Daily-Briefing Datenschutz & IT-Sicherheit
Deutschland · Datenschutz · Datensicherheit · IT-Sicherheit · Urteile · Bußgelder · Cyber-Sicherheit
Worauf Sie heute achten sollten
- Cyberangriff auf Stadtwerke — 60.000 Kundinnen und Kunden müssen ihre Abschläge selbst überweisen. Ein Angriff auf die Gemeinschaftsstadtwerke Kamen, Bönen und Bergkamen (GSW) hat interne Netze, Kundencenter und App lahmgelegt; der Versorger konnte die zum 1. Juli fälligen Abschläge für Strom und Wasser nicht per Lastschrift einziehen. Betroffene sollten den gewohnten Betrag jetzt eigenständig überweisen (Name, Kundennummer, Rechnungseinheit angeben) — sonst wird später automatisch nachgebucht. Prüfen Sie die Bankdaten anhand Ihrer letzten Abrechnung, nicht anhand einer unerwarteten E-Mail.
- Wenn der KI-Chatbot lügt, haftet das Unternehmen — nicht die KI. Das OLG Hamm hat entschieden, dass ein Betrieb für falsche Angaben seines Website-Chatbots geradesteht: Der Bot hatte zwei Ärzten frei erfundene Facharzttitel zugeschrieben. Für Verbraucherinnen und Verbraucher heißt das: Auf Chatbot-Aussagen zu Qualifikationen, Preisen oder Leistungen ist nicht blind Verlass — im Zweifel die offizielle Quelle prüfen.
- „Anonym“ ist nicht gleich anonym. Der Europäische Gerichtshof stellt klar: Ob Daten einen Personenbezug haben, hängt vom Wissen der jeweiligen Stelle ab — dieselben pseudonymen Daten können für den einen personenbezogen und für den anderen anonym sein. Wer glaubt, mit einer simplen Pseudonymisierung die Datenschutzpflichten loszuwerden, irrt. Für Betroffene endet der Schutz nicht dort, wo ein Name durch eine Nummer ersetzt wird.
- Falscher Haftbefehl per E-Mail: Betrüger geben sich als BKA aus. Aktuell kursieren Mails angeblich hochrangiger Behördenmitarbeiter, die mit einem „offenen Haftbefehl“ drohen und binnen 72 Stunden eine Stellungnahme samt Ausweiskopie verlangen. Deutsche Polizei- und Ermittlungsbehörden versenden weder Vorladungen noch Haftbefehle per E-Mail und fordern niemals Ausweisdokumente per Mail an.
Aktuelle Phishing- und Betrugswellen
Die auffälligste neue Masche dieser Woche arbeitet mit Angst vor dem Staat: Betrügerische E-Mails, angeblich von einem ranghohen Ermittler des Bundeskriminalamts, behaupten, gegen die Empfängerin oder den Empfänger liege ein „offener Haftbefehl“ vor. Innerhalb von 72 Stunden solle man eine Stellungnahme abgeben und eine Kopie des Personalausweises übersenden, sonst drohten Konsequenzen. Das Ziel ist der Identitätsdiebstahl: Mit einer Ausweiskopie lassen sich Konten eröffnen und Verträge abschließen. Merkmal echter Behördenpost: Sie kommt per Brief, nicht per Mail — und keine deutsche Behörde fordert Ausweisdokumente über einen E-Mail-Anhang an.
Parallel laufen die bekannten Wellen im Namen von Banken und Zahlungsdiensten weiter (unter anderem angebliche Fristen zur „Bestätigung des Online-Zugangs“ oder zur Aktualisierung einer Sicherheits-App). Diese Maschen sind kein neues Phänomen, folgen aber stets demselben Muster: künstlicher Zeitdruck, unpersönliche Anrede, ein Link auf eine täuschend echte Login-Seite. Keine Bank, kein Zahlungsdienst und keine Behörde fordert per E-Mail zur Eingabe von Zugangs- oder Zahlungsdaten auf. Verdächtige Mails lassen sich an das Phishing-Radar der Verbraucherzentrale weiterleiten, das die tagesaktuellen Warnungen bündelt.
Ein besonderes Augenmerk gilt derzeit den Kundinnen und Kunden der Gemeinschaftsstadtwerke Kamen/Bönen/Bergkamen: Wer wegen des Lastschrift-Ausfalls ohnehin mit Zahlungsthemen rechnet, ist für gefälschte „Jetzt begleichen“-Mails besonders anfällig. Überweisen Sie ausschließlich an die Bankverbindung aus Ihrer letzten Abrechnung — niemals an eine per Mail oder SMS zugesandte Kontonummer.
Was war los?
Die Gemeinschaftsstadtwerke Kamen, Bönen und Bergkamen (GSW) im Kreis Unna wurden am Abend des 28. Juni Ziel eines Cyberangriffs. Der Versorger nahm die IT-Systeme vorsorglich vom Netz, berief einen Krisenstab ein und schaltete das Landeskriminalamt ein. Die Folge für rund 60.000 Verträge: Die zum 1. Juli fälligen Abschläge für Strom und Wasser konnten nicht eingezogen werden. Kundinnen und Kunden werden gebeten, den üblichen Betrag selbst zu überweisen — bezahlt werden muss ohnehin, andernfalls wird später automatisch nachgebucht, sobald die Technik wieder läuft.
Die eigentliche Versorgung mit Strom, Gas und Wasser lief nach Unternehmensangaben durchgehend weiter; betroffen waren die Verwaltungs- und Abrechnungssysteme, das Online-Kundencenter, die App sowie zeitweise die telefonische Erreichbarkeit. Wer hinter dem Angriff steckt und ob dabei Kundendaten abgeflossen sind, war zunächst unklar. Der Fall zeigt exemplarisch, wie ein IT-Ausfall bei einem Versorger unmittelbar im Alltag ankommt — bis hin zum verkleinerten Speisenangebot in den betriebenen Schwimmbädern, weil die Kartenzahlung ausfiel.
Was sich rechtlich geändert hat
Zwei Entwicklungen sind für Privatpersonen wie für Unternehmen bedeutsam. Erstens die Haftung für KI: Das OLG Hamm hat als erstes deutsches Obergericht entschieden, dass Unternehmen für irreführende Aussagen ihrer KI-Chatbots wettbewerbsrechtlich einstehen — der Chatbot ist rechtlich kein „Dritter“, sondern Teil der Organisation. Wer KI im Kundenkontakt einsetzt, kann sich nicht auf „das hat die Maschine erfunden“ berufen.
Zweitens der Personenbezug: Die Rechtsprechung des Europäischen Gerichtshofs bestätigt den relativen Personenbezug. Ob Daten unter die DSGVO fallen, richtet sich nach dem Wissen, das die jeweils verantwortliche Stelle „praktisch mobilisieren“ kann. Pseudonymisierung allein macht Daten nicht anonym — für den, der den Zuordnungsschlüssel hält, bleiben sie personenbezogen, und die Informationspflichten bleiben bestehen. Für Betroffene stärkt das den Schutz; für Verantwortliche bedeutet es, dass „anonym“ eine fortlaufend zu prüfende Bewertung ist, keine einmalige Etikettierung.
IT-Detailansicht für Fachpublikum
Im Folgenden: die laufenden Schwerpunkte der Woche, eine Management Summary mit den wichtigsten Punkten, die Top-Risiken mit konkreten Handlungsempfehlungen sowie die sechs Fachkapitel (Datenschutz, Datensicherheit, IT-Sicherheit, Urteile, Bußgelder, Cyber-Sicherheit), ergänzt um einen Überblick zu KI und großen Sprachmodellen, Ausblick, Methodik und Quellenverzeichnis.
Top-Themen der Woche
1. Ransomware-Lage Deutschland verschärft sich — Mittelstand und KRITIS im Fokus
Deutschland ist laut Google Threat Intelligence erneut das Hauptziel für Cyber-Erpressung in Europa: Während die Zahl der Einträge auf Datenleck-Seiten global 2025 um rund 50 Prozent zunahm, lag das Wachstum in Deutschland bei etwa 92 Prozent — dreimal so hoch wie der europäische Durchschnitt. Für das erste Halbjahr 2026 werden 4.217 Ransomware-Angriffe gezählt; die mittlere Lösegeldforderung liegt bei rund 133.000 Euro, der Durchschnittsschaden übersteigt eine Million.
Letzte Entwicklung: Der Cyberangriff auf die Gemeinschaftsstadtwerke Kamen/Bönen/Bergkamen (60.000 Verträge, Lastschrift-Ausfall) reiht sich in ein Muster von Angriffen auf Betreiber kritischer Infrastruktur ein. Nach dem Rückzug der einst dominanten „Big-Game“-Gruppen LockBit und ALPHV füllen agilere Mittelgewicht-Gruppen wie SafePay und Qilin das Vakuum — SafePay allein soll 2025 rund ein Viertel der Datenleck-Einträge mit Deutschlandbezug verantwortet haben.
Management Summary
Die IT-Sicherheitslage ist am 8. Juli von zwei Themen geprägt: einem konkreten Angriff auf einen kommunalen Versorger und einer weiter angespannten Ransomware-Gesamtlage. Der Angriff auf die Gemeinschaftsstadtwerke Kamen/Bönen/Bergkamen legte zum Monatswechsel die Abrechnungssysteme für rund 60.000 Verträge lahm und verhinderte den Lastschrifteinzug der Juli-Abschläge; die Versorgung selbst blieb stabil, das Landeskriminalamt ermittelt. Auf Produktebene sticht ein Sammel-Update von Ubiquiti heraus: Bulletin 066 schließt 25 Schwachstellen im UniFi-Ökosystem, darunter eine Befehls-Injection in UniFi Connect mit dem CVSS-Höchstwert 10,0 (CVE-2026-50746). Aktive Angriffe auf die neuen Lücken sind bislang nicht gemeldet, doch eine vorangegangene UniFi-Lücke wurde bereits als aktiv ausgenutzt eingestuft — zügiges Patchen ist geboten. Für kleinere Betriebe und Selbst-Hoster sind zudem kritische Lücken in verbreiteten Plattformen (unter anderem Coolify, Keycloak, Craft CMS) relevant, die Codeausführung, Datenabfluss oder Autorisierungs-Bypässe ermöglichen. Insgesamt bestätigt sich der Trend, dass Angreifer den deutschen Mittelstand und kommunale Einrichtungen als lohnende, oft schlechter geschützte Ziele wählen.
Datenschutz- und rechtsseitig dominieren zwei Klarstellungen. Das OLG Hamm hat als erste veröffentlichte Entscheidung in Deutschland entschieden, dass Unternehmen für irreführende „Halluzinationen“ ihrer KI-Chatbots wettbewerbsrechtlich haften — der Bot ist kein „Dritter“, sondern Teil der geschäftlichen Organisation; die Revision zum BGH ist zugelassen. Parallel schärft die EuGH-Rechtsprechung den Begriff des Personenbezugs: Pseudonyme Daten können für einen Empfänger ohne Zuordnungsschlüssel anonym, für die verantwortliche Stelle aber personenbezogen sein (relativer Personenbezug), womit die Informationspflicht beim Übermittelnden bleibt. In der Durchsetzung verschiebt sich der Fokus der Aufsichtsbehörden 2026 spürbar auf den Mittelstand, wobei die 72-Stunden-Meldepflicht bei Datenpannen der häufigste Auslöser für Verfahren ist. Ein neues Einzel-Bußgeld in Millionenhöhe wurde diese Woche nicht bekannt; prägend bleibt der Strukturtrend. Auf KI-Seite kündigt Mistral ein quelloffenes Modell für den Juli-Early-Access an, Meituan hat mit LongCat-2.0 ein sehr großes Coding-Modell quelloffen gestellt, und OpenAI bereitet den breiten Start der GPT-5.6-Familie vor.
Die wichtigsten Punkte im Überblick
- Cyberangriff auf die GSW Kamen/Bönen/Bergkamen: 60.000 Verträge, Lastschrift der Juli-Abschläge ausgefallen, LKA ermittelt, Datenabfluss zunächst unklar.
- Ubiquiti UniFi Bulletin 066: 25 Schwachstellen, kritischste CVE-2026-50746 (CVSS 10,0, Befehls-Injection in UniFi Connect) — patchen.
- Kritische Lücken in Selbst-Hosting-/Mittelstands-Software (u. a. Coolify, Keycloak, Craft CMS 4.18.1).
- OLG Hamm: Unternehmen haften für Falschaussagen ihrer KI-Chatbots (§ 5 UWG), Revision zum BGH zugelassen.
- EuGH: relativer Personenbezug — Pseudonymisierung ist keine Anonymisierung, Informationspflicht bleibt beim Verantwortlichen.
- Ransomware-Lage: 4.217 Angriffe im ersten Halbjahr 2026, Deutschland +92 % Datenleck-Einträge, SafePay und Qilin führend.
- Phishing: gefälschte BKA-Mails mit „Haftbefehl“ und Ausweis-Forderung binnen 72 Stunden.
- DSGVO-Durchsetzung 2026: Aufsicht rückt den Mittelstand ins Visier, 72-Stunden-Meldepflicht häufigster Anlass.
Top-Risiken – Handlungsempfehlungen für heute
- UniFi-Systeme aktualisieren. Bulletin 066 einspielen, insbesondere UniFi Connect (CVE-2026-50746, CVSS 10,0). Verwaltungsoberflächen nicht ungeschützt ins Internet stellen.
- Selbst-Hosting prüfen. Coolify, Keycloak (OIDC-Broker-Fehlkonfiguration bei
trustEmail) und Craft CMS (Update auf 4.18.1) auf aktuellem Stand halten; exponierte Instanzen priorisieren. - KRITIS-/Versorger-Kommunikation absichern. Bei Lastschrift-Ausfällen Kundinnen und Kunden proaktiv und über verifizierte Kanäle informieren; Zahlungswege eindeutig benennen, um Betrugsmails vorzubeugen.
- KI-Chatbot-Ausgaben rechtlich absichern. Aussagen zu Qualifikationen, Preisen und Leistungen einschränken, protokollieren und mit Haftungshinweisen versehen; kein blindes Vertrauen auf „nur korrekte Trainingsdaten“.
- Phishing-Awareness auffrischen. Beschäftigte für die BKA-/Behörden-Masche sensibilisieren: keine Ausweiskopien, keine Stellungnahmen auf E-Mail-Druck.
- Pseudonymisierung neu bewerten. Interne „anonym“-Einstufungen überprüfen — hält die verantwortliche Stelle den Zuordnungsschlüssel, bleiben die DSGVO-Pflichten bestehen.
1. Datenschutz
Die datenschutzrechtliche Kernfrage der Woche ist alt und zugleich hochaktuell: Wann sind Daten „personenbezogen“? Eine gebündelte Aufbereitung der EuGH-Rechtsprechung (angestoßen durch aktuelle Vorträge von Prof. Roßnagel) bringt Linie in eine Debatte, die für KI-Training, Forschung und Statistik unmittelbar praktisch ist.
1.1 EuGH schärft den Personenbezug: „Anonymität ist relativ“
Zusammenfassung: Der Europäische Gerichtshof hat in einer Reihe von Entscheidungen — zuletzt und besonders deutlich im Rechtsmittelurteil vom 4. September 2025 (C-413/23 P, EDSB/SRB) — den relativen Personenbezug bestätigt. Danach beschreibt der Personenbezug keine feste Eigenschaft eines Datums, sondern eine Wissensbeziehung: Maßgeblich ist, welches identifizierende Wissen die jeweils verantwortliche Stelle praktisch mobilisieren kann. Im Fall SRB hatte der Einheitliche Abwicklungsausschuss Stellungnahmen von Betroffenen mit einem Code versehen an Deloitte weitergegeben; Deloitte hatte keinen Zugang zur Zuordnungstabelle. Der EuGH stellte klar, dass dieselben Daten für den SRB (mit Schlüssel) personenbezogen und für Deloitte (ohne Schlüssel) anonym sein können.
Hintergrund & Einordnung: Die Linie zieht sich durch mehrere Verfahren — von Breyer (C-582/14) über Scania (C-319/22) und OLAF (C-479/22 P) bis IAB Europe (C-604/22). Kernaussage: Pseudonymisierung ist eine technisch-organisatorische Maßnahme, keine automatische Anonymisierung. Für die Informationspflicht kommt es auf die Perspektive des Verantwortlichen bei der Erhebung an, nicht auf die spätere Sicht eines Empfängers. Auch Meinungen und Bewertungen können personenbezogene Daten sein. Das Urteil erging zwar zur Datenschutzverordnung für EU-Organe (2018/1725), ist aber ausdrücklich auf die inhaltsgleichen Informationspflichten der DSGVO (Art. 13/14) übertragbar.
Praxisfolgen / Handlungsempfehlung: Wer Daten als „anonym“ behandelt und damit aus dem DSGVO-Regime nimmt, muss diese Einstufung sauber und wiederkehrend begründen — insbesondere bei Weitergabe an Dritte und bei KI-Trainingsdaten, deren Re-Identifizierbarkeit mit fortschreitender Technik steigen kann. Hält die eigene Stelle den Zuordnungsschlüssel, bleiben die Daten personenbezogen und die Informationspflichten bestehen, selbst wenn der Empfänger nichts zuordnen kann. Anonymität ist als Prozess zu verstehen: eine Bewertung nach jeweils aktuellem Stand der Technik, keine einmalige Feststellung.
2. Datensicherheit
Im Zentrum steht ein Angriff mit direkter Alltagswirkung — und die Einordnung in eine Bedrohungslage, die sich 2026 weiter zugespitzt hat.
2.1 Cyberangriff auf Gemeinschaftsstadtwerke Kamen/Bönen/Bergkamen
Zusammenfassung: Die Gemeinschaftsstadtwerke Kamen, Bönen und Bergkamen (GSW) wurden am Abend des 28. Juni von einem Cyberangriff getroffen. Interne Netzwerke, das Online-Kundencenter, die App sowie die telefonische und E-Mail-Erreichbarkeit waren gestört. Der Versorger nahm seine Systeme vorsorglich vom Netz und berief einen Krisenstab ein; das Landeskriminalamt ermittelt. Zentrale Folge: Die zum 1. Juli fälligen Abschläge für Strom und Wasser konnten für rund 60.000 Verträge nicht per Lastschrift eingezogen werden.
Hintergrund & Einordnung: Der Angriffsvektor ist bislang unbekannt; ob personenbezogene Kundendaten abgeflossen sind, war zunächst nicht geklärt. Die eigentliche Versorgung mit Strom, Gas und Wasser blieb unbeeinträchtigt — betroffen war die IT für Verwaltung und Abrechnung. Der Fall passt in ein Muster: Betreiber kritischer Infrastruktur sind ein bevorzugtes Ziel, häufig verbunden mit Lösegeldforderungen; bereits 2026 gab es mehrere vergleichbare Vorfälle bei kommunalen Versorgern. Sichtbar wird auch die Abhängigkeit vom Zahlungsverkehr: Selbst Nebenbetriebe wie die Schwimmbäder mussten wegen ausgefallener Kartenzahlung ihr Angebot einschränken.
Praxisfolgen / Handlungsempfehlung: Für Betroffene gilt: den üblichen Abschlag eigenständig überweisen (Name, Kundennummer, Rechnungseinheit), ausschließlich an die Bankverbindung der letzten Abrechnung — nicht an per Mail oder SMS zugesandte Konten. Für Versorger und KRITIS-Betreiber unterstreicht der Fall die Notwendigkeit segmentierter Netze, offline-fähiger Notfall- und Abrechnungsprozesse sowie einer vorbereiteten Krisenkommunikation, die Zahlungswege eindeutig benennt und Betrugsmaschen den Boden entzieht. Nach Datenpannen ist zudem die 72-Stunden-Meldepflicht im Blick zu behalten.
2.2 Ransomware-Ökonomie: SafePay und Qilin füllen das Vakuum
Zusammenfassung: Die Bedrohungslage in Deutschland hat sich 2026 weiter verschärft. Für das erste Halbjahr werden 4.217 Ransomware-Angriffe gezählt, mit deutlichem Zuwachs auch im Einzelhandel. Laut Google Threat Intelligence stieg die Zahl der Deutschland-Einträge auf Datenleck-Seiten um rund 92 Prozent — dreimal so stark wie im europäischen Mittel. Organisationen mit weniger als 5.000 Beschäftigten machten 2025 rund 96 Prozent der deutschen Ransomware-Lecks aus.
Hintergrund & Einordnung: Durch Strafverfolgungsdruck gegen LockBit und ALPHV ist ein Machtvakuum entstanden, das agilere Mittelgewicht-Gruppen besetzen. Besonders präsent sind SafePay und Qilin; SafePay soll 2025 rund ein Viertel der Veröffentlichungen auf deutschen Datenleck-Seiten verantwortet und Einbrüche bei 76 deutschen Unternehmen beansprucht haben. Das Geschäftsmodell setzt zunehmend auf doppelte Erpressung: Daten werden vor der Verschlüsselung gestohlen und auf Leak-Seiten öffentlich zur Schau gestellt, um den Druck zu erhöhen — aus einem Sicherheitsvorfall wird eine PR-Krise.
Praxisfolgen / Handlungsempfehlung: Der Mittelstand ist statistisch das Hauptziel und braucht Grundschutz mit Nachdruck: geprüfte, offline gehaltene Backups, konsequentes Patch-Management exponierter Systeme, Multi-Faktor-Authentifizierung und ein eingeübter Incident-Response-Plan. Da Datenabfluss vor der Verschlüsselung inzwischen Standard ist, greift „wir spielen einfach das Backup zurück“ zu kurz — die Meldepflichten nach DSGVO und die Kommunikation gegenüber Betroffenen müssen mitgedacht werden.
3. IT-Sicherheit
Auf Produktebene bestimmen ein kritisches Sammel-Update im Netzwerkbereich und eine Reihe von Lücken in Selbst-Hosting-Software die Woche.
3.1 Ubiquiti UniFi Bulletin 066: 25 Lücken, Höchstwertung für UniFi Connect
Zusammenfassung: Ubiquiti hat mit dem Sicherheitsbulletin 066 gleich 25 Schwachstellen im UniFi-Ökosystem geschlossen. Die kritischste, CVE-2026-50746, betrifft UniFi Connect und wird mit dem CVSS-Höchstwert 10,0 bewertet: Über eine Befehls-Injection kann ein Angreifer mit Netzzugang beliebige Befehle auf dem Host ausführen — eine Fernübernahme ohne Umweg. Mehrere weitere Lücken liegen im Bereich 9,0–10,0 und erfordern meist nur Netzzugang ohne Authentifizierung.
Hintergrund & Einordnung: Aktive Angriffe auf die neuen Lücken sind bislang nicht gemeldet. Das ist jedoch kein Grund zum Abwarten: Erst wenige Wochen zuvor hatte die US-Behörde CISA eine UniFi-OS-Root-Lücke als aktiv ausgenutzt eingestuft — gepatcht war sie längst, nur eingespielt hatten viele das Update nicht. Genau dieses Muster — verfügbarer Patch, verzögerte Installation — ist bei weit verbreiteter Netzwerk-Hardware das eigentliche Risiko.
Praxisfolgen / Handlungsempfehlung: Bulletin 066 zeitnah einspielen, UniFi Connect priorisieren. Management- und Controller-Oberflächen gehören nicht ungeschützt ins offene Internet; Zugriff über VPN oder IP-Beschränkung absichern. Wer UniFi in größerem Maßstab betreibt, sollte den Patch-Stand aller Standorte zentral verifizieren, statt sich auf automatische Updates zu verlassen.
3.2 Kritische Lücken in Selbst-Hosting- und Mittelstands-Software
Zusammenfassung: Ein KMU-orientiertes Security-Briefing für den Zeitraum 3. bis 6. Juli fasst mehrere kritische Schwachstellen in verbreiteter Selbst-Hosting-Software zusammen. Betroffen sind unter anderem die Deployment-Plattform Coolify (fünf als kritisch eingestufte Lücken mit möglicher Remote-Codeausführung und Datenabfluss), der Identitäts-Broker Keycloak (fehlerhafte Synchronisation des email_verified-Claims bei aktivem Userinfo-Endpunkt und trustEmail=true) sowie das Craft CMS (Autorisierungs-Bypass im reorder-sets-Endpunkt bis Version 4.18.0.1, behoben mit 4.18.1).
Hintergrund & Einordnung: Solche Plattformen sind in kleineren Betrieben und bei Selbst-Hostern weit verbreitet und oft nur spärlich betreut. Die Keycloak-Fehlkonfiguration ist besonders heikel: Wird der Verifizierungsstatus einer E-Mail-Adresse falsch übernommen, lassen sich unter Umständen Konten über einen fremden Identitätsanbieter übernehmen. Beim Craft CMS erlaubt der Bypass eine unautorisierte Manipulation aus der Ferne.
Praxisfolgen / Handlungsempfehlung: Betroffene Systeme umgehend aktualisieren (Craft CMS auf 4.18.1), Keycloak-Broker-Konfiguration prüfen und trustEmail nur bei tatsächlich vertrauenswürdigen Anbietern setzen, Coolify-Instanzen patchen und Zugriffsrechte restriktiv halten. Selbst-gehostete Dienste gehören in ein regelmäßiges Patch- und Monitoring-Regime — gerade weil sie kein Hersteller im Hintergrund automatisch absichert.
4. Urteile
Die relevanteste Entscheidung betrifft ein Kernthema der kommenden Jahre: Wer haftet, wenn eine KI im Namen eines Unternehmens Falsches behauptet?
4.1 OLG Hamm: Unternehmen haftet für Falschaussagen seines KI-Chatbots
Sachverhalt: Die Aesthetify GmbH aus Recklinghausen (auftretend als „Dr. Rick & Dr. Nick“) bot auf ihrer Website einen KI-Chatbot für Terminbuchung und Fragen an. Der Bot schrieb den beiden Geschäftsführern wiederholt Facharztbezeichnungen zu, die es so gar nicht gibt — etwa „Facharzt für ästhetische Chirurgie“ oder „Facharzt für ästhetische Medizin“. Die Verbraucherzentrale NRW mahnte ab und verlangte eine strafbewehrte Unterlassungserklärung; der Chatbot wurde zwar deaktiviert, die Erklärung aber nicht abgegeben.
Entscheidung: Das Oberlandesgericht Hamm gab der Unterlassungsklage statt. Die Chatbot-Antworten seien unzulässige, irreführende geschäftliche Handlungen der Beklagten im Sinne des § 5 Abs. 1, Abs. 2 Nr. 3 UWG. Wegen der grundsätzlichen Fragen zur KI-Haftung ließ der Senat die Revision zum Bundesgerichtshof zu. Das Urteil ist noch nicht rechtskräftig.
Begründungs-Kernpunkte: Der Chatbot ist rechtlich kein „Dritter“, sondern Teil der geschäftlichen Organisation des Unternehmens; ein Rückgriff auf die Grundsätze der Verkehrssicherungspflicht scheidet damit aus. Selbst wenn nur korrekte Datensätze eingespeist worden wären, trägt der Betreiber die Verantwortung für die Falschangaben. Maßgeblich ist, dass der Bot innerhalb der Organisation eingesetzt wird und nach außen im Namen des Unternehmens auftritt. Es handelt sich um die erste veröffentlichte deutsche Entscheidung zur Frage, ob unzutreffende Chatbot-Antworten irreführende geschäftliche Handlungen sind.
Praxisfolgen: Wer KI im Kundenkontakt einsetzt, haftet für deren Aussagen wie für eigene Werbung — „das hat die KI halluziniert“ entlastet nicht. Betreiber sollten die Ausgaben ihrer Chatbots zu Qualifikationen, Preisen, Leistungen und rechtlich sensiblen Angaben eingrenzen, testen und protokollieren, klare Haftungs- und Vorbehaltshinweise setzen und Eskalationswege zu einem Menschen vorsehen. Für die gesamte Branche dürfte die anstehende BGH-Entscheidung Leitlinien zur Verantwortung für KI-generierte Inhalte setzen.
5. Bußgelder
Diese Woche wurde kein neues Einzel-Bußgeld in Millionenhöhe bekannt. Prägend ist ein struktureller Trend in der Durchsetzung.
5.1 DSGVO-Durchsetzung 2026: Aufsicht rückt den Mittelstand ins Visier
Zusammenfassung: Die Durchsetzung der DSGVO verschiebt sich 2026 spürbar von den großen Tech-Konzernen hin zum Mittelstand. Berliner und Hamburger Aufsichtsbehörden haben laut Berichterstattung erstmals systematisch Unternehmen mit einem Jahresumsatz unter 500 Millionen Euro ins Visier genommen. Häufigster Auslöser für ein Verfahren ist die 72-Stunden-Meldepflicht bei Datenpannen. Die kumulierte Summe der europäischen DSGVO-Bußgelder wird je nach Zählung auf 6 bis 7 Milliarden Euro geschätzt, mit klar steigender Tendenz.
Hintergrund & Einordnung: Der Schwerpunkt verlagert sich von der Papier-Compliance zur Frage, ob ein Betrieb seinen Datenschutz auch im laufenden System nachweisen kann. Sichtbar wird zugleich, dass hohe Bußgelder vor Gericht oft deutlich reduziert werden — ein wiederkehrendes Muster, das die Aufsicht unter Druck setzt, Bescheide belastbar zu begründen. In Deutschland werden Bußgelder überdies selten öffentlich gemacht, sodass das reale Verfahrensgeschehen die publizierten Fälle übersteigt.
Praxisfolgen: Auch kleinere und mittlere Unternehmen sollten ihren Datenschutz „betriebsbereit“ halten: dokumentierte technische und organisatorische Maßnahmen, ein eingeübter Datenpannen-Meldeprozess (72 Stunden), aktuelle Verarbeitungsverzeichnisse und Löschkonzepte. Wer erst nach einem Vorfall improvisiert, riskiert doppelt — durch den Schaden selbst und durch die dann sichtbaren Compliance-Lücken.
6. Cyber-Sicherheit
Übergreifend zeigt sich, wie eng technische Angriffe, Erpressungsökonomie und die Verwundbarkeit kritischer Infrastruktur zusammenhängen.
6.1 Kritische Infrastruktur als Ziel — und die Ökonomie der Datenleck-Seiten
Zusammenfassung: Der Angriff auf die GSW ist kein Einzelfall, sondern Teil eines Trends: Kommunale Versorger und Betreiber kritischer Infrastruktur geraten verstärkt ins Visier, weil ein Ausfall unmittelbar Druck erzeugt. Zugleich hat sich die Erpressung professionalisiert. Datenleck-Seiten sind zum zentralen Druckmittel geworden: Angreifer stehlen Daten vor der Verschlüsselung und drohen mit gestaffelter Veröffentlichung, um Lösegeldzahlungen zu erzwingen.
Hintergrund & Einordnung: Für 2025 zählt das BSI über 900 gemeldete Ransomware-Angriffe — und das sind nur die angezeigten Fälle. Die Verlagerung hin zu mittelgroßen, schnell agierenden Gruppen (SafePay, Qilin) senkt die Hürde und erhöht die Frequenz. Bei KRITIS-Zielen verschärft sich die Lage, weil neben dem finanziellen Schaden die Versorgungssicherheit und das Vertrauen der Bürgerinnen und Bürger auf dem Spiel stehen.
Praxisfolgen / Handlungsempfehlung: KRITIS-Betreiber sollten Angriffsflächen reduzieren (Segmentierung, Zugriffskontrolle, Monitoring), Notfallprozesse offline-fähig auslegen und regelmäßig üben. Da die Veröffentlichung gestohlener Daten inzwischen zum Standardrepertoire gehört, ist die Vorbereitung auf den Kommunikations- und Meldefall ebenso wichtig wie die technische Abwehr. Threat-Intelligence zu aktiven Gruppen hilft, Prioritäten bei der Härtung zu setzen.
KI & große Sprachmodelle
Kompakter Überblick der jüngsten Entwicklungen je Anbieter (bewusst knapp, unbestätigte Angaben als solche gekennzeichnet):
- Mistral: kündigt ein quelloffenes Modell einer neuen „fett, aber spärlichen“ Mixture-of-Experts-Familie an; der Early Access startet im Juli 2026. Parameterzahl, Benchmarks und Lizenz sind noch nicht bestätigt.
- Meituan: hat mit LongCat-2.0 ein Coding-Modell mit 1,6 Billionen Parametern quelloffen gestellt, das vollständig auf chinesischen Chips trainiert wurde (Ende Juni).
- OpenAI: bereitet den breiten Start der GPT-5.6-Familie (Sol, Terra, Luna) vor, nachdem der Zugang zunächst auf eine kleine Vorschau beschränkt war; ein breiter Rollout wird für diese Woche erwartet (noch nicht allgemein verfügbar).
- Google: Gemini 3.5 Pro ist für die allgemeine Verfügbarkeit im Juli freigegeben; zuvor erschienen im Juni bereits Bildmodelle der Gemini-3-Reihe.
- Anthropic: keine grundlegend neue Modellstufe diese Woche; Claude Sonnet 5 bleibt Standardmodell, Fable 5 ist nach Aufhebung der Exportkontroll-Anordnung wieder verfügbar.
Datenschutz- und Sicherheitsrelevanz: Quelloffene Modelle mit sehr großen Kontexten und Coding-Fähigkeiten senken die Hürde für Automatisierung — auch für Angreifer. Beim Einsatz von KI im Kundenkontakt ist die Haftungsfrage (siehe Kapitel 4) mitzudenken.
Ausblick / Termine
- Laufend: GSW Kamen/Bönen/Bergkamen — Wiederherstellung der Systeme und Klärung eines möglichen Datenabflusses; Betroffene sollten Mitteilungen des Versorgers über verifizierte Kanäle verfolgen.
- Juli 2026: Erwarteter breiter Start der OpenAI-GPT-5.6-Familie und allgemeine Verfügbarkeit von Google Gemini 3.5 Pro; Beginn des Mistral-Open-Weight-Early-Access.
- Anhängig: Revision zum BGH gegen das OLG-Hamm-Urteil zur KI-Chatbot-Haftung (Az. 4 UKl 3/25) — wegweisend für die Verantwortung für KI-generierte Inhalte.
Methodik
Stichtag dieses Briefings ist der 8. Juli 2026. Bevorzugt werden Primär- und Behördenquellen (Gerichte mit Aktenzeichen, Aufsichtsbehörden, BSI/CERT-Bund, Hersteller-Advisories) sowie etablierte Fachmedien; jede Meldung ist über einen konkreten Deep-Link belegt. Englischsprachige Quellen werden ins Deutsche übersetzt, der Originallink bleibt erhalten. Meldungen der letzten Tage werden aufgenommen, sofern sie noch nicht in einer früheren Ausgabe behandelt wurden; Gerichtsentscheidungen können bis zu acht Wochen zurückreichen, wenn die schriftlichen Gründe erst kürzlich verfügbar wurden. Das Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.
Quellenverzeichnis
- Hellweger Anzeiger: Cyberangriff GSW Kamen-Bönen-Bergkamen — Abschläge selbst überweisen
- Security-Insider: Cyberangriff auf GSW — Energieversorgung weiter gesichert
- LTO: OLG Hamm — Ärzte haften für Falschaussagen ihrer KI-Chatbots
- OLG Hamm, Pressemitteilung: Verbraucherzentrale NRW ./. Aesthetify GmbH (4 UKl 3/25)
- LDI NRW: EuGH zu „personenbezogene Daten“ und „Pseudonymisierung“
- Dr. Datenschutz: Anonymität ist relativ — EuGH-Urteile zum Personenbezug (Prof. Roßnagel)
- Blogspan: Ubiquiti schließt 25 Sicherheitslücken mit UniFi Bulletin 066 (CVE-2026-50746)
- nbreview: Security-Briefing 03.–06.07.2026 (Coolify, Keycloak, Craft CMS)
- Börse Express: Ransomware-Welle — 4.217 Angriffe im ersten Halbjahr 2026
- WeLiveSecurity: Datenleck-Websites als Druckmittel der Ransomware-Banden
- Verbraucherzentrale NRW: Phishing-Mails und falsche SMS von Ministerien und Behörden
- Verbraucherzentrale: Phishing-Radar — aktuelle Warnungen
- SecurityToday: GDPR Fines 2026 — Why Regulators Are Now Targeting SMEs
- TechCrunch: What is Mistral AI — kommendes Open-Weight-Modell
- LLM-Stats: AI Model Updates (Juli 2026)













