Unimed-Cyberangriff: Wenn Ihr Dienstleister gehackt wird, haften Sie trotzdem
Am 14. April 2026 wurde der Abrechnungsdienstleister Unimed gehackt. Die Kliniken selbst blieben technisch unversehrt. Trotzdem sind sie datenschutzrechtlich verantwortlich. Was dieser Fall für jedes Unternehmen bedeutet, das mit externen Dienstleistern arbeitet. Mehr als 120.000 Patientendaten wurden gestohlen – Stammdaten, Diagnosen, Bankverbindungen. Nicht weil die Universitätskliniken selbst einen Fehler gemacht hätten. Sondern weil ihr externer Abrechnungsdienstleister gehackt wurde. Die Kliniken haften trotzdem. Das ist kein Einzelfall. Das ist das Grundprinzip der DSGVO – und es betrifft jedes Unternehmen, das personenbezogene Daten an externe Dienstleister weitergibt.
Geschäftsführerhaftung bei DSGVO-Verstößen nach Cyber-Attacken: Neuer kostenloser Guide schützt vor persönlichem Risiko
Die Zahlen sind alarmierend: Rund 60% der Cyberangriffe in Deutschland richten sich gegen den Mittelstand. Die Gesamtschäden durch Cyberattacken beliefen sich 2023 auf 148 Milliarden Euro. Doch während viele Geschäftsführer denken, dass „nur“ das Unternehmen haftet, zeigt die aktuelle Rechtsprechung ein anderes Bild: Bei DSGVO-Verstößen können Geschäftsführerpersönlich zur Verantwortung gezogen werden.
Warum führen Cyberattacken zu DSGVO-Klagen?
Stellen Sie sich vor: Ein Cyberkrimineller verschafft sich Zugang zu Ihrem Unternehmensnetzwerk, verschlüsselt Ihre Daten und fordert Lösegeld. Das allein klingt schon schlimm genug – doch damit kann die Geschichte noch lange nicht zu Ende sein.
Denn was als „reines“ IT-Security-Problem beginnt, kann sich schnell zu einem handfesten Datenschutzproblem mit rechtlichen und finanziellen Konsequenzen ausweiten.