 |  | dpa |
 |
22.05.2026 13:25 Uhr |
Daten von insgesamt 100.000 Patientinnen und Patienten wurden gestohlen. / © Imago / YAY Images
Bei einem Cyberangriff auf einen externen Dienstleister zahlreicher Kliniken in Deutschland sind Daten von mehr als 100.000 Patientinnen und Patienten gestohlen worden. Betroffen sind unter anderem die Universitätskliniken Freiburg, Ulm, Heidelberg, Tübingen und Köln sowie das Universitätsklinikum des Saarlands (UKS) in Homburg. Die Attacke ereignete sich nach Angaben der Kliniken Mitte April. Die Versorgung und die klinischen Systeme seien zu keinem Zeitpunkt beeinträchtigt gewesen.
Der externe Dienstleister rechnet nach Angaben der Kliniken für zahlreiche Krankenhäuser in Deutschland Leistungen bei Patientinnen und Patienten mit privater oder wahlärztlicher Leistung sowie bei Selbstzahlenden ab. Die zuständige Datenschutzbehörde sowie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) seien informiert worden. Nach Einschätzung der eingebundenen Expertinnen und Experten des Dienstleisters sei eine Veröffentlichung der entwendeten Daten nicht wahrscheinlich. Die betroffenen Kliniken stoppten die Datenübertragung an den Dienstleister.
In Baden-Württemberg wurden Daten von mehr als 72.000 Patientinnen und Patienten der Universitätskliniken Freiburg, Ulm, Heidelberg und Tübingen entwendet. Das Ausmaß der gestohlenen Daten ist unterschiedlich. In Freiburg wurden von rund 54.000 Menschen Stammdaten wie Name, Geburtsdatum und Adresse gestohlen. In rund 900 Fällen seien zudem Rechnungsdaten entwendet worden, aus denen Informationen zu Diagnose und Behandlungsart hervorgehen können. In Ulm wurden Stammdaten von rund 1600 Patientinnen und Patienten gestohlen, in etwa 300 Fällen zudem rechnungsrelevante Daten.
In Tübingen wurden Gesundheitsdaten von rund 1200 Menschen mit privater (Zusatz-)Versicherung gestohlen. Darunter sind Inhalte aus Akten, Diagnosen, Diagnosecodes sowie sonstige konkrete Angaben zu Erkrankungen, Behandlungen oder Gesundheitsverläufen. Vom Klau allgemeiner Finanzdaten seien dort 3800 Menschen betroffen. In Heidelberg wurden die Daten von rund 11.000 Patienten gestohlen. Davon seien in etwa 2700 Fällen vermutlich auch Rechnungsdaten betroffen.
Auch die Uniklinik Köln meldete einen umfangreichen Datendiebstahl. Dort wurden Daten von rund 30.000 Patientinnen und Patienten entwendet. Die Täter griffen allgemeine Daten wie Name, Adresse oder das behandelnde ärztliche Personal von gut 27.000 Menschen ab. In rund 840 Fällen gelangten die Täter zudem an Gesundheitsdaten wie die Patientenkommunikation mit dem Dienstleister. In fünf Fällen waren Finanzdaten wie Kontoverbindungen betroffen.
Die Klinik kündigte an, alle Betroffenen persönlich zu informieren. Wer kein Schreiben erhalte, dessen Daten seien nicht kompromittiert worden. Die Zusammenarbeit mit dem Dienstleister wurde nach Bekanntwerden des Vorfalls gestoppt. Zudem wurde Strafanzeige bei der Staatsanwaltschaft gestellt.
Das Universitätsklinikum des Saarlands teilte mit, dass 1266 Patientinnen und Patienten betroffen seien. Überwiegend wurden Stammdaten wie Name, Geburtsdatum und Adresse entwendet. In 400 Fällen seien auch Daten gestohlen worden, aus denen Informationen zu Diagnose und Behandlungsart hervorgehen könnten. Das UKS habe am 18. Mai Kenntnis von dem Vorfall erlangt. Die Datenschutzbeauftragte des Klinikums begleite und kontrolliere den Informationsprozess für die Betroffenen eng.
