Ein im April 2026 erfolgter Cyberangriff auf den externen Abrechnungsdienst Unimed führte zum Abfluss von Stammdaten von circa 54.000 Patientinnen und Patienten der Universitätsklinik Freiburg. In rund 900 Fällen wurden auch sensible Rechnungsdaten mit Hinweisen auf Diagnosen entwendet. Die Klinik stoppte unverzüglich die Datenübermittlung, meldete den Vorfall den Datenschutzbehörden und stellt Betroffenen einen kostenfreien DSGVO-Online-Check von Stoll&Sauer zur Verfügung, um mögliche Schadenersatzforderungen gemäß Art. 82 DSGVO zu prüfen.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Angriff auf Abrechnungsdaten liefert Rückschlüsse auf Diagnosen und Behandlungen
Nach bisherigen Erkenntnissen richtete sich der Cyberangriff Mitte April 2026 gegen den externen Abrechnungsdienstleister Unimed, der Abrechnungen für privat Zusatzversicherte und Selbstzahler der Uniklinik Freiburg bearbeitet. Am 21. Mai 2026 informierte das Universitätsklinikum über den Vorfall und unterband sofort die Übertragung aller Patientendaten an Unimed. Die Klinik gibt an, dass Patientenversorgung sowie klinische Systeme unbeschadet blieben. Gleichzeitig wurden Incident-Response-Protokolle aktiviert.
Landesdatenschutzbehörde prüft derzeit Vorfall nach Abgriff von 54000 Patientendatensätzen
Die Klinik berichtete, dass Cyberkriminelle personenbezogene Daten von rund 54.000 ihrer Patienten erbeuteten. Erfasst sind darin klassische Identifikationsmerkmale wie Namen, Geburtsdaten und Wohnadresse. Hinzu kommt, dass in etwa 900 Fällen auch detaillierte Abrechnungsinformationen abgeschöpft wurden, aus denen sich Diagnosen und medizinische Maßnahmen rekonstruieren lassen. In einem kleinen Teil der Fälle waren zudem Kontodaten betroffen. The Klinik setzt nun verstärkt auf IT-Sicherheit, hat die Übertragung gestoppt und Fachleute beauftragt. Sofort extern.
Klinik Freiburg stoppt sofort Unimed-Abrechnungstransfer und informiert alle Behörden
Am 16. April 2026 verzeichnete das Universitätsklinikum Freiburg eine unautorisierte Datenübertragung. Unverzüglich erfolgte die Anzeige bei der Landesdatenschutzbehörde und beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Parallel wurde die Weiterleitung an den externen Abrechnungsdienstleister Unimed unterbunden. Eine fachlich begleitete Prüfkommission untersucht aktuell alle strafrechtlichen und datenschutzrechtlichen Aspekte, um mögliche Klagen gegen Unimed vorzubereiten und Empfehlungen für künftige Prozess- und Systemanpassungen abzuleiten und Prozesse transparent zu gestalten sowie Audits durchzuführen.
Variierende Schadenzahlen bei Kliniken rufen Behörden auf den Plan
Medienquellen berichten, dass neben Freiburg die Universitätskliniken in Ulm, Heidelberg und Tübingen von ähnlichen IT-Sicherheitsvorfällen betroffen wurden und insgesamt bis zu 71.000 Patientendatensätze kompromittiert sein könnten. Die Berichte nennen unterschiedliche Zahlen, was auf Divergierende Ermittlungsstände und definitorische Unterschiede zurückzuführen sein kann. Diese Diskrepanzen erschweren eine genaue Schadensbegrenzung und Analyse. Es bedarf einer koordinierten Vorgehensweise, um konsistente Daten über die betroffenen Patientenmengen zu erhalten.
DSGVO verpflichtet Krankenhäuser zur Umsetzung lückenloser Sicherheits- und Meldeprozesse
Gemäß DSGVO zählen Gesundheitsdaten zu den besonders schützenswerten Kategorien personenbezogener Daten. Rechnungsdaten ergänzen diese Kategorie, indem sie Rückschlüsse auf Diagnosen, medizinische Prozeduren und Abrechnungshöhen zulassen. Ein unbefugter Zugriff auf solche Informationen eröffnet Betroffenen Risiken wie Identitätsdiebstahl, Phishing-Attacken, Erpressung und vollständigen Informationsverlust. Um dem entgegenzuwirken, sind umfassende technische und organisatorische Maßnahmen erforderlich: Mehrstufige Authentifizierungsverfahren, Ende-zu-Ende-Verschlüsselung und ein etabliertes Incident-Response-Management müssen implementiert sein.
DSGVO konkret: Ersatzanspruch für nicht materielle Schäden detailliert geregelt
Art. 82 DSGVO ermöglicht Entschädigungsansprüche für immaterielle Schäden, die durch Verletzungen datenschutzrechtlicher Bestimmungen entstehen. Zu diesen Schäden gehören Gefühle von Angst, Sorge um die Privatsphäre und das Empfinden, die Kontrolle über personenbezogene Daten verloren zu haben. Sowohl der Europäische Gerichtshof als auch der Bundesgerichtshof haben klargestellt, dass hierfür kein materieller Schadennachweis erforderlich ist. Der Verlust der eigenen Datenhoheit wird als eigenständiger, ersatzfähiger immaterieller Schaden anerkannt und berechtigt zum Anspruch.
Jetzt kostenfrei DSGVO-Check starten: Stoll&Sauer gibt klare, individuelle Handlungsempfehlungen
Datenschutzbetroffene können mit dem von Stoll&Sauer bereitgestellten DSGVO-Online-Check ohne Entgelt prüfen, ob sie Anspruch auf Schadenersatz nach einer Datenpanne haben. Das benutzerfreundliche Tool führt durch gezielte Fragen und gewährt innerhalb kurzer Zeit eine detaillierte Ersteinschätzung zu Haftungsfragen und vorgeschlagenen Schutzvorkehrungen. Anschließend werden maßgeschneiderte Handlungsempfehlungen übermittelt, um Ansprüche durchzusetzen und künftige Risiken zu verhindern. Der Service ist uneingeschränkt gebührenfrei, ohne versteckte Kosten und birgt kein finanzielles Risiko für die Nutzer jederzeit.
Der DSGVO-Online-Check von Stoll&Sauer unterstützt nach Cyberangriffen auf Gesundheitsdaten mit einer kostenlosen Erstprüfung möglicher Anspruchsgründe. Anwender beantworten online strukturierte Fragen, um Verantwortlichkeiten festzustellen und die Tragweite des Datenverlusts einzuschätzen. Anschließend generiert das System eine präzise Übersicht über Handlungsoptionen für Schadenersatzklagen nach Art.82 DSGVO. Darüber hinaus bietet das Tool Leitfäden zur Einhaltung von Fristen, zur Beweissicherung sowie Klarheit über präventive Datenschutzmaßnahmen. Ferner werden praxisnahe Musteranschreiben und Verlinkungen zu spezialisierten Rechtsdienstleistungen angeboten.
