Während eines gezielten Hackerangriffs im April 2026 auf den externen Abrechnungsdienstleister Unimed wurden Stammdaten von rund 54.000 Patientinnen und Patienten der Uniklinik Freiburg entwendet. In etwa 900 Fällen umfassten die gestohlenen Datensätze zusätzlich detaillierte Rechnungsinformationen mit Diagnosebezug. Die Klinik stoppte die Übertragung sofort, meldete den Vorfall den zuständigen Behörden und bietet Betroffenen einen kostenlosen Online-Check der Kanzlei Stoll&Sauer, um Ansprüche auf Schadenersatz nach Artikel 82 DSGVO zu prüfen.
Inhaltsverzeichnis: Das erwartet Sie im Artikel
Landesdatenschutzbehörde und BSI informierte Freiburg direkt umgehend nach Cyberangriff
Ersten Berichten zufolge fand Mitte April 2026 ein Hackerangriff auf Unimed statt, den externen Partner der Uniklinik Freiburg für die Abrechnung privat Zusatzversicherter und Selbstzahler. Am 21. Mai 2026 meldete das Universitätsklinikum Freiburg den Vorfall und stoppte sofort die Datenweiterleitung an Unimed. Die Klinik betont, dass Patientenversorgung und klinische Infrastruktur vollumfänglich intakt blieben. Ein begleitendes Review der internen Sicherheitsrichtlinien wurde eingeleitet.
Abrechnungsdienstleister Unimed gerät nach Cybervorfall in erhebliche rechtliche Kritik
In einer Pressemitteilung war zu lesen, dass rund 54.000 Patientendaten von einem externen Abrechnungsdienstleister gestohlen wurden. Hierzu zählen grundlegende Informationen wie Name, Geburtsdatum und Anschrift. Darüber hinaus erbeuteten Täter in rund 900 Fällen Abrechnungsunterlagen, welche genaue Einblicke in Diagnosen und erbrachte Behandlungen geben. Ferner gab es vereinzelt Datenabfluss von Kontodaten. Die Klinik sagte, sie habe sofort reagiert, Dienstleister gewechselt und betroffene Personen sowie Aufsichtsbehörden informiert. Rechtliche Schritte wurden umgehend geprüft.
Uniklinik Freiburg wendet nach Vorfall an BSI und Datenschutzbehörde
Nach Aufdecken eines möglichen Cybervorfalls am 16. April 2026 alarmierte das Universitätsklinikum Freiburg schnellstmöglich die Landesdatenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und stoppte die Datenlieferung an Unimed. Anschließend wurden spezialisierte Teams beauftragt, straf- und datenschutzrechtliche Sachverhalte zu prüfen und rechtliche Handlungsempfehlungen auszuarbeiten. Ziel ist es, juristische Maßnahmen gegen den externen Dienstleister zu prüfen und die internen Sicherheitsstandards nachhaltig zu konsolidieren transparente Kommunikationswege einzurichten und regelmäßige Audits.
Presse berichtet über höchstens 71000 betroffene Klinikpatienten in Baden-Württemberg
Nach aktuellen Berichten aus der Presse zählen auch die Universitätskliniken in Ulm, Heidelberg und Tübingen zu den Stationen, die von Cyberangriffen betroffen sind. Die Berichterstattung geht von bis zu 71.000 kompromittierten Patientendatensätzen aus. Unterschiedliche Fallzahlen zwischen den Artikeln lassen jedoch darauf schließen, dass es bisher keine einheitliche Bestandsaufnahme gibt. Um valide Erkenntnisse über das tatsächliche Ausmaß zu gewinnen, sind standardisierte Erhebungs- und Dokumentationsprozesse dringend notwendig.
Beispiele von Universitätskliniken belegen Ausmaß aktueller Cybervorfälle deutlich eindrücklich
Die DSGVO klassifiziert Gesundheitsdaten als besonders sensible personenbezogene Daten, weil sie Aufschluss über Diagnosen, Therapien und Krankheitsverläufe geben. Rechnungsdaten können darüber hinaus genaue Informationen zu erbrachten Leistungen und Kosten liefern. Ein Datenleck dieser kombinierten Datenbestände eröffnet Cyberkriminellen vielfältige Angriffsflächen - von Identitätsdiebstahl über gezielte Phishing-Kampagnen bis hin zu Erpressungsversuchen mit sensiblen Patientendaten. Ein lückenloses Sicherheitskonzept mit Verschlüsselung, Zugriffsbeschränkungen und ständigen Prüfungen ist daher unverzichtbar.
Geltendmachung immaterieller Schäden nach Datenschutzverstoß jetzt rechtlich klar definiert
Gemäß Artikel 82 der EU-Datenschutzgrundverordnung haben Betroffene das Recht, immaterielle Schäden durch Datenschutzverletzungen geltend zu machen. Dieser Anspruch umfasst psychische Belastungen wie Angstzustände, Stress durch den Kontrollverlust und Sorgen um die Privatsphäre. Europäischer Gerichtshof und Bundesgerichtshof bestätigten, dass bereits der bloße Verlust der Datenkontrolle als eigenständiger immaterieller Schaden zählt. Ein wirtschaftlicher Schaden muss dafür nicht nachgewiesen werden; die Verletzung der Datensouveränität genügt.
Stoll&Sauer ermöglicht kostenlosen DSGVO-Check: Analyse von Ansprüchen und Verantwortlichkeiten
Die Kanzlei Stoll&Sauer gewährt mit ihrem kostenlosen DSGVO-Online-Check Betroffenen eine schnelle Ersteinschätzung möglicher Schadenersatzansprüche nach Datenschutzverletzungen. Innerhalb von Minuten erfahren Nutzer, wer haftbar sein könnte und welche Sicherheitsmaßnahmen sinnvoll sind. Darauf aufbauend erhalten sie spezifische Empfehlungen, um Ansprüche juristisch durchzusetzen und Datenschutzverfahren nachhaltig zu optimieren. Das Angebot ist kostenfrei, ohne versteckte Gebühren und ohne finanzielle Verpflichtungen. Interessenten können den Service jederzeit ohne Risiko und ohne zusätzliche Kosten nutzen. absolut kostenlos.
Betroffene, deren private und medizinische Daten im Rahmen eines Cybervorfalls kompromittiert wurden, können den DSGVO-Online-Check von Stoll&Sauer kostenlos nutzen, um erste rechtliche Schritte zu planen. In einem interaktiven Fragebogen werden Verantwortlichkeiten geklärt, Risiken bewertet und mögliche Schadenshöhen ermittelt. Danach erhalten Patienten konkrete Handlungsempfehlungen für Schadenersatzverfahren nach Art.82 DSGVO sowie Hinweise zu Fristen, Beweissicherung und externen Beratungsangeboten spezialisierter Rechtsanwälte. Außerdem beinhaltet das Tool Links zu Urteilen, Mustertexten und Kontaktdaten von Datenschutzexperten.
