Wenn eine Datenschutzbehörde ein Millionenbußgeld verhängt und das betroffene Unternehmen dagegen Einspruch einlegt, passiert in Deutschland etwas Merkwürdiges: Die Behörde, die den Fall über Monate ermittelt und den Verstoß festgestellt hat, wird aus dem Verfahren gedrängt. Die Staatsanwaltschaft übernimmt, oft ohne tiefere Kenntnis der Materie. In Episode 157 des c’t-Datenschutz-Podcasts beleuchten Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich mit Denis Lehmkemper, dem Landesbeauftragten für den Datenschutz (LfD) Niedersachsen, diesen eigentümlichen Verfahrensweg.

Anlass ist der Fall notebooksbilliger.de. Die niedersächsische Datenschutzbehörde hatte 2020 ein Bußgeld von 10,4 Millionen Euro verhängt, weil das Unternehmen mit 81 Kameras Beschäftigte, Kunden und Dritte mit Videokameras überwacht hatte – mit unzulässig hohen Speicherdauern von bis zu 60 Tagen. Das Landgericht Hannover reduzierte die Summe auf 700.000 Euro, das Oberlandesgericht Celle hob sie schließlich Ende 2025 in der Rechtsbeschwerde auf 900.000 Euro an. Die materiellen Verstöße bestätigten beide Instanzen, doch vom ursprünglichen Bußgeld blieb weniger als ein Zehntel übrig.

Keine Steuerung mehr

Lehmkemper erklärt, wie ein solches Verfahren abläuft: Die Datenschutzbehörde ermittelt als Verwaltungsbehörde nach dem Ordnungswidrigkeitengesetz (OWiG), hört die Beteiligten an und erlässt einen Bußgeldbescheid. Legt das Unternehmen binnen 14 Tagen Einspruch ein und hält die Behörde an ihrer Einschätzung fest, übergibt sie den Fall an die Staatsanwaltschaft.

Ab diesem Moment verliert die Datenschutzbehörde jede Steuerungsmöglichkeit. Die Staatsanwaltschaft vertritt den Fall vor Gericht, kann eigene Anträge stellen und sogar die Einstellung beantragen. In der Rechtsmittelinstanz übernimmt die Generalstaatsanwaltschaft und kann wiederum ganz andere Summen beantragen als die Staatsanwaltschaft.

Abschreckende Bußgelder?

Im Fall notebooksbilliger.de forderte die Staatsanwaltschaft mindestens fünf Millionen Euro, die Generalstaatsanwaltschaft beantragte 1,47 Millionen. Die Datenschutzbehörde durfte dazu nichts sagen und hatte zeitweise sogar Schwierigkeiten, die Gerichtsentscheidung überhaupt zu erhalten. Noch drastischer zeigte sich das Problem in einem Bußgeldverfahren gegen VW: Dort vergaß offenbar jemand in der Staatsanwaltschaft, einen fertigen Schriftsatz zu unterschreiben – die Rechtsbeschwerde scheiterte an einem Formfehler.

Lehmkemper fordert deshalb, dass Landesdatenschutzbehörden künftig neben der Staatsanwaltschaft als Antragsbeteiligte vor Gericht auftreten dürfen, ähnlich wie es das Bundeskartellamt bereits kann. So könnten sie eigene Schriftsätze einreichen, dem Gericht die fachlichen Hintergründe ihrer Bußgeldbemessung erläutern und Fehler durch Doppelstrukturen vermeiden. Er will das Thema bei der Vorstellung seines Tätigkeitsberichts im Juni erneut auf die politische Agenda setzen.

Neben dem Verfahrensweg diskutieren die drei auch die grundsätzliche Frage, ob der Datenschutz hohe Bußgelder benötigt. Lehmkemper sieht das Signal, das von drastischen Reduktionen ausgeht, als problematisch: Unternehmen könnten lernen, dass sich Widerspruch gegen Bußgeldbescheide fast immer lohnt. Heidrich bestätigt aus der Beratungspraxis, dass hohe Bußgelder das wirksamste Argument sind, um Unternehmen zur Einhaltung des Datenschutzes zu bewegen.

Episode 157:

Hier geht es zu allen bisherigen Folgen:

(hob)

Michael O. Rabin wurde als Sohn des Rabbiners Israel Rabin und der Schriftstellerin Ester Rabin am 1. September 1931 in Breslau geboren. Die Familie wanderte 1935 in das britische Mandatsgebiet für Palästina aus. Sein mathematisches Interesse wurde durch seinen Lehrer Elisha Netanyahu mit der Aufnahme in einen kleinen Kreis interessierter Schüler gefördert. Als er mit 16 Jahren 1948 im israelisch-arabischen Krieg in die Armee eingezogen werden sollte, setzte sich der berühmte Mathematiker Abraham Fraenkel für seine weitere Ausbildung an der Universität ein. 1952 schloss Rabin das Studium mit einer Masterarbeit über ein von Emmy Noether entdecktes Problem ab, was ihm ein Stipendium an der Universität Princeton einbrachte. Dort studierte er zusammen mit Dana Scott bei Alonzo Church, bei dem auch Alan Turing studiert hatte.

Grundlegende Arbeiten

Rabin und Scott wurden im Sommer 1957 von IBM eingeladen und schrieben dort die Arbeit über „Finite Automata and Their Decision Problems“, in der sie sich mit den (heute so genannten) neuronalen Netzwerken von Warren McCulloch und Walter Pitts beschäftigten. 1956 hatte der Logiker Stephen Cole Kleene mit seinem Theorem die Klasse der regulären Sprachen in die Informatik eingeführt und deshalb konnten Rabin und Scott mit ihrer Arbeit über nichtdeterministische Automaten Kleenes Annahmen bestätigen. „Wir hatten eigentlich keinen tieferen philosophischen Grund, diesen Nichtdeterminismus in Betracht zu ziehen, obwohl er, wie wir heute wissen, im Zentrum der P = NP-Frage steht – einem Problem von immenser praktischer und theoretischer Bedeutung. Für uns war das lediglich eine von mehreren Varianten“, sagte Rabin im Interview über seinen Lebensweg, das er seinem Schüler Dennis Shasha gewährte. Im Jahre 1976 bekamen er und Scott für diese Arbeit den Turing Award, was bis heute Gegenstand von angeregten Diskussionen ist.

Nach dieser Episode beschäftigte sich Rabin mit kryptographischen Problemen, angeregt über ein Problem, das ihm John McCarthy gestellt hat: Wie kann ein Spion, der sein Passwort sagt, zuverlässig von einem Wächter erkannt werden, der das Passwort errechnen soll? Die Antwort war der Aufsatz „Probabilistic Algorithm for Testing Primality“ von Rabin. Der Primzahlentest, heute als Miller-Rabin-Test bekannt, liefert nach sechs Tests bei langen Zahlen schnell mit einer Wahrscheinlichkeit von 99,9 Prozent die Antwort auf die Frage, ob eine Zahl eine Primzahl ist und wird deshalb in vielen kryptografischen Anwendungen eingesetzt. Mit seinem Aufsatz „Digitalized Signatures and Public-Key Functions as Intractable as Factorization“ lieferte Rabin 1979 die Grundlagen für das Rabin-Kryptosystem, das im Gegensatz zum Primzahlentest kaum genutzt wird.

Später war Rabin nach jahrelanger Forschung und Lehre an der Hebrew University, deren Rektor er zeitweilig war, ab 1982 wieder bei IBM und gehörte dort bis 1994 zum Science Advisory Committee. 1987 entwickelte er mit Richard M. Karp den Rabin-Karp-Algorithmus, der bei der Suche nach Plagiaten mit einem effizienten Hash-Verfahren aufwartet. Im Interview über seinen Lebensweg schildert er, wie wichtig die Rolle des Zufalls für seine Arbeit gewesen ist. „Das Einwirken von Zufall bei so vielen algorithmischen Problemen ist mir völlig rätselhaft. Es ist effizient, es funktioniert; aber warum und wie, ist mir ein absolutes Rätsel. Algorithmen benötigen in ihrer Reinform eine physikalische Zufallsquelle. Es handelt sich also um eine Art Zusammenarbeit zwischen uns Informatikern und der Natur als Quelle des Zufalls. Das ist einzigartig und wirft einige Fragen in der Physik und Philosophie auf.“

(mho)

In den Verarbeitungsroutinen für mehrere Bildformate in Gimp schlummern Schwachstellen, die Angreifer etwa zum Einschleusen und Ausführen von Schadcode missbrauchen können. Dazu reicht das Öffnen manipulierter Bilddateien etwa im GIF-Format aus. Ein Update auf Gimp 3.2.2 schließt die Lücken.

Die Schwachstelleneinträge sind jetzt in der Nacht zum Donnerstag erschienen. Etwa in der ReadJeffsImage-Funktion der GIF-Ladekomponente können Angreifer einen potenziellen Pufferüberlauf missbrauchen, um über die Grenzen eines angelegten Puffers hinauszuschreiben. Das kann möglicherweise zum Ausführen beliebigen Codes beim Verarbeiten sorgsam präparierter GIF-Dateien führen (CVE-2026-6384, CVSS 7.3, Risiko „hoch“). Die Gimp-Entwickler haben die Lücke laut Bugtracker bereits geschlossen.

Weitere Sicherheitsprobleme bei der Dateiverarbeitung

Weitere Sicherheitslücken betreffen Plugins zur Verarbeitung bestimmter Dateiformate. Ein Pufferüberlauf beim Einlesen von „file-seattle-filmworks“-Dateien kann zum Absturz führen (CVE-2026-40919, CVSS 6.1, Risiko „mittel“). Eine präparierte PVR-Image-Datei kann ebenfalls einen Denial-of-Service provozieren (CVE-2026-40918, CVSS 5.5, Risiko „mittel“). Ein Integer-Überlauf kann hingegen beim Lesen von FITS-Bildern auftreten, wodurch ein Null-Byte-Puffer angefordert wird, was zu einem Heap-basierten Pufferüberlauf beim Schreiben von Pixeldaten führt. Auch das kann möglicherweise zum Einschleusen von Schadcode missbraucht werden (CVE-2026-40915, CVSS 5.5, Risiko „mittel“).

Manipulierte ICNS-Bilder könnten lesend auf Speicherbereiche jenseits der vorgesehenen Grenzen aufgrund einer Schwachstelle in der Funktion icns_slurp() zugreifen und so möglicherweise Informationen auslesen (CVE-2026-40917, CVSS 5.0, Risiko „mittel“). Sorgsam präparierte TIM-Bilder können zudem zu einem Denial-of-Service führen, da Gimp beim 4BPP-Dekodieren einen Überlauf erzeugt (CVE-2026-40916, CVSS 5.0, Risiko „mittel“).

Wer die betroffenen Dateiformate GIF, file-seattle-filmworks, FITS, ICNS oder TIM einsetzt, sollte das Update auf Gimp 3.2.2 nun unbedingt nachholen. Die Installationspakete stehen auf der Download-Seite zum Herunterladen bereit.

Gimp 3.2 erschien Mitte März und hatte dabei auch hochriskante Codeschmuggel-Lücken geschlossen.

(dmk)