Bei einem gezielten Hackerangriff auf den externen Abrechnungsdienst Unimed im April 2026 wurden personenbezogene Daten von circa 54.000 Patientinnen und Patienten der Universitätsklinik Freiburg gestohlen. Neben grundlegenden Stammdaten wie Namen, Geburtsdaten und Anschriften fielen in 900 Fällen auch sensible Abrechnungsunterlagen mit Diagnoseinformationen in die Hände der Täter. Die Klinik beendete umgehend die Datenübermittlung und informierte die Landesdatenschutzbehörde sowie das BSI. Hilfestellung für Betroffene bietet der kostenlose DSGVO-Online-Check von Stoll&Sauer zur Prüfung von Art. 82 DSGVO-Anträgen.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Unimed-Abrechnungsdienstleister gerät Mitte April ins Visier bösartiger gezielten Hackern
Mitte April 2026 wurde nach jetzigem Stand ein Hackerangriff auf Unimed verzeichnet, den externen Partner der Uniklinik Freiburg für die Abrechnung privater Zusatzversicherter und Selbstzahler. Am 21. Mai meldete das Universitätsklinikum Freiburg den Vorfall und stellte umgehend die Datenübermittlung an Unimed ein. In einer ersten Zwischenbilanz betont die Klinik, dass sowohl die Patientenversorgung als auch die klinischen IT-Systeme vom Angriff nicht beeinträchtigt wurden. Ein Notfallplan konnte erfolgreich aktiviert werden.
Angreifer griffen private Bankkontodaten mehrerer Klinikpatienten ebenfalls unbemerkt an
Nach internem Bericht haben Unbekannte personenbezogene Daten von ungefähr 54.000 Patienten entwendet, darunter Basisinformationen wie Namen, Geburtsdaten und Anschriften. Darüber hinaus wurden in etwa 900 Fällen vertrauliche Rechnungsdetails abgegriffen, aus denen sich Diagnosehinweise und Behandlungsverfahren rekonstruieren lassen. In einer kleineren Gruppe von Fällen gelang den Angreifern sogar der Zugriff auf Bankkonten und finanzielle Transaktionen der Betroffenen. Die Datenpanne stellt ein erhebliches Risiko für Datenschutz und Privatsphäre dar. Dringend Maßnahmen erforderlich.
Unimed-Datenübertragung eingestellt: Klinik prüft mögliche strafrechtliche und datenschutzrechtliche Schritte
Am 16. April 2026 wurden im Universitätsklinikum Freiburg nach Feststellung einer Datenschutzpanne sofort interne Alarmstufen aktiviert und der Zwischenfall bei der zuständigen Landesdatenschutzbehörde sowie beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Unmittelbar darauf stoppte die Klinik die Datenübertragung an den externen Partner Unimed. In enger Abstimmung mit Datenschutzexperten erfolgt derzeit eine umfassende rechtliche Prüfung straf- und datenschutzrechtlicher Konsequenzen sowie eine Risikoanalyse zur weiteren Absicherung und ein standardisiertes Berichtswesen.
Medienberichte: Bis zu 71000 Patientenopfer der Cyberangriffe an Unikliniken
Zahlreiche Medienberichte deuten darauf hin, dass auch die Universitätskliniken in Ulm, Heidelberg und Tübingen von ähnlichen Hackerangriffen betroffen sind, wodurch bis zu 71.000 Patientendatensätze kompromittiert sein könnten. Die Presse veröffentlicht unterschiedliche Schadenszahlen, was auf variierende Ermittlungsstände und Definitionen betroffener Datensätze hindeutet. Diese Inkonsistenzen erschweren eine einheitliche Bewertung des Vorfalls und unterstreichen die Notwendigkeit einer zentralisierten Datenerfassung, um transparente und verlässliche Informationen für Betroffene und Behörden zu gewährleisten.
Besondere Schutzvorschriften für Gesundheitsdaten nach DSGVO und nationalem Recht
Nach Art. 9 DSGVO zählen Gesundheitsdaten zu den besonders sensitiven personenbezogenen Informationen. Rechnungsunterlagen ermöglichen es, Diagnosen, Behandlungsdetails und medizinische Leistungen zu rekonstruieren. Bei einem Datenleck riskieren Betroffene Identitätsdiebstahl, Phishing-Angriffe, Erpressung und den Verlust ihrer Privatsphäre. Um dem entgegenzuwirken, müssen technische und organisatorische Maßnahmen wie End-to-End-Verschlüsselung, Zugangsbeschränkungen, regelmäßige Audits und Schulungen des Personals konsequent umgesetzt werden, um Datenschutzverletzungen vorzubeugen und das Vertrauen in Gesundheitsdienste zu wahren.
Verlust der Datenkontrolle begründet Ersatzanspruch laut EuGH und BGH
Betroffene, deren personenbezogene Daten unrechtmäßig offengelegt oder missbraucht wurden, können nach Art. 82 DSGVO immaterielle Schäden einklagen. Diese Schäden manifestieren sich oft in Form von Angstgefühlen, Sorge um den Verlust der Privatsphäre oder Stress durch das Gefühl, keinen Einfluss mehr auf die eigenen Daten zu haben. Die obersten Gerichte in Europa und Deutschland haben bestätigt, dass die Entziehung der Datenkontrolle bereits als eigenständiger immaterieller Schaden anzusehen ist, völlig losgelöst von finanziellen Nachteilen.
DSGVO-Online-Check für Patienten: Kostenfrei, schnell und rechtssicher per Internet
Betroffene von Datenschutzvorfällen können mit dem DSGVO-Online-Check der Anwaltskanzlei Stoll&Sauer schnell und kostenlos prüfen, ob sie Schadenersatzansprüche geltend machen sollten. Der digitale Fragebogen erzeugt binnen weniger Minuten eine erste rechtliche Einschätzung zu Haftungsfragen und erforderlichen Sicherheitsvorkehrungen. Zudem erhalten Nutzer maßgeschneiderte Empfehlungen zur Optimierung ihres Datenschutzkonzepts und zur Durchsetzung möglicher Forderungen. Das Angebot ist frei von jeglichen Gebühren oder Sicherheitsrisiken und steht ohne Verpflichtungen jederzeit bereit. Es fallen keinerlei versteckten Kosten.
Betroffene, deren persönliche Gesundheits- und Rechnungsdaten bei einem Cyberangriff kompromittiert wurden, können den DSGVO-Online-Check von Stoll&Sauer kostenlos nutzen, um ihre Rechtslage zu prüfen. Der digitale Fragebogen ermittelt in wenigen Minuten relevante Fakten, weist auf Verantwortliche hin, bewertet Risiken und schlägt sinnvolle nächste Schritte vor. Auf dieser Basis erhalten Patienten eine fundierte Entscheidungshilfe für das Einreichen von Schadenersatzansprüchen nach Art.82 DSGVO und Präventionstipps zum besseren Datenschutz sowie Verweise auf geeignete Rechtsschutzversicherungen.
