Cyberangriff auf Abrechnungsdienstleister betrifft 2.764 Patienten der Universitätsmedizin Mainz
Nach Datenschutzvorfall werden betroffene Privatpatienten und Selbstzahler informiert
Die Universitätsmedizin Mainz hat neue Details zu einem Cyberangriff auf einen externen Abrechnungsdienstleister veröffentlicht. Insgesamt sind 2.764 Patientinnen und Patienten der Universitätsmedizin von dem Datenschutzvorfall betroffen. Die Betroffenen werden Anfang Juni 2026 persönlich informiert.
Wie die Universitätsmedizin Mainz mitteilt, ereignete sich der Angriff Mitte April 2026 bei einem externen Unternehmen, das für zahlreiche Krankenhäuser in Deutschland die Abrechnung von Leistungen für Privatpatienten, privat Zusatzversicherte und Selbstzahler übernimmt. Nach Abschluss weiterer Analysen liegt nun ein genaueres Bild über das Ausmaß des Vorfalls vor.
Von den insgesamt 2.764 betroffenen Personen sind nach Angaben der Universitätsmedizin bei 2.142 Patientinnen und Patienten sogenannte Stammdaten kompromittiert worden. Dazu zählen insbesondere Name, Anschrift oder Geburtsdatum.
Bei weiteren 621 Betroffenen wurden darüber hinaus Gesundheitsdaten betroffen. Nach Angaben der Universitätsmedizin können hierzu Diagnosen, Diagnosecodes oder Informationen aus Patientenakten gehören. In einem Einzelfall waren zudem Finanzdaten Gegenstand des Datenschutzvorfalls.
Die Universitätsmedizin weist darauf hin, dass ausschließlich Daten von Privatpatientinnen und Privatpatienten, privat Zusatzversicherten sowie Selbstzahlern betroffen sind. Patientinnen und Patienten mit gesetzlicher Krankenversicherung seien von dem Vorfall nicht betroffen. Die Universitätsmedizin Mainz hat angekündigt, alle betroffenen Personen Anfang Juni 2026 schriftlich zu informieren. Die Benachrichtigung erfolgt individuell per Post. Gleichzeitig stellt die Klinik klar, dass Patientinnen und Patienten, die kein entsprechendes Schreiben erhalten, nicht von dem Datenabfluss betroffen sind. Mit den persönlichen Informationsschreiben erfüllt die Universitätsmedizin die datenschutzrechtlichen Informationspflichten gegenüber den Betroffenen.
Klinische Systeme nicht betroffen
Nach bisherigen Erkenntnissen richtete sich der Cyberangriff ausschließlich gegen den externen Dienstleister. Die IT-Systeme der Universitätsmedizin Mainz selbst waren nach Angaben des Hauses weder Ziel des Angriffs noch in ihrer Funktion beeinträchtigt.
Auch die Patientenversorgung sei zu keinem Zeitpunkt betroffen gewesen. Die medizinischen und administrativen Systeme der Universitätsmedizin hätten während des gesamten Vorfalls uneingeschränkt funktioniert.
