Ein Cybervorfall bei Unimed, dem externen Abrechnungsdienstleister der Uniklinik Freiburg, führte Mitte April 2026 zum Abfluss von Stammdaten von rund 54.000 Patienten. In rund 900 Fällen wurden darüber hinaus Rechnungsdaten mit sensiblen Diagnosehinweisen entwendet. Die Klinik stoppte umgehend die Übertragung, informierte das Bundesamt für Sicherheit in der Informationstechnik sowie die Datenschutzbehörden und stellt Betroffenen einen kostenlosen DSGVO-Online-Check von Stoll&Sauer zur Verfügung, um mögliche Schadensersatzforderungen nach Art. 82 DSGVO zu überprüfen.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Freiburg: Klinische Systeme unbetroffen trotz erbeuteter Patientendaten bei Unimed-Angriff
Nach vorliegenden Informationen zielte der Angriff Mitte April 2026 auf den externen Abrechnungsdienstleister Unimed ab, der für die Universitätsklinik Freiburg Leistungen privater Zusatzversicherter und Selbstzahler abrechnet. Am 21. Mai 2026 informierte das Klinikum Freiburg über den Vorfall und stoppte umgehend alle Datenströme zu Unimed. Nach eigener Auskunft sind weder Patientenversorgung noch die klinischen Systeme in Mitleidenschaft gezogen worden. Ein Krisenteam leitete umgehend weitergehende Sicherheitsprüfungen ein.
Sensible Rechnungsinformationen von rund 900 Patienten im Cyberangriff betroffen
Die Verantwortlichen der Klinik meldeten, dass in einem Angriff sensible Stammdaten von circa 54.000 Patienten kompromittiert wurden. Hierzu zählten Angaben wie vollständiger Name, Geburtsdatum und aktuelle Adresse. Darüber hinaus wurden etwa in 900 Fällen Rechnungsdaten ausgelesen, die detaillierte Hinweise auf Diagnosen, Therapiearten und stationäre Abläufe enthalten. Darüber hinaus existieren Berichte über vereinzelt kompromittierte Kontoverbindungen einer kleinen Patientengruppe. Eine eingehende Prüfung und rechtliche Bewertung ist umfassend und zügig im Gange.
Freiburg informiert Datenschutzbehörde, BSI und setzt umgehend Unimed-Datenübertragung aus
Nach Identifikation eines unautorisierten Zugriffs auf Patientendaten am 16. April 2026 reagierte das Universitätsklinikum Freiburg umgehend, indem es den Vorfall sowohl der zuständigen Landesdatenschutzbehörde als auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete und die Datenübertragung an den externen Abrechnungsdienstleister Unimed vorerst einstellte. Parallel wird aktuell eine vertiefte rechtliche Prüfung aller relevanten Aspekte durchgeführt, um straf- und datenschutzrechtliche Schritte gegen Unimed zu erwägen und interne Sicherheitsstrukturen zu optimieren.
Cyberangriffe in Baden-Württemberg: Ulm, Heidelberg und Tübingen nun betroffen
Nach Angaben diverser Presseportale wurden in Ulm, Heidelberg und Tübingen stationierte Universitätskliniken Ziel von vergleichbaren Cyberangriffen, bei denen möglicherweise bis zu 71.000 Patienten betroffen sind. Die berichterstatteten Fallzahlen variieren je nach Quelle erheblich. Diese Uneinheitlichkeit der Angaben erschwert die sachgerechte Einschätzung des tatsächlichen Schadenumfangs. Für eine verlässliche Analyse müssten Verantwortliche eine gemeinsame Datengrundlage schaffen und standardisierte Verfahren zur Erhebung und Prüfung der Vorfallsdetails etablieren.
Rechnungsinformationen ermöglichen ausführlich Rückschlüsse auf Diagnosen, Behandlungsarten und Therapieverläufe
Gesundheitsdaten genießen nach der Datenschutzgrundverordnung einen erhöhten Schutzstatus, da sie sehr persönliche Informationen enthalten. Rechnungsdaten können dabei als indirekte Quelle für Diagnosen und Behandlungsinformationen dienen. Bei einer unbefugten Offenlegung dieser Daten drohen Betroffenen Identitätsdiebstahl, gezielte Phishing-E-Mails, finanzielle Erpressung und ein nachhaltiger Kontrollverlust über ihre sensiblen Gesundheitsunterlagen. Um diese Gefahren zu reduzieren, ist ein mehrschichtiges Sicherheitskonzept mit strenger Authentifizierung, Datenverschlüsselung und kontinuierlichem Monitoring unabdingbar.
Immaterielle Schäden durch Datenleck: DSGVO sichert Betroffenen den Ersatzanspruch
Die DSGVO eröffnet in Artikel 82 die Möglichkeit, Entschädigung für psychische Belastungen infolge einer Datenschutzverletzung zu erhalten. Hierbei werden insbesondere Gefühle von Angst, Frustration und das Bewusstsein des Kontrollverlusts über sensible Daten als ersatzfähige immaterielle Schäden anerkannt. Der Europäische Gerichtshof und der Bundesgerichtshof betonen ausdrücklich, dass ein finanzieller Nachweis nicht erbracht werden muss. Allein der faktische Kontrollverlust über persönliche Informationen genügt bereits, um einen Anspruch zu begründen.
Gratis DSGVO-Überprüfung online: Stoll&Sauer prüft Ansprüche, Verantwortlichkeiten und Risiken
Der gebührenfreie DSGVO-Online-Check von Stoll&Sauer ermöglicht Betroffenen eine zügige Ersteinschätzung zu potenziellen Schadenersatzansprüchen nach Datenschutzvorfällen. In nur wenigen Schritten erfahren Nutzer, wer verantwortlich sein könnte und welche Schutzmaßnahmen dringend empfohlen werden. Darauf aufbauend offeriert die Kanzlei konkrete Handlungsanweisungen zur juristischen Durchsetzung ihrer Rechte und zur Prävention zukünftiger Verstöße. Dieses Servicepaket ist vollständig kostenfrei, ohne versteckte Gebühren und ohne jegliches finanzielles Risiko für die Ratsuchern. Es entstehen absolut keinerlei zusätzliche Kosten.
Der kostenfreie DSGVO-Online-Check von Stoll&Sauer bietet eine systematische Erstbewertung nach einem datenschutzbezogenen Sicherheitsvorfall, bei dem Patientendaten betroffen sind. Innerhalb kurzer Zeit erfahren Interessierte, wer für den Vorfall verantwortlich ist, welche Risiken dadurch entstehen und welche rechtlichen Schritte unmittelbar einzuleiten sind. Das Tool unterstützt Betroffene dabei, Schadenersatzansprüche gemäß der europäischen Datenschutzgrundverordnung effektiv zu prüfen und informiert zugleich über präventive Maßnahmen zur Stärkung des Datenschutzes. Zudem erfolgt Information zu Fristen und Beweissicherung.
