Ein Cyberangriff auf einen externen Abrechnungsdienstleister zeigt erneut, wie sensibel die Verarbeitung von Patientendaten im Gesundheitswesen ist. Betroffen sind mehrere Kliniken in Deutschland, darunter Universitätskliniken in Hamburg, Köln, Düsseldorf, Baden-Württemberg, Schleswig-Holstein, Mainz und dem Saarland. Nach den vorliegenden Meldungen wurden bei dem Dienstleister Patientendaten entwendet, die im Zusammenhang mit privat- und wahlärztlichen Abrechnungen verarbeitet wurden.
Patientendaten bei externem Dienstleister entwendet
Der Angriff richtete sich nach Angaben des Universitätsklinikums Hamburg-Eppendorf (UKE) nicht gegen das Klinikum selbst, sondern gegen einen externen Dienstleister. Das UKE betonte, dass klinische Systeme und die Patientenversorgung zu keinem Zeitpunkt betroffen gewesen seien. Dennoch wurden Patientendaten verarbeitet, die für die Abrechnung der im UKE erbrachten Leistungen erforderlich waren. Das UKE stoppte nach Bekanntwerden des Vorfalls die Datenübertragung an den Dienstleister bis auf Weiteres.
Nach aktueller Analyse des Dienstleisters sind beim UKE 5.244 Personen mit allgemeinen Daten betroffen, darunter Namen, Adressen, behandelnde Ärztinnen oder Ärzte und Rechnungssummen. In 1.497 Abrechnungsfällen geht es zudem um Gesundheitsdaten, etwa Diagnosen, Diagnosecodes oder Angaben zu Behandlungen und Gesundheitsverläufen. In vier Fällen waren sensible Finanzdaten betroffen.
Mehrere Kliniken betroffen
Das Ausmaß des Cyberangriffs geht über einzelne Kliniken hinaus. Nach Medienberichten waren Kliniken in mehreren Bundesländern betroffen. Allein in Baden-Württemberg sollen mehr als 72.000 Patientinnen und Patienten der Universitätskliniken Freiburg, Ulm, Heidelberg und Tübingen betroffen sein. Die Uniklinik Köln meldete rund 30.000 betroffene Personen, das Universitätsklinikum Düsseldorf mehr als 3.000 Fälle.
Das Deutsche Ärzteblatt berichtet zudem, dass die Gesamtzahl der bisher bekannten Fälle die Marke von 100.000 überschreitet. Neben Köln und Düsseldorf werden unter anderem das Universitätsklinikum Schleswig-Holstein mit mindestens rund 9.000 Datensätzen, die Unimedizin Mainz mit rund 2.800 Fällen und das Universitätsklinikum des Saarlandes mit knapp 1.300 Fällen genannt. Das genaue Gesamtausmaß war nach den vorliegenden Berichten zunächst weiter unklar.
Warum Patientendaten besonders schutzbedürftig sind
Patientendaten gehören zu den sensibelsten personenbezogenen Daten. Neben Namen und Kontaktdaten können Gesundheitsdaten, Diagnosen, Behandlungsinformationen oder Abrechnungsdetails betroffen sein. Solche Informationen lassen Rückschlüsse auf Erkrankungen, Behandlungen und persönliche Lebensumstände zu. Deshalb gelten nach der Datenschutz-Grundverordnung (DSGVO) besonders strenge Anforderungen an ihren Schutz.
Der Vorfall zeigt außerdem, dass Datenschutzrisiken nicht nur innerhalb einer Klinik entstehen. Auch externe Dienstleister können ein erhebliches Risiko darstellen, wenn sie große Mengen sensibler Daten für mehrere Einrichtungen verarbeiten. Für Kliniken bedeutet das, dass Auftragsverarbeitung, technische Schutzmaßnahmen, Meldewege und Notfallprozesse regelmäßig überprüft werden müssen.
Was Kliniken und Dienstleister jetzt beachten sollten
Gesundheitseinrichtungen sollten prüfen, welche Patientendaten an externe Dienstleister übermittelt werden und ob diese Datenübermittlungen auf das erforderliche Maß beschränkt sind. Ebenso wichtig ist eine klare vertragliche Regelung zur Auftragsverarbeitung. Dienstleister müssen geeignete technische und organisatorische Maßnahmen nachweisen können, insbesondere bei Zugriffsschutz, Verschlüsselung, Protokollierung, Backup-Konzepten und Incident Response.
Der Fall zeigt zudem, wie wichtig transparente Kommunikation ist. Das UKE kündigte an, betroffene Patientinnen und Patienten persönlich per Brief zu informieren und eine Kontaktstelle einzurichten. Auch die zuständige Datenschutzaufsichtsbehörde wurde informiert und Strafanzeige gestellt.
Fazit
Der Cyberangriff auf einen externen Abrechnungsdienstleister macht deutlich, dass Cybersicherheit im Gesundheitswesen nicht an den Grenzen der Klinik endet. Wer Patientendaten verarbeitet, muss auch Dienstleister, Datenflüsse und Abrechnungsprozesse in sein Sicherheits- und Datenschutzkonzept einbeziehen.
Für Kliniken, Abrechnungsdienstleister und andere Gesundheitsakteure gilt: Patientendaten benötigen besonders robuste Schutzmaßnahmen. Der Vorfall zeigt, dass Datenschutz, Informationssicherheit und Dienstleisterkontrolle im Gesundheitswesen eng zusammengehören.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
