Uniklinik-Hack Mai 2026: Wenn Ihr Dienstleister gehackt wird — haften Sie mit

Inhalt in Kürze

• Ein Cyberangriff auf einen Abrechnungsdienstleister hat im Mai 2026 die Daten von rund 60.000 Patienten der Unikliniken Freiburg, Heidelberg, Tübingen, Ulm und Mannheim erbeutet.
• Die Kliniken sind DSGVO-Verantwortliche — auch wenn ihr Dienstleister gehackt wurde, müssen sie binnen 72 Stunden melden und haften gegenüber den Patienten.
• Genau das Muster trifft auch jedes deutsche KMU, das Lohnabrechnung, IT-Hosting oder Marketing-Tools an externe Dienstleister vergibt — und es gibt drei konkrete Schritte, mit denen Sie das Risiko in einer Woche signifikant senken.

Am 21. Mai 2026 wurde öffentlich, was viele Geschäftsführer bislang als theoretisches Risiko abgetan hatten: Die fünf Uniklinken Freiburg, Heidelberg, Tübingen, Ulm und Mannheim mussten ihren Patienten mitteilen, dass deren Stammdaten, Adressen und in vielen Fällen Diagnosen und Rechnungsdaten gestohlen wurden — bei einem externen Dienstleister, der die wahlärztlichen Leistungen abrechnet (Ärzteblatt, 21.05.2026).

Allein in Freiburg sind 54.000 Patienten betroffen, in Heidelberg 11.000, in Tübingen 5.000 (davon 1.200 mit konkreten Gesundheitsdaten), in Ulm 1.600. Die Kliniken haben den Datenfluss sofort gestoppt — der Schaden ist trotzdem da.

Und hier kommt der unbequeme Teil für jeden Geschäftsführer: Die Patienten halten sich nicht an den Dienstleister. Sie halten sich an die Klinik. Genau das passiert jedem Unternehmen, dessen Auftragsverarbeiter gehackt wird.

Dienstleister gehackt — warum trotzdem Sie haften

Die DSGVO unterscheidet sauber zwischen Verantwortlichem (Sie, das Unternehmen, das die Daten erhebt) und Auftragsverarbeiter (Ihr Dienstleister, der die Daten in Ihrem Auftrag verarbeitet). Klingt nach Lastenteilung — ist aber keine. Nach Art. 24 DSGVO ist und bleibt der Verantwortliche derjenige, der gegenüber den Betroffenen und der Aufsichtsbehörde geradesteht.

Konkret heißt das bei einem Hack beim Dienstleister:

Sie als Auftraggeber tragen damit drei Risiken gleichzeitig: die Meldung an die Behörde, die Information der betroffenen Personen (Art. 34 DSGVO, sobald hohes Risiko besteht — bei Gesundheitsdaten praktisch immer) und die zivilrechtliche Haftung bei Schadenersatzklagen. Der gehackte Dienstleister haftet zwar mit (Art. 82 Abs. 2 DSGVO), aber im Außenverhältnis stehen Sie zuerst da.

Warum das auch Ihr 30-Mann-KMU trifft

Wenn Sie jetzt denken "Wir sind keine Uniklinik" — der typische Mittelständler hat im Schnitt 10 bis 25 aktive Auftragsverarbeiter. Die meisten Geschäftsführer kennen davon vier:

• Lohnbüro / Steuerberater (DATEV-Daten, oft kompletter Personalbestand)
• IT-Dienstleister (Backup, Microsoft 365, Server-Hosting)
• CRM / Marketing-Tools (HubSpot, Brevo, Mailchimp)
• Buchhaltungs-Cloud (lexoffice, sevDesk, Datev Unternehmen Online)

Was dazu kommt, wird gerne vergessen: Telefonanlage in der Cloud (Gespräche, Rufnummern), Recruiting-Plattform (Bewerberdaten), Webdesign-Agentur mit Backend-Zugriff, externer Newsletter-Texter mit Liste, das Tool für die Mitarbeiterbefragung, das KI-Transkriptionstool für Meetings.

Wir sehen das bei unseren Mandanten regelmäßig: Die ersten 10 Dienstleister sind schnell genannt. Ab Nummer 15 fängt das Nachdenken an. Bei 22 sagt der Geschäftsführer "Stopp, das kann ich allein nicht mehr". Genau dort beginnt das Risiko — bei dem Dienstleister, an den niemand mehr denkt, weil er irgendwann vor drei Jahren mal eingerichtet wurde.

Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner — trotzdem war es ein Angriff. Genau dieses Muster sehen wir jetzt bei den Unikliniken: Es trifft die Dienstleister, weil die in der Regel weniger gut abgesichert sind als die großen Auftraggeber.

Nils OehmichenDatenschutzberater bei frag.hugo

Was JETZT zu tun ist — Ihre 7-Tage-Absicherung

Wir haben den Plan aus zwei Dutzend Vorfällen destilliert, die wir in den letzten 24 Monaten begleitet haben. Er ist kein Allheilmittel — aber wer ihn diese Woche abarbeitet, ist im Ernstfall handlungsfähig und nicht in Panik.

1. Tag 1: Liste aller Auftragsverarbeiter erstellen. Setzen Sie sich mit Buchhaltung, IT und Marketing an einen Tisch und sammeln Sie alle externen Dienstleister, die personenbezogene Daten verarbeiten. Erfahrungsgemäß sind das 15 bis 30. Excel-Tabelle reicht.
2. Tag 2: AVV-Status prüfen. Für jeden Dienstleister: Liegt ein gültiger Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vor? Wenn nein → Risiko. Unsere 15-Minuten-AVV-Checkliste zeigt, worauf es ankommt.
3. Tag 3: TOM-Nachweise einfordern. Technisch-organisatorische Maßnahmen sind die Sicherheitskontrollen Ihres Dienstleisters. ISO 27001, BSI C5, TISAX-Zertifikate sind das Maximum — ein eigenes TOM-Dokument das Minimum. Wer nichts liefert, fliegt aus der Liste oder wird ersetzt.
4. Tag 4: Datenpannen-Notfallplan schreiben. Wer ruft wen an, wenn Sie morgens eine Mail bekommen "Ihr Dienstleister X wurde gehackt"? Wer schreibt die Meldung an die Behörde? Wer informiert die Betroffenen? Das gehört auf ein A4-Blatt, nicht in ein 80-Seiten-Konzept. Vorlage: unser 72-Stunden-Notfallplan.
5. Tag 5: Backups und Zugriffsrechte beim wichtigsten Dienstleister prüfen. Wer hat bei Ihrem IT-Hoster Admin-Zugriff auf Ihre Server? Können Sie Ihre Daten innerhalb von 24 Stunden bei einem anderen Anbieter wiederherstellen? Das ist die Kernfrage für Ransomware-Resilienz.
6. Tag 6: Lieferketten-Risikomatrix bauen. Welcher Ausfall welches Dienstleisters legt Sie wie lange lahm? Das ist nicht nur DSGVO-Thema — bei NIS2-relevanten Branchen ist es ab 2026 verbindliche Pflicht.
7. Tag 7: Vorgehen mit Geschäftsführung absprechen. Die Liste, die TOM-Lücken und die offenen AVVs werden in 30 Minuten dem GF vorgelegt — mit klarer Eskalations-Ampel. Was rot ist, wird in der folgenden Woche geschlossen.

Lesetipp passend zum Thema

Lesetipp: Dieses Thema wird in unserem kostenlosen E-Book „CYBER-SICHER — Der IT-Sicherheits-Guide für den deutschen Mittelstand" (47 Seiten, 2026-Edition) ausführlich behandelt. Jetzt herunterladen →

NIS2 und der Dienstleister-Faktor

Was viele unterschätzen: Mit dem NIS2UmsuCG (Umsetzung der EU-Richtlinie 2022/2555, im Bundestag verabschiedet) wird die Sicherheit der Lieferkette zur gesetzlichen Pflicht für eine ganze Klasse von Unternehmen. Wer als KMU an einen NIS2-pflichtigen Auftraggeber liefert (typisch: Gesundheitswesen, Energie, Banken, Logistik, IT-Dienstleister), wird vom Kunden über Audits dazu gezwungen, das eigene Sicherheitsniveau nachzuweisen.

Mit anderen Worten: Auch wenn Ihr 40-Mann-IT-Dienstleister selbst nicht NIS2-pflichtig ist — sobald er einen Kunden aus dem Bankensektor oder dem Gesundheitswesen bedient, wird der Kunde von ihm Sicherheits-Nachweise einfordern. Hugo Shield wurde genau dafür gebaut: damit kleinere Zulieferer den großen Kunden in 4 Wochen statt 4 Monaten überzeugen können.

Was die Uniklinik-Geschichte für Ihren nächsten Schritt bedeutet

Die Klinik-Datenschutzbehörde Baden-Württemberg untersucht den Fall. Die Kliniken haben Anzeige erstattet. Die betroffenen Patienten werden persönlich informiert. Was in den nächsten Monaten kommt: Klagen einzelner Patienten, behördliche Verfahren, Vertragsanpassungen. Der Dienstleister wird in jedem Fall ausgetauscht.

Und das wird teuer. Nicht für den Hacker. Nicht für den Dienstleister. Für die Kliniken.

Sie können diese Geschichte als reine Nachricht abhaken — oder als Aufforderung verstehen, das eigene Lieferketten-Risiko zu kennen, bevor es Ihnen passiert. Ein erster Schritt sind 15 Minuten Telefonat mit einem unserer Datenschutz-Experten: Sie schildern Ihre Situation, wir sagen Ihnen, wo Sie stehen und was die nächsten drei Schritte sind. Keine Folie, kein Verkaufstermin.

Häufige Fragen (FAQ)

Wer haftet, wenn mein Dienstleister gehackt wird?

Im Außenverhältnis zuerst Sie als Verantwortlicher (Art. 24 DSGVO). Gegenüber der Aufsichtsbehörde sind Sie meldepflichtig, gegenüber den Betroffenen informationspflichtig (Art. 33, 34 DSGVO). Im Innenverhältnis können Sie den Dienstleister in Regress nehmen — sofern Ihr Auftragsverarbeitungsvertrag das sauber regelt.

Reicht es, wenn der Dienstleister die Datenpanne meldet?

Nein. Der Auftragsverarbeiter informiert ausschließlich Sie als Verantwortlichen (Art. 33 Abs. 2 DSGVO). Die Meldung an die Behörde und die Information der Betroffenen müssen Sie selbst veranlassen — und zwar in der 72-Stunden-Frist ab Ihrer Kenntnisnahme.

Was muss in einem Auftragsverarbeitungsvertrag (AVV) stehen?

Pflichtinhalte regelt Art. 28 Abs. 3 DSGVO: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenkategorien, Pflichten des Auftragsverarbeiters (TOM, Unterauftragsverarbeiter, Mitwirkungspflichten, Unterstützung bei Betroffenenrechten und Datenpannen, Löschung am Ende). Eine ausführliche Anleitung mit Muster finden Sie hier.

Wie schnell muss ich nach einer Meldung des Dienstleisters reagieren?

Sobald der Dienstleister Sie informiert, läuft Ihre 72-Stunden-Frist. Praktisch heißt das: Innerhalb von 24 Stunden den Notfallstab aktivieren, innerhalb von 48 Stunden Behördenmeldung vorbereitet, innerhalb von 72 Stunden gemeldet. Mit einem vorbereiteten Notfallplan ist das machbar, ohne wird es panisch.

Brauche ich einen externen Datenschutzbeauftragten, um das zu managen?

Pflicht ist ein DSB ab 20 Mitarbeitern mit automatisierter Datenverarbeitung (§ 38 BDSG) oder bei besonderer Datenkategorie (Art. 37 DSGVO). Sinnvoll ist die externe Lösung für die meisten KMU schon viel früher — weil ein Vorfall wie der Uniklinik-Hack ohne erfahrene Begleitung in den ersten 72 Stunden gerne zu Folgefehlern führt, die teurer sind als drei Jahre DSB-Honorar.

Hilft mir der Hugo Check oder die Hugo DSB-Plattform konkret?

Der Hugo Check ist ein kostenloser Website-Scanner, der die offensichtlichen DSGVO-Lücken auf Ihrer Website findet (Cookies, Tracker, Drittland-Tools). Die Hugo DSB-Plattform verwaltet Ihre Auftragsverarbeiter, AVVs, TOMs, Datenpannen-Dokumentation und 72-Stunden-Meldung an einem Ort — mit echtem Datenschutzbeauftragten im Hintergrund.