Klinik-Datenleck: So erkennst du den Betrug

Das Telefon klingelt. Am anderen Ende meldet sich angeblich die Klinik, in der du tatsaechlich behandelt wurdest. Die Stimme kennt deinen Namen, deine Behandlung, vielleicht sogar das Datum deines Termins. Dann die Aufforderung: eine offene Rechnung ueber einen Link begleichen oder Kontodaten bestaetigen, sonst gehe die Sache an ein Gericht. Alles klingt echt. Genau das ist das Problem.

Mitte April 2026 griffen Unbekannte die Systeme der Abrechnungsfirma Unimed an, die fuer deutsche Kliniken die Rechnungsstellung uebernimmt. Erbeutet wurden laut Unternehmen und Medienberichten Daten von mehr als 72.764 Patientinnen und Patienten. Diese Zahl ist vorlaeufig und kann steigen: Mehrere Berichte verwiesen darauf, dass das tatsaechliche Ausmass des Lecks im Mai noch ermittelt wurde. Datenschutzbehoerde und das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) wurden am 16. April 2026 informiert. (tagesschau-Bericht)

Der Angriff selbst ist vorbei. Die zweite Welle aber, die fuer dich als Betroffene gefaehrlichere, faengt jetzt erst an. Wer medizinische Daten besitzt, kann eine Betrugsnachricht formulieren, die voellig echt wirkt, weil sie Details kennt, die ein gewoehnlicher Betrueger nie haette.

Zuerst: Bist du ueberhaupt betroffen?

Bevor du dir Sorgen machst, pruefe, ob es dich ueberhaupt betrifft. Laut Unimed wurden ausschliesslich Daten von zwei Gruppen abgegriffen: Privatpatienten und Selbstzahler. Gesetzlich Versicherte koennen nur dann betroffen sein, wenn sie eine Zusatzversicherung haben. Das stellte Wissenschaftsministerin Olschowski klar.

Fuer die meisten Leserinnen und Leser, die gesetzlich ohne Zusatzversicherung versichert sind, heisst das: Sie liegen aller Wahrscheinlichkeit nach ausserhalb dieses konkreten Lecks. Wichtig bleibt aber: Diese Angaben stammen von der betroffenen Firma selbst, sind keine unabhaengig bestaetigte Garantie, und die Ermittlungen laufen noch, der Umfang kann sich aendern. Und ein Betrueger fragt nicht nach deinem Versicherungsstatus, bevor er anruft. Wachsamkeit gegenueber verdaechtigen Nachrichten lohnt sich daher fuer alle.

Es ist nicht nur Unimed. Das UKE in Hamburg berichtet von mehr als 5.000 Betroffenen, und auch das UKSH in Kiel meldet abgegriffene Patientendaten. Wer in einer dieser Einrichtungen behandelt wurde, sollte besonders aufmerksam sein.

Die Masche, vor der das BSI warnt

Das Bundesamt fuer Sicherheit in der Informationstechnik warnt, dass sich mit diesen Daten sehr individuell zugeschnittene Phishing-Mails oder Erpressungsversuche bauen lassen, und raet, E-Mails, Anrufe und jede Kontaktaufnahme kritisch zu pruefen. Der Unterschied zur ueblichen Spam-Mail: Statt einer plumpen Massennachricht kommt eine, die eine echte Behandlung nennt oder eine Rechnung im Namen einer Praxis, die du kennst.

FH-Muenster-Professor Schinzel erklaert, dass solche Daten haeufig im Darknet verkauft werden. Wer dich also kontaktiert, muss nicht der urspruengliche Angreifer sein, sondern hat moeglicherweise eine Liste mit Namen und Behandlungsdaten gekauft, um darauf eine Betrugsmasche aufzubauen.

Die Faustregel: Wenn eine Klinik oder eine Versicherung deine echten Behandlungsdetails kennt und zur sofortigen Zahlung oder zum Klick auf einen Link draengt, ist genau das der Grund zu misstrauen, nicht zu vertrauen.

Was du bei unerwartetem Kontakt tust

Klicke auf keinen Link in einer E-Mail oder SMS, die zur Zahlung einer Rechnung oder zur Bestaetigung von Daten auffordert. Zahle nichts auf Grundlage eines Anrufs oder einer Nachricht, die du nicht selbst angefragt hast. Leg ruhig auf und gib weder Kontonummer noch Versichertennummer noch weitere Daten preis.

Zum Pruefen rufst du die Klinik oder Versicherung selbst an, ueber die offizielle Nummer auf deiner Karte oder der offiziellen Website, nicht ueber die Nummer oder den Link aus der verdaechtigen Nachricht. Frag direkt nach, ob es eine echte Rechnung gibt. Dieser eine Schritt entlarvt die meisten Betrugsversuche. Die Verbraucherzentrale raet zusaetzlich, Passwoerter zu aendern, falls du dieselbe E-Mail-Adresse fuer sensible Konten nutzt, und dein Bankkonto auf ungewoehnliche Bewegungen zu beobachten. (Verbraucherzentrale-Ratgeber)

Kommt eine verdaechtige Nachricht, melde sie. Phishing-Mails kannst du an die Verbraucherzentrale weiterleiten, bei ernsten Faellen wie Erpressung gehst du zur Polizei. Wie man Betrugsnachrichten erkennt, erklaert das BSI ausfuehrlich auf seiner Seite zu Spam und Phishing. (BSI: Spam, Phishing & Co)

Deine Rechte nach der DSGVO

Du hast hier klare Rechte. Die Datenschutz-Grundverordnung verpflichtet die fuer deine Daten verantwortliche Stelle, also die Klinik oder die Abrechnungsfirma, die Betroffenen bei einer Datenpanne zu informieren, wenn ein hohes Risiko besteht. Und du hast ein Auskunftsrecht: Du kannst die verantwortliche Stelle anschreiben und fragen, welche deiner Daten konkret betroffen sind. (BfDI: Betroffenenrechte)

Das ist eine Erlaeuterung deiner allgemeinen Rechte nach der DSGVO, keine Rechtsberatung fuer deinen Einzelfall. Aber es dreht die Lage um: Statt auf einen einschuechternden Anruf zu warten, kannst du selbst aktiv werden und bei der offiziellen Stelle nachfragen. Die Daten sind aus dem Haus, das laesst sich nicht rueckgaengig machen. Was du jetzt tust, entscheidet aber darueber, ob sie gegen dich verwendet werden.