Was beim Unimed-Angriff wirklich passiert ist
Unimed ist ein Abrechnungsdienstleister mit Sitz in Wadern (Saarland). Das Unternehmen rechnet privatärztliche Leistungen für Kliniken und Chefärzte ab und betreut nach eigenen Angaben 95 Prozent aller Universitätskliniken in Deutschland. Am 14. April 2026 drangen Angreifer in die Systeme ein.
Ihr Ziel war eine klassische Doppel-Erpressung: erst Daten stehlen, dann verschlüsseln und doppelt Lösegeld verlangen. Die Verschlüsselung wurde verhindert. Der Datendiebstahl nicht.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die zuständige Datenschutzbehörde wurden am 16. April 2026 informiert. Erst am 18. Mai 2026 – mehr als vier Wochen später – konnte das Universitätsklinikum Freiburg das vollständige Ausmaß des Schadens einschätzen. Am 21. Mai informierte es die Öffentlichkeit.
Kennzahlen auf einen Blick:
| Kennzahl | Quelle |
| Mehr als 120.000 betroffene Patientendatensätze | Universitätskliniken Freiburg, Köln, Heidelberg, Ulm, Tübingen u. a. (Mai 2026) |
| 54.000 betroffene Patienten allein am Uniklinikum Freiburg | Pressemitteilung Uniklinikum Freiburg, 21. Mai 2026 |
| Durchschnittlicher Schaden je Datenpanne in Deutschland: 4,9 Mio. EUR | Check Point Software / IBM, Frühjahr 2026 |
| Cyberangriffe im DACH-Raum 2025: +124 % gegenüber Vorjahr | Check Point Software, Mai 2026 |
| 1.041 angezeigte Ransomware-Angriffe in Deutschland 2025 (+10 %) | BKA Bundeslagebild Cybercrime 2025 |
Das Besondere an diesem Fall: Nicht nur einfache Kontaktdaten sind betroffen. In rund 1.500 Fällen wurden nach NDR-Recherchen auch Inhalte aus Patientenakten abgegriffen. Das sind Gesundheitsdaten – die nach Artikel 9 DSGVO als besonders schützenswerte Datenkategorie gelten und das höchste Schutzniveau erfordern.
Warum die Kliniken trotzdem verantwortlich sind
Viele Unternehmen – nicht nur im Gesundheitswesen – glauben: „Wenn der Dienstleister gehackt wird, ist der Dienstleister schuld.“ Das ist falsch.
Die DSGVO kennt den Begriff des Auftragsverarbeiters (Art. 28 DSGVO). Wer personenbezogene Daten an einen externen Dienstleister weitergibt – einen Steuerberater, ein Rechenzentrum, einen Abrechnungsdienstleister wie Unimed – bleibt selbst der Verantwortliche. Der Dienstleister verarbeitet die Daten nur im Auftrag.
Das bedeutet: Die Kliniken sind im Verhältnis zu den betroffenen Patienten verantwortlich. Sie müssen die Datenpanne melden. Sie müssen die Betroffenen informieren. Sie müssen nachweisen, dass sie den Dienstleister sorgfältig ausgewählt und vertraglich gebunden haben. Tun sie das nicht, drohen DSGVO-Schadensersatzklagen – wie reale Fälle bereits zeigen
Unimed hatte bis kurz vor dem Vorfall auf der eigenen Website damit geworben, beim Datenschutz „regelgerecht auf der Grundlage der DSGVO“ zu arbeiten – mit Volljuristen im eigenen Haus und strengen Compliance-Maßstäben. Der Angriff hat gezeigt, was solche Formulierungen ohne gelebte Praxis wert sind.
Und noch etwas: Der Vorfall bei Unimed ist kein Problem der Krankenhäuser allein. Jedes Unternehmen, das Kundendaten, Mitarbeiterdaten oder Lieferantendaten an externe Dienstleister weitergibt, trägt dieselbe Verantwortung.
Was aus einem Datensicherheitsvorfall automatisch folgt
Der Unimed-Fall zeigt eine Kausalkette, die viele Unternehmen unterschätzen: Ein Datensicherheitsvorfall wird automatisch zum Datenschutzvorfall, sobald personenbezogene Daten betroffen sind mit realen rechtlichen und finanziellen Konsequenzen.
Und dann greifen sofort Pflichten:
- Meldung an die zuständige Datenschutzbehörde binnen 72 Stunden (Art. 33 DSGVO)
- Information der Betroffenen, wenn ein hohes Risiko für ihre Rechte besteht (Art. 34 DSGVO)
- Dokumentation des Vorfalls und der getroffenen Maßnahmen
- Prüfung des Auftragsverarbeitungsvertrags und der vereinbarten Sicherheitsstandards
Vier Wochen, bis das vollständige Ausmaß bekannt war: Das ist kein schlechter Wille, sondern fehlende Vorbereitung. Wer keinen IT-Notfallplan hat, wer nicht regelmäßig Krisenübungen durchführt, wer Dienstleisterverträge nicht regelmäßig überprüft, der steht im Ernstfall genau dort – und wartet auf Antworten, während die Uhr läuft.
Was jetzt zu tun ist – und womit Sie anfangen können
Die gute Nachricht: Die meisten dieser Schwachstellen lassen sich mit überschaubarem Aufwand schließen. Kein externes IT-Projektteam, keine monatelange Implementierung.
Die Security Awareness Toolbox bietet zu allen Themen, die der Unimed-Fall aufwirft, fertige Unterlagen und Schulungsmodule:
- AV-Vertrag: Worauf Sie bei Auftragsverarbeitungsverträgen achten müssen
- Datenschutz und Datensicherheit: Monatliche Schulungen für Ihre Mitarbeiter
- Personenbezogene Daten: Was besonders geschützt werden muss – und warum
- Verhalten bei einer Datenpanne: Schritt-für-Schritt-Anleitung für den Ernstfall
- IT-Notfallplan: Vorlage, die Sie direkt einsetzen können
Wenn Sie wissen möchten, wie gut Ihr Unternehmen auf einen solchen Fall vorbereitet ist, zeigen wir Ihnen das in einer kostenlosen 30-minütigen Online-Demo – und Sie können danach 14 Tage lang alle Inhalte selbst testen.
Kostenlose Online-Demo | 30 Minuten | 14 Tage danach kostenlos testen | Keine Kreditkarte
→ Demo buchen & Testzugang sichern →
Warum jetzt der richtige Zeitpunkt ist
Drei Gründe, nicht auf später zu warten:
- Das NIS2-Umsetzungsgesetz gilt seit Dezember 2025 und verschärft die Anforderungen an Unternehmen und ihre Dienstleister direkt.
- Cyberversicherungen prüfen inzwischen systematisch, ob Auftragsverarbeitungsverträge den DSGVO-Anforderungen entsprechen – und ob Mitarbeiter regelmäßig geschult werden.
- Jeder Tag, an dem Ihr IT-Notfallplan nicht existiert, ist ein Tag, an dem ein Vorfall wie bei Unimed Sie unvorbereitet treffen kann.
Häufige Fragen zum Thema Auftragsverarbeiter und Datenpanne
Was ist ein Auftragsverarbeiter nach DSGVO?
Wer muss eine Datenpanne beim Auftragsverarbeiter melden?
Welche Daten sind nach DSGVO besonders schützenswert?
Was muss ein IT-Notfallplan enthalten?
Das Versprechen
| „In der Demo zeigen wir Ihnen in 30 Minuten, wie ein funktionierendes Security Awareness-Programm aussieht – zugeschnitten auf Ihre Branche und Situation. Danach haben Sie 14 Tage lang vollen Zugang zu allen Inhalten und können selbst entscheiden. Keine Kreditkarte, kein Risiko.“ |
30 Min. Demo | 14 Tage kostenlos testen | Kein Risiko
→ Jetzt Demo-Termin auswählen →
📌 Update, Mai 2026
| Die Badische Zeitung berichtet, dass das Uniklinikum Freiburg den Dienstleister Unimed zuletzt im Jahr 2013 – also zu Beginn der Zusammenarbeit – extern vor Ort geprüft hat. Seitdem fanden keine weiteren regelmäßigen Audits statt; Folgeprüfungen erfolgten nur anlassbezogen. Manuel Atug, Sprecher der unabhängigen Arbeitsgruppe Kritische Infrastruktur (AG KRITIS), bezeichnete das gegenüber der Badischen Zeitung als „verantwortungslos und riskant“ und traf den Nagel auf den Kopf: “Das ist ungefähr so, wie ein Auto zu kaufen, einmal zum TÜV zu gehen und dann für immer damit zu fahren.” Die AG KRITIS stellt klar: Ein Penetrationstest der eigenen Systeme ersetzt keine Lieferantenkontrolle. Die Verantwortung für eine sichere Lieferkette liege rechtlich eindeutig bei den Kliniken – also beim Verantwortlichen nach DSGVO. Inzwischen ermittelt das Fachdezernat Qualifizierte Cybercrime beim Landeskriminalamt Saarland. Quelle: Badische Zeitung, Mai 2026 (Paywall) – https://www.badische-zeitung.de/kritik-an-freiburger-uniklinik-nach-cyberangriff-externe-pruefung-bei-it-dienstleister-war-zuletzt-2 |
Quellen
1. Universitätsklinikum Freiburg – Pressemitteilung 21. Mai 2026 https://www.uniklinik-freiburg.de/presse/pressemitteilungen/detailansicht/6807-cyberangriff-auf-externen-dienstleister-betrifft-auch-daten-von-patientinnen-des-universitaetsklinikums-freiburg.html
2. heise online – Cyberangriff auf Abrechnungsdienstleister (Mai 2026) https://www.heise.de/news/Patientendaten-betroffen-Cyberangriff-auf-Abrechnungsdienstleister-von-Kliniken-11304982.html
3. drweb.de – 120.000 Patientendaten betroffen (23. Mai 2026) https://www.drweb.de/cyberangriff-unimed-120-000-patientendaten-betroffen/
4. borncity.com – Unimed Cyberangriff April 2026 (22. Mai 2026) https://borncity.com/blog/2026/05/22/gesundheitsdienstleister-unimed-im-april-2026-durch-cyberangriff-getroffen/
5. Dr. Stoll & Sauer – DSGVO-Einordnung (22. Mai 2026) https://www.dr-stoll-kollegen.de/news-urteile/it-recht/uniklinik-freiburg-von-datenleck-betroffen-daten-von-rund-54000-patienten-gestohlen
6. it-boltwise.de – Haftung, NIS2 und Phishing (25. Mai 2026) https://www.it-boltwise.de/cyberangriff-auf-unimed-100-000-patienten-betroffen-haftung-nis2-und-phishing.html
7. b2b-cyber-security.de – Zehntausende Patientendaten (Mai 2026) https://b2b-cyber-security.de/cyberangriff-unikliniken-verlieren-zehntausende-patientendaten/
8. BKA Bundeslagebild Cybercrime 2025 https://www.bka.de/
9. Check Point Software – DACH-Cyberangriffs-Studie Mai 2026 https://checkpoint.cyberint.com/dach-threat-landscape-german
Weitere Beiträge zum Thema: