Ein Hackerangriff auf Unimed, den externen Abrechnungsdienst der Uniklinik Freiburg, führte Mitte April 2026 zur Entwendung von Stammdaten von ca. 54.000 Patientinnen und Patienten. Zusätzlich gingen in rund 900 Fällen detaillierte Abrechnungsdaten mit Diagnosehinweisen verloren. Die Klinik reagierte umgehend, stoppte die Datenweitergabe und informierte Datenschutzbehörde sowie BSI. Betroffene können jetzt kostenlos über den DSGVO-Online-Check von Stoll&Sauer prüfen, ob sie nach Art. 82 DSGVO Anspruch auf Schadenersatz haben.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Freiburg meldet Cyberangriff auf externen Dienstleister Unimed zeitverzögert offiziell
Ersten Erkenntnissen zufolge wurde Mitte April 2026 der externen Abrechnungsdienstleister Unimed, verantwortlich für die Abrechnung privat Zusatzversicherter und Selbstzahler der Uniklinik Freiburg, Ziel eines gezielten Cyberangriffs. Am 21. Mai 2026 informierte das Klinikum Freiburg über den Sachverhalt und stoppte umgehend den Datentransfer an Unimed. Laut Klinikleitung blieb die medizinische Versorgung jederzeit gesichert und die klinischen IT-Systeme funktionierten störungsfrei. Ein ERP-Review wurde eingeleitet.
Drei Kliniken in Baden-Württemberg meldeten ähnliche Angriffe auf Patientendaten
Die Uniklinik meldete, dass persönliche Daten von annähernd 54.000 Patienten kompromittiert wurden. Betroffen sind personenbezogene Grunddaten wie Name, Geburtsdatum und Anschrift. Darüber hinaus verschafften sich Angreifer in ungefähr 900 Fällen Zugriff auf Abrechnungsdatensätze, die diagnostische Informationen und Angaben zu erbrachten Leistungen enthalten. Einige Einträge enthielten darüber hinaus Bankdaten. Die Klinik hat daraufhin sofort alle Datenübermittlungen eingestellt, die zuständige Datenschutzaufsicht informiert und ein externes Gutachten beauftragt. Informationen werden regelmäßig kontinuierlich aktualisiert.
Klinik informiert sowohl Landesdatenschutzbehörde als auch BSI nach Entdeckung
Am 16. April 2026 meldete das Universitätsklinikum Freiburg den Verdacht eines Datenlecks unverzüglich bei der Landesdatenschutzbehörde sowie beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Gleich danach unterbrach die Klinik die Datenweiterleitung an den externen Abrechnungsdienstleister Unimed. Gegenwärtig werden alle straf- und datenschutzrechtlichen Optionen geprüft, um mögliche Ansprüche gegen Unimed durchzusetzen und zur Verbesserung künftiger IT-Sicherheitsrichtlinien konkrete Handlungsempfehlungen abzuleiten in enger Zusammenarbeit mit internen Fachbereichen systematisch erarbeitet und regelmäßig aktualisiert.
Angriffe auf Unikliniken fordern dringend präzisere Angaben zu Schadensausmaß
Nach aktuellen Presseinformationen zählen zu den Opfern von Cyberangriffen auch die Universitätskliniken in Ulm, Heidelberg und Tübingen. Die diskutierte Gesamtzahl der potentiell betroffenen Patienten beläuft sich auf bis zu 71.000. Da die in den Medien genannten Zahlen voneinander abweichen, besteht bisher keine eindeutige Schadensbilanz. Diese Unstimmigkeit macht deutlich, dass eine standardisierte Datenerfassung und eine zentrale Koordinierung der Ermittlungen notwendig sind, um zuverlässige Erkenntnisse zu erhalten.
Risikobewertung nach Datenpanne identifiziert dringend nötige Schutzmaßnahmen für Patienteninformationen
Die Datenschutzgrundverordnung stuft Gesundheitsdaten als besonders sensibel ein, weil sie direkte Rückschlüsse auf Krankheiten und medizinische Eingriffe ermöglichen. Rechnungsdaten stellen eine zweite Ebene dar, die Diagnosedetails, Therapieverfahren und Kosten offenlegt. Wird diese Kombination ausgehoben, sind Betroffene erhöhten Risiken ausgesetzt, wie Identitätsmissbrauch, gezielten Phishing-Angriffen, Erpressung mit sensiblen Daten und Kontrollverlust über ihre Privatsphäre. Zur Abwehr dieser Gefahren müssen Organisationen konsequente Datenschutzstrategien einschließlich starker Verschlüsselung und strenger Zugangsbeschränkungen umsetzen.
Datenschutzrecht: Ersatzanspruch auch ohne nun greifbaren finanziellen Schaden möglich
Art. 82 der Datenschutzgrundverordnung gewährt Betroffenen einen Anspruch auf Kompensation, wenn sie infolge von Datenschutzverletzungen psychische Schäden erleiden. Hierzu gehören Gefühle wie Angst, das Misstrauen gegenüber Datenverarbeitern und die Sorge um den Verlust der Hoheit über eigene Informationen. Nach Auffassung des Europäischen Gerichtshofs und des Bundesgerichtshofs begründet der Verlust der Fähigkeit, Daten selbst zu kontrollieren, einen unabhängigen immateriellen Schaden. Eine tatsächliche materielle Schädigung ist dafür nicht erforderlich.
Unverbindlicher DSGVO-Online-Check: Kostenfrei Ansprüche klären, Risiken minimieren, Sicherheit erhöhen
Stoll&Sauer offeriert mit dem DSGVO-Online-Check einen kostenlosen Webservice, mit dem Betroffene binnen kürzester Zeit ihre möglichen Schadenersatzansprüche nach Datenschutzverletzungen ermitteln können. Das digitale Tool liefert eine substanzielle Ersteinschätzung zu Verantwortlichen und empfiehlt technische sowie organisatorische Vorkehrungen. Anschließend stellt die Kanzlei individuelle Handlungsempfehlungen bereit, um rechtliche Ansprüche effektiv durchzusetzen und künftige Datenpannen zu verhindern. Dieser Service ist vollständig kostenfrei, ohne versteckte Gebühren und ohne jegliches Risiko für die Nutzer. absolut gebührenfrei.
Der DSGVO-Online-Check von Stoll&Sauer dient als kostenloses Self-Service-Instrument zur schnellen Ersteinschätzung nach Cyberangriffen auf Patientendaten. In einem strukturierten Ablauf ermitteln Nutzer Art und Umfang der Betroffenheit, klären Verantwortlichkeiten und prognostizieren mögliche Schäden. Anschließend erhalten sie spezifische Empfehlungen zur Einreichung von Schadenersatzforderungen nach Art.82 DSGVO. Ergänzend werden praxisnahe Tipps zur Fristwahrung, Beweissicherung und zur Verhinderung künftiger Datenschutzverletzungen zur Verfügung gestellt. Außerdem enthält das Tool Links zu Urteilen und Kontaktdaten von Datenschutzanwälten.
