Betroffene Patient:innen werden persönlich per Brief informiert

Von einem Cyberangriff auf einen externen Dienstleister, der in Deutschland für über die Hälfte der größeren Krankenhäuser und nahezu alle Universitätsklinika privat- und wahlärztliche Abrechnungen übernommen hat, sind auch Patient:innen des Universitätsklinikums Hamburg-Eppendorf (UKE) betroffen. Der Angriff betraf ausschließlich den externen Dienstleister und nicht das UKE selbst, daher waren zu keinem Zeitpunkt die klinischen Systeme oder die Patient:innenversorgung betroffen. Unmittelbar nach Bekanntwerden des Vorfalls hat das UKE die Datenübertragung an den Dienstleister bis auf Weiteres gestoppt.

Bei dem Abrechnungsdienstleister werden nur solche Patient:innendaten verarbeitet, die für die Abrechnung der im UKE erbrachten Leistungen notwendig sind. Der Angriff betraf Daten, die im Rahmen von Rechnungsbeanstandungen verarbeitet wurden. Nach aktueller Analyse des Abrechnungsdienstleisters sind Patient:innen des UKE mit privater (Zusatz-) Versicherung und Selbstzahlende in folgendem Ausmaß betroffen:

• Allgemeine Daten: 5.244 Betroffene (z.B. Namen, Adresse, behandelnder Arzt/behandelnde Ärztin oder Rechnungssummen)
• Gesundheitsdaten: 1.497 Abrechnungsfälle (Inhalte aus Patientenakten, Diagnosen, Diagnosecodes sowie sonstige konkrete Angaben zu Erkrankungen, Behandlungen oder Gesundheitsverläufen, die eine unmittelbare inhaltliche Aussage über den Gesundheitszustand der betroffenen Person ermöglichen)
• Sensible Finanzdaten: 4 Abrechnungsfälle (z.B. IBAN, Kontonummern oder sonstige Bank- bzw. Zahlungsdaten, Auszüge aus Rechnungen oder Zahlungsaufstellungen)

Auch wenn eine Veröffentlichung der entwendeten Daten nach Einschätzung der eingebundenen Expert:innen des Dienstleisters nicht wahrscheinlich ist, wird das UKE alle Betroffenen in diesen Tagen persönlich per Brief über den Vorfall informieren. Eine Kontaktstelle für Anfragen wurde eingerichtet. Sofern Patient:innen kein Schreiben vom UKE erhalten, sind ihre Daten nicht betroffen.

Seit Bekanntwerden hat das UKE weitere Informationen vom Dienstleister eingefordert. Die zuständige Datenschutzaufsichtsbehörde (HmbBfDI) wurde bereits beim Bekanntwerden des Anfangsverdachts am 16. April 2026 informiert. Strafanzeige bei der Staatsanwaltschaft wurde gestellt. Das konkrete Ausmaß und die Art der abgeflossenen Daten wurden dem UKE vom Dienstleister diese Woche mitgeteilt. Das UKE steht in engem Austausch mit anderen betroffenen Krankenhäusern, sowohl in Hamburg als auch deutschlandweit, sowie den zuständigen Behörden und wird bei Bedarf über weitere gesicherte Erkenntnisse informieren.