Rund Mitte April 2026 erlitten etwa 54.000 Patientendatensätze der Uniklinik Freiburg einen Datenabfluss infolge eines Hackerangriffs auf den externen Abrechnungsdienstleister Unimed. Neben Stammdaten wie Vor- und Nachname, Geburtsdatum und Adresse wurden in etwa 900 Fällen auch detaillierte Rechnungsdaten mit diagnostischen Hinweisen ausgelesen. Die Klinik unterbrach sofort die Datenübertragung, meldete den Vorfall den zuständigen Datenschutzbehörden und ermöglicht Betroffenen, ihre Schadenersatzansprüche gemäß Art. 82 DSGVO kostenfrei mit dem DSGVO-Online-Check von Stoll&Sauer zu evaluieren.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Universitätsklinikum Freiburg meldet am 21. Mai Hackerangriff auf Datenübermittlung
Erkenntnissen zufolge ereignete sich der Hackerangriff Mitte April 2026 auf den externen Dienstleister Unimed, der für die Abrechnung von Leistungen privater Zusatzversicherter und Selbstzahler an der Universitätsklinik Freiburg verantwortlich ist. Das Klinikum Freiburg meldete den Vorfall am 21. Mai 2026 und stoppte daraufhin unmittelbar die Datenweitergabe an Unimed. Nach Einschätzung der Klinik blieben die Patientenversorgung sowie sämtliche klinische Soft- und Hardware von dem Angriff verschont. Ein Sicherheitsupdate wurde unverzüglich eingeleitet.
Cyberangreifer entwendeten vertrauliche sensible Stammdaten von rund 54000 Patienten
Laut Berichten der Universitätsklinik Freiburg wurden bei einem Sicherheitsvorfall personenbezogene Basisdaten von insgesamt rund 54.000 Patienten abgegriffen, darunter Vorname, Nachname, Geburtsdatum sowie Anschrift. Gleichzeitig konnten Angreifer in circa 900 Fällen auf Abrechnungsunterlagen zugreifen. Diese enthalten Hinweise auf medizinische Diagnosen und erbrachte Behandlungsleistungen. In einer einstellten Zahl von Fällen waren zudem auch Bankverbindungen der Betroffenen betroffen. Die unbefugten Zugriffe ermöglichen umfangreiche Rückschlüsse auf persönliche Gesundheitsdaten und bergen erhebliches Missbrauchspotenzial.
Klinik unterbricht Datenübertragung zu Unimed und prüft rechtliche Schritte
Nach Entdeckung des Angriffs am 16. April 2026 alarmierte das Universitätsklinikum Freiburg unverzüglich die zuständige Landesdatenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Gleichzeitig wurde die Datenübermittlung an den externen Dienstleister Unimed unmittelbar eingestellt. Parallel dazu läuft eine umfassende Prüfung straf- und datenschutzrechtlicher Maßnahmen gegenüber Unimed. Diese erfolgt mit Unterstützung interner Compliance-Teams und externer Rechtsberater, um allfällige Haftungsansprüche und organisatorische Verbesserungsbedarfe systematisch werden umzusetzen.
Ähnliche Cyberangriffe treffen nun Universitätskliniken Ulm, Heidelberg und Tübingen
Laut Medieninformationen erlitten nicht nur die Uniklinik Freiburg, sondern auch die Universitätskliniken in Ulm, Heidelberg und Tübingen ähnliche Sicherheitsvorfälle. Es werden bis zu 71.000 von den Angriffen betroffene Patienten genannt. Unterschiedliche Angaben in Presseberichten weisen darauf hin, dass eine abschließende Bestandsaufnahme noch nicht vorliegt. Diese Divergenz bei den Zahlen macht deutlich, dass eine standardisierte Ermittlungs- und Meldeprozedur erforderlich ist, um verlässliche Opferzahlen und Schadensumfänge zu ermitteln.
Rechnungsdaten geben Aufschluss über Diagnosen, Behandlungen und medizinische Leistungen
Gesundheitsdaten werden nach der DSGVO als besonders schützenswerte personenbezogene Informationen eingestuft. Über Rechnungsdaten lassen sich sensible Details zu Diagnosen, durchgeführten Behandlungen und medizinischen Leistungen rekonstruieren. Ein Missbrauch dieser Daten durch unbefugten Zugriff kann Identitätsdiebstahl, Phishing-Kampagnen und Erpressung mittels vertraulicher medizinischer Informationen nach sich ziehen. Betroffene erleiden dadurch Kontrollverlust über intime Gesundheitsinformationen. Dies verdeutlicht die Dringlichkeit umfassender technischer und organisatorischer Schutzmaßnahmen. Regelmäßige Sicherheitsüberprüfungen und Schulungen des Personals ergänzen diese Maßnahmen.
EuGH und BGH bestätigen Anspruch auf Ersatz immaterieller Schäden
Nach der Regelung in Art. 82 DSGVO steht betroffenen Personen das Recht auf Ausgleich immaterieller Beeinträchtigungen zu, die aus Verstößen gegen Datenschutzbestimmungen resultieren. Hierzu zählen insbesondere Ängste und Sorgen um verloren gegangene Daten sowie das subjektive Empfinden mangelnder Kontrolle über vertrauliche Informationen. Nach höchstrichterlicher Rechtsprechung des Europäischen Gerichtshofs und des Bundesgerichtshofs genügt hierfür bereits der Kontrollverlust allein. Ein konkreter wirtschaftlicher Schaden ist für die Geltendmachung nicht erforderlich.
Kostenloser Online-Check von Stoll&Sauer klärt DSGVO-Schadenersatzansprüche unkompliziert und schnell
Mit dem kostenlosen DSGVO-Online-Check von Stoll&Sauer erhalten Betroffene rasch einen Überblick über mögliche Entschädigungsansprüche nach Datenschutzverletzungen. Der digitale Service liefert binnen kürzester Zeit eine präzise Ersteinschätzung zu Verantwortlichkeiten und notwendigen Sicherheitsmaßnahmen. Gleichzeitig bietet die Kanzlei individuelle Empfehlungen für weitere Handlungsschritte, um die Rechte effektiv durchzusetzen und künftige Risiken zu reduzieren. Selbst bei komplexen Sachverhalten entstehen keinerlei Gebühren oder versteckte Kosten, sodass Interessenten ohne finanzielles Risiko beraten werden können.
Mit dem kostenlosen DSGVO-Online-Check von Stoll&Sauer können Betroffene unmittelbar nach einem datenschutzrelevanten Cybervorfall eine fundierte Ersteinschätzung ihrer juristischen Ansprüche erhalten. Das Instrument zeigt Verantwortlichkeiten übersichtlich auf, beleuchtet potenzielle Risiken und präsentiert praxisnahe Handlungsschritte. So gewinnen Patienten schnell Klarheit über ihre rechtliche Situation, erfahren, wie sie Schadenersatzforderungen gemäß Art.82 DSGVO geltend machen können, und erhalten hilfreiche Hinweise zur zukünftigen Stärkung ihrer Datenschutzmaßnahmen sowie Informationen zu gesetzlichen Fristen und ebenfalls möglichen Verfahrenskostenrisiken.
