Während eines gezielten Hackerangriffs auf Unimed im April 2026 wurden Stammdaten von rund 54.000 Patientinnen und Patienten der Uniklinik Freiburg entwendet. Bei etwa 900 Betroffenen erlangten die Angreifer darüber hinaus sensible Rechnungsdaten mit Diagnoseangaben. Die Klinik reagierte umgehend, stoppte die Datenweiterleitung und informierte die zuständigen Datenschutzbehörden sowie das BSI. Betroffene erhalten jetzt mithilfe des kostenlosen DSGVO-Online-Checks der Kanzlei Stoll&Sauer eine erste rechtliche Einschätzung zu möglichen Schadenersatzansprüchen nach Artikel 82 DSGVO.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Externer Dienstleister Unimed stand Mitte April 2026 im Angriffsfokus
Nach vorliegenden Erkenntnissen wurde Mitte April 2026 der externe Abrechnungsdienstleister Unimed, der Abrechnungen für privat Zusatzversicherte und Selbstzahler der Uniklinik Freiburg abwickelt, Opfer eines Cyberangriffs. Am 21. Mai 2026 meldete das Universitätsklinikum Freiburg den Vorfall und setzte umgehend alle Datenübertragungen zu Unimed aus. Klinikangaben zufolge blieb die Versorgung der Patienten durchgehend gesichert und die klinischen Systeme arbeiteten störungsfrei. Der IT-Sicherheitsstab untersuchte den Vorfall intensiv.
Klinik Freiburg meldet Abgriff von Stammdaten 54000 Patienten Rechnungsdaten
Die Klinik informierte, dass durch einen Cyberangriff persönliche Daten von etwa 54.000 Patienten offengelegt wurden. Erbeutete Stammdaten umfassen Name, Geburtsdatum und Anschrift. Ferner gelangten Angreifer in ungefähr 900 Fällen an Abrechnungsunterlagen, welche Rückschlüsse auf Diagnosen und erbrachte Behandlungen ermöglichen. Bei einer kleinen Menge von Datensätzen waren zusätzlich Bankdaten betroffen. Als Reaktion wurde die Datenübertragung gestoppt, interne Sicherheitsprozesse überarbeitet und Patienten umgehend über den Vorfall benachrichtigt. Die Aufarbeitung läuft intensiv aktuell.
Unmittelbar nach Vorfall meldet Uniklinik Freiburg BSI und Landesdatenschutzbehörde
Am 16. April 2026 erkannte das Universitätsklinikum Freiburg eine potenzielle Sicherheitslücke in der Abwicklung privater Patientenabrechnungen. Daraufhin informierte die Klinik unmittelbar die zuständige Landesdatenschutzbehörde und das Bundesamt für Sicherheit in der Informationstechnik (BSI) über den Vorfall. Zugleich wurde die Datenübermittlung an Unimed gestoppt. Parallel dazu prüft die Klinik derzeit straf- und datenschutzrechtliche Maßnahmen gegen den Dienstleister und plant eine grundsätzliche Überarbeitung der Vertrags- und Compliance-Strukturen zur langfristigen Risikominimierung intern sorgfältig.
Betroffene Kliniken Ulm, Heidelberg, Tübingen: Schadenzahlen sorgen für Unklarheit
Diverse Medienquellen berichten, dass auch die Universitätskliniken in Ulm, Heidelberg und Tübingen Ziel von Hackerangriffen wurden, wodurch möglicherweise bis zu 71.000 Patientendatensätze betroffen sind. Die variierenden Fallzahlen in den Berichten verdeutlichen, dass keine einheitliche Schadensaufstellung existiert. Diese Unklarheit erschwert die sachliche Bewertung des Gesamtvorfalls. Verantwortliche Stellen sollten daher standardisierte Erhebungsprozesse etablieren, um verlässliche Daten zur Verfügung zu stellen und eine transparente Kommunikation gegenüber Betroffenen sicherzustellen.
Phishing-Attacken nutzen geleakte Gesundheitsinformationen gezielt für häufig betrügerische Missbrauchsversuche
Im Sinne der Datenschutz-Grundverordnung gelten Gesundheitsdaten als besonders schützenswerte personenbezogene Informationen. Rechnungsinformationen können Kostendaten zu Diagnosen, Eingriffen und Behandlungsmethoden enthalten und sind damit ebenfalls sensibel. Kommt es zu einem Datenleck, riskieren Betroffene neben Identitätsklau oft Phishing, Erpressung mit vertraulichen Krankenakten und den Verlust der Kontrolle über ihre Gesundheitsdaten. Um diese Risiken einzudämmen, sind fortschrittliche Verschlüsselung, restriktive Zugriffssteuerung und regelmäßige Penetrationstests sowie Notfallpläne notwendig.
DSGVO anerkennt Angst und Sorge als ersatzfähigen immateriellen Schaden
Gemäß Artikel 82 DSGVO können Betroffene bei einer Datenschutzverletzung auch dann Ersatz für immaterielle Schäden verlangen, wenn kein materieller Verlust vorliegt. Die Definition umfasst psychische Belastungen wie Furcht vor Missbrauch, Sorge um persönliche Daten und das Gefühl des Machtverlusts über eigene Informationen. Der Europäische Gerichtshof und der Bundesgerichtshof haben betont, dass die nachgewiesene Verletzung des Rechts auf Selbstbestimmung über Daten ausreicht, um diese immaterielle Schädigung ersatzfähig zu machen.
Kostenloser Stoll&Sauer DSGVO-Check: Betroffene erhalten sofort belastbare, zielgerichtete Ersteinschätzung
Der DSGVO-Online-Check von Stoll&Sauer ermöglicht eine schnelle Ersteinschätzung potenzieller Schadenersatzansprüche bei Datenschutzverletzungen – und das ohne jegliche Kosten. Nutzer beantworten eine Reihe zielgerichteter Fragen und erhalten daraufhin zeitnah Informationen zu Verantwortlichkeiten, empfohlenen Sicherheitsmaßnahmen und individuellen Risiken. Anschließend stellt die Kanzlei konkrete Handlungsempfehlungen bereit, um Ansprüche effektiv geltend zu machen und Datenschutzstandards zu verbessern. Das digitale Angebot ist gebührenfrei, ohne versteckte Gebühren und birgt kein finanzielles Risiko. Es entstehen keine Nebenkosten.
Der DSGVO-Online-Check von Stoll&Sauer richtet sich an Patienten, die nach einer Datenschutzverletzung zügig ihre juristischen Handlungsmöglichkeiten prüfen möchten. In einem strukturierten Fragebogen erfassen Betroffene Sachverhalte, das System weist Verantwortliche aus, bewertet potenzielle Schäden und liefert konkrete Empfehlungen für das Einleiten von Schadenersatzklagen nach Art.82 DSGVO. Ferner bietet die Plattform Hinweise zu relevanten Fristen, Musterschreiben und präventiven Maßnahmen für künftige Datenlecks. Zudem erhalten Nutzer weiterführende Links zu Datenschutzgesetzen und Kontakten Anwälte.
