi, mpv, Emby, Nextcloud, Immich, PhotoPrism und OBS Studio. Der MagicYUV-Decoder ist in jedem Upstream-Build standardmäßig aktiv; Plex ist durch einen eigenen Build mit Decoder-Allowlist nicht betroffen.

Praxisfolgen / Handlungsempfehlung: Anwendungen mit FFmpeg-Abhängigkeit inventarisieren und auf FFmpeg 8.1.2 oder neuer heben – inklusive des im Media-Server gebündelten FFmpeg. Wo Patchen nicht sofort möglich ist, Eingaben strikt validieren oder die betroffenen Formate blocklisten, sofern nicht geschäftskritisch.

3.2 „SquidBleed“: 29 Jahre alter Squid-Proxy-Bug leakt Klartext-HTTP-Daten

22.06.2026 · The Hacker News · Calif.io

Zusammenfassung: Im FTP-Verzeichnis-Parser von Squid Proxy steckt ein Heap-Over-Read (CVE-2026-47729, CVSS 6.5), der rohen Heap-Speicher – inklusive HTTP-Authorization-Header, Cookies und Session-Tokens anderer Nutzer – an einen Angreifer ausliefert, der den Proxy dazu bringt, ein Verzeichnis-Listing von einem kontrollierten FTP-Server abzurufen. Der Fehler geht auf einen Commit von Januar 1997 zurück. Verwundbar ist Squid in der Standardkonfiguration mit aktiviertem FTP. Ein Proof-of-Concept ist öffentlich, aktive Ausnutzung bislang nicht beobachtet.

Hintergrund & Einordnung: Das Risiko ist situativ: Nur Klartext-HTTP- bzw. TLS-terminierende Setups sind betroffen (HTTPS-CONNECT-Tunnel nicht), und der Angreifer muss bereits berechtigter Proxy-Nutzer sein – gefährlich vor allem in Shared-Proxy-Umgebungen wie Firmennetzen, Schulen oder öffentlichem WLAN. Heikel ist die Patch-Verwirrung: Die Fix-Version wurde zunächst mit 7.6, dann mit 7.7 angegeben; Distributions-Backports variieren.

Praxisfolgen / Handlungsempfehlung: Nicht blind auf die Versionsnummer verlassen, sondern im eigenen Build prüfen, ob die gepatchte Zeile in FtpGateway.cc vorhanden ist. Die sauberste Mitigation ist, die kaum noch benötigte FTP-Unterstützung im Squid abzuschalten.

4.1 EuGH: Algorithmische Kuratierung beendet das Hosting-Privileg; Altersverifikation bei Pornoseiten zulässig

EuGH (Große Kammer) · 16.06.2026 · C-188/24 u. C-190/24 · EUR-Lex · netzpolitik.org · CSA-Aufbereitung: ur-164

Sachverhalt: Frankreich verpflichtet Betreiber pornografischer Websites zu echter Altersverifikation; die Medienaufsicht ARCOM forderte die in Prag ansässigen Betreiber WebGroup und NKL zur Abhilfe auf. Parallel untersagt Frankreich Navigationsdiensten wie Coyote die Weiterverbreitung von Nutzerhinweisen auf bestimmte Verkehrskontrollen. Beide Anbieter klagten vor dem Conseil d’État wegen Verstoßes gegen das Herkunftslandprinzip der E-Commerce-Richtlinie; das Gericht legte dem EuGH vor.

Entscheidung: Ein Dienst, der mittels Algorithmus im eigenen Interesse über Bedingungen, Art und Rangfolge der Verbreitung nutzergenerierter Inhalte bestimmt, übt Kontrolle aus und ist kein neutraler Hosting-Dienst nach Art. 14 Abs. 1 RL 2000/31; Art. 15 Abs. 1 ist dann nicht anwendbar. Den Zugang Minderjähriger zu Pornografie darf ein Mitgliedstaat ausländischen Anbietern nicht durch generell-abstrakte Gesetzespflicht, wohl aber durch individuelle, nach Art. 3 Abs. 4 notifizierte Anordnung zur Altersüberprüfung auferlegen.

Begründungs-Kernpunkte: Der koordinierte Bereich der Richtlinie ist weit zu verstehen und erfasst auch strafbewehrte Regelungen der öffentlichen Ordnung. Kenntnis und Kontrolle sind voneinander unabhängige Ausschlussgründe – algorithmische Steuerung genügt auch ohne inhaltliche Kenntnis (Fortführung der YouTube/Cyando-Linie, C-682/18). Bloße Selbstauskunft beim Alter genügt mit Blick auf Art. 28b der AVMD-Richtlinie und Art. 24 Charta nicht.

Praxisfolgen: Geschäftsmodelle mit aktiver Inhaltssteuerung können sich nicht mehr auf das Haftungsprivileg berufen – die „aktive Rolle“ wird unter dem DSA zum Scharnier zwischen Privilegverlust und Pflichtenzuwachs. Reine Selbstdeklaration beim Altersnachweis ist europarechtlich nicht mehr haltbar. Mittelbar betroffen sind auch Radarwarner-Apps. Ausführliche Aufbereitung als CSA-Urteilsbeitrag ur-164.

4.2 EuGH: Aufsichtsbehörde darf Beschwerde nicht wegen Parallel-Gerichtsverfahren abweisen

EuGH · 18.06.2026 · C-414/24 · Österr. Parlament (Gegenstandsdok.)

Sachverhalt: Eine Ärztin verlangte die Löschung von Bewertungen auf einer Ärzteplattform und klagte zunächst zivilrechtlich. Nach Inkrafttreten der DSGVO erhob sie zusätzlich eine Beschwerde bei der österreichischen Datenschutzbehörde nach Art. 77 DSGVO. Die Behörde wies sie zurück, weil über denselben Gegenstand bereits ein Gericht nach Art. 79 DSGVO befasst war. Der österreichische Verwaltungsgerichtshof legte dem EuGH vor.

Entscheidung: Eine Aufsichtsbehörde darf eine Art.-77-Beschwerde nicht allein deshalb zurückweisen, weil zuvor in derselben Sache ein gerichtlicher Rechtsbehelf nach Art. 79 eingelegt wurde – auch dann nicht, wenn dort bereits eine noch nicht rechtskräftige Entscheidung ergangen ist. Die Behörde kann die Bearbeitung allenfalls aussetzen, muss die Beschwerde aber inhaltlich prüfen.

Begründungs-Kernpunkte: Der EuGH knüpft an seine Linie aus C-132/21 an, wonach die Rechtsbehelfe aus Art. 77/78 und Art. 79 nebeneinander und unabhängig wahrgenommen werden können. Der doppelgleisige Rechtsschutz darf nicht durch ein behördliches Abweisungsermessen ausgehöhlt werden.

Praxisfolgen: Betroffene behalten den vollen verwaltungsbehördlichen Rechtsschutz, auch wenn sie zusätzlich vor Zivilgerichten klagen. Aufsichtsbehörden können anhängige Parallelverfahren nicht mehr als Abweisungsgrund nutzen, sondern müssen materiell bescheiden oder förmlich aussetzen – das erhöht den Bearbeitungsdruck.

4.3 BGH: Anwaltliche Schweigepflicht geht datenschutzrechtlichem Auskunftsanspruch vor

BGH · 11.06.2026 · VII ZR 93/25 · IWW

Sachverhalt: Ein Dritter – nicht der Mandant – verlangte von einem Rechtsanwalt Auskunft über die zu seiner Person verarbeiteten Daten (Art. 15 DSGVO / BDSG). Der Anwalt verweigerte die Auskunft unter Berufung auf die anwaltliche Verschwiegenheitspflicht. Streitig war, ob diese Pflicht auch nach Mandatsende dem Auskunftsanspruch entgegensteht.

Entscheidung: Der BGH stellte klar, dass die anwaltliche Schweigepflicht einem datenschutzrechtlichen Auskunftsanspruch grundsätzlich vorgeht – auch nach Beendigung des Mandats. Es findet eine Abwägung der Grundrechtspositionen statt: informationelle Selbstbestimmung des Anspruchstellers gegen die Berufsausübungsfreiheit des Anwalts.

Begründungs-Kernpunkte: Der Betroffene kann sich wegen der Daten ohnehin an den Mandanten selbst halten; Art. 15 DSGVO darf nicht als Hebel zur Umgehung der Verschwiegenheit dienen. Die Entscheidung bestätigt die Linie früherer Instanzrechtsprechung.

Praxisfolgen: Fremde Anwälte können regelmäßig nicht auf datenschutzrechtliche Auskunft in Anspruch genommen werden – Betroffene müssen den Mandanten adressieren. Das Argumentationsmuster ist auf andere Berufsgeheimnisträger (Steuerberater, Ärzte) übertragbar.

4.4 OLG Köln: Transparenzhinweis auf gelöschte Bewertungen darf stehen bleiben

OLG Köln · 12.06.2026 · 15 W 55/26 · beck-aktuell

Sachverhalt: Auf Google Maps erschien bei einer Arztpraxis ein automatischer Hinweis, dass mehrere Bewertungen aufgrund von Beschwerden entfernt wurden. Der Arzt, dessen Beschwerden zu den Löschungen geführt hatten, verlangte Löschung des Hinweises nach Art. 17 DSGVO. Hintergrund ist eine seit April 2026 aktive Google-Maps-Funktion, die die Zahl entfernter Bewertungen anzeigt.

Entscheidung: Das OLG wies die Beschwerde zurück. Die angezeigte Zahl sei zwar ein personenbezogenes Datum, es liege aber kein Löschungsgrund nach Art. 17 Abs. 1 DSGVO vor. Die Angabe sei sachlich richtig, und Google könne sich auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen.

Begründungs-Kernpunkte: Transparenzhinweise dienen den berechtigten Interessen der Plattform und ihrer Nutzer, ohne dass die Interessen des Betroffenen überwiegen. Der erläuterte Begriff sei mit dem allgemeinen Sprachgebrauch vereinbar.

Praxisfolgen: Unternehmen und Freiberufler können automatisierte Transparenzhinweise über gelöschte Bewertungen nicht allein wegen Reputationsschäden entfernen lassen. Wer aggressiv Bewertungen löschen lässt, muss mit öffentlich sichtbaren Hinweisen rechnen.

6.1 PTC Windchill: BSI-Nachtwarnung wegen aktiv ausgenutzter CVSS-10-Lücke

17.06.2026 · heise online

Zusammenfassung: In den PLM-Produkten PTC Windchill PDMLink und FlexPLM klafft eine unsichere Deserialisierung (CVE-2026-12569), die ein unauthentifizierter Angreifer über das Netzwerk ausnutzen kann – CVSS 3.1: 10.0. Es laufen bereits aktive Angriffe, bei denen Backdoors auf verwundbaren Servern platziert werden. Das BSI stufte den Fall über das Nationale IT-Lagezentrum als so dringend ein, dass Administratoren mitten in der Nacht alarmiert wurden.

Hintergrund & Einordnung: Windchill ist eine in Industrie- und Fertigungsumgebungen weit verbreitete PLM-Plattform; ein kompromittierter Server gibt Angreifern Zugriff auf hochsensible Konstruktions- und Produktdaten. Dass das BSI proaktiv und nachts warnt, ist ein seltener Eskalationsgrad und signalisiert eine konkrete, ernste Bedrohungslage. Insecure-Deserialization-Lücken erlauben in der Regel direkte Codeausführung mit den Rechten des Serverprozesses.

Praxisfolgen / Handlungsempfehlung: Sofort auf die fixenden Versionen 13.1.3.4, 13.1.2.8, 13.0.2.12 oder 12.1.2.27 aktualisieren. Verwundbare Systeme zwingend auf bereits platzierte Backdoors und Kompromittierungsspuren forensisch prüfen, da Angriffe bereits laufen. Internet-Exposition der PLM-Instanzen reduzieren.