Mitte April 2026. Hacker greifen einen Abrechnungsdienstleister an. Die betroffenen Kliniken selbst? Nicht gehackt. Ihre Patientendaten? Weg.
Über 120.000 Datensätze – Namen, Adressen, Diagnosen, in einigen Fällen sogar Kontodaten – wurden beim Abrechnungsdienstleister Unimed entwendet. Betroffen: Universitätskliniken in Freiburg, Köln, Düsseldorf, Hamburg, Heidelberg, Tübingen, Ulm, Mainz, Kiel und weitere. Ein einziger externer Dienstleister. Bundesweiter Schaden.
Das Pikante dabei: Unimed selbst schreibt auf seiner Website – „Safety first.“
Das Problem ist nicht neu – nur konsequent ignoriert
In vielen Unternehmen läuft es ähnlich ab: Die eigene IT wird abgesichert, Passwörter werden regelmäßig geändert, vielleicht gibt es sogar eine Firewall, auf die man stolz ist. Und dann werden munter Daten an Steuerberater, Lohnabrechnungsdienstleister, HR-Software-Anbieter oder Cloudlösungen weitergegeben – ohne groß nachzufragen, wie es dort um die Sicherheit bestellt ist.
Jeder dieser Dienstleister ist eine potenzielle Angriffsfläche für Ihre Daten. Die entscheidende Frage lautet daher nicht: „Sind wir gut geschützt?“ Sondern: „Sind es auch alle, die unsere Daten verarbeiten?“
Das nennt sich Third-Party-Risiko – und es ist in der Praxis eines der am häufigsten unterschätzten Risiken überhaupt. Laut dem Black Kite Third-Party Breach Report 2026 gab es allein 2025 weltweit 136 bestätigte Drittanbieter-Vorfälle mit 719 namentlich genannten direkt betroffenen Unternehmen – und geschätzt 26.000 weiteren betroffenen Organisationen im Hintergrund.
Was viele dabei übersehen: Sie haften mit
Wer glaubt, dass die Verantwortung mit der Datenweitergabe an den Dienstleister endet, liegt falsch – und zwar rechtlich.
Nach der DSGVO haften nicht nur die Dienstleister selbst. Auch das Unternehmen, das die Daten ursprünglich erhoben hat, steht in der Pflicht – als sogenannter Verantwortlicher. Wer einen Auftragsverarbeiter einsetzt, muss:
- dessen Sicherheitsniveau vertraglich absichern (Auftragsverarbeitungsvertrag, kurz AVV)
- die Einhaltung dieser Anforderungen regelmäßig überprüfen
- bei einem Datenschutzvorfall die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren
Das klingt nach Bürokratie – und ja, das ist es auch. Aber die Alternative ist teurer. Bußgelder nach DSGVO können bis zu 4 % des weltweiten Jahresumsatzes betragen. Dass das Gesetz so klar ist wie Kaffee nach dem dritten Aufguss, ändert leider nichts an seiner Gültigkeit.
Handlungsempfehlungen für die Praxis
Ein paar konkrete Schritte, die Sie heute anstoßen können:
- Dienstleister-Inventar anlegen: Welche externen Anbieter verarbeiten Ihre Daten? Steuerberater, Lohnbuchhaltung, CRM, Newsletter-Tool, Cloudbackup – alles auf den Tisch.
- AVV prüfen oder abschließen: Mit jedem Auftragsverarbeiter muss ein schriftlicher Vertrag bestehen. Fehlt er, ist das bereits ein DSGVO-Verstoß.
- Sicherheitsnachweise einfordern: ISO 27001-Zertifizierung, aktuelle Penetrationstests oder vergleichbare Nachweise sind keine Überforderung – sondern Ihr gutes Recht.
- Cyber-Versicherung auf Third-Party-Risiken prüfen: Viele Policen decken heute auch Schäden durch Angriffe auf Ihre Dienstleister ab – aber nur, wenn dieses Risiko im Vorfeld adressiert wurde. Wer es nicht anspricht, schaut im Schadensfall möglicherweise in die Röhre.
Fazit: Der Unimed-Fall ist kein Ausreißer
Er ist ein Muster. Und er wird sich wiederholen – in anderen Branchen, mit anderen Dienstleistern, bei Unternehmen jeder Größe.
Die gute Nachricht: Third-Party-Risiken sind beherrschbar. Sie erfordern keine IT-Abteilung mit 20 Mitarbeitern, sondern vor allem eines – die bewusste Entscheidung, das Thema ernst zu nehmen.
Wer rechtzeitig handelt, hat die besseren Karten.
