Rund 54.000 Patientendatensätze der Universitätsklinik Freiburg wurden Mitte April 2026 im Rahmen eines Cyberangriffs auf den externen Abrechnungsdienstleister Unimed kompromittiert. Betroffen waren vor allem Stammdaten wie Namen und Adressen; zusätzlich gingen bei etwa 900 Patienten detaillierte Abrechnungsdaten mit Diagnosen an die Angreifer. Die Klinik stoppte sofort die Datenübertragung, informierte die Datenschutzbehörde und das BSI. Betroffenen steht nun ein kostenfreier DSGVO-Online-Check von Stoll&Sauer zur Verfügung, um mögliche Ansprüche nach Art. 82 DSGVO zu prüfen.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Hackangriff trifft private Zusatzversicherte und Selbstzahler bei Unimed-Abrechnung direkt
Gemäß aktuellen Berichten fand Mitte April 2026 ein gezielter Angriff auf Unimed statt, den externen Partner der Uniklinik Freiburg für die Abrechnung von Selbstzahlern und privat Zusatzversicherten. Am 21. Mai 2026 informierte die Klinik offiziell über den Vorfall und stoppte sofort die Datenübertragung an Unimed. Die Universitätsklinik betont, dass Patientenversorgung und klinische Hardware sowie Software nicht betroffen waren. Sicherheitsverantwortliche leiteten umgehend weiterführende Untersuchungen ein.
Datenschutzbehörde informiert nach Diebstahl von mehr als 54000 Patientendaten
Nach dem Angriff auf einen externen Abrechnungsdienstleister gibt die Universitätsklinik Freiburg an, dass personenbezogene Identifikationsdaten von circa 54.000 Patienten entwendet wurden. Betroffen sind Name, Geburtsdatum und Adresse. In etwa 900 Fällen gelang es den Eindringlingen zudem, Abrechnungsunterlagen mit Hinweisen auf Diagnosen und erbrachte Leistungen zu kopieren. Eine geringe Anzahl von Datensätzen beinhaltete sogar Bankkontoinformationen. Die Klinik stopfte die Sicherheitslücken, informierte Betroffene und meldete den Vorfall den zuständigen Behörden. Umgehend rechtlich begleitet.
Klinik Freiburg meldet Vorfall an Datenschutzbehörde und BSI umgehend
Der Vorfall wurde am 16. April 2026 im Universitätsklinikum Freiburg intern als sicherheitskritisch eingestuft, woraufhin die Klinik unverzüglich den zuständigen Landesdatenschutzbeauftragten sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte. Gleichzeitig stellte sie die Übermittlung von Patientendaten an die Abrechnungsfirma Unimed ein. Aktuell finden umfangreiche juristische Prüfungen statt, um straf- und datenschutzrechtliche Schritte gegen Unimed einzuleiten und interne Compliance-Prozesse nachhaltig zu verstärken sowie dringlich Verantwortungsbereiche festzulegen und transparente Kommunikation.
Unikliniken Ulm, Heidelberg und Tübingen verzeichnen Cyberangriffe auf Patientendaten
Medienberichten zufolge ereigneten sich an den Universitätskliniken in Ulm, Heidelberg und Tübingen Cyberangriffe, die bis zu 71.000 Patienten betreffen könnten. Die Presse nennt uneinheitliche Zahlen, was auf unterschiedliche Ermittlungsstände und Datenerfassungspraktiken schließen lässt. Aufgrund dieser Anzahldivergenzen ist eine abschließende Schadensbewertung bislang nicht möglich. Um eine belastbare Grundlage für Schadensbegrenzung und rechtliche Schritte zu erhalten, ist eine präzise und koordinierte Erhebung sämtlicher Vorfallsdaten unerlässlich.
Identitätsmissbrauch durch offengelegte Patientendaten stellt ein erhebliches Sicherheitsrisiko dar
Gesundheitsdaten unterliegen dem höchsten Schutzniveau der DSGVO, da sie sehr persönliche Informationen enthalten. Rechnungsdaten stellen dabei häufig eine sekundäre Quelle dar, um Diagnosen, Behandlungsabläufe und medizinische Leistungen zu identifizieren. Ein Datenleck kann daher nicht nur zum Identitätsdiebstahl führen, sondern auch Phishing-Angriffe und Erpressungsversuche begünstigen. Betroffene stehen vor dem Problem des vollständigen Kontrollverlusts über ihre intimen Gesundheitsinformationen. Daher müssen Datenübertragungen verschlüsselt und Zugriffe streng überwacht werden.
Betroffene können jetzt Datenkontrollverlust als immateriellen Schaden geltend machen
Nach Art. 82 der Datenschutzgrundverordnung steht Betroffenen ein Anspruch auf Ausgleich für nicht wirtschaftliche Schäden zu, die durch das unbefugte Offenlegen oder Verwenden personenbezogener Daten entstehen. Dies umfasst insbesondere Ängste, seelische Belastungen und Unsicherheiten aufgrund fehlender Datenkontrolle. Europäische und deutsche Höchstgerichte haben klargestellt, dass ein solcher immaterieller Schaden unabhängig von einem Nachweis konkreter finanzieller Einbußen besteht und daher als eigenständiger Anspruch anerkannt wird.
Stoll&Sauer macht DSGVO-Rechtslage transparent: kostenloser, umgehender Check, Handlungshinweise gegeben
Betroffene können über den DSGVO-Online-Check der Anwaltskanzlei Stoll&Sauer kostenfrei und unkompliziert erkunden, ob sich Schadenersatzansprüche nach einer Datenschutzpanne ergeben. Nach Ausfüllen des strukturierten Fragebogens steht binnen kurzer Zeit eine fundierte Ersteinschätzung zu Verantwortlichkeiten und erforderlichen Schutzmaßnahmen bereit. In der Folge erhalten Nutzer praxisorientierte Empfehlungen für rechtliche und organisatorische Schritte. Sämtliche Leistungen werden kostenlos erbracht, ohne versteckte Gebühren oder finanzielle Risiken für die Antragstellenden. Es fallen keinerlei Kosten oder Gebühren an.
Nach einer Cyberattacke auf klinische Abrechnungsdaten bietet der DSGVO-Online-Check von Stoll&Sauer eine sofortige und kostenfreie Analyse der Ansprüche Betroffener. Das Online-Portal visualisiert in wenigen Schritten Verantwortlichkeiten, ermittelt Risiken und zeigt mögliche juristische Vorgehensweisen zur Geltendmachung von Schadenersatzansprüchen nach Art.82 DSGVO. Zudem erhalten Nutzer Empfehlungen zu Dokumentation, Fristenüberwachung und praxisnahen Präventionsstrategien für einen besseren Schutz sensibler Gesundheitsdaten. liefert das Tool Verlinkungen zu Urteilen und Spezialisten für Datenschutzrecht in medizinischen Einrichtungen.
