Uniklinik Freiburg von Datenleck betroffen: Daten von rund 54.000 Patienten gestohlen
Gesundheitsdaten besonders sensibel

22. Mai 2026, 12:20 Uhr · Quelle: LifePR

Foto: LifePR

Internet

Durch einen Cyberangriff auf einen externen Dienstleister sind Daten von rund 54.000 Patienten der Uniklinik Freiburg gestohlen worden.

Lahr, 22.05.2026 (lifePR) - Bei einem Cyberangriff auf einen externen Abrechnungsdienstleister sind Daten von rund 54.000 Patienten des Universitätsklinikums Freiburg entwendet worden. Das Universitätsklinikum Freiburg teilte den Datenschutzvorfall am 21. Mai 2026 mit; betroffen sind nach Klinikangaben vor allem Patienten mit privater Zusatzversicherung sowie Selbstzahler. Dr. Stoll & Sauer bewertet den Vorfall als besonders schwerwiegend, weil in rund 900 Fällen auch Rechnungsdaten betroffen sind, aus denen Informationen zu Diagnose und Behandlungsart hervorgehen können. Betroffene sollten jetzt prüfen lassen, ob ihnen Ansprüche auf Schadenersatz nach der DSGVO zustehen. Die Kanzlei bietet dafür eine kostenlose Ersteinschätzung im DSGVO-Online-Check an.

Cyberangriff trifft externen Dienstleister der Uniklinik Freiburg

Der Angriff richtete sich nach Angaben des Universitätsklinikums Freiburg nicht gegen die Klinik selbst, sondern gegen einen externen Dienstleister. Dieser rechnet für zahlreiche Kliniken in Deutschland Leistungen bei Patienten mit privater Zusatzversicherung sowie bei Selbstzahlern ab. Die Patientenversorgung und die klinischen Systeme der Uniklinik Freiburg waren nach Angaben der Klinik zu keinem Zeitpunkt beeinträchtigt.

Nach aktuellem Stand wurden bei rund 54.000 Patienten der Uniklinik Freiburg sogenannte Stammdaten entwendet. Dazu gehören insbesondere Name, Geburtsdatum und Adresse. In rund 900 Fällen wurden zusätzlich Rechnungsdaten gestohlen. Aus solchen Informationen können sich Rückschlüsse auf Diagnose und Behandlungsart ergeben. In einer einstelligen Zahl von Fällen waren laut Uniklinik auch Kontodaten betroffen.

Der Cyberangriff auf den externen Dienstleister soll nach bisherigen Erkenntnissen Mitte April 2026 erfolgt sein. Das Universitätsklinikum Freiburg stoppte nach Bekanntwerden des Vorfalls die Datenübertragung an den Dienstleister. Die zuständige Datenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik wurden am 16. April 2026 informiert.

Welche Daten beim Datenleck betroffen sind

Für Verbraucher ist der Fall besonders sensibel, weil es nicht nur um einfache Kontaktdaten geht. Sobald Rechnungsdaten Rückschlüsse auf Diagnosen, Behandlungen oder medizinische Leistungen erlauben, können besonders geschützte Gesundheitsdaten betroffen sein. Gerade solche Daten genießen nach der Datenschutz-Grundverordnung einen besonders hohen Schutz.

Nach Angaben der Uniklinik Freiburg umfasst der Datenschutzvorfall insbesondere:

rund 54.000 betroffene Patienten des Universitätsklinikums Freiburg
Stammdaten wie Name, Geburtsdatum und Adresse
rund 900 Fälle mit zusätzlich entwendeten Rechnungsdaten
mögliche Rückschlüsse auf Diagnose und Behandlungsart
eine einstellige Zahl von Fällen mit betroffenen Kontodaten
keine Beeinträchtigung der klinischen Systeme und der Patientenversorgung

Gesundheitsdaten gehören nach Ansicht der Kanzlei zu den sensibelsten personenbezogenen Daten überhaupt. Wenn solche Informationen in falsche Hände geraten, ist das für Betroffene mehr als nur ein technischer Zwischenfall. Patienten müssen jetzt transparent informiert werden und sollten ihre Rechte konsequent prüfen lassen.

Mehrere Universitätskliniken von Cyberangriff betroffen

Der Vorfall betrifft offenbar nicht nur Freiburg. Nach Medienberichten vom 21. Mai 2026 sind auch weitere Universitätskliniken in Baden-Württemberg betroffen, darunter Ulm, Heidelberg und Tübingen. Das Deutsche Ärzteblatt berichtet von mehr als 71.000 betroffenen Patienten der vier Universitätskliniken in Baden-Württemberg. Die Welt nennt rund 61.000 betroffene Patienten der Universitätskliniken Freiburg, Ulm, Heidelberg und Tübingen. Die abweichenden Zahlen zeigen, dass die Aufarbeitung des Vorfalls noch läuft und die Angaben je nach Quelle und Klinikstandort unterschiedlich ausfallen können.

Besonders wichtig bleibt für Betroffene der Blick auf die konkrete Benachrichtigung durch die jeweilige Klinik. Wer ein Informationsschreiben erhält, sollte genau prüfen, welche Daten betroffen sind, wann der Vorfall stattgefunden hat und welche Maßnahmen die Klinik oder der Dienstleister ergriffen haben.

Nach einem Bericht des IT-Blogs Borncity vom 22. Mai 2026 soll es sich bei dem betroffenen Dienstleister um Unimed handeln. Offiziell nennt das Universitätsklinikum Freiburg den Dienstleister in seiner Mitteilung jedoch nicht namentlich. Für die rechtliche Bewertung ist deshalb zunächst entscheidend, welche Stelle für die Datenverarbeitung verantwortlich war, welche technischen und organisatorischen Schutzmaßnahmen bestanden und ob die Betroffenen rechtzeitig und vollständig informiert wurden.

Warum Gesundheitsdaten besonders geschützt sind

Gesundheitsdaten zählen nach der DSGVO zu den besonders sensiblen personenbezogenen Daten. Sie betreffen den intimsten Bereich eines Menschen. Wer behandelt wurde, welche Diagnose gestellt wurde oder welche medizinische Leistung abgerechnet wurde, geht grundsätzlich niemanden etwas an. Gelangen solche Informationen in fremde Hände, kann das für Betroffene erhebliche Folgen haben.

Mögliche Risiken sind unter anderem:

Missbrauch persönlicher Daten für Betrugsversuche
Phishing-Mails oder betrügerische Anrufe mit Bezug auf Klinikaufenthalte
Identitätsmissbrauch
Erpressungsversuche bei besonders sensiblen Diagnosen
Kontrollverlust über intime Gesundheitsinformationen
Sorge vor Veröffentlichung oder Weitergabe der Daten

Gerade bei medizinischen Daten kann bereits der Kontrollverlust eine erhebliche Belastung darstellen. Betroffene wissen häufig nicht, wer die Informationen besitzt, ob sie weiterverkauft wurden oder ob sie später für Betrugsversuche genutzt werden.

Schadenersatz nach DSGVO prüfen lassen

Nach Art. 82 DSGVO können Betroffene Anspruch auf Schadenersatz haben, wenn ihnen durch einen Datenschutzverstoß ein materieller oder immaterieller Schaden entstanden ist. Ein solcher immaterieller Schaden kann etwa in Angst, Sorge, Kontrollverlust oder dem Gefühl bestehen, dass sensible Daten nicht mehr geschützt sind.

Der Europäische Gerichtshof hat in mehreren Entscheidungen die Rechte von Verbrauchern bei Datenschutzverstößen gestärkt. Auch der Bundesgerichtshof hat klargestellt, dass der Verlust der Kontrolle über personenbezogene Daten einen ersatzfähigen immateriellen Schaden darstellen kann. Damit kommt es für Betroffene nicht allein darauf an, ob bereits ein konkreter finanzieller Schaden entstanden ist.

Im Fall der Uniklinik Freiburg stellen sich aus Sicht von Dr. Stoll & Sauer insbesondere folgende Fragen:

Welche Daten waren konkret betroffen?
Wurden auch Gesundheitsdaten oder Rechnungsdaten entwendet?
Wann wurden Klinik und Dienstleister über den Angriff informiert?
Wann wurden die Patienten informiert?
Welche Schutzmaßnahmen hatte der Dienstleister umgesetzt?
Wurde der Dienstleister von der Klinik ausreichend kontrolliert?
Welche Risiken bestehen für die betroffenen Patienten?
Kommen Schadenersatzansprüche nach Art. 82 DSGVO in Betracht?

Betroffene sollten Schreiben der Klinik oder des Dienstleisters sorgfältig aufbewahren. Wichtig sind auch verdächtige E-Mails, SMS, Anrufe oder sonstige Hinweise auf einen möglichen Missbrauch der Daten. Dr. Stoll & Sauer bietet eine kostenlose Ersteinschätzung im DSGVO-Online-Check an.

Verbraucher & Recht / Datenschutz / Cyberangriff / Universitätsklinikum Freiburg / Gesundheitsdaten / DSGVO / Schadenersatz
[lifepr.de] · 22.05.2026 · 12:20 Uhr
[0 Kommentare]