Ein Cyberangriff auf den externen Abrechnungsdienst Unimed führte Mitte April 2026 zur Offenlegung von Stammdaten von rund 54.000 Patientinnen und Patienten der Uniklinik Freiburg. In knapp 900 Fällen gingen zusätzlich Rechnungsdetails mit Diagnosebezug an die Angreifer. Die Klinik beendete umgehend die Datenübertragung, meldete den Vorfall dem BSI und der Landesdatenschutzbehörde. Betroffene können nun über den kostenlosen DSGVO-Online-Check von Stoll&Sauer unkompliziert prüfen, ob sie nach Art. 82 DSGVO Anspruch auf Schadenersatz haben.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Uniklinik Freiburg: Patientendaten betroffen, klinische Abläufe nachweislich nicht gefährdet
Unmittelbar nach Entdeckung eines Cybervorfalls Mitte April 2026, der den externen Abrechnungsdienstleister Unimed traf und die Abwicklung privater Zusatzversicherter sowie Selbstzahler für die Universitätsklinik Freiburg betraf, informierte das Klinikum am 21. Mai 2026 die Öffentlichkeit und beendete umgehend alle Datenübertragungen zu Unimed. Die Patientenversorgung sowie die Funktionalität aller klinischen Systeme blieben nach Aussagen der Klinik unberührt. Zudem wurden Notfall- und Analyseprozesse aktiviert.
Hacker entwendeten Stammdaten von 54000 Patienten, darunter 900 Diagnosen
In einem groß angelegten Datendiebstahl wurden laut Klinik personenbezogene Stamm- und Kontaktdaten von rund 54.000 Patienten illegal kopiert. Hierzu zählen Name, Geburtsdatum und Wohnanschrift. Zusätzlich verschafften sich Cyberkriminelle Zugriff auf etwa 900 Abrechnungsdatensätze mit Hinweisen auf Diagnosen und erbrachte Therapieverfahren. In wenigen Einzelfällen waren Bankverbindungen ebenfalls betroffen. Die Universitätsklinik hat den Dienstleister in die Pflicht genommen, Datenschutzverstöße überprüft und die zuständigen Aufsichtsbehörden informiert. Betroffene Patienten erhalten umgehend kostenlose juristische Unterstützung.
Klinik prüft mögliche straf- und datenschutzrechtliche Konsequenzen nach Datenvorfall
Die sofortige Reaktion des Universitätsklinikums Freiburg auf den am 16. April 2026 identifizierten Datenvorfall umfasste die unverzügliche Meldung an die zuständige Landesdatenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zudem setzte die Klinik die Übertragung sensibler Patientendaten an den externen Abrechnungsdienstleister Unimed ersatzlos aus. Derzeit wird eine eingehende juristische Untersuchung durchgeführt, um straf- und datenschutzrechtliche Ansprüche zu prüfen und organisatorische sowie technische Sicherheitskonzepte zu optimieren zeitnah systematisch umzusetzen.
Bis zu 71000 Patienten betroffen: Unikliniken leiden unter Cyberattacken
Nach verschiedenen Pressemitteilungen waren neben Freiburg auch die Universitätskliniken in Ulm, Heidelberg und Tübingen von identischen Cybervorfällen betroffen, bei denen Daten von schätzungsweise bis zu 71.000 Patienten abgeflossen sind. Die unterschiedlichen Angaben in den einzelnen Berichten lassen auf Diskrepanzen in den Ermittlungsständen oder Datenerhebungsmethoden schließen. Ein endgültiges Schadensbild kann deshalb noch nicht gezeichnet werden. Eine einheitliche Vorgehensweise zur Aufbereitung und Prüfung der Vorfallsmeldungen ist notwendig.
Erpressung mit Patientendaten bedroht sowohl Privatleben als auch klinische Einrichtungen
Gesundheitsdaten genießen nach der DSGVO einen erhöhten Schutz, da sie Aufschluss über Krankheiten und medizinische Behandlungen geben. Rechnungsdaten gelten als erweiterte Quelle, um Diagnosen, Therapien und Abrechnungsbeträge nachzuvollziehen. Bei einem Datenleck sind Betroffene zahlreichen Risiken ausgesetzt, wie Identitätsbetrug, gezielten Phishing-Versuchen, Erpressung mit Arzt- und Diagnosedaten sowie dem Entzug der Hoheit über ihre persönlichen Informationen. Effektiver Datenschutz verlangt daher strikte Zugriffskontrollen, Datenverschlüsselung und ein detailliertes Incident-Management.
EuGH: Verlust personenbezogener Daten rechtfertigt nun Ersatzanspruch für Betroffene
Art. 82 DSGVO gewährt ein umfassendes Recht auf Entschädigung für nicht finanzielle Schäden, die aufgrund eines Verstoßes gegen Datenschutzvorschriften auftreten. Hierzu zählen Angstzustände, Stress durch Kontrollverlust und ständige Befürchtungen hinsichtlich der Vertraulichkeit persönlicher Daten. In Rechtsprechung des Europäischen Gerichtshofs und des Bundesgerichtshofs wurde klargestellt, dass ein materieller Schaden nicht als Vorbedingung gilt. Der reine Eingriff in das datenschutzrechtlich geschützte Rechtsgut der Kontrolle über eigene Informationen berechtigt bereits zur Forderung.
Online-Check für DSGVO-Opfer: Stoll&Sauer klärt kostenlose Ansprüche und Risiken
Die Kanzlei Stoll&Sauer offeriert mit ihrem DSGVO-Online-Check Betroffenen eine kostenlose Erstprüfung möglicher Schadenersatzansprüche bei Datenschutzverstößen. Nach Eingabe relevanter Informationen erhalten Nutzer binnen weniger Minuten eine fundierte Übersicht zu Verantwortlichkeiten und empfohlenen technischen sowie organisatorischen Schutzmaßnahmen. Zudem werden individuelle Handlungsempfehlungen bereitgestellt, um Ansprüche effizient durchzusetzen und künftige Datenschutzrisiken zu vermeiden. Das Angebot ist kostenfrei, es fallen keine Gebühren an und es besteht keinerlei finanzielles Risiko für die Ratsuchern. Es entstehen weder Kosten, Gebühren noch versteckte Auslagen irgendeiner Art.
Patienten, deren Gesundheits- und Abrechnungsdaten Opfer eines Hackerangriffs wurden, können den DSGVO-Online-Check von Stoll&Sauer kostenlos zur Ersteinschätzung ihrer Ansprüche nutzen. Das Webtool zeigt transparent auf, wer für den Datenvorfall haftet, analysiert potentielle Schäden und empfiehlt passende Rechtsmittel gemäß Art.82 DSGVO. Gleichzeitig erhalten Betroffene praktische Tipps zur Datensicherung, einen Überblick über entscheidende Fristen und Verweise auf spezialisierte Rechtsberatungen, um ihre Forderungen wirkungsvoll durchzusetzen. Das Tool umfasst außerdem Links zu Urteilen sowie Checklisten.
