Nach dem unimed-Vorfall: Was Kliniken von ihren Datendienstleistern jetzt verlangen sollten
Über 120.000 Patientendatensätze bei einem Abrechnungsdienstleister exfiltriert, ein Krankenhaus fordert Schadenersatz. Die Fakten zum unimed-Vorfall — und die Prüfliste, die daraus folgt.

Dr. Sven Jungmann
CEO

Am 14. April 2026 griffen Ransomware-Angreifer die unimed Abrechnungsservice für Kliniken und Chefärzte GmbH an, einen der größten deutschen Dienstleister für privatärztliche Abrechnung. Die Verschlüsselung der Systeme konnte nach Unternehmensangaben verhindert werden; zuvor wurden jedoch Daten aus einem — so die Formulierung des Unternehmens — „eng begrenzten Bereich“ entwendet [1]. Was dann folgte, beschäftigt deutsche Kliniken bis heute.
Die Faktenlage, Stand Mitte Juli 2026
Betroffen sind nach zusammengeführten Angaben der beteiligten Häuser mehr als 120.000 Patientendatensätze aus rund zehn Kliniken, darunter mehrere Universitätskliniken: Freiburg meldete rund 54.000 betroffene Personen, Köln rund 30.000, Heidelberg rund 11.000, dazu unter anderem das UKSH, das UKE, Mannheim, Mainz, Ulm und Homburg [2, 3]. Entwendet wurden Stammdaten, Abrechnungsdaten — aus denen sich Diagnosen und Behandlungen ableiten lassen —, Korrespondenz zu Abrechnungsstreitigkeiten und in Einzelfällen Kontodaten [2]. Nach NDR-Recherchen enthielten rund 1.500 Datensätze Auszüge aus Patientenakten einschließlich Diagnosen [3]. Das Landeskriminalamt Saarland ermittelt; die öffentliche Information der Betroffenen begann rund fünf Wochen nach dem Angriff, was in der Fachöffentlichkeit deutlich kritisiert wurde [3, 4].
Das Städtische Krankenhaus Pirmasens, mit etwa 1.500 betroffenen Datensätzen, fordert inzwischen Schadenersatz von dem Dienstleister und prüft rechtliche Schritte [5]. Eine eingereichte Klage ist bislang nicht bekannt; mehrere Häuser haben Strafanzeige gestellt und die Datenverbindungen zum Dienstleister gekappt [4].
Zwei Dinge gehören zur Ehrlichkeit dieser Zusammenfassung. Erstens: unimed hat die Sicherheitsbehörden nach eigenen Angaben binnen zwei Tagen informiert und erklärt, es gebe keine Hinweise auf eine Veröffentlichung der Daten [1]. Zweitens: Ein Vorfall dieser Art kann grundsätzlich jeden treffen. Die brauchbare Reaktion ist eine Prüfliste.
Die eigentliche Lehre: Der Dienstleister ist Teil Ihrer Angriffsfläche
Datenschutzrechtlich bleibt die Klinik gegenüber ihren Patient:innen verantwortlich — auch wenn der Auftragsverarbeiter angegriffen wird [6]. Die Branchendebatte hat der Vorfall entsprechend verschoben: weg von der Frage „Ist der Anbieter zertifiziert?“, hin zur Frage „Welche Daten hat er überhaupt, und warum?“. In der Diskussion um die NIS-2-Umsetzung sind Dienstleister als mögliche Eintrittstore für Angreifer in den Fokus gerückt [4].
Der unimed-Fall illustriert ein Strukturproblem der klassischen Auslagerung: Für die privatärztliche Abrechnung wandern Aktenbestandteile physisch oder digital zum Dienstleister — Stammdaten, Diagnosen, Korrespondenz, teils über Jahre. Jede dieser Kopien ist ein zweiter Ort, an dem dieselben Gesundheitsdaten gestohlen werden können. Die Frage an jeden Dienstleister — Abrechnung, Dokumentation, KI — lautet deshalb nicht nur, wie gut er sich schützt, sondern wie viel er besitzt.
Sieben Anforderungen für jede Neubewertung
Wer nach dem Vorfall Verträge prüft oder Alternativen sondiert, sollte aus unserer Sicht auf sieben Punkte bestehen:
- Datenminimierung nachweisbar: Der Anbieter kann pro Prozessschritt benennen, welche Datenkategorien er erhält — und was er ausdrücklich nicht erhält.
- Verarbeitung ausschließlich in der EU, mit benannten Subprozessoren und ohne stillschweigende Drittlandtransfers.
- Lösch-Nachweise: definierte Aufbewahrungsfristen und ein prüfbarer Nachweis der tatsächlichen Löschung.
- Ein aktuelles, extern auditiertes Sicherheitszertifikat auf Ebene des Dienstes selbst — bei aiomics ist das ISO 27001, zertifiziert durch TÜV Nord.
- Meldewege im Vertrag: konkrete Fristen und Kanäle für den Fall des Falles — fünf Wochen bis zur Information sind das Gegenbeispiel.
- Kein Training von KI-Modellen auf Ihren Daten, als Vertragsklausel.
- Architektur vor Vertrauen: Zugriffe, die technisch nicht möglich sind, müssen nicht versprochen werden — fragen Sie, welche Zusagen das System selbst erzwingt.
Eine ausführliche Vertragsprüfliste für KI-Dienstleister haben wir in einem eigenen Beitrag zusammengestellt: Die AVV für Klinik-KI: zehn Punkte, an denen Verträge scheitern.
Wo aiomics in dieses Bild gehört — und wo nicht
Der Vollständigkeit halber: aiomics ist kein klassischer Abrechnungsdienstleister und tritt nicht als Ersatz für Factoring oder Inkasso an. aiomics ist die Verifikationsschicht über der Krankenhaus-IT — sie liest eingehende Dokumente ein, prüft jede Aussage gegen die Quelle und stellt der Klinik eine belegte, strukturierte Akte für Aufnahme, Falldialog und Abrechnungsvorbereitung bereit. Die Daten bleiben dabei in einer EU-Umgebung, die Übermittlung an Kostenträger bleibt beim System des Hauses. Für die wahlärztliche Abrechnung erproben wir derzeit gemeinsam mit einem etablierten Abrechnungspartner ein Angebot, das nach genau diesen Prinzipien gebaut ist — Datenminimierung, EU-Verarbeitung, nachweisbare Löschung. Es ist in Erprobung, und wir nennen es erst dann anders, wenn es diesen Namen verdient.
Im Einsatz ist aiomics heute in deutschen Reha-Kliniken; die Genauigkeit wird an der Charité unabhängig evaluiert. Wenn Sie nach dem unimed-Vorfall Ihre Dienstleisterlandschaft neu sortieren und dafür eine zweite Meinung zur Datenarchitektur wollen, schreiben Sie uns — auch dann, wenn am Ende kein aiomics-Produkt dabei herauskommt.
Quellen
- unimed GmbH. Pressemitteilungen vom 22.05. und 29.05.2026. unimed.de/presse.
- Heise online. Bericht zum Cyberangriff auf den Abrechnungsdienstleister unimed, 22.05.2026. heise.de.
- Zusammengeführte Berichterstattung zum Umfang des Vorfalls, u. a. drweb.de sowie borncity.com (22.05.2026); NDR-Recherchen zu Aktenauszügen dort zitiert.
- kma Online. Berichterstattung zum unimed-Vorfall und zur NIS-2-Debatte (Beiträge 55722 und 55760), u. a. 04.06.2026. kma-online.de.
- Die Rheinpfalz. Bericht zur Schadenersatzforderung des Städtischen Krankenhauses Pirmasens, 07.07.2026. rheinpfalz.de.
- Universitätsklinikum Düsseldorf. Pressemitteilung zum Datenabfluss beim ehemaligen externen Abrechnungsdienstleister. uniklinik-duesseldorf.de; zur Verantwortlichkeit: Art. 4 Nr. 7, Art. 28 DSGVO.
Quellen abgerufen im Juli 2026. Angaben zu Betroffenenzahlen entsprechen dem Berichtsstand Mitte Juli 2026 und können sich mit der weiteren Aufarbeitung ändern.
Stand der Berichterstattung: 15. Juli 2026. Angaben zum Vorfall beruhen auf den zitierten Quellen; aiomics steht in keiner Geschäftsbeziehung zur unimed GmbH.


