Bei einem Cyberangriff auf einen externen Dienstleister sind verschiedene Daten von rund 61.000 Patientinnen und Patienten der Universitätskliniken Freiburg, Ulm, Heidelberg und Tübingen entwendet worden. Das teilten die Kliniken mit. Das Ausmaß der gestohlenen Daten ist unterschiedlich. Klinische Systeme und die Patientenversorgung waren zu keinem Zeitpunkt beeinträchtigt.
Zehntausende Datensätze betroffen
Am Universitätsklinikum Freiburg sind nach aktuellem Stand rund 54.000 Patienten mit privater (Zusatz-)Versicherung oder Selbstzahlerstatus betroffen. In diesen Fällen wurden laut Klinikum Stammdaten wie Name, Geburtsdatum und Adresse entwendet. In etwa 900 Fällen wurden zusätzlich Rechnungsdaten abgegriffen, aus denen sich auch Informationen zu Diagnosen und Behandlungsarten ableiten lassen können. In einer einstelligen Zahl von Fällen waren darüber hinaus auch Kontodaten betroffen.
Auch das Universitätsklinikum Ulm meldet Datendiebstahl: Dort wurden nach eigenen Angaben Daten von rund 1600 Patienten mit Wahlleistungen gestohlen, die in den vergangenen zehn Jahren behandelt wurden. Neben Stammdaten betrifft dies in etwa 300 Fällen auch abrechnungsrelevante Informationen, die ebenfalls Rückschlüsse auf medizinische Informationen zu Diagnose und Behandlungsart zulassen.
In Tübingen wurden Gesundheitsdaten von rund 1200 Menschen mit privater (Zusatz-)Versicherung gestohlen. Darunter sind Inhalte aus Patientenakten, Diagnosen, Diagnosecodes sowie sonstige konkrete Angaben zu Erkrankungen, Behandlungen oder Gesundheitsverläufen. Dies ermögliche Aussagen über den Gesundheitszustand der Person. Vom Klau allgemeiner Finanzdaten seien 3.800 Menschen betroffen, teilte das Uniklinikum mit.
Angriff Mitte April – verzögerte Details
Nach bisherigen Erkenntnissen ereignete sich der Cyberangriff Mitte April 2026, das zumindest habe der externe Dienstleister bekannt gegeben. Die Kliniken reagierten unmittelbar nach Bekanntwerden: Die Datenübermittlung an den externen Dienstleister wurde gestoppt, gleichzeitig wurden umfassende Informationen eingefordert.
Die zuständigen Datenschutzaufsichtsbehörden sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden in beiden Fällen zeitnah informiert – in Freiburg etwa bereits am 16. April. Das konkrete Ausmaß des Datenabflusses sei den Kliniken jedoch erst am 18. Mai belastbar mitgeteilt worden. Erst nach interner Prüfung erfolgte nun die Information der Öffentlichkeit.
Prüfung rechtlicher Schritte
„Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt. Ihr Diebstahl ist ein schwerwiegender Eingriff für die Betroffenen“, betont Prof. Frederik Wenz, Leitender Ärztlicher Direktor des Universitätsklinikums Freiburg. Die Einrichtung fordert eine lückenlose Aufklärung vom Dienstleister und prüfe rechtliche Schritte.
Der Diebstahl von Gesundheitsdaten stellt für die Betroffenen einen gravierenden Eingriff dar, da es sich um äußerst sensible Informationen handelt.
Eine ähnliche Einschätzung kommt aus Ulm: „Der Diebstahl von Gesundheitsdaten stellt für die Betroffenen einen gravierenden Eingriff dar, da es sich um äußerst sensible Informationen handelt“, sagt Prof. Udo X. Kaisers, Leitender Ärztlicher Direktor und Vorstandsvorsitzender der Uniklinik Ulm. Auch hier wird eine vollständige Transparenz seitens des Dienstleisters eingefordert, „Rechtliche Schritte behalten wir uns vor“, so Kaisers.
Betroffene werden informiert
Die Kommunikation gegenüber Betroffenen läuft bereits an. In Freiburg sollen Patienten, bei denen Hinweise auf den Diebstahl von Gesundheitsdaten bestehen, zeitnah kontaktiert werden. Das Universitätsklinikum Ulm hat ebenfalls angekündigt, betroffene Personen schriftlich zu informieren und eine Anlaufstelle für Rückfragen einzurichten.
Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!
Jetzt einloggen