Im April 2026 wurden bei einem Hackerangriff auf den externen Abrechnungsdienst Unimed Stammdaten von etwa 54.000 Patientinnen und Patienten der Universitätsklinik Freiburg gestohlen. Bei knapp 900 Datensätzen enthielten die entwendeten Unterlagen zudem Rechnungsinformationen mit Rückschlüssen auf Diagnosen und Behandlungen. Die Klinik stoppte die Datenweiterleitung unverzüglich und informierte alle relevanten Stellen. Ein kostenloser DSGVO-Online-Check von Stoll&Sauer hilft Betroffenen, ihre möglichen Schadenersatzansprüche nach Art. 82 DSGVO zu prüfen.
Inhaltsverzeichnis: Das erwartet Sie im Artikel
Unimed-Angriff ruft BSI und Datenschutzbehörde sofort auf den Plan
Ermittlungen zufolge ereignete sich Mitte April 2026 ein gezielter Angriff auf Unimed, den externen Abrechnungsdienstleister der Universitätsklinik Freiburg für privat Zusatzversicherte und Selbstzahler. Am 21. Mai wurde der Vorfall durch die Klinik öffentlich gemacht und unverzüglich der Datenfluss zu Unimed gestoppt. Nach klinischer Auskunft blieben Patientenversorgung und betroffene IT-Infrastruktur vollständig intakt. Zusätzlich wurden externe Datenschutzexperten hinzugezogen, um den Vorfall eingehend zu analysieren.
Täter entwenden Kontodaten in Einzelfällen neben Stammdaten und Rechnungen
Die Universitätsklinik gab an, dass bei einem Datenschutzvorfall sensible Personenstammdaten von rund 54.000 Patienten abgeflossen sind. Konkret betrifft dies Namen, Geburtsdaten sowie Adressen. In etwa 900 Fällen wurden zusätzlich Abrechnungsdaten entwendet, aus denen sich detaillierte Diagnose- und Behandlungsinformationen ableiten lassen. Bei einer begrenzten Anzahl von Vorfällen gelang den Tätern auch der Zugriff auf Bankkonten. Die Klinik hat sofort reagiert, Behörden eingeschaltet und erste rechtliche Schritte eingeleitet. Patienten erhielten umgehend Informationsschreiben.
Uniklinik Freiburg stoppt umgehend Datenfluss zu Unimed nach Sicherheitsvorfall
Direkt nach Bekanntwerden des Sicherheitsvorfalls am 16. April 2026 informierte das Universitätsklinikum Freiburg die zuständige Landesdatenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und stoppte umgehend alle Transaktionen sensibler Patientendaten an den externen Dienstleister Unimed. Anschließend initiierte die Klinik eine fachanwaltlich begleitete Untersuchung, um strafrechtliche Verfolgung und datenschutzrechtliche Sanktionen gegen den Dienstleister zu prüfen sowie interne IT-Sicherheitsprotokolle bedarfsgerecht zu überarbeiten und interne technische Auditprozesse umfassend und kontinuierlich umzusetzen.
Unterschiedliche Presseberichte erschweren jetzt dringend präzisere Angaben zu Schadensausmaß
Laut Presseberichten wurde die Welle von Cybervorfällen auch auf die Universitätskliniken in Ulm, Heidelberg und Tübingen ausgedehnt. Hier könnten ebenfalls bis zu 71.000 Patientendatensätze kompromittiert worden sein. Aufgrund unterschiedlicher Angaben in den Berichten herrscht jedoch Uneinigkeit über das tatsächliche Ausmaß. Diese Inkonsistenz behindert die genaue Schadensanalyse. Es wäre ratsam, dass die beteiligten Einrichtungen einheitliche Meldepflichten einhalten und ihre Datenerhebungsprozesse zur Schadensdokumentation synchronisieren.
Externer Abrechnungsdienstleister als potenzielle Schwachstelle für Datenschutzverletzungen deutlich identifiziert
Die Datenschutzgrundverordnung räumt Gesundheitsdaten einen besonders hohen Schutzstatus ein, da sie Informationen zu Krankheit und Therapie enthalten. Rechnungsdaten können dabei als indirekter Nachweis für Diagnosen, Behandlungen und Abrechnungshöhe dienen. Ein Datenleck führt zu vielfältigen Gefahren: Cyberkriminelle können Identitäten missbrauchen, Phishing- und Erpressungskampagnen starten und Betroffene verlieren die Kontrolle über ihre sensiblen Gesundheitsdetails. Um solche Datenschutzverletzungen auszuschließen, sind strikte Authentifizierungsverfahren, Verschlüsselungsprotokolle und Audits erforderlich.
Patienten können ohne finanziellen Schaden Ersatz nach DSGVO fordern
Die Datenschutzgrundverordnung (DSGVO) eröffnet nach Artikel 82 die Möglichkeit, immaterielle Schäden im Zusammenhang mit Datenschutzverletzungen kompensieren zu lassen. Versicherte, Kunden oder Nutzer, deren personenbezogene Daten offengelegt wurden, können Angst, Stress oder das Empfinden des Kontrollverlusts geltend machen. Der Europäischen Gerichtshof und der Bundesgerichtshof haben bestätigt, dass allein der Verlust der Verfügungsgewalt über persönliche Daten als ersatzfähiger immaterieller Schaden gilt. Ein finanzieller Beleg für den Schaden ist nicht erforderlich.
Kostenfreier DSGVO-Service online: Prüfung, Beratung und Handlungsschritte ohne Gebühren
Mit dem kostenlosen Online-Check zur DSGVO-Bewertung der Kanzlei Stoll&Sauer erhalten Betroffene schnell Klarheit über ihre möglichen Schadenersatzforderungen nach Datenschutzvorfällen. Innerhalb weniger Schritte liefert die digitale Lösung eine präzise Einschätzung zu Verantwortlichkeiten und zu empfehlenswerten technischen sowie organisatorischen Maßnahmen. Anschließend erstellen die Anwälte individuelle Empfehlungen für rechtliche Schritte und präventive Strategien. Alle Leistungen sind kostenfrei, es entstehen keine Nebenkosten, und Interessierte tragen kein finanzielles Risiko. ohne Gebühren, ohne jegliche versteckte Zusatzkosten.
Nach Bekanntwerden eines Datenlecks im Gesundheitswesen stellt der DSGVO-Online-Check von Stoll&Sauer eine unverbindliche kostenfreie Ersteinschätzung bereit. In einem mehrstufigen Prozess werden Betroffene durch relevante Fragen geführt, Verantwortliche identifiziert und potenzielle Schäden dokumentiert. Anschließend bietet das Tool konkrete Empfehlungen zur rechtlichen Durchsetzung von Schadenersatzansprüchen gemäß Art.82 DSGVO. Zusätzlich gibt es praxisnahe Hinweise zu Fristenmanagement, Beweissicherung und zur Verbesserung des Datenschutz- und Sicherheitsniveaus. Ferner werden weiterführende Links zu Datenschutzgesetzestexten übersichtlich kostenfrei angezeigt.
