Klinken: Klagewelle nach Cyberangriff
Klagewelle nach Cyberangriff
Patientendaten abgeflossen: Was Einrichtungen jetzt wissen müssen
Mitte April 2026 griffen Unbekannte einen Abrechnungsdienstleister für Kliniken an. Dabei flossen zehntausende Patientendaten ab. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die zuständige Datenschutzaufsichtsbehörde wurden zeitnah informiert. Das volle Ausmaß des Angriffs wurde allerdings erst in den Folgewochen bekannt.
Für die betroffenen Einrichtungen folgt nun die nächste Belastung: Verbraucherkanzleien sammeln bereits Kläger für Schadenersatzklagen nach Art. 82 DS-GVO. Das Vorgehen folgt einem bekannten Muster. Nach größeren Datenpannen werden Betroffene gezielt angesprochen, um Ansprüche geltend zu machen. Die Verfahren werden in der Regel über die Rechtsschutzversicherung der Betroffenen finanziert. Für Einrichtungen, die ohnehin mit den Folgen eines Cyberangriffs kämpfen, bedeutet das zusätzlichen Druck.
Ein Datenleck allein begründet aber keinen Schadenersatzanspruch. Entscheidend sind drei Punkte: Waren angemessene technische und organisatorische Maßnahmen nach Art. 32 DS-GVO implementiert? Wurde die Auswahl und Überwachung des Dienstleisters nach Art. 28 DS-GVO ordnungsgemäß durchgeführt und dokumentiert? Und ist dem Betroffenen durch die Datenpanne ein kausaler immaterieller Schaden entstanden? Wer diese drei Punkte belastbar nachweisen kann, hat gute Chancen, Klagen abzuwehren. Die Rechtsprechung bestätigt das regelmäßig.
Unsere Empfehlungen
Gesundheitseinrichtungen
Krankenhäuser und andere Einrichtungen im Gesundheitswesen verarbeiten besonders sensible Daten. Wer externe Abrechnungs- oder IT-Dienstleister einsetzt, sollte folgende Fragen prüfen: Gibt es einen aktuellen Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO? Sind die vereinbarten technischen und organisatorischen Maßnahmen schriftlich festgehalten und auf dem aktuellen Stand? Wird die Einhaltung dieser Maßnahmen beim Dienstleister regelmäßig geprüft und dokumentiert? Diese Unterlagen sind im Fall einer Klage die wichtigste Verteidigung. Wer sie nicht vorweisen kann, hat ein Problem.
Unternehmen und KMU
Das gilt nicht nur für Kliniken. Jedes Unternehmen, das personenbezogene Daten über externe Dienstleister verarbeitet, trägt die Verantwortung für deren Auswahl und laufende Kontrolle. Fehlende oder veraltete Auftragsverarbeitungsverträge werden nach Datenpannen zum Risiko. Sinnvoll ist es, jetzt zu prüfen, welche Dienstleister Zugriff auf personenbezogene Daten haben, und diese Überprüfung schriftlich festzuhalten.
Kanzleien und Freiberufler
Kanzleien auf der Klägerseite sollten die aktuelle Rechtsprechung zu Art. 82 DS-GVO genau kennen. Ein Datenleck allein reicht für eine erfolgreiche Klage nicht aus. Die Kausalität zwischen Datenpanne und immateriellem Schaden muss konkret nachgewiesen werden. Das ist in der Praxis oft schwierig. Kanzleien auf der Verteidigungsseite sollten die Dokumentation zu TOMs und Dienstleisterauswahl bei betroffenen Mandanten frühzeitig sichern.
Quellen: tagesschau.de, heise.de, reuschlaw.de
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks