Im April 2026 griffen Cyberkriminelle gezielt den externen Abrechnungsdienstleister Unimed an und erbeuteten Daten von etwa 54.000 Patientinnen und Patienten der Universitätsklinik Freiburg. Hauptsächlich betroffen waren Stammdaten wie Name, Geburtsdatum sowie Anschrift; in 900 Fällen kamen detaillierte Rechnungsinformationen mit Diagnosebezug hinzu. Die Klinik unterbrach sofort die Datenweiterleitung und meldete den Vorfall den zuständigen Behörden. Betroffene erhalten jetzt mit dem kostenlosen DSGVO-Online-Check der Kanzlei Stoll&Sauer eine rasche Ersteinschätzung möglicher Ansprüche nach Artikel 82 DSGVO.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Universitätsklinikum Freiburg stoppt unverzüglich Datenfluss nach Cyberangriff auf Unimed-Abrechner
Erste Analysen ergaben, dass Mitte April 2026 ein zielgerichteter Cyberangriff den externen Dienstleister Unimed traf, der für die Abrechnung von Selbstzahlern und Zusatzversicherten an der Uniklinik Freiburg zuständig ist. Das Klinikum meldete am 21. Mai den Vorfall und setzte die Datenübertragung an Unimed sofort aus. Nach Angaben der Klinik blieb die medizinische Versorgung durchgehend gesichert, und die klinischen IT-Systeme funktionierten weiterhin ohne Störungen. Eine forensische Auswertung läuft.
Insgesamt wurden 54000 Stammdaten sowie 900 sensible Rechnungsdatensätze gestohlen
Laut offizieller Mitteilung hat ein Cybervorfall dazu geführt, dass personenbezogene Daten von etwa 54.000 Patientinnen und Patienten offengelegt wurden. Betroffen sind in erster Linie Identitätsdaten wie Namen, Geburtsdaten und Anschriften. Zusätzlich wurden in ungefähr 900 Fällen Abrechnungsunterlagen kompromittiert, welche Aufschluss über Diagnosen und erbrachte medizinische Leistungen geben. In wenigen Fällen erfolgte ein Zugriff auf Bankdaten. Die Vorfallanalyse läuft und der Schutz der Patientenrechte hat oberste Priorität. Betroffene wurden schriftlich informiert.
Klinik Freiburg stoppt Unimed-Datenübermittlung und informiert die Behörden unverzüglich
Der Sicherheitsvorfall wurde am 16. April 2026 im Universitätsklinikum Freiburg entdeckt. Unverzüglich informierte die Klinik die zuständige Landesdatenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und setzte alle Datenübertragungen an Unimed außer Kraft. Zusätzlich wurde eine anwaltlich betreute Untersuchung eingeleitet, um straf- und datenschutzrechtliche Konsequenzen gegen den Dienstleister zu prüfen, mögliche Organisationsmängel aufzudecken und zeitnah Maßnahmen zur Erhöhung der Informationssicherheit umzusetzen. Alle Beteiligten werden regelmäßig umfassend eingebunden.
Unikliniken in Ulm, Heidelberg, Tübingen melden nun weitere Datenschutzverletzungen
In mehreren Medienberichten wird darauf hingewiesen, dass darüber hinaus auch die Universitätskliniken in Ulm, Heidelberg und Tübingen von ähnlichen Datenpannen betroffen sind. Die Gesamtzahl der beeinträchtigten Patientendatensätze wird mit bis zu 71.000 beziffert. Da unterschiedliche Presseartikel unterschiedliche Zahlen nennen, bleibt die genaue Schadensbilanz unklar. Diese Divergenz unterstreicht die Dringlichkeit, einheitliche Erhebungs- und Meldeprozesse zu implementieren, damit eine belastbare Beurteilung des Vorfallumfangs möglich ist.
Datenschutzverletzungen bei Gesundheitsdaten haben schwerwiegende Folgen für Betroffene unmittelbar
Krankenakten und Abrechnungsdaten fallen unter die besonders schützenswerten personenbezogenen Daten gemäß DSGVO, da sie Rückschlüsse auf den Gesundheitszustand und medizinische Versorgung zulassen. Eine Kompromittierung dieser Informationen führt zu Risiken wie Identitätsdiebstahl, Datenmanipulation, Phishing-Angriffen und Erpressung mit vertraulichen Befunden. Darüber hinaus verlieren Betroffene die Kontrolle über ihre intimen Gesundheitsangaben. Solche Szenarien erfordern umfassende Schutzkonzepte mit Datenschutz-Firewalls, Zugriffsprotokollen und schnellen Incident-Response-Maßnahmen.
Art.82 DSGVO: Ersatz auch ohne direkten materiellen Schaden möglich
Mit Art. 82 DSGVO können Betroffene von Datenschutzverletzungen immaterielle Schäden geltend machen und hierfür eine finanzielle Kompensation verlangen. Typische immaterielle Beeinträchtigungen umfassen Gefühle der Unsicherheit, das Vertrauen in den Datenschutz verloren zu haben, sowie die Angst vor Missbrauch der eigenen Informationen. Sowohl der Europäische Gerichtshof als auch der Bundesgerichtshof haben bestätigt, dass der rein subjektive Verlust der Datenkontrolle bereits ausreicht, um einen Schadenersatzanspruch zu begründen.
Kostenloser Datenschutz-Check: DSGVO-Schadenersatzpotenzial rasch erkennen, individuelle Maßnahmen effizient erarbeiten
Mit dem DSGVO-Online-Check von Stoll&Sauer können Betroffene ohne Kostenaufwand ermitteln, ob sie aufgrund einer Datenschutzverletzung Anspruch auf Schadenersatz haben. Der webbasierte Fragebogen liefert schnell eine umfassende Ersteinschätzung zu Verantwortungsbereichen und empfohlenen Sicherheitsvorkehrungen. Anschließend stellt die Kanzlei praxisgerechte Handlungsempfehlungen zur Verfügung, die bei der Durchsetzung möglicher Ansprüche und der Prävention zukünftiger Datenschutzverstöße unterstützen. Dieses Angebot ist komplett kostenfrei, ohne versteckte Gebühren und stellt keinerlei finanzielles Risiko für die Ratsuchern jederzeit dar.
Mit dem DSGVO-Online-Check von Stoll&Sauer können Patienten nach einem Hackerangriff auf sensible Daten binnen kürzester Zeit ihre rechtlichen Möglichkeiten eruieren. Das Instrument klärt Verantwortlichkeiten auf, bewertet eingetretene Risiken und empfiehlt konkrete Schritte für die Geltendmachung von Schadenersatzansprüchen nach Art.82 DSGVO. Zusätzlich erhalten Betroffene praxisnahe Ratschläge zur besseren Datensicherheit, Überblick über relevante Verfahrensfristen und Hinweise zu Beratungsangeboten. Außerdem stellt das Tool verlinkte Mustertexte für Schriftsätze bereit und Informationen zu möglichen außergerichtlichen Schlichtungsverfahren.
