Posted in  Daily Briefing  on  Mai 20, 2026 by  Achim Schmidt0 comments

Tages-Briefing • Datenschutz & IT-Sicherheit • 20. Mail 2026

  • Home
  • /
  • Tages-Briefing • Datenschutz & IT-Sicherheit • 20. Mail 2026
Tages-Briefing Datenschutz & IT-Sicherheit · 20.05.2026
Cyber-Security.academy

Tages-Briefing Datenschutz & IT-Sicherheit

Deutschland · Datenschutz · Datensicherheit · IT-Sicherheit · Urteile · Bußgelder · Cyber-Sicherheit

Stand: Mittwoch, 20. Mai 2026

Schnellüberblick für alle ↓  ·  IT-Detailansicht ↓

Worauf Sie heute achten sollten

  • Gefälschte GEZ- und Rundfunkbeitrags-Mails. Die Verbraucherzentralen warnen seit Mitte Mai vor einer Phishing-Welle, die wie offizielle Zahlungsaufforderungen des Beitragsservices aussieht – inklusive Logo, Beitragsnummer und Kalenderdatei im Anhang. Die in der Mail angegebene IBAN sieht zwar wie ein deutsches Konto aus, gehört aber zu einer spanischen Bank ohne jeden Bezug zum Beitragsservice. Bezahlen Sie nichts auf Zuruf, sondern prüfen Sie offene Forderungen immer direkt über das offizielle Portal rundfunkbeitrag.de.
  • Outlook-Mail mit OWA – Vorsicht in Unternehmens-Postfächern. Microsoft hat eine kritische Spoofing-Schwachstelle in Exchange Outlook Web Access bestätigt (CVE-2026-42897), die aktiv ausgenutzt wird. Wenn Sie eine geschäftliche Mail im Webmailer öffnen und etwas „seltsam“ wirkt – ungewöhnliche Schaltflächen, Anmeldemasken im Vorschaufenster, plötzliche Pop-ups – brechen Sie die Aktion ab und melden Sie die Mail Ihrer IT. Die Lücke wurde von der US-Behörde CISA als aktiv ausgenutzt eingestuft.
  • BVG-Datenpanne als Lehrstück für Auftragsverarbeitung. Die Berliner Datenschutzbeauftragte hat die BVG förmlich verwarnt, weil rund 180.000 Kundendatensätze bei einem Dienstleister nicht gelöscht und nach einem dortigen Cyberangriff abgeflossen sind. Wenn Sie Kundin oder Kunde der BVG sind und in den letzten Monaten ungewöhnliche Spam- oder Phishing-Mails erhalten haben, behandeln Sie diese mit besonderer Vorsicht und nutzen Sie die offizielle Statusseite der BVG zur Datenpanne.
  • Datev-Lohnabrechnungen weiter im Aufklärungsmodus. Die im Mai bekannt gewordene Datenpanne beim Steuerberater-Dienstleister Datev wird derzeit durch das Bayerische Landesamt für Datenschutzaufsicht aufgearbeitet. Wer in einer Datev-Kanzlei beschäftigt war oder dort abgerechnet wird, sollte den Arbeitgeber gezielt nach dem Stand der Aufklärung fragen und bei Auffälligkeiten in der Sozialversicherung oder bei der Bank reagieren.
  • Cybercrime-Lagebild 2025: Sie sind nicht paranoid, die Lage ist real. Das Bundeskriminalamt hat die Zahlen für 2025 vorgelegt: rund 335.000 Fälle Cybercrime im engeren Sinne, ein Schaden von 202 Milliarden Euro für die deutsche Wirtschaft, Ransomware-Fälle um zehn Prozent gestiegen. Multi-Faktor-Anmeldung, ein Passwort-Manager und gesunde Skepsis gegenüber jeder unverlangten Nachricht bleiben die wichtigsten Schutzmaßnahmen.

Aktuelle Phishing- und Betrugswellen

Die auffälligste neue Welle der vergangenen Tage betrifft den Rundfunkbeitrag. Seit dem 11. Mai sind Mails im Umlauf, deren Betreffzeile „Ihr Zahlungsplan für den Rundfunkbeitrag ab 2026″ lautet und die optisch kaum vom Original zu unterscheiden sind. Auffällig ist die professionelle Aufmachung – inklusive einer als Anhang mitgeschickten Kalenderdatei, die der echte Beitragsservice tatsächlich anbietet. Wer den Anhang öffnet, riskiert die Installation von Schadsoftware; wer auf die mitgesendete IBAN überweist, schickt Geld an ein spanisches Konto ohne jeden Bezug zum Beitragsservice. Ignorieren Sie die Mail, prüfen Sie offene Forderungen ausschließlich im persönlichen Konto auf rundfunkbeitrag.de und melden Sie verdächtige Nachrichten an phishing@verbraucherzentrale.nrw.

Parallel laufen Betrugsmaschen, die auf alltägliche Dienste setzen. Falsche PayPal-Mails wegen vermeintlicher Kontosperrungen, Sicherheitsprüfungen oder Rufnummern-Aktualisierungen verzeichnen die Verbraucherzentralen weiter in hoher Frequenz. Ähnliches gilt für DHL- und Paket-Tracking-SMS sowie für DKB- und photoTAN-Mails, die mit künstlich erzeugtem Zeitdruck arbeiten. Erkennen Sie diese Nachrichten daran, dass sie Sie zu einer sofortigen Aktion über einen Link drängen – einer der zentralen Schwellen, die seriöse Anbieter aus Compliance-Gründen nicht überschreiten.

Hinzu kommen die noch immer laufenden Phishing-Wellen im Namen von Volksbanken und der Telekom, vor denen die Verbraucherzentrale bereits im Tages-Briefing vom 19. Mai gewarnt hat. Die Volksbank-Mails operieren mit dem Köder „Aktualisierung Ihrer Kundendaten erforderlich“ und einer 48-Stunden-Frist, die Telekom-Variante mit angeblich offenen Rechnungen oder neuen AGB. In allen Fällen gilt dieselbe Faustregel: Loggen Sie sich nur über die offizielle App oder die direkt eingetippte Adresse ein, klicken Sie nie auf Links aus solchen Mails, und nehmen Sie die Hotline des echten Anbieters in den Fragebogen.

Im geschäftlichen Umfeld bleibt der gemeinsame Sicherheitshinweis von Bundesamt für Verfassungsschutz und Bundesamt für Sicherheit in der Informationstechnik zur Phishing-Welle über Messengerdienste relevant. Beschäftigte in sicherheitssensiblen Branchen sollten Anrufe oder Nachrichten über WhatsApp, Telegram oder Signal, in denen scheinbar Vorgesetzte, Kunden oder Behörden auftreten, immer auf einem zweiten Kanal verifizieren und niemals Zugangsdaten oder Bestätigungscodes per Messenger weitergeben.

Was war los?

Im Mittelpunkt steht ein Dreiklang aus großen Vorfällen: Bei der Berliner BVG wurden über einen Dienstleister rund 180.000 Kundendatensätze betroffen, weil dieser Daten nach Auftragsende nicht gelöscht hatte und nach einem Cyberangriff erst spät informierte. Die Berliner Datenschutzbeauftragte hat die BVG dafür offiziell verwarnt. Bei Datev kam es zu einer meldepflichtigen Datenpanne im Lohnabrechnungssystem Lodas, durch die Probeabrechnungen mit Sozialversicherungsnummern und Verdienstdaten an fremde Kanzleien gingen. Und in Niedersachsen wurde der Prüfdienst ARWINI Anfang Mai gehackt, bei dem bis zu 80.000 Patientendaten aus der ärztlichen Rezeptprüfung abgeflossen sein könnten.

International zog die niederländische Datenschutzaufsicht mit Kolleginnen aus Finnland und Norwegen die Reißleine: Die Mutterfirma des Fahrdienstes Yango wurde mit 100 Millionen Euro Bußgeld belegt, weil personenbezogene Daten – darunter Standortdaten, Bankverbindungen und Ausweiskopien – ohne ausreichenden Schutz nach Russland transferiert wurden. Die Standardvertragsklauseln genügten nicht, weil die Verschlüsselungsschlüssel ebenfalls in Russland lagerten und das russische „Yarovaya-Gesetz“ einen weitreichenden behördlichen Zugriff erlaubt.

Außerdem wurde mit dem Bundeslagebild Cybercrime 2025 die größte Cyberkriminalitäts-Statistik des Jahres in Deutschland veröffentlicht. Sie zeigt ein Schadensvolumen von rund 202,4 Milliarden Euro, fast 335.000 erfasste Fälle und einen weiteren Anstieg der Ransomware-Anzeigen. Beide Innenminister, Bundes- und BKA-Ebene, betonten dabei besonders die Rolle von KI-gestützten Angriffen und das Wirtschaftsdelikt Identitätsdiebstahl.

Was sich rechtlich geändert hat

Der Europäische Gerichtshof hat am 12. Mai im Verfahren C-797/23 (Meta Platforms Ireland) entschieden, dass Mitgliedstaaten Verlagen ein Vergütungsrecht gegenüber Online-Plattformen wie Meta einräumen dürfen; die Plattformen sind dabei verpflichtet, die für die Vergütungsberechnung erforderlichen Daten offenzulegen. Für Privatpersonen bedeutet das mittelbar, dass digitale Plattformen künftig stärker mit nationalen Verlagsmodellen verhandeln müssen – kurzfristige Veränderungen in der Nutzung sind nicht zu erwarten, mittelfristig aber Konfliktfelder bei Datenoffenlegung und Vergütungstransparenz.

Auf nationaler Ebene hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Anfang Mai erneut an die EU-Gesetzgeber appelliert, die Pläne für eine anlasslose Chatkontrolle endgültig aufzugeben. Die anlasslose Durchsuchung von Messengerdiensten, das Aushebeln der Ende-zu-Ende-Verschlüsselung und sogenanntes Client-Side-Scanning seien unverhältnismäßige Eingriffe in die Grundrechte. Für Nutzerinnen und Nutzer von WhatsApp, Signal und Co. ist damit zwar keine unmittelbare Gesetzesänderung verbunden, aber ein wichtiges politisches Signal aus dem deutschen Behördenkreis.

IT-Detailansicht für Fachpublikum

Im folgenden Fachteil finden Sie die Management Summary, die priorisierten Top-Risiken des Tages, die sechs thematischen Kapitel (Datenschutz, Datensicherheit, IT-Sicherheit, Urteile, Bußgelder und Cyber-Sicherheit) sowie Ausblick, Methodik und das vereinte Quellenverzeichnis. Schwerpunkte des heutigen Tages sind die neu von Microsoft bestätigte Exchange-OWA-Schwachstelle, der SAP-Patchday Mai 2026, die Verwarnung der BVG durch die Berliner Aufsicht sowie das Rekordbußgeld gegen Yango wegen Datentransfers nach Russland. Bestehende Top-Lagen wie die Cisco-SD-WAN-Lücke und die Linux-Kernel-Privilegieneskalation bleiben akut.

Top-Themen der Woche

1. Cisco Catalyst SD-WAN Controller – CVE-2026-20182 (CVSS 10.0) aktiv ausgenutzt

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Mittwoch, 20. Mai 2026 · Score 95

Cisco bestätigt weiterhin die aktive Ausnutzung einer Authentication-Bypass-Schwachstelle im Catalyst SD-WAN Controller (vormals vSmart) und Catalyst SD-WAN Manager (vormals vManage). Eine fehlerhafte Peering-Authentifizierung über DTLS (UDP 12346) erlaubt unauthentifizierten Angreifern administrativen Zugriff aus dem Netz; CVSS 10.0, CISA-KEV-gelistet, Frist für US-Behörden war der 17. Mai. Patches sind verfügbar, Workarounds reichen laut Hersteller nicht aus.

Letzte Entwicklung: Aktualisierte Reports im Umfeld der KEV-Aufnahme heben hervor, dass es sich um die sechste in 2026 ausgenutzte SD-WAN-Zero-Day bei Cisco handelt und der Cluster UAT-8616 vermutet wird; betroffene Organisationen sollten DTLS-Logs internet-exponierter Controller-Instanzen weiterhin täglich auswerten.

2. Microsoft Exchange Server OWA – CVE-2026-42897 aktiv ausgenutzt

Seit Donnerstag, 14. Mai 2026 · zuletzt aktualisiert Mittwoch, 20. Mai 2026 · Score 88

Microsoft hat am 14. Mai die Schwachstelle CVE-2026-42897 in Exchange Outlook Web Access bestätigt: ein als Spoofing eingestufter Cross-Site-Scripting-Fehler (CVSS 8.1), der durch eine speziell präparierte E-Mail JavaScript im Browser-Kontext eines OWA-Nutzers ausführen lässt. Betroffen sind die On-Premises-Versionen Subscription Edition RTM, 2019 und 2016; Exchange Online ist nicht betroffen.

Letzte Entwicklung: CISA hat die Lücke am 15. Mai in den KEV-Katalog aufgenommen. Microsoft hat eine automatische EM-Mitigation eingespielt; ein Patch steht noch aus. Administratoren sollten die EM-Servicelage prüfen, OWA-Logs auf ungewöhnliche Skripte/Redirects beobachten und die Bedrohungslage gegen Inbox-Regeln und Forwarding-Konfigurationen abgleichen.

3. BfDI Specht-Riemenschneider kündigt Rückzug aus dem Amt an

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Dienstag, 19. Mai 2026 · Score 85

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat aus gesundheitlichen Gründen ihren Rückzug aus dem Amt angekündigt. Sie wird das Amt erst niederlegen, sobald eine Nachfolge geregelt ist, um laufende Gesetzgebungsvorhaben und Aufsichtspraktiken nicht zu unterbrechen.

Letzte Entwicklung: Unmittelbar vor der Ankündigung hatte sie den 34. Tätigkeitsbericht 2025 an Bundestagspräsidentin Klöckner übergeben. Für laufende Verfahren – etwa die KI-Reallabor-Linie und die BND-Verfahren – ist eine Phase erhöhter Unsicherheit zu erwarten.

4. Microsoft Patch Tuesday Mai 2026 – 120+ Schwachstellen, kritische Outlook- und DNS-Lücken

Seit Mittwoch, 13. Mai 2026 · zuletzt aktualisiert Mittwoch, 20. Mai 2026 · Score 85

Im Mai-Patchday hat Microsoft je nach Zählweise 120 bzw. 138 Schwachstellen geschlossen, darunter 17 als „Critical“ eingestufte. Hervorzuheben sind weiterhin CVE-2026-40361 (Zero-Click-Use-After-Free in Outlook), CVE-2026-41096 (Windows DNS Client RCE), CVE-2026-35421 (Windows GDI RCE) und CVE-2026-40365 (SharePoint Server RCE, authentifiziert).

Letzte Entwicklung: Mit der parallelen Bekanntgabe von CVE-2026-42897 (Exchange OWA) hat sich die Mai-Patchlage faktisch erweitert; Organisationen mit Mischbetrieb On-Prem/Exchange sollten Patch-Status und EM-Service-Mitigation gemeinsam betrachten.

5. Rekordbußgeld von 100 Mio. Euro gegen Yango wegen Datentransfers nach Russland

Seit Montag, 18. Mai 2026 · zuletzt aktualisiert Mittwoch, 20. Mai 2026 · Score 82

Die niederländische Datenschutzaufsicht hat – gemeinsam mit Finnland und Norwegen – ein Bußgeld von 100 Millionen Euro gegen die MLU B.V. (Mutter des Fahrdienstes Yango) verhängt. Standortdaten, Bankverbindungen und Ausweiskopien wurden an Server in Russland übermittelt; Standardvertragsklauseln galten als unzureichend, weil die Verschlüsselungsschlüssel ebenfalls in Russland lagerten und das „Yarovaya-Gesetz“ weitreichenden Behördenzugriff erlaubt.

Letzte Entwicklung: Die Aufsichten haben die sofortige Einstellung aller weiteren Datentransfers angeordnet. Verantwortliche, die internationale Transfers außerhalb der EU/EWR durchführen, sollten ihre TIA-Dokumentation und Verschlüsselungs- bzw. Schlüsselverwahrungs-Modelle prüfen; das Yango-Verfahren wird Maßstab für die nächste Welle von Drittlandsbußgeldern werden.

Management Summary

Die technische Lage am 20. Mai 2026 ist von einer ungewöhnlich dichten Patch- und Exploit-Lage geprägt. Im Vordergrund stehen drei Schwachstellen mit aktiver Ausnutzung: die Authentication-Bypass-Lücke CVE-2026-20182 in Cisco Catalyst SD-WAN Controllern mit CVSS 10.0, die lokale Root-Eskalation CVE-2026-31431 im Linux-Kernel-Modul algif_aead und die seit dem 14. Mai bestätigte Spoofing-/XSS-Schwachstelle CVE-2026-42897 in Exchange Outlook Web Access, für die Microsoft bislang nur eine automatische Mitigation, aber noch keinen regulären Patch ausgeliefert hat. Parallel hat der Microsoft-Patchday im Mai über 120 Schwachstellen adressiert, darunter eine Zero-Click-RCE in Outlook, eine RCE im Windows-DNS-Client und kritische Lücken in SharePoint. Der SAP-Patchday am 12. Mai hat zwei Schwachstellen mit CVSS 9.6 geschlossen – eine Code-Injection in SAP Commerce Cloud und eine SQL-Injection in der S/4HANA Enterprise Search. Ivanti EPMM (CVE-2026-6973) bleibt mit BSI-Hinweis und KEV-Status weiterhin akut, SharePoint-Server (CVE-2026-32201) sind in über 1.300 Fällen weiterhin ungepatcht online sichtbar. Zusammen genommen bedeutet das: Wer SAP, Exchange, Cisco-SD-WAN und Linux betreibt, muss aktuell parallel patchen, härten und überwachen, ohne dass eine dieser Plattformen Pause hätte.

Datenschutz- und rechtsbezogen ist die Phase ebenso intensiv. Die Berliner Datenschutzbeauftragte hat die BVG am 6. Mai förmlich verwarnt, weil rund 180.000 Kundendatensätze bei einem Dienstleister nicht gelöscht und nach einem dortigen Cyberangriff zu spät gemeldet wurden – eine klare Linie zugunsten strikter Auftragsverarbeitungspflichten. Die Datenpanne bei Datev (Lodas, Versand von Probeabrechnungen mit Sozialversicherungsnummern) wird durch das BayLDA aufgearbeitet. International setzen die Aufsichten aus Finnland, den Niederlanden und Norwegen ein Bußgeld von 100 Millionen Euro gegen die Yango-Mutter MLU B.V. wegen unzureichend gesicherter Datentransfers nach Russland fest. Auf europäischer Ebene hat der EuGH die Auskunftspraxis nach Art. 15 DSGVO im Sinne einer Missbrauchsschranke konturiert (C-526/24) und mit C-797/23 die nationale Spielräume für Verlegervergütungen gegenüber Plattformen wie Meta eröffnet. Hinzu kommen das BKA-Bundeslagebild Cybercrime 2025 mit einem Schadensvolumen von 202 Milliarden Euro und der DSK-Beschluss vom 5. Mai gegen die anlasslose Chatkontrolle – ein klares datenschutzpolitisches Signal an die EU-Gesetzgeber. Der Personalumbruch in der BfDI markiert das politische Hintergrundgeräusch dieser Woche.

Die wichtigsten Punkte im Überblick

  • Cisco Catalyst SD-WAN CVE-2026-20182 (CVSS 10.0) wird aktiv ausgenutzt, Cluster UAT-8616 wahrscheinlich – sofort patchen, DTLS-Logs auswerten.
  • Exchange OWA CVE-2026-42897: Spoofing/XSS, aktiv ausgenutzt, KEV-gelistet; bislang nur automatische Mitigation, kein Patch – EM-Service-Status prüfen.
  • Linux-Kernel CVE-2026-31431 (algif_aead): lokale Root-Eskalation, KEV; Distributions-Patches einspielen, hybride Umgebungen mit lokalen Nutzern priorisieren.
  • SAP-Patchday 12.05.: zwei kritische Lücken (CVSS 9.6) in SAP Commerce Cloud und S/4HANA Enterprise Search.
  • BVG-Verwarnung der BlnBDI vom 06.05.2026: Auftragsverarbeitung ist kein Blindflug – Lösch-Nachweise einfordern, 72-Stunden-Frist kennen.
  • Rekordbußgeld 100 Mio. € gegen Yango/MLU B.V. wegen Datentransfers nach Russland – TIA und Schlüsselverwahrung bei Drittlandsübermittlungen prüfen.
  • BKA-Bundeslagebild Cybercrime 2025: 335.000 Fälle, 202 Mrd. € Schaden, 1.041 Ransomware-Anzeigen (+10 %).
  • BfDI Specht-Riemenschneider kündigt Rückzug aus gesundheitlichen Gründen an; Übergang bis zur Nachfolge.

Top-Risiken – Handlungsempfehlungen für heute

  • Exchange On-Prem absichern: EM-Service-Status für die OWA-Mitigation gegen CVE-2026-42897 verifizieren, Inbox-Regeln und Auto-Forwarding auf Anomalien prüfen.
  • Cisco SD-WAN umgehend patchen: Cisco-Advisory cisco-sa-sdwan-rpa2 anwenden, DTLS-Peerings (UDP 12346) im SIEM beobachten.
  • Linux-Kernel-Patch ausrollen: Distributions-Updates gegen CVE-2026-31431 einspielen, lokal eingeloggte Nutzer und Container-Hosts priorisieren.
  • SAP-Hinweise vom 12.05. ausrollen: CVE-2026-34263 (Commerce Cloud) und CVE-2026-34260 (S/4HANA Enterprise Search) im Patch-Zyklus vorziehen.
  • Auftragsverarbeitung prüfen: Lösch-Nachweise, Audit-Recht und Cyber-Vorfalls-Eskalation in den AVV nachschärfen – Lehre aus der BVG-Verwarnung.
  • Drittlands-Transfers: TIA für transferierte Datensätze, insbesondere mit Standorten in Russland, China, Indien, aktualisieren; Schlüsselverwahrung dokumentieren.
  • Awareness: GEZ-/Rundfunkbeitrags-Phishing in den nächsten internen Newsletter aufnehmen, Banking- und Messenger-Phishing als Multi-Plattform-Risiko erläutern.

1. Datenschutz

Der heutige Datenschutz-Block ist von zwei Strängen geprägt: zum einen vom politischen Übergangsmoment der BfDI durch den angekündigten Rückzug Specht-Riemenschneiders, zum anderen von der DSK-Linie gegen die anlasslose Chatkontrolle und der EDPB-Schwerpunktanalyse zur Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Hinzu kommt der jüngste Tätigkeitsbericht Brandenburgs mit einer deutlichen Zunahme der Beschwerden. Diese Meldungen rahmen die operativen Vorfälle bei BVG und Datev sowie das Yango-Bußgeld, die in den Kapiteln Datensicherheit und Bußgelder besprochen werden.

1.1 BfDI Specht-Riemenschneider kündigt Rückzug aus dem Amt an

19.05.2026 · BfDI

Zusammenfassung: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Louisa Specht-Riemenschneider, hat ihren Rückzug aus gesundheitlichen Gründen angekündigt. Sie wird im Amt verbleiben, bis eine Nachfolge geregelt ist, um laufende Gesetzgebungs- und Aufsichtsvorhaben fortzuführen. Die Ankündigung folgte unmittelbar auf die Übergabe des 34. Tätigkeitsberichts 2025 an Bundestagspräsidentin Julia Klöckner.

Hintergrund & Einordnung: Die BfDI ist sowohl Aufsicht über Bundesbehörden als auch Stimme der nationalen Datenschutzpolitik. Ein Wechsel an der Spitze fällt in eine Phase mit zahlreichen offenen Themen – darunter BND-Verfahren, das KI-Reallabor „ReguLab“ und die Umsetzung des Beschäftigtendatenschutzes. Die Personalentscheidung wird politisch durch Bundestag und Bundesrat begleitet werden.

Praxisfolgen / Handlungsempfehlung: Verantwortliche im Bundesbereich sollten kurzfristige Kommunikation mit der BfDI-Fachreferaten weiterführen, sich aber auf eine Phase erhöhter Unsicherheit einstellen. Strategische Themen – etwa Drittlandstransfers, KI-Pilotvorhaben oder Beschäftigtendatenschutz – sollten dokumentationsfest aufbereitet werden, um auf eine neue Hausspitze schnell reagieren zu können.

1.2 BfDI übergibt 34. Tätigkeitsbericht 2025 an die Bundestagspräsidentin

19.05.2026 · BfDI · Bericht-Download

Zusammenfassung: Der 34. Tätigkeitsbericht der BfDI für 2025 wurde am 19. Mai 2026 an die Bundestagspräsidentin übergeben. Schwerpunkte des Berichts sind Beraten, Kontrollieren und Rechtsklarheit schaffen; thematisch dominieren KI, Sicherheitsbehörden, Beschäftigtendatenschutz und internationale Datentransfers.

Hintergrund & Einordnung: Begleitend zum Bericht wurde die Datenschutz-Sandbox „ReguLab“ und das trilaterale Pilotprojekt zum KI-Reallabor weiter ausgebaut. Der Bericht ist auch politischer Wegweiser: Er signalisiert, wo die BfDI in Verfahren wie Beschäftigtendaten, KI-Aufsicht und Drittlandstransfers Schwerpunkte setzt.

Praxisfolgen / Handlungsempfehlung: Datenschutzverantwortliche sollten die Linien des Berichts zu KI und Beschäftigtendatenschutz in ihre internen Roadmaps übernehmen; Schwerpunkte sind Transparenz-Pflichten gegenüber Beschäftigten, Drittlands-TIA und Aufsichtsdialog zu KI-Pilotbetrieb.

1.3 DSK 05.05.2026: Beschluss gegen anlasslose Chatkontrolle

05.05.2026 · DSK-Beschlüsse

Zusammenfassung: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 5. Mai 2026 erneut an die EU-Gesetzgeber und die Bundesregierung appelliert, Pläne für eine anlasslose Chatkontrolle endgültig aufzugeben. Die Aufsichten verweisen darauf, dass die flächendeckende Überwachung privater Messengerkommunikation, das Aushebeln der Ende-zu-Ende-Verschlüsselung und Client-Side-Scanning unverhältnismäßige Grundrechtseingriffe darstellen.

Hintergrund & Einordnung: Der Beschluss schließt an die bisherige DSK-Linie an und stellt eine Position der gesamten deutschen Aufsichtspraxis dar. Auf EU-Ebene laufen weiterhin Verhandlungen über die CSAM-Verordnung; das deutsche Signal ist daher nicht rein deklaratorisch, sondern politisch eingebettet.

Praxisfolgen / Handlungsempfehlung: Anbieter und Betreiber von Messenger-, Kollaborations- und Kommunikationsplattformen sollten die Diskussion sehr genau verfolgen. Für interne Sicherheits- und Datenschutzkonzepte bleibt End-to-End-Verschlüsselung Stand der Technik; politische Modelle, die Client-Side-Scanning einführen würden, sollten in der Risikobewertung als „nicht etabliert“ markiert werden.

1.4 EDPB-Themenbericht „Berechtigtes Interesse“ – Praxis nach Art. 6 Abs. 1 lit. f DSGVO

Mai 2026 · Datenschutz-Notizen

Zusammenfassung: Der Europäische Datenschutzausschuss hat im Mai 2026 eine thematische Fallzusammenfassung zur Rechtsgrundlage „berechtigtes Interesse“ veröffentlicht. Der Bericht analysiert Entscheidungen der Aufsichtsbehörden mit Fokus auf die dreistufige Prüfung (Zweck, Erforderlichkeit, Interessenabwägung).

Hintergrund & Einordnung: Schwerpunkte des Berichts sind Direktmarketing, Tracking, konzerninterne Datenflüsse und IT-Sicherheitsmaßnahmen. Die EDPB-Linie macht deutlich, dass die Dokumentationsdichte – insbesondere zur Interessenabwägung – ein zentraler Maßstab für Aufsicht und Gerichte ist.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten ihre LIA-Dokumente (Legitimate Interest Assessments) durchgehen und aktualisieren; insbesondere Tracking- und Profiling-Tatbestände, IT-Sicherheits-Logging und konzerninterne Datenflüsse benötigen klar nachweisbare Erforderlichkeit und Verhältnismäßigkeit.

1.5 Brandenburg veröffentlicht Datenschutzbericht 2025 – Beschwerden +10 %

04.05.2026 · LDA Brandenburg

Zusammenfassung: Der brandenburgische Datenschutzbericht 2025, veröffentlicht am 4. Mai 2026, weist 1.599 Beschwerden auf – ein Anstieg um zehn Prozent gegenüber dem Vorjahr. Schwerpunkte sind Beschäftigtendatenschutz, Videoüberwachung und Datenpannen im Mittelstand.

Hintergrund & Einordnung: Brandenburg reiht sich damit in den bundesweiten Trend ein, dass auch kleinere und mittlere Aufsichten verstärkt Beschwerden bearbeiten. Die kumulierten DSGVO-Bußgeldzahlen liegen branchenweit inzwischen über sieben Milliarden Euro; Tendenz weiter steigend.

Praxisfolgen / Handlungsempfehlung: Unternehmen mit Standorten in Brandenburg sollten ihre Prozesse zu Beschäftigtendatenschutz und Videoüberwachung in die nächste interne DSFA-Runde aufnehmen, das Beschwerderegister überprüfen und Reaktionsfristen interner Stellen testen.

2. Datensicherheit

Die Datensicherheitsmeldungen werden in dieser Woche von zwei Fällen geprägt, in denen externe Dienstleister bzw. Software-Komponenten den Schwerpunkt bilden: die Aufsichtsverwarnung der BVG durch die BlnBDI und die Lohnabrechnungspanne bei Datev. Hinzu kommt der Cyberangriff auf den niedersächsischen Prüfdienst ARWINI mit potenziellem Abfluss von Patientendaten. Gemeinsam zeigen die Vorfälle die strukturellen Schwächen klassischer Lieferketten und die hohe Sensibilität von Sozial- und Gesundheitsdaten.

2.1 BlnBDI verwarnt BVG – 180.000 Datensätze bei Dienstleister kompromittiert

06.05.2026 · datensicherheit.de · BVG-Stellungnahme

Zusammenfassung: Die Berliner Datenschutzbeauftragte Meike Kamp hat die BVG am 6. Mai 2026 förmlich verwarnt. Hintergrund ist ein Cyberangriff auf einen Auftragsverarbeiter, der für die BVG im Januar 2025 rund 180.000 Kundendatensätze für Brief- und Mailversand verarbeitet hatte. Diese Daten – Namen, Adressen, Vertrags- und Kundennummern, teils E-Mail-Adressen – wurden trotz Vertrag nicht gelöscht und flossen beim Angriff ab.

Hintergrund & Einordnung: Die BlnBDI rügt zwei Pflichtverletzungen: erstens das Fehlen einer Lösch-Kontrolle nach Auftragsende, zweitens die verspätete Meldung nach Art. 33 DSGVO. Obwohl bereits am 25. April 2025 hinreichende Hinweise auf einen meldepflichtigen Vorfall vorlagen, ging die formale Meldung erst am 30. April – außerhalb der 72-Stunden-Frist – ein.

Praxisfolgen / Handlungsempfehlung: Verantwortliche müssen Lösch- und Vernichtungsnachweise vertraglich und operativ einfordern, Audit-Rechte aktiv nutzen und interne 72-Stunden-Eskalationsketten testen. Die BVG-Verwarnung wird Maßstab für die Bewertung vergleichbarer Sachverhalte sein; Bußgeldrisiken bei externen Dienstleistern steigen weiter.

2.2 Datev-Datenpanne: Lodas-Probeabrechnungen an fremde Kanzleien versandt

19.05.2026 · heise online

Zusammenfassung: Beim Nürnberger Dienstleister Datev kam es zu einer meldepflichtigen Panne im Lohnabrechnungssystem Lodas. Probeabrechnungen zur Qualitätskontrolle wurden wahllos an fremde Mandanten versendet; die Dokumente enthielten Namen, Anschriften, Sozialversicherungsnummern und Verdienstdaten. Datev hat Anwender und das BayLDA informiert.

Hintergrund & Einordnung: Datev verarbeitet die Lohnabrechnungen einer sehr großen Zahl an Steuerkanzleien und ihrer Mandanten; die Daten gehören zu den sensibelsten Beschäftigtendaten. Die Aufarbeitung läuft über das BayLDA; Schadenshöhe und Betroffenenzahl werden ermittelt.

Praxisfolgen / Handlungsempfehlung: Kanzleien und Unternehmen mit Datev-Lohn-Anbindung sollten Datev gezielt nach dem Stand der Aufklärung fragen, betroffene Beschäftigte informieren und ggf. Maßnahmen zur Identitätsdiebstahlsprävention (z. B. SCHUFA-Schutz, Kontoüberwachung) anbieten.

2.3 Cyberangriff auf ARWINI in Niedersachsen – bis zu 80.000 Patientendaten betroffen

04.05.2026 · Born’s IT-Blog

Zusammenfassung: Die Kassenärztliche Vereinigung Niedersachsen hat einen Cyberangriff auf den Prüfdienst ARWINI (Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen) bestätigt. Alle Systeme wurden nach Bekanntwerden des Angriffs sofort abgeschaltet. Potenziell sind bis zu 80.000 Patientendaten aus der Rezeptprüfung betroffen.

Hintergrund & Einordnung: ARWINI prüft Rezepte niedersächsischer Ärzte auf Wirtschaftlichkeit für die gesetzliche Krankenversicherung. Trägerinnen sind u. a. die KV Niedersachsen, AOK und Techniker Krankenkasse. Der Vorfall reiht sich in eine wachsende Zahl von Angriffen auf medizinische Strukturen ein.

Praxisfolgen / Handlungsempfehlung: Träger- und KV-Strukturen sollten ihre Schnittstellen zu Prüfdiensten und sonstigen Auftragsverarbeitern auf Authentifizierung, Segmentierung und Logging prüfen. Patientinnen und Patienten sollten Verschreibungsdaten und Krankenversicherungs-Kommunikation in den kommenden Wochen besonders aufmerksam beobachten.

2.4 ShinyHunters/Instructure: 275 Mio. Datensätze aus Canvas-Plattform

Mai 2026 · BleepingComputer

Zusammenfassung: Der Anbieter Instructure (Canvas Learning Management System) hat einen Cyber-Vorfall in seiner Cloud-Umgebung eingeräumt. Die Erpressergruppe ShinyHunters beansprucht den Angriff für sich und gibt an, 275 Millionen Datensätze von Studierenden, Lehrkräften und Verwaltungspersonal entwendet zu haben. Eine Liste mit 8.809 betroffenen Bildungseinrichtungen wurde an BleepingComputer übergeben.

Hintergrund & Einordnung: Auch wenn die Plattform vor allem im englischsprachigen Raum eingesetzt wird, ist Canvas in deutschen Hochschulen und an internationalen Schulen ebenfalls verbreitet. Die Größenordnung und die Datentiefe (Profile, Studienverlaufsdaten, Kommunikationsmetadaten) heben den Vorfall in eine vergleichbare Klasse wie frühere Education-Großvorfälle.

Praxisfolgen / Handlungsempfehlung: Hochschulen und Schulen mit Canvas-Nutzung sollten den Datenfluss zu Instructure prüfen, Betroffenenkommunikation vorbereiten, Anmelde- und SSO-Konfigurationen härten und Phishing-Wellen gegen Studierende und Beschäftigte erwarten.

3. IT-Sicherheit

Die IT-Sicherheitslage ist von einer Vielzahl gleichzeitig laufender Schwachstellen geprägt. Drei Bereiche ragen heraus: aktiv ausgenutzte Lücken in Cisco SD-WAN, Microsoft Exchange OWA und im Linux-Kernel, dazu der SAP-Patchday mit zwei CVSS-9.6-Befunden und die noch immer schleppende Patch-Lage in SharePoint-Installationen. Ivanti EPMM bleibt als BSI-Warnung im Hintergrund präsent.

3.1 Cisco Catalyst SD-WAN Controller – CVE-2026-20182 aktiv ausgenutzt (CVSS 10.0)

19.05.2026 · Cisco Advisory · BleepingComputer · The Hacker News

Zusammenfassung: Cisco bestätigt die aktive Ausnutzung von CVE-2026-20182 in Cisco Catalyst SD-WAN Controllern (vormals vSmart) und Catalyst SD-WAN Manager (vormals vManage). Eine Schwachstelle in der Peering-Authentifizierung über DTLS (UDP 12346) erlaubt nicht authentifizierten Angreifern administrativen Zugriff. CVSS-Wertung: 10.0.

Hintergrund & Einordnung: CISA hat die Lücke in den KEV-Katalog aufgenommen, Frist für US-Behörden war der 17.05.2026. Cisco ordnet die Angriffe mit hoher Konfidenz dem Cluster UAT-8616 zu, der bereits CVE-2026-20127 ausgenutzt hat. Es ist die sechste in 2026 ausgenutzte SD-WAN-Zero-Day bei Cisco. Workarounds reichen laut Hersteller nicht aus.

Praxisfolgen / Handlungsempfehlung: SD-WAN-Controller umgehend patchen, internetexponierte Instanzen segmentieren und Peering-Logs auf Anomalien überwachen. Bei Treffern: Notfallplan mit Kompromittierung der Steuerebene als Worst-Case ausarbeiten, Schlüsselrotation und Zugriff auf Verwaltungsschnittstellen prüfen.

Update vom Mittwoch, 20. Mai 2026: Reports bestätigen weiterhin aktive Ausnutzung; KEV-Frist verstrichen, aber laufende Beobachtung empfohlen.

3.2 Microsoft Exchange OWA – CVE-2026-42897 (CVSS 8.1) aktiv ausgenutzt

14.05.2026 · Microsoft Tech Community · NVD · The Hacker News

Zusammenfassung: Microsoft hat am 14. Mai 2026 die Schwachstelle CVE-2026-42897 in Exchange Outlook Web Access bestätigt. Es handelt sich um eine Spoofing-Schwachstelle auf Basis eines Cross-Site-Scripting-Fehlers. Eine speziell präparierte Mail kann beim Öffnen in OWA Skripte im Browser-Kontext des Empfängers ausführen. Betroffen sind die On-Prem-Versionen Subscription Edition RTM, 2019 und 2016; Exchange Online ist nicht betroffen.

Hintergrund & Einordnung: CISA hat die Lücke am 15.05.2026 in den KEV-Katalog aufgenommen. Microsoft hat eine automatische Mitigation über den Exchange-EM-Service ausgerollt. Ein regulärer Patch steht zum Stichtag noch aus. Angriffe können sich gegen einzelne Postfächer, aber auch lateral gegen Forwarding- und Kalender-Strukturen richten.

Praxisfolgen / Handlungsempfehlung: EM-Service-Status auf allen Exchange-Servern prüfen und sicherstellen, dass die automatische Mitigation eingespielt ist. Inbox-Regeln, Auto-Forwarding und OWA-Browserlogs auf ungewöhnliche Skript- oder Redirect-Aktivität analysieren. Sobald Microsoft einen regulären Patch veröffentlicht, sofort einspielen.

3.3 Linux-Kernel „Copy Fail“ – CVE-2026-31431 aktive Root-Eskalation

15.05.2026 · The Hacker News · BleepingComputer

Zusammenfassung: CVE-2026-31431 ist eine Local Privilege Escalation im Linux-Kernel-Modul algif_aead. Ein nicht-privilegierter lokaler Nutzer kann durch vier kontrollierte Bytes im Page-Cache jeder lesbaren Datei Root-Rechte erlangen. CVSS 7.8; aktiv ausgenutzt, KEV-gelistet seit Mai 2026, Frist für US-Behörden war der 15.05.

Hintergrund & Einordnung: Patches sind über die Distributionen verteilt; betroffen sind weite Teile des Linux-Ökosystems. In hybriden Umgebungen mit lokal eingeloggten Nutzern oder Container-Hosts steigt das Risiko deutlich. Sicherheitsforschungen verweisen zudem auf den verwandten Chain „Dirty Frag“ (CVE-2026-43284/43500).

Praxisfolgen / Handlungsempfehlung: Distributions-Updates priorisiert ausrollen, lokale Konten und Container-Workloads gesondert prüfen, Logging auf algif_aead-Nutzung erwägen und in CI-/CD-Pipelines die Kernelversionen aktiver Build-Hosts überwachen.

3.4 Microsoft Patch Tuesday Mai 2026 – 120+ Schwachstellen

13.05.2026 · BleepingComputer · The Hacker News

Zusammenfassung: Microsoft hat am 13. Mai über 120 Schwachstellen geschlossen, darunter 17 als „Critical“ eingestufte. Hervorzuheben sind CVE-2026-40361 (Zero-Click-Use-After-Free in Outlook), CVE-2026-41096 (Windows DNS Client RCE), CVE-2026-35421 (Windows GDI RCE über manipulierte EMF) und CVE-2026-40365 (SharePoint Server RCE, authentifiziert).

Hintergrund & Einordnung: Microsoft meldet erstmals 16 Funde des KI-Systems MDASH, das gezielt nach Lücken im Netzwerk- und Authentifizierungs-Stack sucht. Zum Zeitpunkt der Veröffentlichung waren laut Microsoft keine Zero-Days aktiv ausgenutzt; mit CVE-2026-42897 wurde am Folgetag jedoch eine OWA-Spoofing-Schwachstelle nachgereicht.

Praxisfolgen / Handlungsempfehlung: Im Standard-Patch-Zyklus die Critical-Kandidaten priorisieren, insbesondere Outlook (Vorschaufenster), DNS-Client (kritisch für DNS-over-TCP-Pfade) und SharePoint (RCE). Die nachgereichte Exchange-Mitigation gemeinsam mit dem Patch-Tuesday-Status dokumentieren.

3.5 SAP Patchday Mai 2026 – zwei CVSS-9.6-Lücken in Commerce Cloud und S/4HANA

12.05.2026 · SAP Security Patch Day · heise online

Zusammenfassung: SAP hat am 12. Mai 17 neue bzw. aktualisierte Security Notes veröffentlicht, darunter drei HotNews-Hinweise. Besonders kritisch sind CVE-2026-34263 in der SAP Commerce Cloud (fehlerhafte Spring-Security-Konfiguration, Code Injection; CVSS 9.6) und CVE-2026-34260 in der SAP S/4HANA Enterprise Search (SQL Injection bei authentifiziertem Zugriff; CVSS 9.6). Hinzu kommt CVE-2026-34259 (SAP Forecasting & Replenishment, OS-Command-Injection; CVSS 8.2).

Hintergrund & Einordnung: Die HotNews-Notes betreffen zentrale Geschäftsplattformen; die S/4HANA-Suche ist in vielen Unternehmen breit aufgestellt. SAP-Schwachstellen mit CVSS ≥ 9 sind erfahrungsgemäß Ziel zeitnaher Exploit-Entwicklung.

Praxisfolgen / Handlungsempfehlung: SAP-Basis- und Security-Teams sollten die Mai-Notes außerhalb des regulären Quartals-Zyklus priorisiert einspielen. Zwischenmaßnahmen: Web-Zugriff auf Commerce-Cloud-Komponenten einschränken, S/4HANA-Suchschnittstellen segmentieren und Logging auf SQL-Anomalien aktivieren.

3.6 Ivanti EPMM CVE-2026-6973 – aktiv ausgenutzte Zero-Day, BSI-Sicherheitshinweis

07.05.2026 · Ivanti Advisory · BSI-Hinweis WID 2026-221601-1032

Zusammenfassung: Ivanti hat im Mai-Update fünf Schwachstellen in Endpoint Manager Mobile (EPMM) geschlossen, darunter die als Zero-Day genutzte CVE-2026-6973 – eine hochstufig bewertete Improper-Input-Validation-Lücke, die authentifizierten Administratoren Remote Code Execution erlaubt. Das BSI hat am 7. Mai einen Sicherheitshinweis (WID 2026-221601-1032) mit Kritikalität „Hoch“ veröffentlicht.

Hintergrund & Einordnung: Erfahrungen aus dem Vorjahr (CVE-2026-1281, CVE-2026-1340) zeigen, dass Honeypots binnen 24 Stunden hunderte Exploit-Versuche aus über 130 IPs registrieren. EPMM-Instanzen sind häufig direkt aus dem Internet erreichbar.

Praxisfolgen / Handlungsempfehlung: EPMM-Server umgehend patchen, Admin-Accounts härten (MFA, IP-Allowlist), Logs auf ungewöhnliche Befehlsausführung und neu angelegte Konten prüfen, Reverse-Proxy- und WAF-Regeln gegen bekannte Exploit-Pfade aktualisieren.

Update vom Mittwoch, 20. Mai 2026: Keine neuen IoCs seit der Erstaufnahme; BSI-Warnung weiterhin aktiv.

4. Urteile

Die juristische Lage ist von zwei EuGH-Linien geprägt: einerseits die Konturierung des Auskunftsrechts nach Art. 15 DSGVO durch die „Brillen Rottler“-Entscheidung, andererseits das jüngste Urteil zur nationalen Verlegervergütung gegenüber Plattformen wie Meta. Im nationalen Recht bleibt die BGH-Entscheidung zur Zessionsfrage bei Auskunftsansprüchen relevant.

4.1 EuGH C-797/23 – Meta Platforms Ireland: Nationale Vergütungsmodelle für Verlage zulässig

EuGH · 12.05.2026 · Az. C-797/23 · curia.europa.eu

Sachverhalt: Die Vorlage betraf die Vereinbarkeit nationaler Vergütungsmodelle für Verlage gegenüber Online-Plattformen mit dem Unionsrecht, insbesondere mit Blick auf Daten- und Vertragsfreiheit der Plattformbetreiber.

Entscheidung: Mitgliedstaaten dürfen Verlagen ein Vergütungsrecht gegenüber Plattformen wie Meta zuerkennen. Die Vergütung muss als wirtschaftliche Gegenleistung für die Nutzungserlaubnis ausgestaltet sein; die Verlage können die Nutzung verweigern oder unentgeltlich zulassen. Plattformen sind verpflichtet, die zur Berechnung erforderlichen Daten offenzulegen.

Begründungs-Kernpunkte: Die Spielräume des Unionsrechts erlauben nationale Schutzregelungen zugunsten der Presse, soweit sie nicht über das zur Berechnung Erforderliche hinausgehen. Die Datenoffenlegungspflicht ist erforderlich, um die Vergütung praktisch durchsetzen zu können.

Praxisfolgen: Plattformbetreiber müssen Datenoffenlegungs-Prozesse aufbauen, die DSGVO-Compliance sicherstellen und mit nationalen Lizenz-Verhandlungssystemen interagieren. Verlage und Lizenzkollektive erhalten ein neues Verhandlungsinstrument – die mittelfristige Wirkung wird sich vor allem in nationalen Umsetzungsmodellen zeigen.

4.2 EuGH C-526/24 „Brillen Rottler“ – Rechtsmissbrauch beim DSGVO-Auskunftsanspruch

EuGH · 19.03.2026 · Az. C-526/24 · LTO

Sachverhalt: Streitig war, ob bereits der erste Auskunftsanspruch nach Art. 15 DSGVO als rechtsmissbräuchlich abgelehnt werden kann, wenn er allein zur Vorbereitung von Schadensersatzforderungen wegen vermeintlicher DSGVO-Verstöße gestellt wird.

Entscheidung: Bereits der erste Auskunftsanspruch kann missbräuchlich sein, wenn er ausschließlich der Vorbereitung von Schadensersatzansprüchen dient und kein erkennbares Datenschutzinteresse erkennen lässt. Verantwortliche tragen die Darlegungs- und Beweislast für den Missbrauch.

Begründungs-Kernpunkte: Der Schutzzweck von Art. 15 DSGVO ist die Kontrolle der Datenverarbeitung, nicht die Vorbereitung von Schadensersatzklagen. Der EuGH unterstreicht aber zugleich die hohe Anforderungsschwelle: Der Missbrauch muss substantiiert belegt werden.

Praxisfolgen: Verantwortliche können sich gegen DSGVO-„Hopping“ verteidigen, müssen dazu aber dokumentationsstark arbeiten. Standardisierte Bearbeitungsprozesse sollten künftig auch eine Missbrauchsprüfung mit klaren Kriterien enthalten.

4.3 BGH 24.02.2026 – Art. 15 DSGVO ist kein automatisches Nebenrecht abgetretener Ansprüche

BGH · 24.02.2026 · LTO

Sachverhalt: Inkasso- und Legal-Tech-Anbieter hatten geltend gemacht, mit der Abtretung von Erstattungs- oder Schadensersatzansprüchen gehe automatisch der Auskunftsanspruch nach Art. 15 DSGVO als Nebenrecht über.

Entscheidung: Der BGH lehnt diese Auslegung ab. Art. 15 DSGVO ist nicht automatisch Nebenrecht abgetretener Hauptforderungen; es bedarf einer ausdrücklichen, datenschutzrechtlich tragfähigen Übertragungsgrundlage.

Begründungs-Kernpunkte: Der Auskunftsanspruch ist personengebunden und dient der eigenen Datenkontrolle. Eine pauschale Mit-Abtretung würde die personale Schutzfunktion des Datenschutzrechts entwerten.

Praxisfolgen: Verantwortliche können in Inkasso- und Legal-Tech-Konstellationen die Aktivlegitimation des Anspruchstellers gezielt prüfen. Wer Auskunftsansprüche im Rahmen abgetretener Hauptforderungen abwehrt, sollte das BGH-Urteil im Standardbescheid heranziehen.

5. Bußgelder

Der heutige Bußgeld-Block wird vom Rekordverfahren gegen Yango dominiert, ergänzt durch die formelle Verwarnung der BVG durch die Berliner Aufsicht – zwei Linien, die zusammen den europäischen Trend zu härterer Drittlands- und Auftragsverarbeitungs-Praxis verkörpern.

5.1 100 Mio. Euro gegen MLU B.V. (Yango) – unzureichende Drittlandstransfers nach Russland

18.05.2026 · boerse-express

Behörde: Niederländische Datenschutzaufsicht (AP) gemeinsam mit Aufsichten aus Finnland und Norwegen · Adressat: MLU B.V. (Mutter des Fahrdienstes Yango) · Höhe: 100 Mio. Euro

Verstoß / Rechtsgrundlage: Verstöße gegen Art. 44 ff. DSGVO (internationale Datentransfers) und Art. 32 DSGVO (Stand der Technik). MLU hatte Standortdaten, Bankverbindungen und Ausweiskopien an Server in Russland übermittelt; die Standardvertragsklauseln waren unzureichend.

Begründung: Die Verschlüsselungsschlüssel lagerten ebenfalls in Russland; das russische „Yarovaya-Gesetz“ eröffnet weitreichenden behördlichen Zugriff auf gespeicherte Daten. Damit waren weder Verschlüsselung noch SCC ausreichend, um ein angemessenes Schutzniveau im Sinne des EuGH-Urteils „Schrems II“ sicherzustellen.

Praxisfolgen: Die Aufsicht ordnete die sofortige Einstellung aller weiteren Datentransfers an. Verantwortliche mit Drittland-Verarbeitungen müssen TIA, Schlüsselverwahrung und betriebliche Härtung dokumentieren; das Verfahren wird Referenzfall für vergleichbare Konstellationen mit Russland, China und Indien werden.

5.2 Verwarnung der BVG durch die BlnBDI – Auftragsverarbeitung und Meldefrist

06.05.2026 · datensicherheit.de

Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) · Adressat: Berliner Verkehrsbetriebe (BVG) · Höhe: Verwarnung (kein Bußgeld), öffentlich

Verstoß / Rechtsgrundlage: Verstöße gegen Art. 28 DSGVO (Auftragsverarbeitung, Kontrollpflichten) und Art. 33 DSGVO (Meldepflicht binnen 72 Stunden).

Begründung: Die BVG hatte sich nicht von der tatsächlichen Löschung der überlassenen Daten beim Dienstleister überzeugt und sich allein auf die vertragliche Zusage verlassen. Hinweise auf einen meldepflichtigen Vorfall bestanden ab dem 25. April 2025; die formale Meldung erfolgte erst am 30. April und damit außerhalb der 72-Stunden-Frist.

Praxisfolgen: Verantwortliche müssen Löschnachweise systematisch einfordern, Audit-Rechte aktiv ausüben und interne Vorfalls-Eskalationsketten so straffen, dass die 72-Stunden-Frist zuverlässig eingehalten wird. Die Verwarnung dient als öffentlich dokumentierte Linie für vergleichbare Sachverhalte.

6. Cyber-Sicherheit

Die Cyber-Sicherheits-Lage wird heute durch das BKA-Bundeslagebild Cybercrime 2025, den BSI-Cybersicherheitsmonitor 2026 und den weiterhin laufenden gemeinsamen Sicherheitshinweis von BSI und BfV zu Messenger-Phishing strukturiert. Hinzu kommen aktuelle Verbraucherzentrale-Warnungen zu Rundfunkbeitrags-, Bank- und Behördenphishing.

6.1 BKA-Bundeslagebild Cybercrime 2025 – 335.000 Fälle, 202 Mrd. Euro Schaden

12.05.2026 · BKA · BMI

Zusammenfassung: Das Bundeskriminalamt hat am 12. Mai 2026 das Bundeslagebild Cybercrime 2025 veröffentlicht: rund 335.000 Fälle Cybercrime im engeren Sinne, geschätzter Wirtschaftsschaden 202,4 Milliarden Euro (rund 4,5 Prozent des BIP), 1.041 Ransomware-Anzeigen (+10 Prozent). Etwa zwei Drittel der Taten wurden aus dem Ausland oder von unbekannten Orten aus begangen.

Hintergrund & Einordnung: Bundesinnenminister Dobrindt und BKA-Vizepräsidentin Link betonten die Rolle von KI-gestützten Angriffen, die professionellere und schneller skalierende Tatbegehung ermöglichen. Identitätsdiebstahl, Phishing und Schadsoftware bleiben die wichtigsten Modi. Besonders schwer betroffen sind Unternehmen, Behörden und kritische Infrastrukturen.

Praxisfolgen / Handlungsempfehlung: Awareness-Programme sollten KI-gestützte Phishing-Maschen explizit adressieren (Deepfake-Stimmen, hochpersonalisierte Mails). MFA mit phishing-resistenten Verfahren, EDR und ein klar geübter Incident-Response-Prozess bleiben die wichtigsten organisatorischen Schichten.

6.2 BSI-Cybersicherheitsmonitor 2026 – jeder Zehnte von Cyberkriminalität betroffen

11.05.2026 · BSI

Zusammenfassung: Der Cybersicherheitsmonitor 2026 zeigt, dass jede zehnte Person in Deutschland im Vorjahr von Cyberkriminalität betroffen war. Schwerpunkte sind Phishing, Identitätsdiebstahl, Schadsoftware und Betrug im Online-Handel. Es handelt sich um die größte regelmäßige Bevölkerungsbefragung zu Cybersicherheit in Deutschland.

Hintergrund & Einordnung: Der Bericht ergänzt das BKA-Lagebild aus Konsumentenperspektive: Während das BKA polizeilich erfasste Fälle ausweist, dokumentiert der Monitor die selbstberichtete Betroffenheit – inklusive nicht angezeigter Vorfälle. Beide Datenreihen zusammen liefern ein realistischeres Lagebild.

Praxisfolgen / Handlungsempfehlung: Awareness-Inhalte sollten den Faktor „jeder Zehnte“ als greifbare Zahl aufgreifen; klassische Schutzmaßnahmen (MFA, Passwort-Manager, Updates, Skepsis bei unverlangten Nachrichten) bleiben das Rückgrat der Endkunden-Strategie.

6.3 BfV/BSI – Phishing-Welle über Messengerdienste, gemeinsamer Sicherheitshinweis

19.05.2026 · BSI · BfV

Zusammenfassung: BfV und BSI warnen vor Phishing-Kampagnen über Messengerdienste (WhatsApp, Telegram, Signal). Adressiert werden gezielt Beschäftigte sicherheitsrelevanter Branchen; Ziel ist die Erbeutung von Zugangsdaten oder Session-Tokens über Social Engineering.

Hintergrund & Einordnung: Die Welle zeigt, dass Angreifer nicht mehr nur E-Mail-Kanäle ausschöpfen, sondern Vertrauenskontexte aus privaten Messengern für berufliche Angriffe nutzen. Klassische Mail-Schutzschichten greifen hier nicht. Auch Verifikationsmechanismen wie SMS-OTP geraten unter Druck.

Praxisfolgen / Handlungsempfehlung: Awareness-Maßnahmen, klare Reaktionswege, MFA mit phishing-resistenten Verfahren (FIDO2/WebAuthn) sowie Einschränkungen für die dienstliche Messengernutzung sind die zentralen Stellschrauben.

6.4 Verbraucherzentrale: Phishing-Welle „Rundfunkbeitrag/GEZ“ mit Kalenderdatei

11.05.2026 · Verbraucherzentrale

Zusammenfassung: Seit dem 11. Mai 2026 sind Phishing-Mails im Umlauf, deren Betreff „Ihr Zahlungsplan für den Rundfunkbeitrag ab 2026″ lautet. Die Aufmachung ist täuschend echt, inklusive Logo, Beitragsnummer und Kalenderdatei. Die angegebene IBAN gehört nicht zum Beitragsservice, sondern zu einem spanischen Konto.

Hintergrund & Einordnung: Die Masche kombiniert eine breit bekannte Absender-Marke mit einem etablierten Echtheitsmerkmal (Kalenderdatei). Wer den Anhang öffnet, riskiert Schadcode; wer überweist, schickt Geld in nicht erstattungsfähige Strukturen.

Praxisfolgen / Handlungsempfehlung: Endkunden sollten nichts auf Zuruf bezahlen, Forderungen nur über rundfunkbeitrag.de prüfen und verdächtige Mails an phishing@verbraucherzentrale.nrw melden. Für Unternehmen lohnt sich ein gezielter internen Awareness-Hinweis.

6.5 Verbraucherzentrale: weiterhin Phishing-Wellen Volksbank, Telekom, Behörden

19.05.2026 · Verbraucherzentrale – Telekom · Verbraucherzentrale – Behörden

Zusammenfassung: Die Verbraucherzentrale sieht weiterhin Phishing-Wellen im Namen der Volksbank („Aktualisierung Ihrer Kundendaten erforderlich“, 48-Stunden-Frist), der Telekom (vermeintliche Rechnungen, AGB-Änderungen) sowie von Ministerien und Behörden (Steuerrückerstattung, Bußgeld, Förderprogramme).

Hintergrund & Einordnung: Allen Wellen gemein ist die kombinierte Nutzung von Autoritätsmarke und Zeitdruck. Behörden- und Ministeriumsphishing nutzt zudem die saisonale Erwartungshaltung bei Steuerrückerstattungen.

Praxisfolgen / Handlungsempfehlung: Endkunden sollten Links aus solchen Mails nie anklicken, sondern offizielle Anwendungen direkt nutzen. Unternehmen sollten interne Reaktionswege für Mitarbeitendenanfragen schärfen und die Awareness-Inhalte aktualisieren.

6.6 SharePoint-Spoofing CVE-2026-32201 – weiterhin >1.300 ungepatchte Server online

19.05.2026 · BleepingComputer · BSI-Warnung

Zusammenfassung: Die Spoofing-Schwachstelle CVE-2026-32201 in SharePoint Server 2016/2019/Subscription Edition wird weiterhin aktiv ausgenutzt. CISA hat die Lücke im KEV-Katalog geführt, das BSI hält die laufende Warnung aufrecht. Trotz verfügbarer Patches sind laut BleepingComputer noch mehr als 1.300 SharePoint-Server öffentlich erreichbar und ungepatcht.

Hintergrund & Einordnung: Network-Spoofing-Angriffe ohne Nutzerinteraktion sind besonders gefährlich, weil sie keinen Phishing-Köder benötigen. Die hohe Zahl exponierter Server signalisiert anhaltende Patch-Schwächen im Mittelstand und in regulierten Branchen.

Praxisfolgen / Handlungsempfehlung: SharePoint-Patch-Status ad hoc prüfen, externe Erreichbarkeit minimieren, MFA für SharePoint-Admins und Forensik auf Spoofing-IOCs einrichten. Wer die Patches noch nicht eingespielt hat, sollte den Migrationspfad zur SharePoint Subscription Edition konkret einplanen.

Update vom Mittwoch, 20. Mai 2026: Weiterhin >1.300 ungepatchte Server online; BSI führt CVE in laufender Warnseite.

Ausblick / Termine

  • 21.–22.05.2026: BSI-Kurs „Grundlagenwissen für VS-Registraturkräfte“ in Boppard – relevant für Beschäftigte mit Verschlusssachen-Berührung.
  • 26.05.2026: Ablauf der laufenden „top_until“-Markierungen für mehrere Top-Stories der vergangenen Woche (Cisco SD-WAN, BfDI-Rückzug, Linux-Kernel, Datev-Datenpanne, Microsoft Patch Tuesday Mai, Ivanti EPMM, BfDI 34. TB).
  • Juni 2026: Erwartet wird die nächste Sitzung der DSK; offene Themen sind Beschäftigtendatenschutz, KI-Reallabore und die Nachfolge an der BfDI-Spitze.
  • September 2026: Verschärfte EU-Cybersicherheits-Meldepflichten greifen; betroffene Unternehmen sollten den Vorlauf für interne Anpassungen jetzt nutzen.
  • Laufend: CISA-KEV-Fristen für CVE-2026-31431 (15.05., abgelaufen) und CVE-2026-20182 (17.05., abgelaufen) – Bundesbehörden außerhalb der USA orientieren sich oft an diesen Fristen für eigene Härtungsprojekte.

Methodik

Stichtag dieses Briefings ist Mittwoch, der 20. Mai 2026, 09:00 Uhr MESZ. Bevorzugt werden Primärquellen: BSI (inkl. CERT-Bund/WID), BfDI, Landesdatenschutzaufsichten, BKA, BfV, BMI, EDSA/EDPB, EuGH, BGH sowie die Originalmitteilungen der betroffenen Hersteller und Behörden. Englischsprachige Quellen wie CISA, NVD, BleepingComputer und The Hacker News werden ins Deutsche übersetzt; die Originallinks bleiben im Quellenverzeichnis erhalten. Inhalte aus Fachmedien (heise online/Security, Golem, LTO, Dr. Datenschutz, datenschutz-notizen.de, datensicherheit.de) ergänzen die Lage, ersetzen aber keine Primärquelle. Das Briefing ist eine redaktionelle Lageeinschätzung und ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.

Quellenverzeichnis

  1. BfDI-Pressemitteilung – Ankündigung Rückzug
  2. BfDI – Übergabe des 34. Tätigkeitsberichts
  3. BfDI – 34. Tätigkeitsbericht 2025 (Download)
  4. Datenschutzkonferenz – Beschlüsse
  5. BSI – Gemeinsamer Sicherheitshinweis BfV/BSI Messenger-Phishing
  6. BfV – Gemeinsamer Sicherheitshinweis Messenger-Phishing
  7. BSI – Sicherheitshinweis Ivanti EPMM (WID 2026-221601-1032)
  8. BSI – Warnung SharePoint CVE-2026-32201
  9. BSI – Cybersicherheitsmonitor 2026 (Übersichtsseite)
  10. CERT-Bund – Warn- und Informationsdienst
  11. Cisco Security Advisory – SD-WAN CVE-2026-20182
  12. BleepingComputer – Cisco SD-WAN Zero-Day
  13. The Hacker News – CISA KEV Cisco SD-WAN
  14. Microsoft Tech Community – Exchange Server CVE-2026-42897
  15. NVD – CVE-2026-42897 Detail
  16. The Hacker News – Exchange OWA CVE-2026-42897
  17. Help Net Security – Exchange Server CVE-2026-42897
  18. The Hacker News – CISA KEV Linux Root CVE-2026-31431
  19. BleepingComputer – Linux „Copy Fail“ CVE-2026-31431
  20. BleepingComputer – Microsoft Patch Tuesday Mai 2026
  21. The Hacker News – Microsoft Patch Tuesday Mai 2026
  22. SAP – Security Patch Day Mai 2026
  23. heise online – SAP-Patchday Mai 2026
  24. Ivanti – EPMM Security Update Mai 2026
  25. BleepingComputer – Über 1.300 SharePoint-Server ungepatcht
  26. heise online – Datev-Datenpanne Lodas
  27. datensicherheit.de – BlnBDI-Verwarnung BVG
  28. BVG – Statement zum Datenschutzvorfall
  29. Born’s IT-Blog – Cyberangriff ARWINI Niedersachsen
  30. BKA – Bundeslagebild Cybercrime 2025 (PM)
  31. BMI – Bundeslagebild Cybercrime 2025
  32. boerse-express – 100 Mio. Euro Strafe gegen Yango/MLU
  33. LTO – EuGH C-526/24 Brillen Rottler
  34. LTO – Datenschutzrecht-Übersicht (BGH)
  35. EuGH curia.europa.eu (Urteilssuche)
  36. Verbraucherzentrale – Phishing-Radar Aktuelle Warnungen
  37. Verbraucherzentrale – Telekom-Fake-Mails
  38. Verbraucherzentrale NRW – Behörden-Phishing
  39. Datenschutz-Notizen – EDPB-Themenbericht „Berechtigtes Interesse“
Cyber-Security.academy · cyber-security.academy · Stand: Mittwoch, 20. Mai 2026

Die Infos auf unserem Blog stellen grundsätzlich keine Rechtsberatung dar,
sondern dienen lediglich der Information.

Schulungen zu Datenschutz & Cyber-Sicherheit Firmen-Flatrate

mehr erfahren
>