Datenschutzwoche
EDSA: Konsultationsverfahren zum DSFA-Template
Der Europäische Datenschutzausschuss (EDSA) hat eine Vorlage und eine dazu gehörende Anleitung für Datenschutz-Folgenabschätzungen (DSFA) nach Art. 35 DSGVO entwickelt. Die Vorlage soll Verantwortliche bei der Durchführung und Dokumentation von DSFA-Prüfungen unterstützen. Sie entstand in Folge des sogenannten Helsinki-Statements, in dem sich die europäischen Datenschutz-Aufsichtsbehörden darauf verständigt haben, insbesondere für kleine und mittlere Organisationen praktische und verständliche Werkzeuge zu entwickeln, um den risikobasierten Ansatz der DSGVO umzusetzen. Bis zum 09.06.2026 können Interessierte den Entwurf im Rahmen einer öffentlichen Konsultation kommentieren.
Im Anschluss an die öffentliche Konsultation ist geplant, dass die Aufsichtsbehörden die Vorlage entweder als Standard übernehmen, oder auf deren Basis länderspezifische Vorlagen entwickeln.
Kritische Zero-Day-Lücken bei Microsoft Defender
Unter den Bezeichnungen „RedSun“, „UnDefend“ und „BlueHammer“ werden derzeit drei kritische Zero-Day-Lücken in Windows-Systemen beobachtet. Die Schwachstellen ermöglichen Angreifern die Ausweitung von Nutzerrechten bis zur vollständigen Systemübernahme. Einen Patch gibt es bisher nur für eine von drei betroffenen Sicherheitslücken.
Für die BlueHammer-Lücke hat Microsoft die Schwachstelle mit dem Eintrag CVE-2026-33825 nach eigenen Angaben behoben. Die BlueHammer-Lücke ermöglicht es Angreifern mit einem bereits vorhandenen lokalen Zugriff mit Benutzerrechten, einen Zugriff mit Systemrechten zu erlangen. Ein ähnlicher Mechanismus verbirgt sich hinter Redsun. Mit Undefend lässt sich der Windows Defender ebenfalls mit einfachen Benutzerrechten zum Absturz bringen.
IT-Sicherheitsforscher haben nach eigenen Angaben bereits erste Angriffe auf die Sicherheitslücken registriert. Weitere Details bei Golem und Heise.
Internationale Nachrichten
Europa: Template für eine Datenschutz-Folgenabschätzung des Europäischen Datenschutzausschusses.
Europa: Guideline 1/2026 zur Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken. Das öffentliche Konsultationsverfahren läuft bis zum 25.06.2026.
Europa: Stellungnahme 14/2026 und 15/2026 zu den Kriterien für die Zertifizierung von Europrivacy für ein Europäisches Datenschutzsiegel nach Art. 42 DSGVO, u.a. auch als Instrument für Übermittlungen nach Art. 46 DSGVO.
Frankreich: Die CNIL hat Guidelines zur Einbindung von Tracking-Pixeln in E-Mails verfasst.
Europa: In der Rechtssache C-205/25 hat EuGH-Generalanwalt Norkus am 16.04.2026 seine Schlussanträge gestellt. In dem Verfahren geht es um die Frage, ob eine Aufsichtsbehörde, die im Rahmen eines von einem Betroffen eingeleiteten Beschwerdeverfahrens tätig wird, gleichzeitig im Sinne von Art. 15 DSGVO in Verbindung mit Art. 4 Nr. 7 DSGVO „Verantwortlicher“ und damit dem Betroffenen zur Auskunft verpflichtet ist. Zudem stellt sich in dem Verfahren die Frage der Vereinbarkeit von Art. 20 Abs. 2 BayDSG mit Art. 23 DSGVO, da nach der bayerischen Landesnorm Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden pauschal nicht bestehen.
Aktuelle Gerichtsentscheidungen
VG Düsseldorf, Urteil vom 02.04.2026, Az. 29 K 7351/23 (BeckRS 2026, 6440): Zur Angemessenheit des Schutzniveaus im Sinne von Art. Art. 32, Abs. 3 DSGVO bei einer Übermittlung von personenbezogenen Daten per E-Mail.
Neuigkeiten aus den Aufsichtsbehörden:
Der Hessische Beauftragte für Datenschutz und die Informationsfreiheit: Pressemitteilung für den 54. Tätigkeitsbericht zum Datenschutz und 8. Tätigkeitsbericht zur Informationsfreiheit.
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Kurzmeldung zur öffentliche Konsultation des EDSA zum neuen Template für Datenschutz-Folgenabschätzungen.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat den 31. Tätigkeitsbericht ihrer Behörde vorgelegt.
Das Unabhängige Datenschutzzentrum Schleswig-Holstein hat seinen Bericht für den Tätigkeitszeitraum 2025 vorgelegt.