Rund 54.000 Datensätze von Patientinnen und Patienten der Universitätsklinik Freiburg wurden im April 2026 bei einem Cyberangriff auf den externen Dienstleister Unimed entwendet. Neben Stammdaten wie Namen, Geburtsdaten und Anschriften umfasst der Vorfall in etwa 900 Fällen auch sensible Rechnungsinformationen mit Diagnosen. Die Klinik stoppte sofort die Datenübermittlung und informierte Behörden. Betroffene können mit dem kostenlosen DSGVO-Online-Check von Stoll&Sauer prüfen, ob sie Anspruch auf Schadenersatz gemäß Art. 82 DSGVO haben.
In diesem Artikel finden Sie
Hacker sorgten für Datenabgriff, doch Klinikbetrieb blieb vollumfänglich reibungslos
Mitte April 2026 wurde der externe Abrechnungsdienstleister Unimed, zuständig für die Abrechnung privater Zusatzversicherter und Selbstzahler an der Universitätsklinik Freiburg, Ziel eines zielgerichteten Cyberangriffs. Die Klinik Freiburg berichtete den Vorfall am 21. Mai und stoppte umgehend die Patienten-Datenübermittlung an Unimed. Kliniksprecher betonten, dass weder die Patientenversorgung noch die klinischen IT-Infrastrukturen beeinträchtigt wurden. Zeitgleich wurden interne Forensik-Teams mit der Aufklärung beauftragt.
Externer Abrechnungsdienstleister Unimed verliert nun Daten von 54000 Patienten
Die Klinik bestätigte, dass im Rahmen eines Angriffs personenbezogene Identitätsdaten von etwa 54.000 Patienten entwendet wurden. Darunter sind Name, Geburtsdatum und Anschrift gespeichert. Parallel dazu gelang es Kriminellen in rund 900 Fällen, auf Abrechnungsdateien zuzugreifen, aus denen sich medizinische Diagnosen sowie erbrachte Leistungen rekonstruieren lassen. Einzelne Datensätze enthielten darüber hinaus Bankkontoangaben. Die Klinik hat die Datenübertragung gestoppt, die Datenschutzaufsicht informiert und ergreift nun weitere Sicherheitsmaßnahmen. Die betroffenen Patienten wurden informiert.
Bundesamt für Sicherheit in der Informationstechnik involviert nach Klinikmeldung
Direkt nach der Aufdeckung eines möglichen Datenleaks am 16. April 2026 informierte das Universitätsklinikum Freiburg die zuständige Landesdatenschutzbehörde und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Gleichzeitig stoppte die Klinik die Datenübermittlung an den externen Dienstleister Unimed vollständig. Aktuell werden sämtliche juristischen Optionen geprüft, um strafrechtliche Maßnahmen und datenschutzrechtliche Klagen gegen Unimed vorzubereiten und interne Kontrollmechanismen weiter zu stärken in enger Kooperation mit externen Datenschutzspezialisten systematisch evaluieren und verbessern.
Datenpanne bei Unikliniken: Ulm, Heidelberg, Tübingen besonders schlimm betroffen
Medieninformationen deuten darauf hin, dass Cyberangriffe vergleichbarer Art nicht auf Freiburg beschränkt sind, sondern auch Klinikstandorte in Ulm, Heidelberg und Tübingen betroffen haben. Die Gesamtanzahl der kompromittierten Patientendaten wird mit bis zu 71.000 beziffert. Abweichende Zahlenangaben in diversen Presseartikeln weisen auf uneinheitliche Erfassung und unterschiedliche Informationsstände hin. Diese Inkonsistenzen verkomplizieren eine umfassende Bewertung und verdeutlichen den Bedarf an abgestimmten Datenerhebungs- und Meldeverfahren.
Kontrollverlust über Gesundheitsinformationen gefährdet Selbstbestimmung und Privatsphäre der Patienten
Die Datenschutzgrundverordnung klassifiziert Gesundheitsdaten als besonders schützenswerte Kategorien, deren unsachgemäße Verarbeitung schwerwiegende Folgen haben kann. Rechnungsdaten erlauben es, sensible medizinische Informationen über Diagnosen und durchgeführte Behandlungen abzuleiten. Ein unbefugter Zugriff auf diese Daten eröffnet Cyberkriminellen Möglichkeiten wie Identitätsbetrug, Phishing-Angriffe, Erpressung und den Verlust der Kontrolle über intime Patienteninformationen. Um diesen Bedrohungen vorzubeugen, müssen Organisationen umfassende Sicherheitsrichtlinien umsetzen, darunter starke Verschlüsselung, Zugangsbeschränkungen und regelmäßige Datenschutz-Audits.
BGH bestätigt Ersatzansprüche für immaterielle Schäden nach einem Datenschutzverstoß
Betroffene Personen haben gemäß DSGVO Art. 82 einen Anspruch darauf, immaterielle Schäden aus Datenschutzverletzungen ersetzt zu bekommen. Hierzu gehören vor allem psychische Belastungen wie Angst, Stress oder das Gefühl des Machtverlusts über persönliche Daten. Der Europäische Gerichtshof wie auch der Bundesgerichtshof haben entschieden, dass bereits der Wegfall der eigenen Datenhoheit einen ersatzfähigen immateriellen Schaden darstellt. Ein wirtschaftlicher Nachweis von finanziellen Verlusten ist dafür nicht notwendig und wird nicht verlangt.
Jetzt einfachen kostenlosen DSGVO-Online-Check nutzen und Schadensersatzpotenziale klären lassen
Durch den DSGVO-Online-Check von Stoll&Sauer erhalten betroffene Personen kostenlos eine Ersteinschätzung möglicher Schadenersatzansprüche nach einer Datenpanne. Das webbasierte Verfahren analysiert automatisch eingetragene Fakten und gibt zeitnah Auskunft über Verantwortlichkeiten sowie empfohlene technische und organisatorische Schutzmaßnahmen. Darauf basierend erstellt die Kanzlei individuelle Handlungsempfehlungen zur Durchsetzung der Rechte und zur Vermeidung weiterer Datenschutzverstöße. Dieses Angebot ist gänzlich gebührenfrei und kann ohne jegliches Risiko von jedem Interessenten genutzt werden, ohne jegliche versteckte Kosten.
Mit dem DSGVO-Online-Check von Stoll&Sauer erhalten Patienten, deren sensible Daten durch Cyberkriminalität verloren gingen, eine sofortige und kostenfreie Prüfung ihrer Rechte. Das Online-Formular erfasst alle relevanten Informationen, verdeutlicht Verantwortlichkeitsbereiche und zeigt mögliche Schadenshöhen auf. Anschließend gibt das System praxisorientierte Handlungsempfehlungen für die Einreichung von Schadenersatzforderungen gemäß Art.82 DSGVO sowie Hinweise, wie künftige Datenschutzvorfälle durch geeignete Sicherheitsmaßnahmen verhindert werden können. Darüber hinaus werden Fristen, Beweissicherungen und mögliche Mediationsverfahren übersichtlich dargestellt ebenfalls
