71.000 Patienten: Datenklau bei BW-Unikliniken

Mitte April 2026 drangen Hacker in die Systeme der Unimed GmbH ein, eines Saarländer Abrechnungsdienstleisters für Privatpatienten. Was sie entwendeten, betrifft über 71.000 Menschen: Patientendaten aus vier Universitätskliniken in Baden-Württemberg. Freiburg, Heidelberg, Tübingen und Ulm erfuhren von dem Angriff wochenlang nichts Definitives. Öffentlich wurde der Vorfall erst am 21. Mai, fünf Wochen nach dem Einbruch.

Ein Dienstleister, vier Kliniken: Wie Unimed zum Ziel wurde

Unimed GmbH mit Sitz im Saarland ist kein Krankenhaus und kein Krankenversicherer. Das Unternehmen übernimmt für Kliniken die Abrechnung gegenüber Privatpatienten, also Menschen, die mit ihrer privaten Krankenversicherung direkt abrechnen, deren Behandlungskosten einzeln in Rechnung gestellt werden und die dafür ihre Bankdaten hinterlegen müssen. Wer als Privatpatient in Freiburg oder Heidelberg behandelt wurde, hat mit hoher Wahrscheinlichkeit nie direkt mit Unimed zu tun gehabt. Trotzdem lagen dort seine Daten.

Dieses Outsourcing-Modell ist im deutschen Gesundheitswesen verbreitet: Kliniken lagern Abrechnungsprozesse an spezialisierte Dienstleister aus, weil die Privatpatientenabrechnung komplex und arbeitsintensiv ist. Das spart Kosten, schafft aber eine neue Angriffsfläche. Nicht die Kliniken mit ihren IT-Abteilungen, sondern ein externes Unternehmen hält die Patientendaten vor.

Nach aktuellem Stand sind betroffen: rund 54.000 Patienten der Uniklinik Freiburg, rund 11.000 in Heidelberg, rund 5.000 in Tübingen und rund 1.600 in Ulm. Die Gesamtzahl liegt bei über 71.000 Datensätzen.

Erst stehlen, dann verschlüsseln: Das Angriffsmuster

Die Angreifer verfolgten ein in der Ransomware-Szene verbreitetes Verfahren: Zuerst werden Daten aus dem System exfiltriert, dann soll die Verschlüsselung den Druck erhöhen. Unimed gelang es, die Verschlüsselung abzuwehren, die IT-Systeme und der Abrechnungsbetrieb liefen kurz nach dem Angriff wieder. Dieser Abwehrerfolg ändert nichts daran, dass die Daten bereits vorher außer Haus waren.

Gestohlen wurden laut Kliniken Stammdaten wie Name, Geburtsdatum und Adresse. In vielen Fällen kamen Rechnungsdaten hinzu, also Informationen über Behandlungen, Diagnoseschlüssel und Abrechnungsbeträge. Besonders heikel: In zahlreichen Fällen wurden auch Kontonummern entwendet. Bei einem Teil der Freiburger Patienten umfassten die gestohlenen Daten zusätzlich ausführliche klinische Informationen, etwa Arztbriefe oder Befundberichte , die weit über die bloßen Abrechnungscodes hinausgehen.

Ein Name für die Hackergruppe liegt bislang nicht vor. Die Kliniken prüfen rechtliche Schritte gegen Unimed. Strafanzeige wurde erstattet, Ermittlungen laufen.

Fünf Wochen zwischen Angriff und Meldung

Der Angriff fand Mitte April statt. Öffentlich bekannt gemacht wurde er am 21. Mai. Diese Lücke von fünf Wochen ist erklärungsbedürftig. Die Datenschutz-Grundverordnung (DSGVO) schreibt in Artikel 33 vor, dass Verantwortliche eine Datenpanne der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden melden müssen, sobald sie von ihr Kenntnis erlangen. Unimed und die Kliniken haben die Datenschutzbehörde Baden-Württemberg nach eigenen Angaben benachrichtigt, wann genau, wurde nicht mitgeteilt.

Die verzögerte öffentliche Kommunikation an die Patienten ist rechtlich unter Umständen separat zu bewerten. Artikel 34 DSGVO verlangt die direkte Benachrichtigung Betroffener, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht. Ob das bei Kontodaten und Diagnoseinformationen der Fall ist, bejahen Datenschutzrechtler typischerweise klar. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg prüft den Vorgang.

Im deutschen Gesundheitswesen ist dieser Vorfall kein Einzelfall. 2016 legte ein Ransomware-Angriff das Lukaskrankenhaus in Neuss wochenlang lahm, 2020 traf es das Universitätsklinikum Düsseldorf so schwer, dass Notfallpatienten umgeleitet werden mussten. Krankenhäuser, Labore und Abrechnungsdienstleister melden seitdem mit wachsender Frequenz Datenpannen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinen Jahresberichten wiederholt: Gesundheitseinrichtungen gehören zu den bevorzugten Zielen organisierter Cyberkriminalität. Der Angriff auf Unimed folgt diesem Muster: nicht die Klinik direkt, sondern die weniger gesicherte Peripherie.

Was Betroffene jetzt konkret tun sollten

Wer als Privatpatient in einer der vier Unikliniken behandelt wurde und eine Rechnung über Unimed erhalten hat, muss damit rechnen, zu den rund 71.000 Betroffenen zu zählen. Die Kliniken wollen die Patienten direkt anschreiben. Wer nicht warten will, kann sich an die jeweilige Uniklinik wenden.

Kurzfristig empfehlen Datenschutzexperten folgende Schritte: Kontoauszüge der nächsten Wochen genau prüfen, insbesondere auf unbekannte kleine Abbuchungen, ein gängiges Vorwarnsignal für Kontomissbrauch. Phishing-Mails, die sich auf eine medizinische Behandlung beziehen, sind ein wahrscheinliches Angriffsmuster, weil die Täter genau wissen, welche Krankenhäuser betroffen sind. Wer eine solche Mail erhält, sollte sie nicht öffnen und als Phishing-Versuch melden.

Für die Kliniken selbst ist die Frage, wie viel Kontrolle sie über externe Dienstleister ausüben können und müssen, politisch brisant. Für Unimed ist der Ausgang des Verfahrens offen: sowohl die behördliche Prüfung durch den Datenschutzbeauftragten als auch mögliche Schadensersatzklagen der Patienten.