Während eines Cyberangriffs auf den externen Dienstleister Unimed im April 2026 wurden Stammdaten von etwa 54.000 Patientinnen und Patienten der Uniklinik Freiburg abgegriffen. Bei rund 900 Fällen erlangten Hacker zusätzliche Rechnungsinformationen mit Hinweisen auf Diagnosen. Die Klinik stoppte die Datenübertragung umgehend, informierte das BSI und die Landesdatenschutzbehörde und bietet Betroffenen einen kostenlosen DSGVO-Online-Check von Stoll&Sauer, um mögliche Ansprüche auf Schadenersatz nach Artikel 82 DSGVO abzuklären.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Klinik reagiert prompt und stoppt Abrechnungsdatenübermittlung nach Angriff umgehend
Laut Mitteilung der Universitätsklinik Freiburg traf ein Cyberangriff Mitte April 2026 den externen Abrechnungsdienstleister Unimed, der die Abrechnung für privat Zusatzversicherte und Selbstzahler übernimmt. Am 21. Mai 2026 gab das Klinikum den Vorfall bekannt und unterband sofort die Übertragung von Patientendaten an Unimed. Die Medizinbetrieb und alle klinischen Systeme liefen laut Klinikangaben ungestört weiter. Ein spezialisiertes IT-Forensik-Team untersucht derzeit den Angriffsweg.
Rund 54000 Stammdatensätze wurden bei Cybervorfall abgegriffen und gestohlen
Gemäß einer Mitteilung der Klinik wurden bei einem Hackerangriff personenbezogene Stammdaten von circa 54.000 Patienten kopiert. Betroffen sind insbesondere Vor- und Nachname, Geburtsdatum sowie Wohnadresse. Darüber hinaus entwendeten Angreifer in rund 900 Fällen Abrechnungsunterlagen, welche sensible Hinweise auf Diagnosen und durchgeführte Therapien enthalten. Eine sehr geringe Menge von Datensätzen umfasste darüber hinaus Kontoinformationen. Umgehend wurden interne Prozesse angepasst, Betroffene informiert und externe Datenschutzprüfer eingeschaltet. Die Aufklärung erfolgt zeitnah in Kooperation.
Datenschutzbehörde und BSI werden unverzüglich über den Klinikvorfall informiert
Am 16. April 2026 registrierte das Universitätsklinikum Freiburg eine ungeplante Datenabflussaktion. Umgehend informierte die Klinik sowohl die Landesdatenschutzbehörde als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und setzte die Datenübertragung an den externen Partner Unimed vorübergehend aus. Aktuell wird eine koordinierte rechtliche Analyse vorgenommen, um straf- und datenschutzrechtliche Handlungsoptionen gegen Unimed auszuloten sowie interne Kommunikationswege und Notfallprozesse zu überprüfen und zu verbessern. Systematisch dokumentieren, evaluieren und umsetzen lassen.
Medien differieren: Bis zu 71000 Patienten bei Kliniken betroffen
Zahlreiche Medien weisen darauf hin, dass weitere Universitätskliniken in Ulm, Heidelberg und Tübingen ähnlich gelagerte Cyberangriffe erlitten haben und bis zu 71.000 Patienten betroffen sein könnten. Die publizierten Zahlen differieren zwischen den einzelnen Berichten, was auf ungleiche Informationslagen hindeutet. Ohne eine einheitliche Schadensaufstellung bleibt das genaue Ausmaß des Vorfalls unklar. Um valide Informationen zu gewährleisten, sollten die Kliniken eine koordinierte Erfassung der kompromittierten Datensätze einführen.
DSGVO-Online-Check von Kanzlei Stoll&Sauer berät Betroffene kostenfrei und unverbindlich
Gesundheitsdaten werden als besonders schützenswerte personenbezogene Daten nach DSGVO eingestuft, weil sie intime Einblicke in Diagnosen und Therapieverläufe gewähren. Rechnungsinformationen umfassen oft detaillierte Angaben zu erbrachten medizinischen Leistungen. Bei einem Datenleck riskieren Patientinnen und Patienten Identitätsdiebstahl, Phishing-Angriffe, Erpressung mit sensiblen Diagnosedaten und den vollständigen Kontrollverlust über ihre Gesundheitsinformationen. Ein effektiver Schutz erfordert daher umfassende Maßnahmen wie Datenverschlüsselung, rollenbasierte Zugriffskontrollen und regelmäßige Sicherheitstests.
Art.82 DSGVO ermöglicht pauschalen Ersatz immaterieller Schäden für Betroffene
Personen, deren Datenrekorde durch unbefugte Zugriffe kompromittiert werden, können gemäß Art. 82 DSGVO auch ohne finanzielle Einbußen Schadenersatz für immaterielle Schäden fordern. Das Gesetz erkennt psychische Belastungen wie Angst vor Identitätsmissbrauch, Stress durch Kontrollverlust und generelle Sorgen um die Privatsphäre an. Die obersten europäischen und deutschen Gerichte haben erklärt, dass der Verlust der Kontrolle über persönliche Daten an sich eine ersatzfähige immaterielle Beeinträchtigung darstellt, unabhängig von einem finanziellen Schaden.
Effizienter DSGVO-Online-Check: Stoll&Sauer sichert kostenlose, umfassende Ersteinschätzung und Unterstützung
Die Anwaltskanzlei Stoll&Sauer stellt einen kostenlosen DSGVO-Online-Service bereit, mit dem Betroffene zeitnah prüfen können, ob sie nach einer Datenschutzverletzung Anspruch auf Schadenersatz haben. Durch Beantwortung eines strukturierten Fragebogens läuft automatisch eine Ersteinschätzung zu Verantwortlichkeiten und empfohlenen Schutzmaßnahmen ab. Darauf basierend erhalten die Nutzer individuelle Handlungsempfehlungen für rechtliche und technische Schritte. Dieser digitale Service ist ohne jegliche Gebühren, ohne versteckte Kosten und ohne finanzielles Risiko verfügbar. vollständig jederzeit kostenlos und gebührenfrei.
Der Online-Check der Kanzlei Stoll&Sauer erleichtert Betroffenen nach Cyberattacken auf vertrauliche Gesundheitsdaten die kostenfreie Erstanalyse ihrer zivilrechtlichen Ansprüche nach der DSGVO. Schritt für Schritt verdeutlicht das Tool Verantwortlichkeiten, fasst potentielle Schadensarten zusammen und empfiehlt praxisnahe Handlungsoptionen. Gleichzeitig zeigt die Plattform wesentliche Fristen auf, bietet Mustervorlagen für Schreiben und informiert über sinnvolle Präventionsmaßnahmen sowie weiterführende Beratungsdienstleistungen spezialisierter Rechtsanwälte. Außerdem erhalten Nutzer Zugang zu relevanten Gesetzestexten und Tipps zur Verbesserung ihrer IT-Sicherheit.
