Cyberangriff auf Auftragsverarbeiter von Kliniken – DS News KW 22/2026

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Heute ist Freitag, der 29. Mai 2026.
Unser Redaktionsschluss war wie gewohnt um 10 Uhr.
Mein Name ist Laura Droschinski und an meiner Seite begrüße ich heute Julia Krivet.
Hallo.
Hallo, liebe Julia. Ja, wir schauen ja heute wieder gemeinsam auf die wichtigsten
Datenschutzthemen der Woche. Was hast du denn mitgebracht?
Ich habe heute dabei eine Studie über die Weitergabe von Mitarbeiterdaten für Werbezwecke,
den Einsatz von KI in der Justiz und ein Datenleck UK Visa Portal und noch einen
kurzen Lesetipp. Was hast du heute dabei, Laura?
Ja, eigentlich ganz ähnliche Themen. Ich habe auch eine Studie mitgebracht.
Diese kommt aber vom Bitkom zum Thema DSGVO.
Dann auch ein Datenleck, unser
Top-Thema heute, nämlich, dass ein Auftragsverarbeiter betroffen hat.
Und dann habe ich auch noch zwei wichtige Sicherheitsupdates vor dem Wochenende auf dem Zettel.
Dann, wenn du magst, starte doch gerne.
Gerne. Eine Studie des Center for Law and the Economy der Columbia Law School
hat untersucht, wie sogenannte Workplace Monitoring Software mit Daten von Beschäftigten umgeht.
Also Anwendungen, die Arbeitgeber einsetzen können, um Arbeitszeiten,
Aktivitäten oder die Nutzung bestimmter Systeme nachzuvollziehen.
Nach der Untersuchung wurde bei allen neuen geprüften Diensten Daten auch an
externe Unternehmen weitergegeben, darunter große Plattformen wie Google und Meta.
Nach der Studie wurden unter anderem Name, E-Mail-Adresse, IP-Adresse,
Unternehmenszugehörigkeit und Informationen über Online-Aktivitäten übertragen.
Dazu gehörten sogar auch Angaben dazu, welche Webseiten Beschäftigte besucht
haben. und bei drei der untersuchten Plattformen war zudem eine genaue Standortverfolgung
möglich, teilweise sogar dann, wenn die App auch nur im Hintergrund lief.
Solche Daten können in größeren Datenökosystemen zusammengeführt und zu Profilen verdichtet werden.
Und interessant sind diese Profile natürlich nicht nur für Marketingzwecke,
sondern potenziell auch für andere Akteure, wie etwa Finanzdienstleister,
Versicherungen, Sicherheitsbehörden oder auch Personalvermittler.
Und die Verfasser der Studie waren deshalb vor einem weitergehenden Risiko.
Denn wenn nun auch Daten aus dem Arbeitskontext in solche Datenströme gelangen,
könnten sie natürlich dazu beintragen, eine
Art Schattenwirtschaft der Arbeitnehmerreputation entstehen zu lassen.
Gemeint ist damit die Gefahr, dass Informationen über Verhalten am Arbeitsplatz
außerhalb der ursprünglichen Beschäftigungsverhältnisse weiterwirken,
etwa bei späteren Bewerbungen oder bei Einschätzungen zur Zuverlässigkeit,
Belastbarkeit oder sogar Gesundheit einer Person.
Es geht also nicht nur darum, ob Beschäftigten Daten an Werbedienstleister fließen,
sondern insbesondere, ob Daten aus einem besonders sensiblen Abhängigkeitsverhältnis
in Datenmärkte geraten können, in denen spätere Verwendungen kaum noch kontrollierbar sind.
Wichtig ist hierbei natürlich zu berücksichtigen, diese Untersuchungen beziehen
sich auf den US-amerikanischen Markt und auf die dort angebotenen bzw. genutzten Dienste.
Trotzdem ist das Thema natürlich auch in Deutschland relevant,
denn das technische Grundproblem ist nicht auf die USA beschränkt.
Viele HR, Zeiterfassungs-, Produktivitäts- oder Monitoring-Tools sind internationale
Cloud-Dienste und auch in Europa kann Software, die im Beschäftigungskontext
eingeführt wird, Schnittstellen zu Analyse-, Tracking- oder Drittanbieterstrukturen enthalten.
Der Unterschied liegt allerdings vor allem im rechtlichen Rahmen.
In den USA ist der Beschäftigte-Datenschutz deutlich weniger einheitlich und
weniger umfassend geregelt als in der EU.
In Deutschland und Europa greifen dagegen ja die DSGVO und nationale Regeln
zum Beschäftigte-Datenschutz und je nach Fall auch Mitbestimmungsrechte des Betriebsrats.
Das ist natürlich aus datenschutzrechtlicher Sicht mal ein erheblicher Vorteil.
Denn in so einem Fall müsste natürlich genau geprüft werden,
gibt es überhaupt eine tragfähige Rechtsgrundlage für die Verarbeitung.
Ist die Verarbeitung für das Beschäftigungsverhältnis überhaupt erforderlich?
Sind die Zwecke klar bestimmt?
Vor allem werden Beschäftigte transparent informiert und ist die Weitergabe
an Dritte, insbesondere an
Werbe- oder Tracking-Anbieter wirklich notwendig und vor allem zulässig.
Also gerade im Beschäftigungsverhältnis ist diese Prüfung besonders sensibel,
weil Beschäftigte typischerweise nicht frei darüber entscheiden können,
ob sie solche Systeme nutzen.
Deshalb reicht es in der Praxis nicht, sich allein auf Anbieterangaben oder
Standard-Datenschutzhinweise zu verlassen.
Sinnvoll ist zumindest ein genauer Blick auf die Datenflüsse,
Drittanbieter, Tracking-Komponenten und die Konfiguration, vor allem bevor eine
solche Software breit ausgerollt werden sollte im Unternehmen.
Ja, die Meldung zeigt vor allem eines. Beschäftigten-Datenschutz ist längst
nicht mehr nur eine Frage einer Personalakte oder interner Zugriffsrechte.
Es betrifft in der heutigen Zeit zunehmend auch die technische Lieferkette von
HR, Zeiterfassung und Monitoring-Tools. und damit auch die Frage,
wohin beschäftigten Daten tatsächlich fließen und wofür sie später genutzt werden können.
Ja, wie du schon so schön gesagt hast, vorher prüfen, was genau mit den Daten passiert.
Aber ich glaube auch an der Stelle kann ich so verkehrt nochmal darauf hinzuweisen,
dass man auch während des Einsatzes des Tools natürlich auch immer wieder als
Verantwortlicher sich selber in die Lage umbringen muss, auch mal Tools nochmal
zu hinterfragen und zu fragen, läuft es denn noch genauso,
wie wir uns das mal ursprünglich bei der Hälfte ersten Bewertung gedacht haben.
Wenn wir jetzt mal wieder an die letzte Woche denken, unser Top-Thema zu Diebel,
der dann plötzlich einen neuen Unterauftragnehmer alleine einsetzt,
der plötzlich ganz woanders sitzt, kann sich da ja auch mal das Verhältnis mal ganz schnell ändern.
Das stimmt. Sehr wichtige Ergänzung, dass es damit natürlich nicht getan ist,
das zu Beginn ausführlich zu prüfen.
Meine erste Nachricht kommt heute aus Berlin und zwar zieht der Bitkom eine
gemischte Bilanz nach zehn Jahren DSGVO.
Der Digitalverband Bitkom hat am Ende letzter Woche einen neuen Studienbericht veröffentlicht.
Zehn Jahre nach Inkrafttreten der Datenschutzgrundverordnung zieht der Verband eine gemischte Bilanz.
Einerseits ist Datenschutz heute fest in den Unternehmen verankert.
Andererseits sehen viele Unternehmen die DSGVO zunehmend als Belastung.
Während kurz vor Anwendbarkeit der DSGVO im Jahr 2018 erst 7 Prozent der Unternehmen
die Anforderungen weitgehend umgesetzt hatten, sind es heute über 70 Prozent.
Gleichzeitig geben über 80 Prozent der Unternehmen an, dass die DSGVO ihre Geschäftsprozesse
komplizierter gemacht hat und Datenschutzaufwand mittlerweile als hoch eingestuft
wird und dieser sich auch von Jahr zu Jahr wohl steigert. Jedenfalls in der Wahrnehmung.
Besonders kritisch bewerten Unternehmen die zunehmende Rechtsunsicherheit.
Auch hier nennen über 80 Prozent die Unsicherheit über die konkrete Auslegung
datenschutzrechtlicher Anforderungen als eine ihrer größten Herausforderungen.
Auch der Fachkräftemangel im Datenschutz verschärft die Situation laut der Studie.
Ein zentrales Thema der Studie ist der Einfluss der DSGVO auf die Entwicklung
von künstlicher Intelligenz.
Mehr als die Hälfte der befragten Unternehmen sehen Datenschutzvorgaben als
Hindernis beim Training von KI-Modellen, befürchten,
dass KI-Unternehmen außerhalb oder deshalb Europa verlassen oder berichten,
dass Datenpool-Projekte aufgrund datenschutzrechtlicher Anforderungen gescheitert
sind oder gar nicht erst gestartet wurden.
Zugleich betont der Bitkom jedoch, dass Datenschutz grundsätzlich eine wichtige
Grundlage für Vertrauen und digitale Geschäftsmodelle bleibt.
Ich glaube, dem können wir uns natürlich auch nur anschließen.
Und Unternehmen sollten Datenschutz
weiterhin als festen Bestandteil ihrer Digitalisierungsstrategie
betrachten, insbesondere aber eben nicht nur bei KI-Projekten.
Gleichzeitig empfiehlt es sich, Datenschutzprozesse stärker risikoorientiert
auszurechnen und frühzeitig rechtlich Klarheit bei innovativen Vorhaben einzuholen.
Also auch der Rat natürlich von uns, holt euch Datenschutzexperten hinzu,
so wie wir sie beispielsweise sind.
Und wir können natürlich euch, aber auch Datenschutzbeauftragte direkt natürlich
auch unterstützen und auch natürlich bei der Weiterentwicklung der DSGVO dies
halt eben weiter mit betrachten.
Also sollte jedes Unternehmen sowieso tun, also beispielsweise jetzt mit dem
geplanten europäischen Digital-Omnibus, wir den natürlich aufmerksam verfolgen,
weil sollte es in diese Richtung gehen, ja auch durchaus vielleicht auch Vereinfachung
und mehr Rechtssicherheit geschaffen werden könnte.
Also grundsätzlich können wir zusammenfassen, die Bitkom-Studie zeigt,
dass die DSGVU ihr Ziel erreicht hat, also Datenschutz in den Unternehmen zu etablieren.
Gleichzeitig wächst der Wunsch nach mehr Rechtsklarheit und weniger Bürokratie.
Ich denke mal, das sind alles Themen, die wir ganz gut nachvollziehen können, oder Julia?
Auf jeden Fall.
Ich war ein bisschen überrascht über die Zahl, dass nur, in meinen Augen,
nur 70 Prozent bestätigt haben, dass sie den Datenschutz weitestgehend umgesetzt
haben. Das empfinde ich irgendwie als wenig.
Ja, das stimmt. Das ist etwas überraschend.
Richtig. Dein nächstes Thema hat ja auch was mit künstlicher Intelligenz zu tun.
Ganz genau. Der Einsatz von künstlicher Intelligenz ist auch in der deutschen
Justiz kein Zukunftsthema mehr, sondern bereits im laufenden Betrieb.
Die Justiz setzt zunehmend auf KI, insbesondere dort, wo große Mengen juristischer
Texte verarbeitet werden müssen.
Ein wichtiger Anwendungsbereich ist dabei die automatisierte Anonymisierung von Urteilen.
Das ist für Gerichte ein zentraler Arbeitsschritt, wenn Entscheidungen veröffentlicht werden sollen.
Namen, Adressen oder andere identifizierende Angaben müssen entfernt oder verfremdet
werden, bevor Urteile der Öffentlichkeit zugänglich gemacht werden können.
KI-Software soll diesen Prozess beschleunigen und die Justiz entlasten.
Wichtig ist dabei zu berücksichtigen, die Technik arbeitet nicht völlig autonom.
Also auch wenn KI-Anwendungen bereits im Echtbetrieb eingesetzt werden,
bleibt die endgültige Verantwortung bei den Menschen.
Richter und Justizbeschäftigte müssen die Ergebnisse prüfen und entscheiden,
ob eine Anonymisierung korrekt und vollständig ist.
Die KI liefert also Unterstützung, aber ersetzt natürlich nicht die menschliche Kontrolle.
Genau an diesem Punkt setzt auch die kritische Diskussion an,
denn KI-Systeme können Fehler machen.
Sie können personenbezogene Informationen übersehen oder Zusammenhänge natürlich falsch einordnen. Ja.
Hier geht es nicht um Effizienz, sondern um Verlässlichkeit,
Nachvollziehbarkeit und natürlich den Schutz von Beteiligten.
Die Bundesregierung ist sich dieser Risiken bewusst. Sie verweist auf die Bedeutung
klarer Leitlinien und regulatorischer Vorgaben, insbesondere mit Blick auf die
europäische KI-Verordnung.
Danach müssen KI-Systeme in
sensiblen Bereichen besonders sorgfältig gesteuert und überwacht werden.
Für die Justiz bedeutet das, der Einsatz von KI braucht klare Zuständigkeiten,
Qualitätskontrollen und nachvollziehbare Verfahren.
Ein weiterer wichtiger Punkt ist die Schulung des Justizpersonals,
denn wenn KI-Systeme in Gerichten und Staatsanwaltschaften eingesetzt werden,
reicht es nicht, die Software bereitzustellen.
Die Menschen, die mit den Ergebnissen arbeiten, müssen auch verstehen,
wo die Grenzen solcher Systeme liegen.
Datenschutzrechtlich ist das Thema naheliegend relevant. Urteile und Verfahrensakten
enthalten regelmäßig personenbezogene Daten, teilweise auch besonders sensible Informationen.
Und wenn KI bei der Anonymisierung oder Auswertung solcher Inhalte hilft,
muss sichergestellt sein, dass Daten nicht unkontrolliert verarbeitet werden
und dass Fehler nicht zu einer unbeabsichtigten Offenlegung führen.
Die Digitalisierung der Justiz
wird dabei allerdings nicht allein von einzelnen Gerichten getragen.
Bund und Länder arbeiten gemeinsam an der Finanzierung und Umsetzung.
Ziel ist es, bis Ende 2026 deutliche Fortschritte zu erreichen.
KI wird damit zu einem Baustein einer breiteren Modernisierung der Justiz.
Ein Cyberangriff auf einen Abrechnungsdienstleister trifft tausende Klinikpatienten.
Ein Cyberangriff auf den externen Abrechnungsdienstleister Unimed hat bundesweit
zahlreiche Kliniken und zehntausende Patientinnen und Patienten betroffen.
Besonders betroffen hiervon sind unter anderem die Universitätskliniken Köln
und Düsseldorf sowie weitere Krankenhäuser in Nordrhein-Westfalen und im Saarland.
Allein die Uniklinik Köln berichtet von knapp 30.000 betroffenen Personen.
Nach bisherigen Erkenntnissen wurden Namen, Adressen, Angaben zu behandelnden
Ärzten und in einzelnen Fällen auch Gesundheit- sowie Zahlungs- und Abrechnungsdaten abgegriffen.
Die Kliniken betonen, dass ihre eigenen Krankenhaus- und Behandlungssysteme
nicht komprimiert wurden.
Betroffen war ausschließlich der externe Dienstleister.
Laut der betroffenen Abrechnungsfirma Unimet konnte der Angriff,
der bereits im April stattgefunden hat, nach kurzer Zeit abgewehrt werden.
Dennoch ist erst jetzt das Ausmaß, der in den vergangenen Tagen klar geworden ist.
Unimit ist ein Abrechnungsdienstleister für Kliniken. Also das heißt,
die schreiben ja nicht ihre Rechnung selber, sondern geben das eben an diesen Dienstleister weiter.
Bei der Attacke wurden laut dem Dienstleister ausschließlich Daten von Privatpatienten
und Selbstzahlenden abgegriffen.
Also der Vorfall verdeutlicht erneut die besonderen Risiken beim Einsatz von
Dienstleistern oder Auftragsverarbeitern, insbesondere im Gesundheitswesen.
Also auch wenn die Kliniken die Datenverarbeitung teilweise an externe Dienstleister
auslagern, bleiben sie natürlich, wie alle anderen Verantwortlichen auch,
datenschutzrechtlich verantwortlich in den meisten Fällen und müssen eben auch
sicherstellen, dass personenbezogene Daten angemessen geschützt werden.
Insbesondere, weil wir ja auch eben hier mit Gesundheitsdaten zu tun haben,
die ja eben als besonders schützenswert gelten.
Laut der Pressemitteilung wurden die zuständigen Datenschutzbehörden sowie das
Bundesamt für Sicherheit in der Informationstechnik, das BSI, informiert.
Und die betroffenen Kliniken haben auch natürlich ihre Patientinnen und Patienten
aktiv benachrichtigt. Das BSI warnt und empfiehlt jetzt im Zusammenhang dessen,
dass Betroffene in den kommenden Wochen natürlich besonders aufmerksam sein sollten.
Also bei unerwarteten E-Mails, SMS oder Anrufen, diese kritisch zu hinterfragen,
aber natürlich niemals Passwörter, Tanz- oder Zahlungsdaten weitergeben und
natürlich sich bei Unsicherheiten direkt an die Klinik oder an bekannte Ansprechpartner wenden.
Außerdem warnt halt das BSI auch nochmal davor, dass ja die Cyberkriminellen
mittlerweile sehr, sehr gut geworden sind.
Also die sind sehr gut darin geschult und es ist deshalb davon auszugehen,
dass eben jetzt insbesondere die Informationen zum Gesundheitsstatus oder auch
zu den Behandlungen sehr gut dafür geeignet sind,
dass Betrugsversuche auch durchaus erfolgreich sein könnten.
Der Fall zeigt sich natürlich jetzt ganz besonders kritisch aufgrund des Gesundheitsbereichs,
aber wir können natürlich auch aus datenschutzrechtlicher Sicht nochmal betrachten,
wie wichtig es ist, auch immer wieder bei Dienstleistern mitzuschauen und natürlich auch zu schauen,
klappen denn hier auch die Prozesse, wenn denn der Dienstleister von einem Vorfall
betroffen ist, sind hier ausreichend Abreden getroffen worden,
damit man als verantwortliche Stelle nicht nachher diesen wichtigen Informationen hinterherhängt.
So, dann kommen wir zum Datenlag des UK-Visa-Portals.
Seit dem vergangenen Frühjahr müssen viele Reisende für die Einreise nach Großbritannien
vorab eine elektronische Reisegenehmigung beantragen, die sogenannte ETA,
also Electronic Travel Authorization.
Offiziell läuft dieser Antrag über die britische Regierungsseite gov.uk.
Daneben sind jedoch zahlreiche private Anbieter mit eigenen Antragsportalen
aufgetreten, die teils deutlich höhere Geburgen verlangen.
Viele Reisende suchen online nach der neuen elektronischen Einreisegenehmigung
für Großbritannien und landen dabei nicht immer auf der offiziellen Regierungsseite,
sondern auf einem der privaten Drittanbieterportale.
Bei einem dieser Portale wurden nun Dokumente von Antragstellenden ungeschützt im Netz abgelegt.
Dabei handelt es sich um die Website UK Visa Portal. Bei diesem Anbieter sollen
hochsensible Unterlagen öffentlich im Netz zugänglich gewesen sein.
Berichtet wird dabei von Reisepasskopien, Selfie-Fotos zur Verifikation und
weiteren Antragsdaten.
Dazu gehören typischerweise Namen, Geburtsdaten, Passnummern,
Nationalitäten, Kontaktinformationen und teilweise auch Adressdaten.
Dabei waren mindestens 100.000 Dokumente betroffen und die Daten lagen offenbar
in einem falsch konfigurierten Cloud-Speicher, bei dem Dateien über vorhersehbare
oder bekannte Links abrufbar waren.
Das ist bei solchen Daten natürlich besonders gravierend, weil es hier nicht
um einfache Kontaktdaten geht.
Denn Passdaten und Verifikationsfotos gehören natürlich zu den Informationen,
die für Identitätsmissbrauch besonders attraktiv sind.
Und wer solche Daten ungeschützt speichert, schafft natürlich ein erhebliches
Risiko für die Betroffenen.
Die professionell wirkenden Dienstleistungsseiten können für Verbraucher sehr
schwer von offiziellen Angeboten zu unterscheiden sein.
Und Polizeibehörden und Verbraucherzentralen waren schon länger vor überteuerten
und irreführenden ITA-Angeboten.
Die offizielle Beantragung soll unbedingt über die britische Regierungsseite
oder die offizielle App erfolgen.
Daher an dieser Stelle der Hinweis für die Hörerinnen und Hörer,
die vielleicht eine Reise nach Großbritannien geplant haben,
die elektronische Reisegenehmigung über die britische Regierungsseite zu beantragen,
um den Geldbeutel und vor allem auch die Daten zu schützen.
Wertvoller Tipp vor der Urlaubssaison.
Ganz genau.
Dann komme ich zu den zwei Sicherheitspatches, die notwendig sind oder notwendig
werden vor dem Wochenende, wenn sie nicht schon eingespielt worden sind.
Zum einen schließt Microsoft eine hochriskante SharePoint-Lücke.
Betroffen sind unter anderem SharePoint-Server 2016, die Enterprise-Server 2016
und 2019 und die Subscription Edition.
Hier sollten eben Admins schauen, dass die My-Updates korrekt bei sich berücksichtigt wurden.
Zum anderen schließt Google für den Chrome-Browser einige kritische Sicherheitslücken.
Wer Chrome nutzt, sollte dringend prüfen, ob der Browser bereits aktuell ist.
Dieser wurde am Mittwoch veröffentlicht.
Heute früh wurde dann von den Entwicklern bekannt gegeben, dass mit der neuen
Version 151 Sicherheitslücken geschlossen wurden.
Also der Servicetipp zum Wochenende.
So, dann kommen wir auch schon zu dem Lesetipp. Heute haben wir nur einen für euch.
Das Bundesamt für Sicherheit der Informationstechnik hat eine neue Informationsseite
mit dem Titel Digital sicher aufwachsen veröffentlicht.
Im Mittelpunkt steht dabei die Frage, wie Kinder und Jugendliche im digitalen
Alltag besser geschützt und zugleich zu einem sicheren Umgang mit Online-Angeboten
befähigt werden können.
Das BSI stellt außerdem Anleitungen und Unterrichtsmaterialien zur Verfügung,
um den digitalen Schutz von Kindern zu unterstützen.
Darin finden sich zum Beispiel Empfehlungen für technische Schutzmaßnahmen wie
Altersbeschränkungen für Apps, die
Deaktivierung von In-App-Käufen und die Kontrolle von App-Berechtigung.
Zudem empfiehlt das BSI Eltern, Gespräche über Bildschirmzeiten und Online-Erlebnisse
zu führen, um ein respektvolles Verhalten im Netz zu fördern.
Der Beitrag richtet sich also vor allem an Eltern, Familien und natürlich auch
alle, die Kinder beim sicheren Umgang mit dem Internet begleiten möchten.
Den Link findet ihr in den Shownotes.
Du bist es. Dann sind wir am Ende angekommen. Danke dir, liebe Julia.
Danke dir, Laura.
Ja, liebe Zuhörerinnen und Zuhörer, auch danke für euer Ohr.
Schön, dass ihr wieder mit dabei wart.
Wir freuen uns schon auf die nächste Woche, wünschen euch ein schönes Sommerwochenende
und bis zum nächsten Mal.
Bis dann, schönes Wochenende.