Cyberangriff auf Abrechnungsdienstleister: Tausende Patientendaten von Unikliniken und Großkliniken betroffen

Datenabfluss bei externem Dienstleister unimed betrifft mehrere Universitätskliniken und Großkliniken in Deutschland

Veröffentlicht 22.05.2026 · Aktualisiert 28.05.2026

Ein Cyberangriff auf den externen Abrechnungsdienstleister unimed hat den Diebstahl sensibler Patientendaten bei mehreren deutschen Universitätskliniken ausgelöst. Betroffen sind unter anderem Standorte in Tübingen, Freiburg, Köln, Düsseldorf und dem Saarland, mit insgesamt zehntausenden Datensätzen. Nach aktuellen Angaben wurden sowohl Gesundheits- als auch Finanz- und Stammdaten entwendet, während die klinische Versorgung zu keinem Zeitpunkt beeinträchtigt war.

Der Vorfall betrifft einen externen Dienstleister, der für zahlreiche Krankenhäuser in Deutschland die Abrechnung privat- und wahlärztlicher Leistungen übernimmt. Nach bisherigen Erkenntnissen erfolgte der Cyberangriff Mitte April 2026. Die vier Universitätsklinika in Baden-Württemberg – Universitätsklinikum Freiburg, Universitätsklinikum Heidelberg, Universitätsklinikum Tübingen und Universitätsklinikum Ulm – sind nach eigenen Angaben in unterschiedlichem Umfang betroffen.

Für das Universitätsklinikum Tübingen wurde inzwischen das Ausmaß des Datenabflusses konkretisiert. Demnach wurden bei etwa 1.200 Patientinnen und Patienten Gesundheitsdaten entwendet. Hierzu zählen Inhalte aus Patientenakten, Diagnosen, Diagnosecodes sowie weitere Angaben zu Erkrankungen, Behandlungen und Gesundheitsverläufen. Darüber hinaus sind rund 3.800 Personen von einem Abfluss allgemeiner Finanzdaten betroffen, beispielsweise Rechnungsinformationen oder Zahlungsaufstellungen. Bei sechs Betroffenen wurden zudem sensible Finanzdaten wie Kontoverbindungen oder Zahlungsdaten kompromittiert.

Das Klinikum hat angekündigt, alle Patientinnen und Patienten, deren Gesundheitsdaten oder sensible Finanzdaten betroffen sind, individuell per Brief zu informieren. Gleichzeitig wurde eine spezielle Kontaktstelle eingerichtet, um Fragen der Betroffenen zu beantworten. Personen, die kein entsprechendes Schreiben erhalten, müssen nach Angaben des Klinikums nicht davon ausgehen, dass ihre Gesundheitsdaten oder sensiblen Finanzinformationen kompromittiert wurden.

Prof. Dr. Jens Maschmann bezeichnete Gesundheitsdaten als besonders schützenswert und bedauerte die Verunsicherung der Betroffenen. Der Datendiebstahl verdeutliche die erheblichen Risiken, die mit Cyberangriffen auf Dienstleister im Gesundheitswesen verbunden seien.

Unmittelbar nach Bekanntwerden des Vorfalls stoppte das Universitätsklinikum Tübingen die Datenübermittlung an den betroffenen Dienstleister. Dieser habe unter Einbindung externer IT-Sicherheitsexperten eine umfassende Analyse eingeleitet. Nach Einschätzung der beauftragten Experten sei eine Veröffentlichung der entwendeten Daten derzeit nicht wahrscheinlich. Gleichwohl wurden nach Angaben des Klinikums umfangreiche Vorsorgemaßnahmen vorbereitet, darunter ein fortlaufendes Monitoring von Internet- und Darknet-Plattformen sowie rechtliche Schritte für den Fall einer Datenveröffentlichung.

Die zuständige Datenschutzaufsichtsbehörde sowie das Bundesamt für Sicherheit in der Informationstechnik wurden bereits am 16. April 2026 über den Vorfall informiert. Das Universitätsklinikum kündigte an, über weitere gesicherte Erkenntnisse zu informieren.

30.000 Patientendaten der Uniklinik Köln betroffen

Der Cyberangriff auf den externen Abrechnungsdienstleister unimed hat auch zum Diebstahl von Patientendaten der Uniklinik Köln geführt. Nach Angaben der Klinik sind rund 30.000 Datensätze betroffen.

Nach aktuellem Stand wurden Daten von insgesamt 27.298 Patientinnen und Patienten der Uniklinik Köln entwendet, die allgemeine personenbezogene Informationen enthalten. Hierzu zählen unter anderem Namen, Adressen, Angaben zu behandelnden Ärztinnen und Ärzten sowie Rechnungssummen. Darüber hinaus wurden bei 843 Betroffenen Gesundheitsdaten kompromittiert. Diese umfassen insbesondere Inhalte aus der Kommunikation zwischen Patientinnen und Patienten und dem Abrechnungsdienstleister.

In einem kleineren Umfang sind auch Finanzdaten betroffen. Nach Angaben der Uniklinik Köln wurden bei fünf Personen sensible Zahlungsinformationen wie IBAN, Kontonummern oder weitere Bankdaten abgegriffen. Aufgrund der besonderen Sensibilität dieser Informationen erfolgt eine individuelle Information der Betroffenen.

54.000 Patientendaten der Uniklinik Freiburg betroffen

Stammdaten, Rechnungsinformationen und vereinzelt Kontodaten bei externem Dienstleister entwendet

Das Universitätsklinikum Freiburg informiert ebenfalls über einen umfangreichen Datenschutzvorfall bei einem externen Abrechnungsdienstleister. Nach aktuellen Erkenntnissen wurden Daten von rund 54.000 Patientinnen und Patienten mit privater Zusatzversicherung oder Selbstzahlerstatus entwendet. Die klinischen Systeme des Universitätsklinikums sowie die Patientenversorgung waren zu keinem Zeitpunkt von dem Cyberangriff betroffen.

Der Leitende Ärztliche Direktor des Universitätsklinikum Freiburg, Frederik Wenz, bezeichnete Gesundheitsdaten als besonders schützenswert und sprach von einem schwerwiegenden Eingriff für die Betroffenen. Das Klinikum fordere vom Dienstleister eine vollständige Aufklärung des Vorfalls und prüfe darüber hinaus rechtliche Schritte.

Universitätsklinikum des Saarlandes: 1.266 UKS-Patienten betroffen

Uniklinik Homburg informiert über Datendiebstahl bei externem Dienstleister

Das Universitätsklinikum des Saarlandes (UKS) hat über einen Datenschutzvorfall bei einem externen Abrechnungsdienstleister informiert. Nach aktuellen Erkenntnissen wurden Daten von 1.266 Patientinnen und Patienten des Klinikums im Rahmen eines Cyberangriffs entwendet.

Das UKS erhielt nach eigenen Angaben erst am 18. Mai 2026 Kenntnis darüber, dass auch Daten von Patientinnen und Patienten des Klinikums betroffen sind. Insgesamt wurden Daten von 1.266 Personen kompromittiert. In den meisten Fällen handelt es sich um sogenannte Stammdaten wie Namen, Geburtsdaten und Anschriften.

Darüber hinaus wurden in rund 400 Fällen Daten entwendet, aus denen Rückschlüsse auf Diagnosen, Behandlungsarten oder medizinische Leistungen gezogen werden können. Aufgrund der besonderen Sensibilität dieser Informationen kommt dem Vorfall eine hohe datenschutzrechtliche Bedeutung zu. Angaben zu kompromittierten Bank- oder Zahlungsdaten wurden bislang nicht gemacht.

Der kommissarische Ärztliche Direktor und Vorstandsvorsitzende des Universitätsklinikum des Saarlandes, Michael Zemlin, begründete die öffentliche Information mit der besonderen Sensibilität von Gesundheitsdaten und dem Interesse der betroffenen Patientinnen und Patienten an Transparenz. Gleichzeitig habe das Klinikum den Dienstleister aufgefordert, seinerseits umfassend über den Vorfall zu informieren.

Update: Abrechnungsdienstleister unimed gibt Stellungnahme ab

Wie die unimed Abrechnungsservice für Kliniken und Chefärzte GmbH mitteilt, wurde das Unternehmen Ziel eines Cyberangriffs, bei dem Daten aus einem begrenzten Systembereich entwendet wurden. Der Angriff betraf insbesondere Kommunikationsdaten zu Abrechnungswidersprüchen von Privatpatienten und Selbstzahlern, während die Systeme nach kurzer Zeit wieder vollständig in den Regelbetrieb überführt wurden.

Nach Unternehmensangaben zielte der Angriff auf eine Verschlüsselung der IT-Systeme, die jedoch nicht erfolgreich umgesetzt werden konnte. Bevor die Angreifer abgewehrt wurden, kam es zum Abfluss von Daten aus einem abgegrenzten Systemsegment. Betroffen waren insbesondere Inhalte aus der Bearbeitung von Abrechnungswidersprüchen, die im Auftrag von Kliniken für privat versicherte Patientinnen und Patienten sowie Selbstzahler verarbeitet werden.

Die unimed Abrechnungsservice für Kliniken und Chefärzte GmbH betont, dass der Vorfall unmittelbar nach Bekanntwerden zu einer Trennung der Datenschnittstellen zu Kunden geführt habe. Parallel wurden die zuständigen Behörden sowie die Polizei informiert. Kunden seien fortlaufend über den jeweils aktuellen Stand informiert worden, um eigene Risikobewertungen zu ermöglichen.

Im Zuge der technischen Aufarbeitung wurde das System durch externe IT-Forensiker analysiert und abgesichert. Dabei wurde der betroffene Bereich nach Angaben des Unternehmens entsprechend gängiger Incident-Response-Verfahren bereinigt und gegen aktuelle Angriffsmuster gehärtet. Die Maßnahmen wurden durch externe Experten überprüft und der erfolgreiche Wiederanlauf der Systeme begleitet.

Nach Abschluss der technischen Wiederherstellung arbeitet das Unternehmen wieder im regulären Betrieb. Gleichzeitig kündigt unimed an, die Sicherheitsarchitektur kontinuierlich weiterzuentwickeln und an neue Bedrohungslagen anzupassen. Ziel sei es, die IT-Systeme fortlaufend auf dem aktuellen Stand der Technik zu halten und die Verfügbarkeit sowie den Schutz sensibler Daten langfristig sicherzustellen.

Cyberangriff auf früheren Abrechnungsdienstleister betrifft auch Uniklinik Düsseldorf

UKD informiert betroffene Patienten nach Datenabfluss bei ehemaligem Partner unimed

Das Universitätsklinikum Düsseldorf informiert über einen Datenschutzvorfall bei dem externen Abrechnungsdienstleister unimed Abrechnungsservice für Kliniken und Chefärzte GmbH. Wie das UKD mitteilt, sind Daten aus einer früheren Zusammenarbeit mit dem Unternehmen betroffen.  Nach Angaben des Klinikums arbeitet das UKD im Bereich der privat- und wahlärztlichen Abrechnung inzwischen mit anderen Dienstleistern zusammen. Bis zum Jahr 2024 war unimed jedoch in zwei von insgesamt 60 Kliniken und Instituten des Hauses mit Abrechnungsleistungen beauftragt. Die nun bekannt gewordenen Datenabflüsse stehen im Zusammenhang mit dieser früheren Geschäftsbeziehung.

Am heutigen Tag erhielt das Klinikum nach eigenen Angaben eine belastbare Rückmeldung des Dienstleisters über das Ausmaß des Vorfalls. Demnach sind mehr als 3.000 Fälle betroffen, bei denen allgemeine personenbezogene Daten abgeflossen sein könnten. Darüber hinaus könnten in 162 Fällen auch Gesundheitsdaten betroffen sein.

Die Universitätsklinik betont, dass weder die klinischen Systeme noch die Patientenversorgung zu irgendeinem Zeitpunkt beeinträchtigt waren. Der Angriff habe sich ausschließlich gegen die Infrastruktur des externen Dienstleisters gerichtet. Nach Einschätzung der vom Dienstleister beauftragten Sicherheitsexperten sei eine Veröffentlichung der entwendeten Daten derzeit nicht wahrscheinlich.

Unabhängig davon hat das UKD angekündigt, alle potenziell betroffenen Patientinnen und Patienten individuell schriftlich zu informieren. Personen, die kein entsprechendes Schreiben erhalten, seien nach aktuellem Kenntnisstand nicht von dem Datenabfluss betroffen.

Auch Klinikum Karlsruhe betroffen

Rund 4.100 Patientendaten kompromittiert – Klinikum informiert Betroffene und betont Sicherheit der eigenen IT-Systeme

Das Klinikum Karlsruhe informiert über einen Datenschutzvorfall bei einem externen Abrechnungsdienstleister für privatversicherte, zusatzversicherte und selbstzahlende Patientinnen und Patienten. Nach Angaben des Klinikums wurden bei einem Cyberangriff auf das Unternehmen auch Daten von rund 4.100 Patientinnen und Patienten des Karlsruher Maximalversorgers entwendet. Wie das Klinikum am Freitag mitteilte, konnten sich bislang unbekannte Täter unbefugt Zugang zu den beim Dienstleister gespeicherten Daten verschaffen. Nach der aktuellen Bewertung wurden Stammdaten von rund 4.100 Patientinnen und Patienten kompromittiert. Hierzu zählen insbesondere Namen, Adressen und Geburtsdaten.

Darüber hinaus waren in rund 1.100 Fällen auch Gesundheitsdaten betroffen. Nach Angaben des Klinikums können diese Informationen Rückschlüsse auf medizinische Behandlungen oder Gesundheitszustände zulassen. In vier Fällen wurden zudem Finanzdaten in Form von IBAN-Nummern entwendet.

Auch ehemalige Wahlleistungsabrechnungen des Alexianer Klinikums Hochsauerland betroffen

Nach Angaben des Krankenhauses könnte der Cyberangriff auch Daten von Privat- und Wahlleistungspatientinnen und -patienten betreffen, die vor dem 31. März 2024 im Klinikum behandelt wurden. Das Klinikum verweist darauf, dass die Zusammenarbeit mit dem Dienstleister bereits zum 31. März 2024 beendet wurde. Die Mitteilung erfolgte vor dem Hintergrund einer bundesweiten Serie von Datenschutzvorfällen bei Krankenhäusern, die Leistungen über den Dienstleister abrechnen ließen.

Nach aktuellem Kenntnisstand betrifft der Vorfall ausschließlich Daten, die beim externen Dienstleister gespeichert waren. Die IT-Systeme des Alexianer Klinikums Hochsauerland sowie die medizinische Versorgung waren zu keinem Zeitpunkt von dem Cyberangriff betroffen.

Klinikum Mittelbaden betroffen – Rund 1.260 Betroffene – sensible Gesundheitsdaten teilweise abgeflossen

Nach Angaben des Klinikums wurden personenbezogene Daten von insgesamt rund 1.260 Betroffenen entwendet. Die klinikeigenen IT-Systeme sowie die Patientenversorgung waren nach Angaben des Hauses zu keinem Zeitpunkt beeinträchtigt.

Der Vorfall steht im Zusammenhang mit einem Angriff auf einen externen Dienstleister, der für das Klinikum Mittelbaden die Abrechnung von Leistungen für privatversicherte, zusatzversicherte und selbstzahlende Patientinnen und Patienten übernimmt. Der Angriff ereignete sich nach Angaben des Klinikums Mitte April 2026 und betrifft mehrere Krankenhäuser in Baden-Württemberg.

Nach aktuellem Kenntnisstand wurden Daten von rund 1.260 Patientinnen und Patienten entwendet. In etwa 900 Fällen handelt es sich um Stammdaten wie Name, Geburtsdatum und Anschrift. Darüber hinaus wurden bei rund 360 Betroffenen auch abrechnungsrelevante Informationen abgegriffen, die Angaben zu Diagnosen oder Behandlungsarten enthalten können.

Cyberangriff auf Unimed betrifft auch Märkische Kliniken

Mehr als 2.400 Patientinnen und Patienten nach Angriff auf externen Abrechnungsdienstleister betroffen

Die Märkische Kliniken sind von einem Cyberangriff auf den externen Abrechnungsdienstleister Unimed betroffen. Nach Angaben des Klinikverbunds könnten personenbezogene Daten von mehr als 2.463 Patientinnen und Patienten involviert sein. Die betroffenen Datensätze stammen aus der privat- und wahlärztlichen Abrechnung des Klinikum Lüdenscheid, der Stadtklinik Werdohl sowie des ehemaligen Standorts in Letmathe. Konkret nennen die Märkischen Kliniken derzeit 2.018 Fälle aus dem Klinikum Lüdenscheid, 92 Fälle aus Werdohl und 353 Fälle aus dem früheren Marienhospital Letmathe.Thorsten Kehe erklärte, dass nach Bekanntwerden des Vorfalls umgehend die zuständigen Behörden informiert worden seien. Dazu zählen sowohl die Datenschutzaufsichtsbehörde als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI unterstützt derzeit die Bewertung und Einordnung des Sicherheitsvorfalls.

Cyberangriff auf Dienstleister betrifft auch SLK-Kliniken

Die SLK-Kliniken Heilbronn GmbH informieren über einen möglichen Datenabfluss infolge eines Cyberangriffs auf den externen Abrechnungsdienstleister Unimed. Nach aktuellem Stand sind personenbezogene Daten von 1.359 Wahlleistungspatienten und Selbstzahlern betroffen. In 370 Fällen könnten auch Gesundheitsdaten entwendet worden sein.

Der Cyberangriff auf den externen Abrechnungsdienstleister Unimed weitet sich auf weitere Einrichtungen des Gesundheitswesens aus. Nun bestätigten auch die SLK-Kliniken Heilbronn GmbH, dass Patientendaten im Zusammenhang mit dem Sicherheitsvorfall betroffen sein könnten. Der Angriff ereignete sich nach Angaben der Klinikgruppe bereits Mitte April 2026.

Betroffen sind nach aktuellem Stand insgesamt 1.359 Patientinnen und Patienten der SLK-Kliniken. Dabei handelt es sich ausschließlich um Wahlleistungspatienten mit privater Zusatzversicherung sowie um Selbstzahler, deren Abrechnungsdaten durch den externen Dienstleister verarbeitet wurden. Zu den möglicherweise abgeflossenen Informationen zählen Stammdaten wie Name, Geburtsdatum und Anschrift. In 370 Fällen könnten darüber hinaus auch Daten mit Bezug zu Diagnose und Behandlung betroffen sein.