Mitte April 2026 kompromittierte ein gezielter Cyberangriff auf Unimed, den externen Abrechnungsdienstleister der Uniklinik Freiburg, die Stammdaten von etwa 54.000 Patienten. In rund 900 Fällen erlangten die Angreifer zudem Rechnungsdaten, aus denen auf Diagnosen und Behandlungsarten geschlossen werden kann. Die Uniklinik stoppte die Datenübertragung unverzüglich, informierte Datenschutzbehörde und BSI und bietet Betroffenen nun einen kostenfreien DSGVO-Online-Check von Stoll&Sauer an, um mögliche Ansprüche nach Art. 82 DSGVO zu klären.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Datenübertragung zu Unimed gestoppt, Klinikversorgung laut Angaben vollständig ungestört
Dem Lagebericht der Uniklinik Freiburg zufolge wurde Mitte April 2026 ein gezielter Angriff auf den externen Abrechnungsdienstleister Unimed registriert, der die Abrechnung privater Zusatzversicherter und Selbstzahler übernimmt. Am 21. Mai informierte das Haus offiziell über den Vorfall und setzte sofort alle Datenflüsse zu Unimed aus. Laut Klinikleitung blieb sowohl die Patientenversorgung als auch die Funktionalität der klinischen Systeme von dem Angriff vollständig unbeeinträchtigt. Interne Sicherheitsteams führten sofort umgehend Prüfungen durch.
Cyberattacke legt Stammdaten von 54000 Patienten dauerhaft unverschlüsselt offen
Die Klinik dokumentierte, dass infolge eines gezielten Angriffs sensible Personendaten von rund 54.000 Stationär- und Ambulanzpatienten kompromittiert wurden. Hierzu zählten vordringlich Angaben wie vollständiger Name, Geburtsdatum und postalische Adresse. In etwa 900 Fällen drangen Cyberkriminelle darüber hinaus in Abrechnungsunterlagen ein, die detaillierte Informationen zu Diagnosen und erbrachten Therapien enthalten. Einige wenige Vorfälle betrafen zudem auch Bankverbindungen der Betroffenen. Die Datenpanne birgt erhebliches Missbrauchsrisiko. Patienten wurden proaktiv informiert. Äußerst sensibel weitreichend.
Nach Vorfall setzt Klinik Datenübertragung aus und untersucht Dienstleister
Das Universitätsklinikum Freiburg leitete am 16. April 2026 nach Identifikation einer möglichen Datenkompromittierung sofort Gegenmaßnahmen ein: Die Klinik meldete den Vorfall umgehend der Landesdatenschutzbehörde sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und stoppte alle Datenübermittlungen an Unimed. Anschließend wurde eine rechtskundig begleitete Prüfung straf- und datenschutzrechtlicher Schritte gegen den externen Abrechnungsdienstleister gestartet, um Verantwortlichkeiten klar zuzuordnen und Wiederholungen zukünftig zu vermeiden. Eine forensische Untersuchung begleitet nun den Vorgang.
Unterschiedliche Quellen nennen varierende Schadenzahlen in Ulm, Heidelberg, Tübingen
Medienquellen berichten, dass die Universitätskliniken in Ulm, Heidelberg und Tübingen Opfer vergleichbarer Cybervorfälle wurden. Die Meldungen sprechen von höchstens 71.000 betroffenen Patienten. Da jedoch verschiedene Pressebeiträge unterschiedliche Zahlen nennen, ist bislang keine präzise Bilanz des Datenverlustes möglich. Die Diskrepanz illustriert, dass eine konsolidierte Aufarbeitung der einzelnen Vorfälle notwendig ist. Nur durch abgestimmte Datenzusammenführung können Verantwortliche einen vollständigen Überblick über den tatsächlichen Schaden gewinnen und Maßnahmen ableiten.
Patientendatenverlust birgt erhebliche Risiken für Privatsphäre und Datensicherheit insgesamt
Die DSGVO definiert Gesundheitsdaten als besonders schützenswerte personenbezogene Daten, weshalb ihre Verarbeitung strikten Regularien unterliegt. Rechnungsdaten enthalten häufig Rückschlüsse auf Diagnosen, Prozeduren und erbrachte Therapien. Ein unerlaubter Zugriff auf diese Daten birgt Gefahren wie Identitätsdiebstahl, Phishing-Attacken und Erpressung mit intimen Patienteninformationen sowie den vollständigen Verlust der Kontrolle über persönliche Gesundheitsdetails. Um solche Risiken zu minimieren, sind strenge Zugriffsrechte, hochmoderne Verschlüsselungstechniken und fortlaufende Sicherheitskontrollen erforderlich.
Angst Sorge Kontrollverlust: nach DSGVO Anspruch auf einen Immaterienschaden
Gemäß Art. 82 DSGVO können Personen, deren Daten verletzt wurden, Anspruch auf Entschädigung für immaterielle Schäden geltend machen. Das umfasst unter anderem die psychischen Folgen von Kontrollverlust, Existenzängste und Unsicherheiten bezüglich der eigenen Datensicherheit. Der Europäische Gerichtshof und der Bundesgerichtshof haben unmissverständlich klargestellt, dass ein nachgewiesener materieller Schaden nicht Voraussetzung für die Geltendmachung solcher Ansprüche ist. Bereits die Verletzung des Rechts, über eigene Daten selbst zu verfügen, ist ausreichend.
Unkomplizierter DSGVO-Online-Service: Kostenlose Ersteinschätzung, Beratung sowie konkrete, zeitnahe Handlungsempfehlungen
Durch den kostenfreien DSGVO-Online-Check der Kanzlei Stoll&Sauer können Betroffene unkompliziert feststellen, ob sie Anspruch auf Entschädigung nach einer Datenschutzverletzung haben. Innerhalb kürzester Zeit erhalten Antragsteller eine detaillierte Ersteinschätzung hinsichtlich Verantwortungsbereichen und notwendigen Präventionsmaßnahmen. Ergänzend vermittelt die Kanzlei praxisorientierte Empfehlungen zur Durchsetzung der Rechte sowie zur Risikovermeidung in der Zukunft. Dieses digitale Angebot ist gebührenfrei und birgt kein finanzielles Risiko für die betroffenen Personen. Interessenten können den Service ohne Kostenrisiko nutzen.
Nach einem Cyberangriff auf vertrauliche Patienteninformationen liefert der DSGVO-Online-Check von Stoll&Sauer kostenfrei eine umgehende Einschätzung möglicher Ansprüche betroffener Personen. Das Online-Tool klärt Verantwortlichkeitsverhältnisse, analysiert Risiken und unterstützt bei der Planung juristischer Schritte. Betroffene bekommen eine klare Handlungsanleitung für die Einreichung von Schadenersatzforderungen gemäß Art.82 DSGVO und erhalten gleichzeitig Hinweise zur Optimierung künftiger Datenschutz- und IT-Sicherheitsstrategien im Gesundheitsbereich. bietet der Service einen Überblick über relevante Fristen, Verfahrenswege und mögliche außergerichtliche Lösungsoptionen.
