Im April 2026 wurde der externe Abrechnungsdienst Unimed Ziel eines gezielten Cyberangriffs, bei dem personenbezogene Daten von rund 54.000 Patientinnen und Patienten der Universitätsklinik Freiburg entwendet wurden. Betroffen waren insbesondere Stammdaten wie Name, Geburtsdatum und Anschrift, in etwa 900 Fällen zusätzlich sensible Rechnungsinformationen mit Hinweisen auf Diagnosen und Behandlungen. Die Klinik stoppte unverzüglich die Datenübertragung, informierte zuständige Behörden und bietet allen Betroffenen einen kostenlosen DSGVO-Online-Check von Stoll&Sauer zur Prüfung möglicher Schadenersatzansprüche nach Artikel 82 DSGVO an.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Cyberangriff Mitte April 2026 trifft Unimed Abrechnungsdienstleister Uniklinik Freiburg
Nach aktuellen Ermittlungsergebnissen richtete sich der Cybervorfall Mitte April 2026 gezielt gegen Unimed, einen externen Abrechnungsdienstleister der Uniklinik Freiburg für privat Zusatzversicherte und Selbstzahler. Am 21. Mai 2026 informierte das Universitätsklinikum Freiburg offiziell über den Angriff und unterbrach sofort die Übermittlung sämtlicher Patientendaten an Unimed. Nach eigenen Angaben blieben die medizinische Versorgung und die klinischen IT-Systeme der Klinik von dem Vorfall unberührt. Eine interne Untersuchung bestätigte keine Beeinträchtigung operativer Abläufe.
Hackerangriff auf Klinikdienstleister stiehlt unwiderruflich Stammdaten von 54000 Patienten
Nach Angaben der Klinik wurden bei einem Cybervorfall personenbezogene Stammdaten von circa 54.000 Patienten abgegriffen. Betroffen waren insbesondere Name, Geburtsdatum und Anschrift, wodurch grundlegende Identifikationsinformationen unbefugt ausgelesen wurden. Zusätzlich gelang es den Angreifern in etwa 900 Fällen, detaillierte Abrechnungsinformationen zu entwenden. Aus diesen Rechnungsdaten können Rückschlüsse auf medizinische Diagnosen und durchgeführte Behandlungsarten gezogen werden. In einer einstelligen Anzahl der Vorfälle wurden darüber hinaus auch Kontodaten der Patienten kompromittiert. Sensibel weitreichend.
Universitätsklinikum Freiburg meldet Vorfall und informiert Datenschutzbehörde sowie BSI
Am 16. April 2026 meldete das Universitätsklinikum Freiburg nach Feststellung des Sicherheitsvorfalls umgehend den Vorfall bei der zuständigen Landesdatenschutzbehörde sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Parallel dazu stoppte die Klinik sofort die Datenübertragung an den externen Abrechnungsdienstleister Unimed und leitet aktuell straf- und datenschutzrechtliche Prüfungen gegen den Dienstleister ein, um etwaige Haftungsfragen und rechtliche Konsequenzen zu klären. Parallele Untersuchungen erfolgen umfassend, um alle Haftungsfragen abschließend zu klären.
Ulm, Heidelberg und Tübingen: Bis zu 71000 Patienten betroffen
Verschiedenen Presseberichten zufolge wurden die Universitätskliniken in Ulm, Heidelberg und Tübingen ebenfalls Ziel vergleichbarer Cyberangriffe. Insgesamt könnten bis zu 71.000 Patientendatensätze kompromittiert worden sein. Die Berichterstattung nennt dabei unterschiedliche Fallzahlen, was auf Inkonsistenzen bei der Erfassung oder unterschiedliche Ermittlungsstände hindeutet. Diese Diskrepanz erschwert eine präzise Schadensbewertung und unterstreicht die Notwendigkeit weitergehender Analysen, um korrekte Datenmengen zu ermitteln und potenzielle Risiken angemessen einzuschätzen.
DSGVO stuft Gesundheitsdaten als sensible Kategorie mit erhöhtem Schutz
Nach der DSGVO gelten Gesundheitsdaten als besonders schützenswerte personenbezogene Informationen. Rechnungsdaten ermöglichen Rückschlüsse auf Diagnosen, Behandlungen und erbrachte medizinische Leistungen. Ein solcher Datenvorfall kann zu Identitätsmissbrauch, gezielten Phishing-Angriffen und Erpressung durch Offenlegung sensibler Befunde führen. Betroffene verlieren die Kontrolle über intime Gesundheitsdetails. Zusätzlich drohen rechtliche Konsequenzen für Verantwortliche und ein dauerhaftes Vertrauensdefizit gegenüber Einrichtungen. Daher erfordert der Schutz dieser Daten höchste Priorität und technische wie organisatorische Sicherheitsmaßnahmen.
Betroffene können nach Art.82 DSGVO immaterielle Schäden geltend machen
Betroffene Personen haben gemäß Artikel 82 der Datenschutzgrundverordnung (DSGVO) Anspruch auf Entschädigung für immaterielle Schäden, die durch Verletzungen ihrer Rechte entstehen. Dazu gehören Angstzustände, Sorgen um Privatsphäre und das Gefühl des Kontrollverlusts über persönliche Informationen. Und zwar unabhängig von einem finanziellen Nachweis. Der Europäische Gerichtshof und der Bundesgerichtshof stellten klar, dass der Verlust der Datenkontrolle als eigenständiger, formell geforderter und trotzdem ersatzfähiger Schaden anzuerkennen ist.
Kostenfreier DSGVO-Online-Check bietet Betroffenen schnelle Ersteinschätzung, individuelle, effiziente Handlungsempfehlungen
Die Anwaltskanzlei Stoll & Sauer stellt Betroffenen einen kostenfreien DSGVO-Online-Check zur Verfügung, mit dem sie ihre möglichen Ansprüche auf Schadenersatz nach Datenschutzverletzungen unverzüglich prüfen können. Innerhalb kürzester Zeit erhalten Nutzer eine fundierte Ersteinschätzung zu Verantwortlichkeiten und erforderlichen Schutzmaßnahmen. Darüber hinaus offeriert die Kanzlei konkrete Handlungsempfehlungen, um Risiken zu minimieren und Ansprüche effizient durchzusetzen. Dieses Angebot erfolgt kostenfrei und ohne finanzielles Risiko für die Ratsuchern. Es fallen keinerlei zusätzliche Kosten an.
Der DSGVO-Online-Check von Stoll&Sauer stellt Nutzern eine unverzügliche und kostenlose Erstbewertung ihrer möglichen Rechtsansprüche bereit, nachdem personenbezogene Daten durch einen Cybervorfall kompromittiert wurden. Dabei werden Verantwortlichkeiten klar benannt, Risiken detailliert erläutert und konkrete Handlungsempfehlungen aufgezeigt. Betroffene erhalten eine strukturierte Orientierungshilfe zur Durchsetzung eventueller Schadenersatzforderungen nach Art.82 DSGVO und erfahren, wie sie ihr zukünftiges Datenschutzmanagement optimieren können. Zusätzlich informiert das Tool über Fristen, Zuständigkeitsfragen und mögliche externe Unterstützungsangebote von spezialisierten Rechtsanwaltskanzleien.
