Ein Cyberangriff auf den externen Dienstleister Unimed führte Mitte April 2026 zur Exfiltration von Stammdaten von ca. 54.000 Patientinnen und Patienten der Universitätsklinik Freiburg. Bei etwa 900 Betroffenen kamen zudem Abrechnungsdaten mit Diagnosehinweisen in kriminelle Hände. Die Klinik stoppte unverzüglich die Datenweitergabe und informierte das Bundesamt für Sicherheit in der Informationstechnik sowie die Landesdatenschutzbehörde. Betroffene können mithilfe des kostenlosen DSGVO-Online-Checks von Stoll&Sauer unkompliziert prüfen, ob ihnen Schadenersatz nach Art. 82 DSGVO zusteht.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Externer Abrechner Unimed alarmiert Klinik Freiburg via Behördenmeldungen mehrfach
Mitte April 2026 wurde der externe Abrechnungsdienstleister Unimed, zuständig für die Privatabrechnung an der Uniklinik Freiburg, nach ersten Meldungen Opfer eines gezielten Cyberangriffs. Die Universitätsklinik Freiburg gab den Vorfall am 21. Mai 2026 bekannt und setzte umgehend alle Datenverbindungen zu Unimed außer Kraft. Nach Klinikangaben blieben Patientenversorgung und klinische IT-Funktionalität unberührt. Darüber hinaus begann eine interne Taskforce mit der detaillierten Prüfung der Sicherheitsarchitektur.
Diagnosen aus 900 entwendeten Rechnungsdaten gefährden Patientensicherheit und Privatsphäre?
Laut offiziellen Angaben wurden durch einen Cyberangriff personenbezogene Basisdaten von rund 54.000 Patienten erfasst. Unter diesen Stammdaten befinden sich Namen, Geburtsdaten und Adressen. Zusätzlich entwendeten Angreifer in etwa 900 Fällen sensible Abrechnungsdokumente, die Rückschlüsse auf Diagnosen und angewandte Therapien ermöglichen. Eine kleine Anzahl Datensätze beinhaltete darüber hinaus Kontoinformationen. Die Klinik reagierte, indem sie sofort die Datenübertragung stoppte, Strafanzeige erstattete und Patienten über die Sicherheitslücke in Kenntnis setzte. Umfassend sensibilisiert informiert.
Freiburg setzt Datenübermittlung ab April 2026 aus, prüft Konsequenzen
Am 16. April 2026 registrierte das Universitätsklinikum Freiburg eine Unregelmäßigkeit im Austausch mit seinem externen Dienstleister Unimed. Sofort wurde die zuständige Landesdatenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) benachrichtigt und die Datenübertragung an Unimed ausgesetzt. Derzeit erfolgt eine fachliche Überprüfung straf- und datenschutzrechtlicher Optionen, begleitet von einer Sicherheitsanalyse, um juristische Schritte vorzubereiten und das Risiko für künftige Datenschutzverletzungen zu verringern sowie intern kontinuierliche Risikoüberwachung systematisch zu dokumentieren.
Unikliniken beklagen: Bis zu 71000 Patienten betroffen nach Medien
Anhand von Medienberichten wird deutlich, dass weitere Universitätskliniken in Ulm, Heidelberg und Tübingen in vergleichbare Cybervorfälle verwickelt sind. Die Gesamtzahl der betroffenen Patienten wird auf bis zu 71.000 geschätzt, jedoch differieren die Angaben je nach Quelle. Diese Inkonsistenz bei der Schadensmeldung erschwert eine präzise Analyse des Vorfalls. Für belastbare Auswertungen und transparente Information an die Öffentlichkeit ist daher eine einheitliche Datenaufnahme und -prüfung durch die betroffenen Einrichtungen unverzichtbar.
Unimed-Angriff zeigt Bedeutung robuster IT-Sicherheit im Gesundheitswesen deutlich auf
Nach der Datenschutzgrundverordnung besitzen Gesundheitsdaten einen besonderen Schutzstatus, da sie Informationen über Krankheiten, Diagnosen und Behandlungen enthalten. Rechnungsdaten erhöhen den Sensitivitätsgrad, indem sie diese medizinischen Details nachvollziehbar machen. Ein Datenleck ermöglicht Cyberkriminellen Identitätsdiebstahl, zielgerichtete Phishing-Versuche, Erpressung und den vollständigen Kontrollverlust Betroffener über ihre intimsten Gesundheitsdaten. Daher sind neben umfassender Datenverschlüsselung auch strenge Zugangskontrollen, rollenbasierte Berechtigungen und kontinuierliches Monitoring unerlässlich.
Urteile des BGH und EuGH stärken Datenschutzrechte Betroffener deutlich
Mit Artikel 82 der DSGVO werden immaterielle Schäden als eigenständige Anspruchsgrundlage für Betroffene anerkannt, deren personenbezogene Daten missbraucht oder unrechtmäßig offengelegt wurden. Hierzu zählen Ängste, mangelndes Vertrauen in Datenverarbeitungsprozesse und das Bewusstsein eines Kontrollverlusts. Das höchste europäische sowie das deutsche Bundesgericht stellten heraus, dass bereits der Eingriff in das Recht auf Selbstbestimmung über eigene Informationen als ersatzfähiger Schaden gilt. Ein finanzieller Nachweis ist nicht erforderlich.
Kostenloser Online-Service prüft DSGVO-Verstöße und empfiehlt rechtssichere, konkrete Handlungsschritte
Der DSGVO-Online-Check, den die Kanzlei Stoll&Sauer kostenfrei anbietet, ermöglicht eine sofortige Ersteinschätzung möglicher Schadenersatzansprüche bei Datenschutzverstößen. Nutzer füllen einen kurzen Online-Fragebogen aus und erhalten umgehend eine qualifizierte Analyse zu Verantwortlichkeiten und empfohlenen Schutzstrategien. Anschließend stellt die Kanzlei praxisnahe Handlungsempfehlungen zur Verfügung, um Ansprüche wirkungsvoll durchzusetzen und künftige Risiken zu minimieren. Dieses Angebot ist gebührenfrei, endgültig kostenfrei und vollkommen ohne finanzielles Risiko für die Ratsuchern. absolut keine Nebenkosten, Gebühren oder Zusatzkosten.
Der DSGVO-Online-Check von Stoll&Sauer gewährt eine sofortige und kostenlose Ersteinschätzung von Schadensersatzansprüchen gemäß Art.82 DSGVO, nachdem Patientendaten einem Cyberangriff zum Opfer fielen. Das webbasierte Tool analysiert in wenigen Minuten Ursachen, Verantwortlichkeiten und mögliche Folgen. Betroffene erhalten konkrete Empfehlungen zur Einleitung rechtlicher Schritte, praxisnahe Fristenhinweise sowie Beweissicherungsstrategien. Ergänzend werden Tipps zur Verbesserung der Datensicherheit und Links zu spezialisierten Datenschutzanwälten angeboten. Darüber hinaus liefert das System Verweise auf Gesetze und Mustervorlagen kostenfrei.
