Ein Hackerangriff auf den externen Dienstleister Unimed im April 2026 führte zum Diebstahl von Stammdaten von rund 54.000 Patientinnen und Patienten der Uniklinik Freiburg sowie sensiblen Rechnungsinformationen mit Diagnosehinweisen in etwa 900 Fällen. Nach Entdeckung stoppte die Klinik unverzüglich die Datenübermittlung, informierte Datenschutzbehörden und das BSI. Betroffene haben nun die Möglichkeit, mithilfe des kostenlosen DSGVO-Online-Checks von Stoll&Sauer unkompliziert zu prüfen, ob ein Anspruch auf Schadenersatz nach Art. 82 DSGVO besteht.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Meldung erst am 21. Mai 2026 nach monatelangem Datenabfluss
Mitte April 2026 ist der externe Abrechnungsdienstleister Unimed, zuständig für die privaten Zusatzversicherten und Selbstzahler der Uniklinik Freiburg, Opfer eines Cyberangriffs geworden. Am 21. Mai 2026 gab das Universitätsklinikum Freiburg die Sicherheitsverletzung bekannt und unterbrach umgehend die Datenübermittlung an Unimed. Laut Klinik haben weder Patientenversorgung noch klinische Systeme Schaden genommen. Parallel wurden interne Audits veranlasst, um mögliche Lücken in der Datenverarbeitung zu schließen.
Klinik stoppt sofort Datenübermittlung bei Unimed nach massivem Cyberangriff
Insgesamt wurden laut Klinikauskunft personenbezogene Basisdaten von circa 54.000 Patienten kompromittiert. Dazu zählen insbesondere Name, Geburtsdatum sowie Anschrift. Parallel dazu gelang es Angreifern in etwa 900 Fällen, Abrechnungsdaten zu exfiltrieren. Auf Grundlage dieser sensiblen Informationen lassen sich Rückschlüsse auf konkrete Diagnosen und medizinische Behandlungen ziehen. Vereinzelt waren zudem Bankverbindungen betroffen. Die Klinik hat die Behörden informiert und prüft nun Maßnahmen zur Schadensbegrenzung und rechtlichen Aufarbeitung. Die Patienten wurden umgehend benachrichtigt.
Direkte Meldung an BSI und Landesdatenschutzbehörde durch Uniklinik Freiburg
Nachdem das Universitätsklinikum Freiburg am 16. April 2026 Hinweise auf unbefugten Datenzugriff erhielt, erfolgte die sofortige Meldung an die zuständige Landesdatenschutzbehörde und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Klinik stoppte umgehend jegliche Datenübertragung an den externen Abrechnungsdienstleister Unimed. Parallel dazu läuft eine detaillierte Prüfung aller straf- und datenschutzrechtlichen Optionen gegen Unimed, um Haftungsfragen zu klären und Sicherheitsvorkehrungen auf Basis der gewonnenen Erkenntnisse anzupassen. und unabhängig qualifiziert bewertet.
Ähnliche Hackerangriffe enthüllen Datenpools der 71000 betroffenen Klinikpatienten bundesweit
Verschiedene Presseartikel berichten über Cybervorfälle an den Universitätskliniken in Ulm, Heidelberg und Tübingen, bei denen angeblich bis zu 71.000 Patientendatensätze kompromittiert wurden. Die unterschiedlichen Schadensangaben in den einzelnen Beiträgen verweisen auf abweichende Informationsstände oder Erhebungsmethoden. Eine verlässliche Gesamteinschätzung des Datenschutzvorfalls ist daher derzeit schwierig. Es erscheint notwendig, dass verantwortliche Stellen konsolidierte Daten bereitstellen und eine abgestimmte Grundsatzanalyse durchführen, um Transparenz über den tatsächlichen Vorfallumfang zu schaffen.
Verlust medizinischer Daten kann Vertrauen in Gesundheitsversorgung massiv beeinträchtigen
Nach europäischen Datenschutzrichtlinien gelten Gesundheitsdaten als besonders sensibel und dürfen nur unter strengen Voraussetzungen verarbeitet werden. Gleichzeitig offenbaren Rechnungsdaten oft aufschlussreiche Details zu Diagnosen, untersuchten Prozeduren und erbrachten Therapien. Ein unerlaubter Zugriff auf diese Daten birgt erhebliche Gefahren: Identitätsdiebstahl, gezielte Phishing-Angriffe, Erpressung mit medizinischen Befunden und der endgültige Verlust der Kontrolle über persönliche Gesundheitsinformationen. Um derartige Datenschutzverletzungen zu verhindern, sind robuste Zugriffsverwaltungen und lückenlose Verschlüsselung essenziell.
EuGH und BGH bestätigen jetzt immaterielle Schadensersatzansprüche nach DSGVO
Artikel 82 der DSGVO sichert Betroffenen das Recht, bei Verletzungen ihrer Datenschutzrechte eine Entschädigung für nicht greifbare Folgen zu fordern. Darunter fallen beispielsweise seelische Belastungen wie Furcht, Zukunftsängste und das Gefühl, die Kontrolle über persönliche Informationen verloren zu haben. Laut höchstrichterlicher Rechtsprechung des Europäischen Gerichtshofs und des Bundesgerichtshofs ist der tatsächliche materielle Verlust keinerlei Voraussetzung. Ein bloßes Eingreifen in die Verfügungsgewalt über Daten begründet bereits den Anspruch.
Schnelle DSGVO-Ersteinschätzung online: keine Gebühren, klare Empfehlungen inklusive Beratung
Die Onlineplattform der Kanzlei Stoll&Sauer bietet einen kostenfreien DSGVO-Check an, der Betroffenen schnell Klarheit über mögliche Schadenersatzansprüche verschafft. Nutzer erhalten binnen weniger Minuten eine qualifizierte Ersteinschätzung zu Verantwortlichkeiten sowie empfohlenen Präventions- und Sicherheitsmaßnahmen. Anschließend liefert die Kanzlei individuelle Handlungsempfehlungen, die eine effektive Durchsetzung der Rechte ermöglichen und zukünftige Datenschutzrisiken minimieren. Der gesamte Prozess ist ohne jegliche Gebühren, ohne versteckte Kosten und ohne finanzielles Risiko für den Nutzer angelegt. restlos kostenlos.
Der digitale DSGVO-Online-Check von Stoll&Sauer unterstützt Personen, deren personenbezogene Daten bei einem Cybervorfall abgeflossen sind, mit einer kostenfreien rechtlichen Vorabprüfung. In mehreren Schritten ermitteln Nutzer potenzielle Verantwortliche, verstehen die möglichen Konsequenzen und erhalten maßgeschneiderte Empfehlungen für die Durchsetzung von Schadenersatzansprüchen gemäß der Datenschutzgrundverordnung. Das Tool liefert außerdem Hinweise zu Fristen, Beweissicherung und präventiven Maßnahmen, um zukünftigen Datenmissbrauch wirkungsvoll zu verhindern. Zudem kann die erhaltene Erstbewertung als Grundlage für Mandatierung genutzt werden.
