Bei einem Cyberangriff Mitte April 2026 auf den externen Abrechnungsdienst Unimed wurden die Stammdaten von rund 54.000 Patientinnen und Patienten der Uniklinik Freiburg kompromittiert. In knapp 900 Fällen erlangten Täter auch Rechnungsdaten mit Rückschlüssen auf Diagnosen. Die Klinik stoppte die Datenübermittlung unverzüglich und meldete den Vorfall den zuständigen Behörden. Interessierte Betroffene können nun über den kostenfreien DSGVO-Online-Check von Stoll&Sauer prüfen, ob sie Schadenersatz gemäß Artikel 82 DSGVO fordern sollten.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Klinische IT-Systeme unversehrt, Datenschutzvorfall betrifft laut Klinik nur Abrechnungsdaten
Mitte April 2026 zielte ein Cyberangriff nach bisherigen Erkenntnissen auf Unimed ab, den externen Abrechnungsdienstleister für privat Zusatzversicherte und Selbstzahler der Uniklinik Freiburg. Das Universitätsklinikum Freiburg meldete den Vorfall am 21. Mai und unterband umgehend sämtliche Datenflüsse zu Unimed. Nach Angaben der Klinik blieben sowohl Patientenversorgung als auch sämtliche klinischen Systeme unbeschadet. Ein technisches Krisenteam begann unmittelbar mit der forensischen Analyse.
Klinische Systeme unberührt, doch dennoch 54000 Patientendaten wurden betroffen
Nach internen Hinweisen wurden im April personenbezogene Stammdaten von rund 54.000 Patienten gestohlen. Erfasst sind insbesondere Name, Geburtsdatum und Adresse. In ca. 900 Fällen erlangten Täter zudem Zugang zu Abrechnungsunterlagen, die detaillierte Hinweise auf Diagnosen und erbrachte Therapieleistungen liefern. Eine kleine Anzahl von Datensätzen enthielt außerdem Bankverbindungen. Die Klinik informierte die Datenschutzbehörden zeitnah, unterbrach den Datenexport und bietet Betroffenen ab sofort Hilfestellungen an. Patienten werden umgehend kostenlos kompetent individuell beraten.
Unimed-Dienst gestoppt: Klinik prüft mögliche rechtliche Haftung und Datenschutzverletzung
Unmittelbar nach dem Angriff am 16. April 2026 informierte das Universitätsklinikum Freiburg umgehend die zuständige Landesdatenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und setzte alle Datenströme zum externen Dienstleister Unimed ab. Parallel dazu eingeleitete juristische Prüfungen beschäftigen sich aktuell mit straf- und datenschutzrechtlichen Bewertungskriterien, um sowohl zivilrechtliche Ansprüche geltend zu machen als auch technische sowie organisatorische Schwachstellen langfristig auszumerzen intern teamübergreifend dokumentiert evaluiert und ex-post geprüft werden.
Schadenshöhe regional aktuell ungewiss: Presseschätzungen zu Klinikdatendiebstahl stark schwankend
Aus Presseberichten geht hervor, dass neben der Uniklinik Freiburg auch die Universitätskliniken in Ulm, Heidelberg und Tübingen Cybervorfälle erlitten, bei denen möglicherweise bis zu 71.000 Datensätze kompromittiert wurden. Die verschiedenen Berichte liefern dabei unterschiedliche Zahlen, was auf uneinheitliche Ermittlungsstände schließen lässt. Diese Inkonstanz erschwert eine verlässliche Einschätzung des Gesamtschadens. Verantwortliche Behörden sollten deshalb klare Richtlinien zur Datenerhebung und Berichterstattung etablieren, um Transparenz zu garantieren.
Medizinische Datenlecks erfordern sofortiges Handeln von Klinik und Datenschutzbehörden
Gemäß DSGVO besitzen Gesundheitsdaten den Status besonders schützenswerter personenbezogener Daten, da sie Aufschluss über Krankheitsverläufe und Therapien geben. Neben diesen Daten können Rechnungsunterlagen wichtige Informationen zu Diagnosen und erbrachten Leistungen liefern. Ein Datenleck bietet Cyberkriminellen die Möglichkeit, Identitäten zu stehlen, Phishing-Attacken zu starten und Erpressungsversuche mit persönlichen Gesundheitsdaten durchzuführen. Betroffene verlieren somit die Kontrolle über ihre sensiblen Informationen. Deshalb sind umfassende Schutzmaßnahmen wie Verschlüsselung und Zugriffsbeschränkungen notwendig.
Angst und Sorge als immaterieller Schaden laut DSGVO anerkannt
Gemäß Art. 82 DSGVO können Betroffene entgangene Sicherheitsempfindungen entschädigt bekommen, wenn ihre personenbezogenen Daten kompromittiert wurden. Immaterielle Schäden wie Furcht vor Missbrauch, Stress durch fehlende Kontrolle und Sorgen um die persönliche Privatsphäre sind dabei anerkannt. Höchstrichterliche Entscheidungen des Europäischen Gerichtshofs und Bundesgerichtshofs bestätigen, dass der bloße Verlust der Datenkontrolle ausreicht, um einen Anspruch auf Schadenersatz zu begründen, ohne dass ein konkreter finanzieller Schaden nachgewiesen werden muss.
Gratis Datenschutz-Analyse online von Stoll&Sauer: DSGVO-Ansprüche prüfen und umsetzen
Über den DSGVO-Online-Check der Anwaltskanzlei Stoll&Sauer können Betroffene unkompliziert und kostenfrei herausfinden, ob sie nach einer Datenschutzpanne Anspruch auf Schadenersatz haben. Nach Eingabe relevanter Daten erfolgt direkt eine qualifizierte Ersteinschätzung zu Verantwortungsbereichen sowie notwendigen technischen und organisatorischen Maßnahmen. Im Anschluss erhalten Nutzer konkrete Empfehlungen, um ihre Rechte durchzusetzen und zukünftige Datenschutzvergehen zu verhindern. Das gesamte Angebot wird ohne jegliche Gebühren, ohne versteckte Kosten und ohne Risiko bereitgestellt, jederzeit absolut nutzbar.
Mit dem DSGVO-Online-Check von Stoll&Sauer können Betroffene nach einem datenschutzrelevanten Vorfall kostenlos ihre möglichen Schadenersatzansprüche prüfen lassen. Das online verfügbare Tool analysiert Verantwortlichkeiten, bewertet eventuelle Schäden und liefert Handlungsvorschläge für die Einreichung von Klagen gemäß Art.82 DSGVO. Gleichzeitig erhalten Nutzer praxiserprobte Empfehlungen zur Beweissicherung, einen Überblick über Verfahrensfristen sowie Hinweise zu Angeboten spezialisierter Anwaltskanzleien im Bereich Datenschutz und Cybersecurity. Zudem zeigt das Formular relevante Rechtsnormen und verweist auf hilfreiche Hintergrundinformationen.
