Das Landgericht Berlin hat in einem Urteil zum Bußgeldbescheid der Berliner Datenschutzbeauftragten gegen die Deutsche Wohnen SE bestätigt, dass der Konzern gegen Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoßen hat. Gleichzeitig hat das Gericht aber die Strafe von 14,5 Millionen Euro drastisch auf 900.000 Euro gesenkt.

Die Deutsche Wohnen hatte für die Speicherung personenbezogener Daten von Mieter:innen rechtswidrig ein Archivsystem verwendet, das keine Möglichkeit der Löschung nicht mehr relevanter Daten vorsah. Die gespeicherten Daten enthielten Informationen über zum Teil sehr persönliche Verhältnisse der Betroffenen wie beispielsweise Gehaltsbescheinigungen, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer‑, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge, schreibt die Berliner Datenschutzbeauftragte (BlnBDI) in einer Pressemitteilung.

Gegen diese Verstöße hatte die BlnBDI ein Bußgeld in Höhe von 14,5 Millionen verhängt, der umstrittene Wohnungskonzern hatte sich dagegen gerichtlich gewehrt. Das Landgericht geht „von einem vorsätzlichen Verstoß des Unternehmens gegen die DSGVO“ aus, so der Vorsitzende der Kammer in der mündlichen Urteilsbegründung. „Neben dem Verstoß gegen die genannten Datenschutzgrundsätze sei in Einzelfällen betreffend ehemalige Mieterinnen und Mieter auch vorsätzlich gegen die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 6 Abs. 1 DSGVO verstoßen worden“, so das Gericht weiter.

Bußgeld deutlich niedriger angesetzt

Bei der Senkung der Strafe hat das Gericht nach eigenen Angaben auch „gewürdigt, dass die Deutsche Wohnen externe Wirtschaftsprüfer, Berater und IT-Fachleute eingeschaltet habe, um die konzerneigenen IT-Systeme auf die neuen Vorschriften umzustellen“. Die festgestellten Verstöße seien laut Gericht lediglich in der Einführungsphase der DSGVO aufgetreten, und auch die Berliner Datenschutzbehörde habe Schwierigkeiten gehabt, sich an die neue Gesetzeslage anzupassen und den Ist-Zustand gerichtsfest zu dokumentieren. Deshalb sei das Bußgeld wesentlich niedriger anzusetzen als zunächst von der Datenschutzbehörde veranschlagt, so das Gericht weiter.

Die Berliner Datenschutzbeauftragte Meike Kamp sieht sich durch das Urteil in ihrem Kurs bestätigt, Rechtsfragen bei Bedarf gerichtlich zu klären: „Damit wurde das Vorgehen meiner Behörde bestätigt, ein Bußgeld zu verhängen. Im Verfahren sind darüber hinaus wichtige Rechtsfragen geklärt worden, die für die Anwendung des Datenschutzrechts und die Aufsichtspraxis große Relevanz haben. Dies schafft Rechtssicherheit für alle Beteiligten.“

Die Deutsche Wohnen ist seit Jahren das Ziel von Kampagnen für bezahlbare Mieten. In einem Volksentscheid stimmten die Berliner:innen mehrheitlich für die Vergesellschaftung der Berliner Wohnungen des Konzerns. Der Berlin Senat verschleppt jedoch die Umsetzung des Bürgervotums seit Jahren.

Am Patchday im Juni stuft Microsoft zahlreiche Sicherheitslücken in etwa Azure, M365, Exchange Online, Office und Windows als „kritisch“ ein. In vielen Fällen können Angreifer aus der Ferne ohne Authentifizierung Schadcode ausführen und Systeme vollständig kompromittieren.

Ein Zero Day nach dem anderen

Unter den nun geschlossenen Schwachstellen finden sich auch die BitLocker-Zero-Day-Lücken YellowKey (CVE-2026-45585 „mittel“) und GreenPlasma (CVE-2026-50507 „mittel“), die ein Sicherheitsforscher mit dem Pseudonym Nightmare Eclipse offengelegt hat. Nutzen Angreifer diese Lücken erfolgreich aus, können sie die BitLocker-Festplattenverschlüsselung umgehen.

Der Forscher hat aber noch mehr Zero Days in petto und legte direkt nach dem Patchday die RoguePlanet getaufte Schwachstelle in seinem Blog offen. Diese Lücke bedrohe Windows 10 und 11 im voll gepatchten Zustand. Ansatzpunkt ist erneut die Schutzsoftware Defender. Nach einer erfolgreichen Attacke sollen Angreifer mit Systemrechten dastehen.

Microsoft reagierte zügig auf die neue Bedrohung: Mit dem am Morgen des 10. Juni erschienenen Definitionsupdate 1.453.20.0 für Defender rüstet der Konzern eine Erkennung für RoguePlanet nach und verschiebt den Exploit in die Quarantäne. Die Erkennung ist unseren Experimenten zufolge jedoch allenfalls rudimentär: Mit einer trivialen Änderung im Quelltext des Proof-of-Concept-Exploits lässt sie sich in kürzester Zeit umgehen und erneut eine Shell mit Systemrechten ausführen.

Bislang gibt es keine Hinweise darauf, dass Angreifer die Schwachstelle bereits ausnutzen. Der anonyme Sicherheitsforscher hat eigenen Angaben zufolge noch weitere Zero Days in petto, die er eigentlich am 14. Juli veröffentlichen wollte. Weil er mit RoguePlanet zu viel zu tun hatte, verschiebt sich das jetzt aber. Einen konkreten Zeitraum nennt er derzeit nicht.

Weitere Gefahren

Offensichtlich war ein Fix für die bereits attackierte RedSun-Lücke (CVE-2026-41091 „hoch“) in der Malware Protection Engine von Defender nicht ausreichend, sodass Microsoft Ende Mai noch einmal eine Aktualisierung nachgelegt hat. In den Standardeinstellungen aktualisiert sich Defender automatisch. Die Korrektur listet Microsoft nun als zum Juni-Patchday gehörend auf.

Drei Schwachstellen in Windows (CVE-2026-49160 „hoch“, CVE-2026-50507 „mittel“, CVE-2026-45586 „hoch“) in HTTP.sys, BitLocker und Collaborative Translation Framework sind öffentlich bekannt und es können Attacken bevorstehen.

Drei „kritische“ Lücken bedrohen den Windows Kernel (CVE-2026-45657), Windows HTTP.sys (CVE-2026-47291) und Windows DHCP Client Service (CVE-2026-44815). An diesen Stellen können Angreifer Schadcode ausführen und Computer vollständig kompromittieren.

Weiterführende Informationen zu den an diesem Patchday geschlossenen Sicherheitslücken finden sich in Microsofts Security Update Guide.

(des)

An diesem Patchday gelten zwei „kritische“ Sicherheitslücken mit Höchstwertung in Adobe Campaign Classic als am gefährlichsten. Darüber kann Schadcode auf PCs gelangen und Systeme vollständig kompromittieren. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Mehrere Gefahren

Wie aus einer Warnmeldung hervorgeht, weisen die Campaign-Classic-Schwachstellen (CVE-2026-48303, CVE-2026-47938) den maximalen CVSS Score 10 von 10 auf. Wie Schadcode-Attacken im Detail ablaufen könnten, ist bislang nicht bekannt. Davon sind Linux und Windows bedroht. Die Entwickler versichern, die Sicherheitsprobleme in v7: 7.4.3 build 9396 gelöst zu haben.

ColdFusion 2023 und 2025 sind über sechs von Adobe als „kritisch“ eingestufte Lücken angreifbar. Davon sind einem Beitrag zufolge alle Plattformen betroffen. So können Angreifer etwa Schadcode ausführen (CVE-2026-47928), Sicherheitsmaßnahmen umgehen (CVE-2026-47932) oder sich höhere Nutzerrechte verschaffen (CVE-2026-47929). Hier schaffen ColdFuison 2023 Update 20 und ColdFusion 2025 Update 9 Abhilfe.

Als „kritisch“ gelten dem Softwarehersteller zufolge auch zwei Schwachstellen (CVE-2026-34691, CVE-2026-34693) in Experience Manager Forms für alle Plattformen. Hier kann in Form von Stored- und Reflected-XSS-Attacken Schadcode auf Systeme gelangen.

Mit 56 Stück hat Adobe die meisten Lücken in Experience Manager geschlossen. Hier helfen die Versionen AEM Cloud Service (CS) Release 2026.05, 6.5 LTS Service Pack 2 und 6.5 Service Pack 25.

Weitere Informationen zu bedrohten und reparierten Versionen finden Admins in den offiziellen Warnmeldungen.

(des)