Gesundheitsdaten von mehr als 1.200 Patientinnen und Patienten des Universitätsklinikums des Saarlandes sind bei einem Cyberangriff auf einen externen Abrechnungsdienstleister gestohlen worden. Das UKS in Homburg machte den Vorfall am 21. Mai 2026 öffentlich – bewusst aus eigener Initiative, wie der kommissarische Ärztliche Direktor und Vorstandsvorsitzende Prof. Dr. Michael Zemlin betonte: „Im Wissen um die Sensibilität von Gesundheitsdaten und um deren Bedeutung für unsere Patientinnen und Patienten haben wir uns heute für eine Information der Öffentlichkeit entschieden.“
Der Angriff richtete sich nicht gegen die IT-Systeme des Klinikums selbst, sondern gegen einen Dienstleister, der für zahlreiche Krankenhäuser in Deutschland die Abrechnung von Leistungen bei privatversicherten Personen, Zusatzversicherten und Selbstzahlern übernimmt. Bereits Mitte April hatten Angreifer dort zugeschlagen. Der Dienstleister informierte daraufhin am 16. April sowohl die zuständige Datenschutzbehörde als auch das Bundesamt für Sicherheit in der Informationstechnologie. Bis die konkrete Betroffenheit des UKS feststand, vergingen allerdings noch Wochen: Erst am 18. Mai erhielt das Klinikum die Nachricht, dass exakt 1.266 seiner Patientinnen und Patienten betroffen sind.
Bei der Mehrzahl der Fälle wurden Stammdaten entwendet – also Name, Geburtsdatum und Anschrift. Deutlich heikler ist die Lage für rund 400 Betroffene, bei denen auch Informationen abgeflossen sind, aus denen sich Rückschlüsse auf Diagnosen und Behandlungsarten ziehen lassen. Gerade in diesem Bereich wiegt ein Datenverlust besonders schwer, weil medizinische Informationen zu den sensibelsten personenbezogenen Daten überhaupt zählen.
Das UKS reagierte nach eigenen Angaben unmittelbar nach Bekanntwerden und trat in engen Austausch mit dem Dienstleister sowie weiteren betroffenen Kliniken. Zemlin forderte den Abrechnungsservice zudem auf, seinerseits transparent über den Vorfall zu berichten. „Priorität hat für uns eine zügige Information der Betroffenen durch den Dienstleister“, stellte er klar. Die Datenschutzbeauftragte des Klinikums begleitet und kontrolliert diesen Prozess. Der Dienstleister habe eine umgehende Benachrichtigung aller Betroffenen zugesagt.
Nach Einschätzung der vom Dienstleister hinzugezogenen Sicherheitsexperten ist eine Veröffentlichung der erbeuteten Daten derzeit nicht wahrscheinlich. Der Vorfall sei inzwischen umfassend analysiert worden. Dennoch bleibt eine Restunsicherheit, die das Klinikum offenbar ernst nimmt: In den kommenden Tagen will das UKS über weitere gesicherte Erkenntnisse informieren.
Patientinnen und Patienten, die wissen möchten, ob sie betroffen sind oder Fragen zum Vorfall haben, können sich per E-Mail an datenschutz@uks.eu wenden. Das Klinikum sichert dabei einen DSGVO-konformen Umgang mit allen ausgetauschten Daten zu. Der Fall reiht sich ein in eine wachsende Zahl von Cyberangriffen auf das Gesundheitswesen, bei denen nicht die Kliniken selbst, sondern deren externe Dienstleister zur Schwachstelle werden.
