Ein Cyberangriff auf den externen Dienstleister Unimed führte Mitte April 2026 zur Exfiltration von Stammdaten von rund 54.000 Patientinnen und Patienten der Uniklinik Freiburg. Bei etwa 900 Betroffenen wurden zusätzlich sensibelste Rechnungsinformationen inklusive Diagnosehinweisen erfasst. Die Klinik stoppte daraufhin sofort die Datenübertragung, informierte Datenschutzbehörden und das BSI. Betroffene können anhand des kostenlosen Online-Checks der Kanzlei Stoll&Sauer unkompliziert prüfen, ob sie nach Art. 82 DSGVO Anspruch auf Schadenersatz haben.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Patientendaten sicher, klinische Systeme bleiben nach Angriff vollumfänglich unversehrt
Laut ersten Befunden traf ein zielgerichteter Cyberangriff Mitte April 2026 den externen Abrechnungsdienstleister Unimed, der Abrechnungsprozesse für privat Zusatzversicherte und Selbstzahler an der Universitätsklinik Freiburg betreut. Das Klinikum meldete diesen Vorfall am 21. Mai 2026 und stoppte umgehend die Übermittlung sensibler Patientendaten an Unimed. Klinische Systeme und der laufende Betrieb der Patientenversorgung blieben laut Aussagen der Klinik dabei uneingeschränkt intakt. Interne Forensik-Teams führten Untersuchungen durch; bislang wurden keine Beeinträchtigungen festgestellt.
Bei Angriff auf Unimed wurden Patientendaten sowie Rechnungsdaten abgegriffen
Im Zuge des Hackerangriffs auf den externen Dienstleister gab die Klinik an, dass persönliche Basisdaten von etwa 54.000 Patienten erbeutet wurden. Dazu zählen vollständige Namen, Geburtsdaten sowie Adressen. Parallel dazu entwendeten Angreifer in rund 900 Vorfällen vertrauliche Abrechnungsinformationen. Diese umfassen Angaben zu Diagnosen und erbrachten medizinischen Leistungen und ermöglichen Rückschlüsse auf Screening- und Therapieprozesse. In einzelnen Fällen betroffen waren zudem Bank- und Kontodaten, was das Risiko erhöht. Äußerst sensibel weitreichend.
Freiburg informiert Landesdatenschutzbehörde und BSI nach Cyberangriff auf Dienstleister
Unmittelbar nach Feststellung einer unautorisierten Datenabfrage am 16. April 2026 setzte das Universitätsklinikum Freiburg sofort die routinemäßige Einsichtnahme privater Patientenabrechnungen aus und informierte parallel sowohl die Landesdatenschutzbehörde als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). In der Folge ordnete die Klinik eine detaillierte rechtliche Untersuchung der Vorfälle an, um straf- und datenschutzrechtliche Konsequenzen gegen den beauftragten Dienstleister Unimed zu prüfen sowie künftige Sicherheitslücken wirksam zu schließen umfassend abschließend.
In Presseberichten variieren weiterhin Schadenzahlen der betroffenen Unikliniken deutlich
Nach Berichten verschiedener Nachrichtendienste sind neben Freiburg auch die Universitätskliniken in Ulm, Heidelberg und Tübingen von datenschutzrelevanten Angriffen betroffen. Die Gesamtzahl der möglicherweise kompromittierten Patienten wird mit bis zu 71.000 angegeben. Die variierenden Zahlen zwischen den Pressequellen deuten auf uneinheitliche Erhebungsmethoden oder unterschiedliche Informationsstände hin. Eine genaue Schadensanalyse ist daher aktuell erschwert, während Ermittlungsbehörden weitergehende Prüfungsschritte einleiten, um belastbare Daten zur Auswertung zu erhalten.
Ein Datenleck kann Identitätsmissbrauch, Phishing, Erpressung und Kontrollverlust ermöglichen
Aufgrund der besonderen Schutzwürdigkeit nach DSGVO unterliegen Gesundheitsdaten strengen Datenschutzanforderungen. Rechnungsdaten übernehmen eine Schlüsselrolle, da aus Abrechnungsinformationen auf Diagnosen, eingesetzte Therapien und erbrachte medizinische Leistungen geschlossen werden kann. Ein unbefugtes Eindringen in diese Datenbestände ermöglicht Kriminellen Identitätsdiebstahl, Phishing-Angriffe, Erpressung und den totalen Kontrollverlust der Betroffenen über ihre sensiblen Gesundheitsdaten. Um diesen Risiken zu begegnen, sind eine lückenlose Verschlüsselung, strikte Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen unabdingbar. Ebenso sind Notfallpläne und Datenschutzschulungen essenziell.
Datenkontrollverlust gilt als ersatzfähig ohne jeden direkten finanziellen Schaden
Art. 82 der Datenschutzgrundverordnung gewährt Betroffenen die Möglichkeit, Schadenersatz für nicht materielle Belastungen zu verlangen, die etwa durch veruntreute personenbezogene Daten entstehen. Hierzu zählen psychische Belastungen wie Angst, einem Identitätsdiebstahl oder unkontrollierter Weitergabe persönlicher Daten ausgesetzt zu sein. Sowohl der Europäische Gerichtshof als auch der Bundesgerichtshof haben bekräftigt, dass der bloße Verlust der Kontrolle über persönliche Daten als ersatzfähiger immaterieller Schaden anerkannt wird, unabhängig von finanziellen Verlusten.
Stoll&Sauer bietet gratis DSGVO-Check mit individueller Beratung und Handlungstipps
Die Stoll&Sauer Rechtsanwaltskanzlei stellt Online einen kostenfreien DSGVO-Check bereit, mit dem Nutzer unkompliziert prüfen können, ob ihnen Schadenersatzansprüche zustehen. Innerhalb kurzer Frist erhalten sie eine qualifizierte Ersteinschätzung zu Haftungsfragen und notwendigen Schutzvorkehrungen. Darauf basierend bekommen Ratsucher maßgeschneiderte Handlungsempfehlungen, um Datenschutzverstöße nachhaltig aufzuarbeiten und rechtlich sichere Schritte einzuleiten. Alle Leistungen werden ohne jegliche Gebühren angeboten, sodass interessierte Personen jederzeit eine professionelle Begutachtung in Anspruch nehmen können. Es entstehen keinerlei irgendwelche Kosten oder Verpflichtungen.
Der DSGVO-Online-Check von Stoll&Sauer ermöglicht eine kostenfreie Erstevaluation der durch Datenpannen entstandenen Schadensersatzansprüche Betroffener gemäß Art.82 DSGVO. Das digitale Angebot liefert in kürzester Zeit eine Übersicht über rechtliche Verantwortlichkeiten, identifiziert potenzielle Risiken und schlägt konkrete Handlungsschritte vor. Patienten erhalten eine präzise Orientierung, um Entscheidungen über mögliche Klagen zu treffen und gleichzeitig Empfehlungen zur Prävention künftiger Datenschutzverletzungen zu bekommen. Ergänzend offeriert der Check Links zu relevanten Gesetzen sowie Hinweise auf Datenschutzexperten.
