Posted in  Daily Briefing  on  Juli 1, 2026 by  Achim Schmidt0 comments
  • Home
  • /
  • Daily Briefing • 1. Juli 2026
Schulungen zu Datenschutz & Cyber-Sicherheit Firmen-Flatrate
Daily-Briefing Datenschutz & IT-Sicherheit · 01.07.2026
Cyber-Security.academy

Daily-Briefing Datenschutz & IT-Sicherheit

Deutschland · Datenschutz · Datensicherheit · IT-Sicherheit · Urteile · Bußgelder · Cyber-Sicherheit

Stand: Mittwoch, 1. Juli 2026

Schnellüberblick für alle ↓  ·  IT-Detailansicht ↓

Worauf Sie heute achten sollten

  • US-Urteil erschüttert den transatlantischen Datentransfer. Der US Supreme Court hat entschieden, dass der Präsident die Kommissare der Handelsaufsicht FTC jederzeit entlassen darf – damit fällt die Unabhängigkeit der Behörde, auf der das EU-US-Datenschutzabkommen (Data Privacy Framework) beruht. Kurzfristig ändert sich für Verbraucher nichts, doch die Rechtsgrundlage dafür, dass Ihre Daten legal bei US-Diensten (Cloud, Social Media, Streaming) liegen, gerät ins Wanken. Datenschützer erwarten ein neues Verfahren vor dem EuGH.
  • Sportwetten verloren? Es kann Geld zurückgeben. Das Landgericht Aachen hat entschieden, dass der Button „Wette abgeben“ nicht den gesetzlichen Anforderungen genügt – die Wettverträge sind dadurch unwirksam und verlorene Einsätze können zurückgefordert werden. Die Begründung betrifft grundsätzlich jeden kostenpflichtigen Online-Button, der nicht klar auf die Zahlungspflicht hinweist.
  • AOK-Phishing mit Online-Banking-Falle. Aktuell kursieren E-Mails angeblich der AOK, die zu einer „Identitätsprüfung“ auffordern – und Sie sollen sich dafür ausgerechnet über Ihr Online-Banking anmelden. So greifen die Täter Kranken­kassen- und Bankdaten zugleich ab. Keine Krankenkasse verlangt eine Identitätsbestätigung per Banking-Login.

Aktuelle Phishing- und Betrugswellen

Auffällig ist eine Phishing-Welle im Namen der AOK: Die Mails fordern zu einer angeblich ausstehenden Identitätsprüfung für das Portal „Mein AOK“ auf und verlangen zur „Bestätigung“ eine Anmeldung über das eigene Online-Banking – damit greifen die Täter Krankenkassen- und Bankzugangsdaten in einem Schritt ab. Erkennungsmerkmale sind die unpersönliche Anrede, eine auffällige Absenderadresse, Fristdruck und die Verharmlosung („dauert nur wenige Minuten“). Keine Krankenkasse verlangt eine Identitätsbestätigung per Online-Banking-Login – klicken Sie nicht, verschieben Sie die Mail in den Spam-Ordner und fragen Sie im Zweifel direkt bei Ihrer Geschäftsstelle nach.

Daneben läuft die bereits bekannte Welle an Banken- und Bezahldienst-Phishing weiter, die sich auf angebliche „PSD2-Sicherheitsprüfungen“ beruft (u. a. im Namen von PayPal sowie rund um den Markenwechsel von Barclays zu easybank). Muster ist stets dasselbe: ein Link in der Mail, Fristdruck und die Aufforderung, Zugangs- oder Bankdaten zu „bestätigen“. Prüfen Sie solche Hinweise ausschließlich in der offiziellen App oder auf der offiziellen Website des Anbieters.


Was war los?

Der bestimmende Vorgang des Tages ist ein Urteil des US Supreme Court, das mittelbar Millionen Verbraucher in Europa betrifft: Weil die US-Handelsaufsicht FTC künftig politisch weisungsgebunden ist, wackelt die Grundlage dafür, dass personenbezogene Daten legal in die USA fließen dürfen. Für den Alltag bedeutet das zunächst keine unmittelbare Änderung – aber es ist der Auftakt zu einer neuen Runde im Streit um den transatlantischen Datenschutz, die frühere Abkommen bereits zweimal gekippt hat.

Verbraucherfreundlich ist dagegen die Entwicklung bei Online-Sportwetten: Nach dem LG Aachen können Spieler verlorene Einsätze zurückverlangen, weil der „Wette abgeben“-Button die gesetzliche Button-Lösung verletzt – ein Hebel, der die umstrittene Frage der Glücksspiel-Lizenzierung ganz umgeht.


Was sich rechtlich geändert hat

Gleich drei rechtliche Entwicklungen prägen den Tag. Erstens das US-Urteil zum Datentransfer (siehe oben und Kapitel Datenschutz): Es stellt die Angemessenheit des EU-US Data Privacy Framework infrage und macht Transfer-Folgenabschätzungen für Unternehmen, die US-Dienste nutzen, dringlicher. Zweitens die Button-Entscheidung des LG Aachen, die weit über Sportwetten hinaus jeden unklar beschrifteten Bezahl-Button angreifbar macht. Und drittens rückt die Kennzeichnungspflicht für KI-generierte Inhalte näher: Ab dem 2. August 2026 greifen die Transparenzpflichten des Art. 50 KI-VO, für die das EU AI Office einen freiwilligen Verhaltenskodex veröffentlicht hat.


IT-Detailansicht für Fachpublikum

Der folgende Teil richtet sich an IT- und Datenschutzverantwortliche. Er bündelt die laufenden Schwerpunkte, eine Management Summary mit Handlungsempfehlungen und die sechs Fachkapitel (Datenschutz, Datensicherheit, IT-Sicherheit, Urteile, Bußgelder, Cyber-Sicherheit), ergänzt um einen Überblick zu KI und großen Sprachmodellen, einen Ausblick, die Methodik und das Quellenverzeichnis.


Top-Themen der Woche

1. US Supreme Court kippt FTC-Unabhängigkeit – DPF-Fundament wankt

Seit Montag, 29. Juni 2026 · zuletzt aktualisiert Mittwoch, 1. Juli 2026 · Score 90

In „Trump v. Slaughter“ (No. 25-332, 6:3) hat der US Supreme Court das Präzedenzurteil „Humphrey’s Executor“ aufgehoben: Der Präsident darf FTC-Kommissare ohne Grund entlassen. Damit entfällt die unabhängige Aufsicht, auf die sich der EU-Angemessenheitsbeschluss zum Data Privacy Framework 259-mal beruft.

Letzte Entwicklung: noyb/Max Schrems fordert die EU-Kommission zur geordneten Aufhebung auf und bereitet ein EuGH-Verfahren vor. Formal bleibt der Beschluss vorerst in Kraft.

2. Progress Kemp LoadMaster: Full-Chain-PoC für Pre-Auth-Root-RCE (CVE-2026-8037)

Seit Montag, 29. Juni 2026 · zuletzt aktualisiert Mittwoch, 1. Juli 2026 · Score 80

watchTowr hat einen funktionierenden Proof-of-Concept für CVE-2026-8037 (CVSS 9.8) im Load-Balancer Kemp LoadMaster veröffentlicht: Ein nicht authentifizierter Angreifer erhält über den /accessv2-Endpunkt Root-Codeausführung.

Letzte Entwicklung: Progress meldet bislang keine Ausnutzung – mit öffentlichem PoC ist das Zeitfenster erfahrungsgemäß kurz; Fix seit Anfang Juni verfügbar.


Management Summary

Rechts- und datenschutzseitig ist der 1. Juli ein außergewöhnlich dichter Tag. Im Zentrum steht das Urteil des US Supreme Court in „Trump v. Slaughter“ (29.06., 6:3): Mit der Aufhebung von „Humphrey’s Executor“ verliert die FTC ihre Unabhängigkeit – und damit fällt eine tragende Säule des EU-US Data Privacy Framework, dessen Angemessenheitsbeschluss sich zentral auf die FTC-Aufsicht stützt. noyb bereitet ein EuGH-Verfahren vor; kurzfristig bleibt der Beschluss zwar in Kraft, doch Transfer-Impact-Assessments für US-Dienste dürften künftig kaum noch zu belastbar positiven Ergebnissen kommen, zumal auch der „Data Protection Review Court“ nur auf einer jederzeit widerruflichen Executive Order beruht. Parallel schärft das LG Aachen (10 O 306/25) die Button-Lösung: Der „Wette abgeben“-Button verletzt § 312j Abs. 3 BGB, die Verträge sind nach Abs. 4 unwirksam, Einsätze rückforderbar – aussetzungsfest gegenüber den EuGH-Glücksspiel-Vorlagen, weil rein verbraucherrechtlich begründet. Und die KI-Kennzeichnungspflicht des Art. 50 KI-VO rückt näher: Ab 2. August 2026 gilt die Transparenzpflicht, das EU AI Office hat dazu am 10. Juni einen freiwilligen Code of Practice veröffentlicht (eine 4-Monats-Gnadenfrist bis 2. Dezember 2026 gilt nur für das Watermarking von Alt-Systemen nach Art. 50 Abs. 2).

Technisch verdient die Kemp-LoadMaster-Lücke CVE-2026-8037 (CVSS 9.8) Priorität: watchTowr hat einen Full-Chain-PoC für unauthentifizierte Root-RCE am Netzwerkrand veröffentlicht. In Deutschland hat die Ransomware-Gruppe Qilin den Strumpfhersteller KUNERT Fashion auf ihrer Leak-Site gelistet (Täterbehauptung, Umfang unbestätigt), und CISA führt die Windows-Defender-Lücke „BlueHammer“ (CVE-2026-33825) nun als aktiv von Ransomware-Gruppen ausgenutzt. Ein neuer DSGVO-Bußgeldbescheid mit belastbarer Primärquelle lag nicht vor.

Die wichtigsten Punkte im Überblick

  • US Supreme Court „Trump v. Slaughter“: FTC-Unabhängigkeit gekippt → EU-US Data Privacy Framework rechtlich erschüttert; noyb bereitet EuGH-Verfahren vor.
  • LG Aachen 10 O 306/25: „Wette abgeben“-Button verletzt § 312j BGB → Wettverträge unwirksam, Einsätze rückforderbar (gilt für alle unklaren Bezahl-Buttons).
  • Art. 50 KI-VO: KI-Kennzeichnungspflicht ab 02.08.2026; freiwilliger EU-AI-Office-Code-of-Practice (10.06.); Watermarking-Gnadenfrist für Alt-Systeme bis 02.12.2026.
  • Kemp LoadMaster CVE-2026-8037 (CVSS 9.8): Full-Chain-PoC für Pre-Auth-Root-RCE.
  • Qilin listet KUNERT Fashion (DE); BlueHammer-Defender-Lücke CVE-2026-33825 nun ransomware-ausgenutzt (CISA-KEV).
  • Kein neuer DSGVO-Bußgeldbescheid im Berichtszeitraum.

Top-Risiken – Handlungsempfehlungen für heute

  • Transatlantik-Datentransfers überprüfen: Transfer-Impact-Assessments für US-Dienste aktualisieren, Datenbestände inventarisieren, EU-/On-Premise-Alternativen für sensible Verarbeitungen sondieren; Entwicklung um DPF/EuGH beobachten.
  • Bezahl-Buttons prüfen: Alle kostenpflichtigen Online-Schaltflächen auf die Beschriftung „zahlungspflichtig bestellen“ (oder eindeutig gleichwertig) umstellen – unklare Buttons machen Verträge nach § 312j Abs. 4 BGB unwirksam.
  • Kemp LoadMaster patchen (GA v7.2.63.2 / LTSF v7.2.54.18) und die Management-API vom Internet trennen.
  • KI-Kennzeichnung vorbereiten: Bis 02.08.2026 KI-Interaktion offenlegen, Deepfakes/KI-Texte kennzeichnen, Watermarking planen; Beitritt zum EU-Code-of-Practice als Compliance-Nachweis erwägen.
  • Ransomware-Härtung: BlueHammer-April-Patch einspielen, Backup-Integrität und Leak-Site-Monitoring (Qilin) sicherstellen.

1. Datenschutz

1.1 US Supreme Court kippt FTC-Unabhängigkeit – Fundament des EU-US Data Privacy Framework wankt

29.06.2026 · heise online · SCOTUS-Urteil 25-332 (PDF) · noyb

Zusammenfassung: Der US Supreme Court hat am 29.06.2026 in „Trump v. Slaughter“ (No. 25-332) mit 6:3 entschieden, dass der Präsident FTC-Kommissare jederzeit ohne gesetzlichen Grund entlassen darf, und damit das rund 90 Jahre alte Präzedenzurteil „Humphrey’s Executor“ aufgehoben. Anlass war die grundlose Entlassung zweier demokratischer Kommissare 2025. Begründung ist die Unitary-Executive-Theorie: Die FTC übe Exekutivgewalt aus und müsse der Kontrolle des Präsidenten unterstehen.

Hintergrund & Einordnung: Die Unabhängigkeit der FTC war ein rechtliches Fundament der EU-US-Datentransfers – der EU-Angemessenheitsbeschluss zum Data Privacy Framework (2023) beruft sich vielfach (laut heise 259-mal) auf die FTC-Aufsicht. EU-Vertragsrecht und Grundrechtecharta verlangen eine unabhängige Datenschutzaufsicht auch im Drittland; genau diese entfällt nun. noyb/Max Schrems hat die EU-Kommission zur geordneten Aufhebung des Beschlusses aufgefordert und bereitet ein EuGH-Verfahren vor – Schrems hatte bereits Safe Harbor und Privacy Shield gekippt.

Praxisfolgen / Handlungsempfehlung: Kurzfristig bleibt der Angemessenheitsbeschluss formal in Kraft; unmittelbare Sanktionen drohen nicht. Verantwortliche sollten jedoch ihre Transfer-Impact-Assessments aktualisieren – auch der SCC-Fallback wackelt mit, da er regelmäßig auf den „Data Protection Review Court“ verweist, der nur auf der jederzeit widerruflichen Executive Order 14086 beruht. Sensible Verarbeitungen auf EU-/On-Premise-Alternativen prüfen; das systematische Auslagern von EU-Datenbeständen an US-Anbieter wird rechtlich zunehmend schwer haltbar.

1.2 KI-Kennzeichnungspflicht (Art. 50 KI-VO): EU AI Office veröffentlicht Code of Practice

10.06.2026 · EU-Kommission / AI Office

Zusammenfassung: Art. 50 KI-VO begründet horizontale Transparenzpflichten: Nutzer müssen erkennen, dass sie mit KI interagieren; Anbieter müssen KI-generierte Inhalte maschinenlesbar markieren (Watermarking, Abs. 2); Betreiber müssen Deepfakes und KI-Texte zu Themen öffentlichen Interesses kennzeichnen (Abs. 4). Das EU AI Office hat dazu am 10.06.2026 einen finalen, freiwilligen „Code of Practice on Transparency of AI-Generated Content“ veröffentlicht – mit einheitlichen Kennzeichnungs-Vorgaben.

Hintergrund & Einordnung: Die Transparenzpflichten gelten ab dem 2. August 2026. Eine gezielte Gnadenfrist bis zum 2. Dezember 2026 betrifft ausschließlich die Watermarking-Pflicht nach Art. 50 Abs. 2 für generative Systeme, die vor dem 2. August in Verkehr waren (Grandfathering) – sie ist kein genereller Aufschub. Der am 29.06. final beschlossene „AI Omnibus“ verschiebt vor allem die Hochrisiko-Fristen; die Art.-50-Transparenzlogik bleibt terminlich bestehen. Der Kodex ist freiwillig, faktisch aber Referenzmaßstab: Unterzeichner belegen damit Compliance, Nicht-Unterzeichner müssen gleichwertige Maßnahmen per Gap-Analyse nachweisen.

Praxisfolgen / Handlungsempfehlung: Jedes Unternehmen, das generative KI zur Inhaltserzeugung nutzt, ist betroffen – nicht nur Hochrisiko-Anwender. Bis 02.08.2026 KI-Interaktion offenlegen, Deepfakes und KI-Texte zu Themen öffentlichen Interesses kennzeichnen (Ausnahmen für Kunst/Satire und bei menschlicher redaktioneller Verantwortung), Watermarking für neue Systeme umsetzen (Alt-Systeme bis 02.12.2026). Der Beitritt zum Code of Practice ist der einfachste Compliance-Nachweis. Bußgeldrahmen bei Verstoß: bis 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes.


2. Datensicherheit

2.1 Qilin-Ransomware listet deutschen Hersteller KUNERT Fashion auf Leak-Site

29.06.2026 · DeXpose

Zusammenfassung: Die Ransomware-Gruppe Qilin (auch „Agenda“) hat am 29.06.2026 die KUNERT Fashion GmbH – einen bekannten deutschen Strumpf- und Beinbekleidungshersteller – auf ihrer Dark-Web-Leak-Site gelistet und mit der Veröffentlichung gestohlener Daten gedroht. Zum Umfang liegen bislang keine belastbaren Angaben vor (kein Datenvolumen, keine Lösegeldsumme, keine Bestätigung, ob verschlüsselt oder nur exfiltriert). KUNERT war einer von mehreren am selben Tag gelisteten Fällen.

Hintergrund & Einordnung: Qilin ist eine russischsprachige Ransomware-as-a-Service-Operation mit Double-Extortion-Modell; Analysten stufen sie als eine der aktivsten Gruppen des ersten Halbjahres 2026 ein. Wie bei Leak-Site-Einträgen üblich stammt die Behauptung vom Täter selbst – eine Bestätigung durch das Unternehmen oder Behörden lag zum Redaktionszeitpunkt nicht vor. Deutsche Mittelständler bleiben ein bevorzugtes Ziel opportunistischer RaaS-Gruppen.

Praxisfolgen / Handlungsempfehlung: Den Datenumfang nicht vorschnell allein anhand der Täterbehauptung bewerten. Bei Betroffenheit: unabhängige Kompromittierungsprüfung, Backup-Integrität sicherstellen, Meldepflichten (Art. 33 DSGVO) prüfen. Leak-Site-Monitoring für die eigene Organisation und wichtige Dienstleister einrichten.


3. IT-Sicherheit

3.1 Progress Kemp LoadMaster: Full-Chain-PoC für Pre-Auth-Root-RCE (CVE-2026-8037)

29.06.2026 · watchTowr Labs · The Hacker News

Zusammenfassung: watchTowr Labs hat einen detaillierten technischen Bericht samt funktionierendem Proof-of-Concept für CVE-2026-8037 (CVSS 9.8) im Application-Delivery-Controller/Load-Balancer Progress Kemp LoadMaster veröffentlicht. Ein nicht authentifizierter Angreifer kann über einen präparierten Request an den /accessv2-API-Endpunkt beliebige Befehle als root ausführen. Ursache ist eine escape_quotes()-Funktion, die einen nicht initialisierten Puffer ohne Null-Terminator anlegt, sodass sich per Heap-Grooming ein Kommando-Fragment einschleusen lässt. Betroffen sind GA v7.2.63.1 und älter sowie LTSF v7.2.54.17 und älter mit aktivierter API.

Hintergrund & Einordnung: Progress hatte am 04.06.2026 ein Advisory veröffentlicht und meldet bislang keine Ausnutzung; mit dem nun öffentlichen PoC ist das Zeitfenster bis zu ersten Angriffen erfahrungsgemäß sehr kurz. Ein Load-Balancer sitzt als Traffic-Verteiler direkt am Netzwerkrand – eine Pre-Auth-Root-Lücke dort verwandelt einen Schutz-Chokepoint in einen Brückenkopf ins Netz. Ursprünglich über die Zero Day Initiative gemeldet.

Praxisfolgen / Handlungsempfehlung: Sofort auf GA v7.2.63.2 bzw. LTSF v7.2.54.18 aktualisieren und prüfen, ob die Management-API überhaupt aus dem Internet erreichbar sein muss – Edge-Exposition minimieren.


4. Urteile

4.1 LG Aachen: „Wette abgeben“-Button verstößt gegen § 312j BGB, Einsätze rückforderbar

LG Aachen (10. Zivilkammer) · 27.05.2026 · 10 O 306/25 · Volltext nrwe.justiz.nrw.de · CSA-Aufbereitung: ur-188

Sachverhalt: Ein Spieler forderte verlorene Einsätze aus Online-Sportwetten (Zeitraum 2020–2024) zurück; per Saldo verblieb ein Verlust, von dem er 6.098,95 Euro geltend machte. Auf der Plattform (tipico.de) betätigte er zur Wettabgabe einen mit „Wette abgeben“ beschrifteten Button. Die Anbieterin – mit deutscher Konzession, aber AGB-Rechtswahl zugunsten maltesischen Rechts – rügte Zuständigkeit, Aktivlegitimation und Verjährung und beantragte Aussetzung bis zu den EuGH-Glücksspiel-Vorlagen.

Entscheidung: Die Klage war ganz überwiegend erfolgreich; die Anbieterin wurde zur Rückzahlung von 6.098,95 Euro nebst Zinsen und vorgerichtlichen Kosten verurteilt. Der Aussetzungsantrag wurde abgelehnt. Das Urteil ist erstinstanzlich und nicht rechtskräftig.

Begründungs-Kernpunkte: Tragend ist § 312j Abs. 3 BGB: Die Schaltfläche „Wette abgeben“ lässt die Zahlungspflicht nicht eindeutig aus ihrem Wortlaut erkennen; maßgeblich ist allein der Wortlaut der Schaltfläche, nicht der Kontext (im Anschluss an EuGH „Fuhrmann-2″, C-249/21). Der Schutzzweck ist nicht auf Abo-/Kostenfallen beschränkt. Folge: Die Verträge sind nach § 312j Abs. 4 BGB endgültig unwirksam (BGH I ZR 159/24), die Einsätze ohne Rechtsgrund geleistet und nach § 812 BGB zurückzugewähren. Die glücksspielrechtliche Illegalitätsfrage ließ das Gericht ausdrücklich offen – der Anspruch trägt sich allein verbraucherrechtlich und ist damit aussetzungsfest.

Praxisfolgen: Die Reichweite geht weit über Sportwetten hinaus: Jeder kostenpflichtige Online-Button, dessen Beschriftung nicht „zahlungspflichtig bestellen“ (oder eindeutig gleichwertig) lautet, ist angreifbar – mit der scharfen Rechtsfolge endgültiger Vertragsunwirksamkeit. Für Wettanbieter droht eine Rückforderungswelle, die die Konzessionsfrage umgeht. Gegenläufig erwägt die OLG-Rechtsprechung zu Online-Shops von Autoherstellern eine teleologische Reduktion bei individuell beziffertem Preis; davon grenzt sich das LG Aachen für Wetten bewusst ab. Ausführliche Aufbereitung als CSA-Urteilsbeitrag ur-188.


5. Bußgelder

Im Berichtszeitraum ließ sich kein neuer DSGVO-Bußgeldbescheid mit belastbarer behördlicher Primärquelle bestätigen. Die zuletzt diskutierten Bußgeld-Ereignisse (u. a. die gerichtliche Bestätigung des TikTok-Bußgelds von 530 Mio. Euro) sind bereits behandelt. Auf schwach belegte Tracker-Claims wird bewusst verzichtet.


6. Cyber-Sicherheit

6.1 „BlueHammer“ (CVE-2026-33825): Windows-Defender-Lücke jetzt von Ransomware-Gruppen ausgenutzt

30.06.2026 · BleepingComputer

Zusammenfassung: CISA hat bestätigt, dass Ransomware-Gruppen die als „BlueHammer“ bezeichnete Privilege-Escalation-Lücke CVE-2026-33825 in Microsoft Defender aktiv ausnutzen, und den KEV-Eintrag entsprechend aktualisiert. Die Lücke erlaubt lokalen Angreifern Zugriff auf die SAM-Datenbank mit lokalen Passwort-Hashes und die Eskalation zu SYSTEM-Rechten. Microsoft hatte sie am 14.04.2026 gepatcht.

Hintergrund & Einordnung: Ein PoC war Anfang April 2026 aus Protest gegen den Disclosure-Prozess geleakt worden; danach beobachteten Sicherheitsforscher Zero-Day-Ausnutzung mit „Hands-on-Keyboard“-Aktivität. CISA hatte die Lücke bereits am 22.04. in den KEV-Katalog aufgenommen; die jetzige Bestätigung der Nutzung in Ransomware-Ketten erhöht die Dringlichkeit. Microsoft selbst führt die Lücke bislang nicht als ausgenutzt.

Praxisfolgen / Handlungsempfehlung: Sofern noch nicht geschehen, den April-2026-Patch umgehend einspielen. Systeme auf verdächtige lokale Privilege-Escalation und SAM-Zugriffe prüfen; die Einbindung in Ransomware-Ketten macht die Lücke zum vorrangigen Patch-Ziel.


KI & große Sprachmodelle

  • Anthropic: hat am 1. Juli 2026 Claude Sonnet 5 veröffentlicht – ein auf agentisches Arbeiten optimiertes Modell, das in Benchmarks zu Opus 4.8 aufholt und neues Standardmodell für Free- und Pro-Nutzer wird (zusätzlich „Claude Science“ als Forschungswerkzeug). Zeitgleich hebt die US-Regierung die Mitte Juni verhängten Exportbeschränkungen für Fable 5 und Mythos 5 wieder auf (Brief von Handelsminister Lutnick, begründet mit Anthropics Zusage proaktiver Sicherheitsprüfung); die Zugänge werden ab dem 1. Juli wiederhergestellt (heise, Spiegel).
  • Übrige Anbieter: Kein weiterer frischer, über die Primärquelle belegbarer Release im Berichtszeitraum. Bereits behandelte Entwicklungen (OpenAI GPT-5.6, Google Gemini 3.5 Pro, Mistral, xAI, Z.ai GLM-5.2) werden nicht wiederholt.

Ausblick / Termine

  • Demnächst: Veröffentlichung des „AI Omnibus“ im EU-Amtsblatt (Rat final am 29.06.); Inkrafttreten am dritten Tag danach.
  • 31.07.2026: Letzte BSI-Registrierungsfrist im Rahmen der NIS-2-Umsetzung (Carry-over; Bußgeldrahmen bis 500.000 Euro).
  • 02.08.2026: Anwendungsbeginn der Transparenzpflichten nach Art. 50 KI-VO (KI-Kennzeichnung).
  • 02.12.2026: Ablauf der Watermarking-Gnadenfrist (Art. 50 Abs. 2) für generative KI-Systeme, die vor dem 02.08.2026 in Verkehr waren.

Methodik

Stichtag dieser Ausgabe ist Mittwoch, der 1. Juli 2026; berücksichtigt sind Meldungen der letzten Tage (bei dünner Lage bis sieben Tage zurück, bei Urteilen bis zu acht Wochen ab Verfügbarkeit der schriftlichen Entscheidung), sofern in vorherigen Briefings noch nicht behandelt. Aufgenommen werden ausschließlich über konkrete Deep-Links belegte Sachverhalte; bevorzugt werden Primärquellen (Gerichte, Behörden, EU-Kommission, Hersteller-/Forschungs-Advisories) und etablierte Fachmedien. Das SCOTUS-Urteil ist über mehrere unabhängige Quellen belegt (das Original-PDF wurde als solches verifiziert); der LG-Aachen-Volltext (97 Rn.) wurde über nrwe.justiz.nrw.de/defuddle geholt und als CSA-Beitrag ur-188 aufbereitet. Datums-Präzisierung zur KI-Kennzeichnung: Der 02.08.2026 bleibt der reguläre Start der Art.-50-Transparenzpflichten; der 02.12.2026 ist nur die Watermarking-Gnadenfrist für Alt-Systeme (Korrektur einer vereinfachten Angabe der Vorausgabe). Mehrere Spuren wurden gestrichen: eine SimpleHelp-Malware- und eine GPT-5.6-Meldung als bereits behandelt, ein Langflow-Kryptominer-Bericht als saturiert/retrospektiv, laufendes Bank-Phishing als bereits als Kategorie abgedeckt. Ein neuer DSGVO-Bußgeldbescheid lag nicht vor. Dieses Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.


Quellenverzeichnis

  1. heise online — Kartenhaus: US-Urteil und der transatlantische Datenfluss
  2. US Supreme Court — Trump v. Slaughter, No. 25-332 (Opinion, PDF)
  3. noyb — US Supreme Court just blew EU-US data transfers
  4. US DOJ — Executive Order 14086
  5. EU-Kommission / AI Office — Code of Practice on Transparency of AI-Generated Content
  6. EU-Parlament — Legislative Train: Digital Omnibus on AI
  7. nrwe.justiz.nrw.de — LG Aachen 10 O 306/25 (Volltext)
  8. beck-aktuell — EuGH-Generalanwalt im Tipico-Fall (C-530/24)
  9. watchTowr Labs — Progress Kemp LoadMaster Pre-Auth RCE (CVE-2026-8037)
  10. The Hacker News — Progress Kemp LoadMaster flaw
  11. DeXpose — Qilin Ransomware strikes KUNERT Fashion
  12. BleepingComputer — CISA: Windows „BlueHammer“ flaw now exploited by ransomware gangs
  13. heise online — Anthropic gibt Sonnet 5 frei; Exportbeschränkungen für Fable 5/Mythos 5 aufgehoben
  14. Der Spiegel — US-Regierung hebt Exportbeschränkungen für Anthropics KI-Modelle auf
  15. Deutschland sicher im Netz — Phishing-Welle AOK

Die Infos auf unserem Blog stellen grundsätzlich keine Rechtsberatung dar,
sondern dienen lediglich der Information.

Schulungen zu Datenschutz & Cyber-Sicherheit Firmen-Flatrate

>