Im April 2026 wurden bei einem gezielten Angriff auf den Abrechnungsdienstleister Unimed personenbezogene Daten von rund 54.000 Patientinnen und Patienten der Universitätsklinik Freiburg abgegriffen. In etwa 900 Fällen ließen sich darüber hinaus sensible Rechnungsinformationen mit Diagnosen rekonstruieren. Die Klinik stoppte daraufhin sofort die Datenübertragung und meldete den Vorfall den Aufsichtsbehörden. Ein kostenfreier DSGVO-Online-Check der Kanzlei Stoll&Sauer gibt Betroffenen rasch Klarheit über mögliche Ansprüche nach Artikel 82 DSGVO.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Uniklinik gibt Datenleck bei Unimed-Abrechnung schnell intern umgehend bekannt
Nach Angaben der Universitätsklinik Freiburg erfolgte Mitte April 2026 ein gezielter Angriff auf den externen Abrechnungsdienstleister Unimed, der privat Zusatzversicherte sowie Selbstzahler abrechnet. Der Vorfall wurde am 21. Mai 2026 kommuniziert und die Datenübermittlung an Unimed sofort gestoppt. Kliniksprecher erklärten, dass weder die Patientenversorgung noch die klinischen Systeme in Mitleidenschaft gezogen wurden. Parallel wurden Datenschutzbeauftragte hinzugezogen, um mögliche Haftungsfragen zu klären.
Bundesdatenschutz meldet massives Datenleck bei Unimed-Abrechnungsdienstleister der Universitätsklinik Freiburg
Eine Datenschutzverletzung führte laut Klinik dazu, dass sensible Stammdaten von rund 54.000 Patientinnen und Patienten entwendet wurden. Betroffen sind primär Name, Geburtsdatum und Adresse. In circa 900 Fällen gelangte die Angreifergruppe zudem an Abrechnungsdaten, welche Diagnosen und spezielle Behandlungsabläufe offenbaren. Eine begrenzte Zahl von Datensätzen beinhaltete darüber hinaus Bankkontodetails. Die Uniklinik hat präventive Maßnahmen ergriffen, Betroffene informiert und arbeitet eng mit Datenschutzbehörden zusammen, um weiteren Schutz sicherzustellen. Umgehend professionell unterstützt.
Datenübermittlung zu Unimed ausgesetzt, Klinik leitet strafrechtliche Prüfung ein
Unmittelbar nach Feststellung eines unautorisierten Datenabflusses am 16. April 2026 leitete das Universitätsklinikum Freiburg sofortige Gegenmaßnahmen ein: Die Klinik meldete den Vorfall der Landesdatenschutzbehörde und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und stoppte sogleich die Datenübertragung an den externen Abrechnungsdienstleister Unimed. Parallel dazu wird aktuell eine intensive Prüfung straf- und datenschutzrechtlicher Verantwortlichkeiten durchgeführt, um Haftungsrisiken zu minimieren und Sicherheitsvorgaben zu verstärken und systematisch dokumentiert und zielgerichtet umfassend umgesetzt.
Ulm, Heidelberg, Tübingen melden nun riesige Patientendatenverluste nach Cyberangriff
Verschiedene Zeitungsberichte sprechen davon, dass nicht nur Freiburg, sondern auch die Universitätskliniken in Ulm, Heidelberg und Tübingen Betroffene von Cyberattacken sind. Insgesamt werden bis zu 71.000 kompromittierte Patientendatensätze genannt. Die unterschiedlichen Zahlenangaben in den Berichten verweisen auf inkonsistente Erhebungsmethoden oder abweichende Ermittlungsstände. Ohne eine einheitliche Datenerfassung und abgestimmte Analyseverfahren bleibt das tatsächliche Ausmaß des Angriffs unklar und eine detaillierte Schadensbewertung schwierig.
Kommunikation mit Betroffenen muss transparent, schnell und umfassend erfolgen
Unter den Bestimmungen der DSGVO gelten Gesundheitsdaten als höchst schützenswerte personenbezogene Informationen. Rechnungsdaten können Diagnosen, Behandlungsarten und erbrachte Leistungen offenlegen und sind daher ebenfalls sensibel. Ein unbefugter Zugriff auf diese Daten birgt erhebliche Gefahren, beispielsweise Identitätsdiebstahl, Phishing-Attacken, Erpressung und den Verlust der Kontrolle über persönliche Gesundheitsinformationen. Um dies zu verhindern, dürfen Datentransfers nur verschlüsselt erfolgen und Zugriffe müssen streng protokolliert und überwacht werden, ergänzt durch regelmäßige Audits.
Europäischer Gerichtshof: immaterielle Schäden unter DSGVO jetzt ersatzfähig erklärt
Nach Art. 82 DSGVO können Betroffene, deren Daten aufgrund einer Sicherheitslücke offengelegt wurden, auch ohne materielle Verluste immaterielle Entschädigung verlangen. Der Anspruch umfasst unter anderem psychische Belastungen, Ängste vor Identitätsmissbrauch und das Gefühl der Machtlosigkeit über persönliche Daten. Der Europäische Gerichtshof und der Bundesgerichtshof haben präzisiert, dass ein Kontrollverlust über die eigenen Daten bereits ausreicht, um einen ersatzfähigen immateriellen Schaden zu begründen, unabhängig von finanziellen Auswirkungen.
Stoll&Sauer bietet schnelle und kostenfreie online Ersteinschätzung für DSGVO-Schadenersatzansprüche
Mit dem kostenfreien DSGVO-Online-Check ihrer Kanzlei ermöglichen Stoll&Sauer Betroffenen, ihre Schadenersatzansprüche nach einer Datenpanne binnen Minuten zu prüfen. Eingaben zu Vorfall und Datenumfang führen zu einer fundierten Ersteinschätzung über Verantwortlichkeiten und notwendige Schutzmaßnahmen. Daraufhin stellen die Anwälte individuelle Empfehlungen bereit, um Ansprüche durchzusetzen sowie künftige Datenschutzverletzungen präventiv zu vermeiden. Der gesamte Service erfolgt online, vollständig gebührenfrei und ohne versteckte Kosten oder finanzielles Risiko für jeden Nutzer. absolut keine irgendwelche Gebühren.
Mit dem kostenfreien DSGVO-Online-Check von Stoll&Sauer können Betroffene nach einem Datenleck im Gesundheitssektor ihre rechtlichen Handlungsspielräume umfassend evaluieren. Der digitale Prozess identifiziert potenzielle Verantwortliche, kategorisiert Art der Datenschutzverletzung und berechnet auf Wunsch ungefähre Schadenshöhen. Darauf basierend liefert das System eine präzise Anleitung zur Durchsetzung von Schadenersatzansprüchen nach Art.82 DSGVO sowie praxisnahe Tipps zur Fristwahrung, Beweissicherung und langfristigen Verbesserung des Datenschutzkonzepts. Zusätzlich verlinkt das Tool Vorschriften und Hinweise zu externen Beratungsstellen.
