Ein zielgerichteter Cyberangriff auf Unimed, den externen Abrechnungsdienst der Uniklinik Freiburg, führte Mitte April 2026 zum Abfluss von Stammdaten von circa 54.000 Patientinnen und Patienten. In etwa 900 Fällen wurden darüber hinaus detaillierte Rechnungsdaten mit Diagnosehinweisen entwendet. Die Klinik stoppte die Übertragung umgehend, meldete den Vorfall an BSI und Datenschutzbehörde und ermöglicht Betroffenen mit einem kostenlosen DSGVO-Online-Check von Stoll&Sauer eine schnelle Ersteinschätzung möglicher Ansprüche nach Artikel 82 DSGVO.
Das erwartet Dich in diesem Artikel
Massive Datenschutzverletzung bei Unimed-Abrechnungsdienstleistung betrifft tausende Freiburger Patienten direkt
Nach ersten Auswertungen hat ein Cyberangriff Mitte April 2026 den externen Partner Unimed getroffen, der für die Abrechnung privater Zusatzversicherter und Selbstzahler der Uniklinik Freiburg zuständig ist. Am 21. Mai 2026 informierte das Universitätsklinikum Freiburg über die Sicherheitslücke und unterbrach sofort die Datenübermittlung an Unimed. Die Klinik stellte klar, dass Patientenversorgung und sämtliche klinischen Systeme weiterhin reibungslos funktionierten. Wissenschaftler und IT-Experten prüfen jetzt die Hintergründe.
Kriminelle entwendeten grundsätzliche Patientendaten wie Name, Adresse und Geburtsdatum
Während eines zielgerichteten Cyberangriffs auf einen externen Abrechnungsdienstleister wurden laut Klinik Stammdaten von circa 54.000 Patienten kompromittiert, darunter vollständige Namen, Geburtsdaten und Anschriften. Zusätzlich exfiltrierten Angreifer in etwa 900 Fällen sensitive Rechnungsinformationen, aus denen sich Rückschlüsse auf Diagnosen und durchgeführte Therapien ziehen lassen. In einem einzelnen Punkt waren auch Bankdaten betroffen. Die Klinik hat ihr Incident-Response-Team aktiviert, Strafanzeige erstattet und betroffene Personen umgehend benachrichtigt. Weitere intensive forensische Untersuchungen laufen extern.
Rechtsprüfung gegen Dienstleister Unimed umgehend eingeleitet nach dem Datenübertragungsstopp
Nach Entdeckung eines möglichen Datendiebstahls am 16. April 2026 reagierte die Uniklinik Freiburg umgehend: Die Klinik meldete den Vorfall unverzüglich der Landesdatenschutzbehörde sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und setzte die Datenübertragung an Unimed außer Betrieb. Parallel führt ein interdisziplinäres Team aus IT-Security-Spezialisten und Juristen derzeit eine umfassende rechtliche Prüfung straf- und datenschutzrechtlicher Aspekte durch, um weitere Schritte zur Schadenbegrenzung und Verantwortungsklärung einzuleiten. Die Dokumentation erfolgt transparent.
Schadensausmaß der Kliniken unklar: Presse widerspricht mit variierenden Zahlenangaben
Berichten zufolge haben Cyberangriffe die Universitätskliniken in Ulm, Heidelberg und Tübingen getroffen. Die Presse spricht von insgesamt bis zu 71.000 betroffenen Patienten, gibt jedoch je nach Quelle abweichende Zahlen an. Diese Varianz weist auf unterschiedliche Ermittlungsstufen oder Erhebungsmethoden hin und erschwert eine verlässliche Bewertung des Vorfalls. Um eine umfassende Darstellung des tatsächlichen Datenlecks zu ermöglichen, sind standardisierte Verfahren zur Datensammlung und eine bessere Koordination der involvierten Stellen erforderlich.
Strengere Datenschutzmaßnahmen notwendig nach Auswertung aktueller Cyberangriffe im Gesundheitswesen
Nach Artikel 9 DSGVO gelten Gesundheitsdaten als besonders sensible personenbezogene Informationen und dürfen nur unter strengen Voraussetzungen verarbeitet werden. Rechnungsdaten geben Aufschluss über Diagnosen, Therapien und medizinische Leistungen, was sie ebenfalls schützenswert macht. Bei einem Datenleck drohen Identitätsdiebstahl, Phishing-Attacken, Erpressung mit vertraulichen Befunden und der vollständige Verlust der Kontrolle über persönliche Gesundheitsinformationen. Um diesen Gefahren zu begegnen, müssen technische Maßnahmen wie Zugriffsmanagement, Verschlüsselung und kontinuierliches Monitoring konsequent etabliert werden.
Kontrollverlust über Daten gilt jetzt als ersatzfähiger immaterieller Schaden
Nach Art. 82 DSGVO können Betroffene Schadensersatz für immaterielle Verletzungen geltend machen, die sich aus unrechtmäßiger Datenverarbeitung ergeben. Dazu gehören unter anderem Ängste, Zukunftssorgen sowie Verlusterfahrungen in Bezug auf die Kontrolle über persönliche Informationen. Sowohl der Europäische Gerichtshof als auch der Bundesgerichtshof haben klargestellt, dass die emotionale Belastung durch den Verlust der Datenkontrolle als eigenständiger immaterieller Schaden anerkannt wird. Ein konkreter finanzieller Verlust muss hierfür nicht vorliegen.
Stoll&Sauer bietet DSGVO-Check gratis an: Klare Rechtslage sofort verstehen
Die kostenfreie DSGVO-Prüfung der Kanzlei Stoll&Sauer ermöglicht es Betroffenen, ihre möglichen Schadenersatzansprüche nach einer Datenschutzverletzung online schnell abzuklären. Nutzer beantworten einen standardisierten Fragenkatalog und erhalten in kurzer Zeit eine qualifizierte Ersteinschätzung bezüglich Verantwortlichkeiten und empfohlener Sicherheitsvorkehrungen. Im Anschluss stellt die Kanzlei individuelle Handlungsempfehlungen zur Verfügung, mit denen Ansprüche effizient durchgesetzt und Datenschutzlücken geschlossen werden können. Dieses Angebot verursacht keinerlei Kosten oder Gebühren und birgt kein finanzielles Risiko. ganz absolut kostenfrei.
Der DSGVO-Online-Check von Stoll&Sauer fungiert als kostenloses Erstinstrument für Personen, deren Patientendaten infolge eines Cybervorfalls betroffen sind. Das digitale Verfahren ermittelt Ausgangssituation, weist Verantwortliche aus, bewertet das Ausmaß möglicher Schäden und liefert maßgeschneiderte Handlungsempfehlungen nach Art.82 DSGVO. Nutzer erhalten eine verständliche Schritt-für-Schritt-Anleitung zur Geltendmachung von Schadenersatzansprüchen und Hinweise auf weiterführende Rechtsquellen sowie präventive Sicherheitsmaßnahmen. Zudem werden Informationen zu Verfahrensfristen, zur Beweissicherung und zu alternativen Streitbeilegungsverfahren kostenfrei bereitgestellt und weiterführende Beratungsempfehlungen.
