Unimed-Datenleck: 130.000 Patientendaten weg — und kein einziges Klinik-System wurde berührt
Stand: 22. Mai 2026 — Autor: Stefan Martini, Sicherheitsingenieur und externer Beauftragter für Medizinproduktesicherheit
In meinem März-Artikel zum Stryker-Cyberangriff habe ich geschrieben: „Die Abhängigkeit von digitalisierten Lieferketten in der Medizintechnik ist ein eigenständiges Risikothema." Sechs Wochen später haben wir den Beleg — diesmal allerdings nicht auf der Versorgungs-, sondern auf der Datenseite. Und er trifft nicht einzelne Häuser, sondern die Mehrheit der deutschen Universitätsmedizin.
Was passiert ist
Am 14. April 2026 haben Angreifer das System der Unimed Abrechnungsservice für Kliniken und Chefärzte GmbH mit Sitz in Wadern (Saarland) attackiert. Unimed rechnet für eine zweistellige Zahl deutscher Kliniken die privat- und wahlärztlichen Leistungen ab — eine klassische Backend-Dienstleistung, die in keinem Vertrag mit der OP-Lampe oder dem Beatmungsgerät auftaucht und trotzdem mit den Stamm- und teils Gesundheitsdaten der Patient:innen arbeitet.
Nach Angaben des Unternehmens war eine vollständige Verschlüsselung der Systeme das Ziel der Angreifer — also klassische Ransomware. Das wurde abgewehrt. Vor der Abwehr sind jedoch Daten abgeflossen. Bekannt wurde der Vorfall vier bis fünf Wochen später, im Mai 2026, weil die betroffenen Kliniken nacheinander informierten.
Wer betroffen ist (Stand 22. Mai 2026)
| Klinik | Betroffene Personen | Davon Gesundheitsdaten |
|---|---|---|
| Uniklinik Freiburg | ~54.000 | ~900 (Rechnungsdaten → Diagnose ableitbar) |
| Uniklinik Köln | ~30.000 | 843 |
| Uniklinik Heidelberg | ~11.000 | k. A. |
| Uniklinik Düsseldorf | ~3.000 | 162 |
| Universitätsmedizin Mainz | max. 2.764 | k. A. |
| Universitätsklinikum Bonn | 1.304 | 218 |
| Universitätsklinikum Saarland | ~1.200 | k. A. |
| Uniklinik Ulm | „geringer betroffen" | k. A. |
| Uniklinik Tübingen | „geringer betroffen" | k. A. |
| Summe (sichtbar) | > 103.000 | > 2.100 |
Unimed selbst will nicht bestätigen, welche weiteren Kliniken im Mandantenstamm noch betroffen sind. Die tatsächliche Zahl dürfte deutlich über den heute kommunizierten 130.000 Personen liegen.
Was an diesem Vorfall lehrreich ist
Die Pressemitteilungen aller betroffenen Häuser betonen einen Kernpunkt: „Die Patientenversorgung war zu keinem Zeitpunkt beeinträchtigt. Die klinischen Systeme waren nicht Ziel und nicht betroffen."
Das ist faktisch richtig. Und es ist genau der Punkt, den eine Klinik-Geschäftsführung nicht weghaken darf.
Drei Dinge sind passiert, ohne dass ein einziges Klinik-IT-System angegriffen worden wäre:
- Stamm- und Adressdaten von zehntausenden Privatpatient:innen liegen jetzt im Besitz von Kriminellen.
- In hunderten Fällen lassen sich aus Rechnungsdaten Diagnose- und Behandlungsinformationen rekonstruieren — also genau die Kategorie, die nach Art. 9 DSGVO besonderen Schutz genießt.
- In Einzelfällen sind Finanzdaten wie IBAN abgeflossen — Grundlage für Folgebetrug.
Wer als Geschäftsführung also nach internem Compliance-Stand fragt, bekommt heute zu Recht die Antwort „bei uns ist alles in Ordnung". Die externe Realität ist eine andere. Compliance allein schützt keine Patient:innen. Sie hätte hier auch keinen einzigen Datensatz geschützt.
Was die Klinik-Geschäftsführung jetzt prüfen muss
Ich gehe die Fragen so durch, wie ich sie in einer Geschäftsführungssitzung stellen würde — von der konkreten Pflicht bis zur strategischen Verantwortung.
1. Auftragsverarbeitungsverträge — sind sie aktuell und auditierbar?
DSGVO Art. 28 verpflichtet Sie, Ihre Auftragsverarbeiter sorgfältig auszuwählen und vertraglich zu binden. Ein Auftragsverarbeitungsvertrag, der vor sechs Jahren unterschrieben wurde und seitdem in keiner Audit-Akte aufgetaucht ist, hilft Ihrer Datenschutzaufsicht heute nicht weiter. Fragen Sie konkret:
- Welche externen Dienstleister verarbeiten Patientendaten in Ihrem Haus?
- Wann wurden die AV-Verträge zuletzt überprüft?
- Wann hat Ihre Datenschutzbeauftragte zuletzt die TOM (technische und organisatorische Maßnahmen) der Auftragsverarbeiter geprüft — nicht nur eingefordert, sondern geprüft?
2. NIS-2 — Meldekette ist real, nicht theoretisch
Seit Dezember 2025 gilt das deutsche NIS-2-Umsetzungsgesetz. Krankenhäuser ab bestimmten Schwellenwerten sind als „wesentliche Einrichtungen" eingestuft und haben 24-Stunden-Frühwarnpflicht und 72-Stunden-Erstmeldepflicht beim BSI. Im Unimed-Fall stellt sich die Frage, wann die einzelnen Kliniken Kenntnis hatten — und ob die Meldekette gegriffen hat.
Wenn Sie nicht ad-hoc beantworten können, wer in Ihrem Haus innerhalb von 24 Stunden eine BSI-Meldung absetzt und welche Eskalationskette dahintersteht: das ist die wichtigste organisatorische Lücke, die Sie diese Woche schließen können.
3. Lieferantenausfall im Business Continuity Management
Stryker im März, Unimed im Mai — zwei sehr unterschiedliche Schadenstypen, dieselbe strukturelle Lehre:
- Ein einziger Dienstleister kann ein Schadens-Ausmaß erzeugen, das deutlich über die operative Beziehung hinausreicht.
- Die Meldekette nach außen (Aufsicht, Betroffene, Presse) ist organisatorisch oft aufwändiger als die technische Wiederherstellung.
Das BCM Ihrer Einrichtung sollte deshalb eine Lieferanten-Ausfall-Matrix enthalten, die nicht nur fragt „was passiert, wenn unser CT-Hersteller offline geht", sondern auch: „was passiert, wenn unser Abrechnungs-, IT-Service- oder Archivierungs-Dienstleister kompromittiert wird?"
4. Privatpatienten als Risiko-Cluster
Auffällig: Betroffen sind in allen Häusern ausschließlich Privatpatient:innen und Selbstzahler. Das ist kein Zufall — der Abrechnungsweg verläuft anders als bei GKV-Versicherten. Wenn Ihr Haus überproportional viele Privatpatient:innen betreut (Universitätsmedizin, MVZ mit chefärztlicher Behandlung, Privatkliniken), gehört dieses Cluster in Ihre Risikoinventur als eigener Posten.
5. Kommunikation gegenüber Betroffenen
Die betroffenen Kliniken informieren persönlich per Brief. Das ist die richtige Wahl. Eine pauschale Pressemitteilung allein wäre eine Pflichtverletzung gegenüber den Betroffenen, kein Ersatz für die Einzelinformation nach Art. 34 DSGVO.
Frage an Ihre Datenschutzbeauftragte: Wie lange braucht Ihr Haus von der Kenntnis eines Datenlecks bis zum Brief an die Betroffenen? Wenn die Antwort „das müsste ich erst mit der Pressestelle abstimmen" lautet, haben Sie ein Prozessproblem.
Was bfmps konkret begleitet
Drei der vier Geschäftsbereiche unseres Hauses sind in diesem Fall direkt angesprochen:
- Externer Beauftragter für Medizinproduktesicherheit — ich übernehme die Funktion stellvertretend, einschließlich der Schnittstelle zu BSI und Datenschutzaufsicht im Zwischenfall.
- MPBetreibV-Beratung — § 17 IT-Sicherheitsprüfungen werden zu oft auf das Reinraum-Endoskop beschränkt; ich erweitere die Logik systematisch auf alle Dienstleister mit Datenzugriff.
- BCM- und Krisenmanagement-Beratung — Lieferanten-Ausfall-Matrix, getestete Meldewege, dokumentierte Eskalation.
Wenn Sie für eines dieser Felder eine zweite Meinung oder eine operative Begleitung suchen: melden Sie sich.
📞 02234-914403 (auch WhatsApp)
Quellen (Mai 2026)
— t-online Köln: „Cyberangriff trifft Patientendaten der Uniklinik Köln" — STERN: „Datendiebstahl: Cyberangriff auf Uni-Kliniken – Folgen noch unklar" — RADIO SALÜ: „Dienstleister bedauert – Cyber-Attacke trifft Unimedizin" — mobiFlip: „Cyberangriff auf unimed betrifft mehrere Krankenhäuser" — IT-daily: „Cyberangriff auf Patientendaten der Uniklinik Düsseldorf" — Deutsches Ärzteblatt: „Weitere Unikliniken melden tausende bei Dienstleister gestohlene Patientendaten" — STERN: „Auch Patienten von Bonner Uniklinik betroffen" — BornCity: „Massiver Datenklau: Millionen Patientendaten in Gefahr"