Viele Unternehmen arbeiten mit externen Dienstleistern zusammen, die personenbezogene Daten verarbeiten. Klassische Beispiele sind Abrechnung, IT oder Personalsuche. Das Outsourcing ist zwar praktisch, birgt aber Risiken für Ihr Unternehmen. Wenn Ihr Dienstleister nämlich eine Datenpanne hat, wie im Fall von Unimed im April 2026, sind Sie weiterhin Verantwortlicher. Also Augen auf bei der Wahl des Auftragsverarbeiters. Ich schildere Ihnen hier kurz den Unimed-Fall und gehe dann darauf ein, was Sie daraus lernen sollten.

Infos zum Hackerangriff

Mitte April 2026 wurde der Abrechnungsdienstleister Unimed Opfer eines Cyberangriffs. Das Unternehmen erstellt Abrechnungen für Privatpatienten und ist nach eigenen Angaben für etwa 95 Prozent aller deutschen Universitätskliniken tätig. Nach aktueller Berichterstattung gelangen über 120.000 Patientendatensätze in die Hände der Cyberkriminellen. Dazu gehören Stammdaten der Patienten, Rechnungen und in einigen Fällen auch Diagnosen und Angaben zum Gesundheitszustand. Das BSI und die Datenschutzbehörden wurden noch im April benachrichtigt und mittlerweile werden auch die Betroffenen informiert.

Dass Diagnosedaten und Daten zum Gesundheitszustand bei dieser Datenpanne abgeflossen sind, ist besonders heikel, denn dabei handelt es sich um Daten gemäß Art. 9 DSGVO. Sie genießen den höchsten Schutz in der DSGVO; ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt. Wenn solche Daten im Rahmen einer Auftragsverarbeitung einem externen Dienstleister zugänglich gemacht werden, steigen die Anforderungen hinsichtlich der Auswahl des Dienstleisters, der Vertragsgestaltung und auch der Kontrolle erheblich.

Nicht Ihre Datenpanne, aber trotzdem Ihre Verantwortung

Ich stelle immer wieder fest, dass vielen Unternehmern nicht klar ist, dass auch im Falle einer Auftragsverarbeitung die datenschutzrechtliche Verantwortung bei ihnen bleibt. Deshalb hier noch einmal ganz deutlich: Wer personenbezogene Daten an einen externen Dienstleister weitergibt, bleibt Verantwortlicher im Sinne von Art. 24 und Art. 4 Nr. 7 DSGVO. Der Dienstleister agiert als Auftragsverarbeiter nach Art. 28 DSGVO, das heißt er verarbeitet Daten nicht eigenständig, sondern im Auftrag und nach Weisung des Verantwortlichen. Die Pflicht zur Meldung einer Datenpanne an die Aufsichtsbehörde nach Art. 33 DSGVO trifft den Verantwortlichen ebenso wie die Pflicht zur Information betroffener Personen nach Art. 34 DSGVO. Die Haftung erfolgt in der Regel nach Art. 82 DSGVO gesamtschuldnerisch.

Mit wem arbeiten Sie da eigentlich zusammen?

Diese Frage sollten Sie sich am besten stellen, bevor Sie mit einem Dienstleister zusammenarbeiten. Wenn Sie das bisher nicht gemacht haben, holen Sie das bitte nach. Denn wer einen Auftragsverarbeiter einsetzt, ist nach Art. 28 I DSGVO verpflichtet, nur solche Dienstleister zu beauftragen, die hinreichende Garantien dafür bieten, dass die Verarbeitung DSGVO-konform erfolgt. Dabei genügt es nicht, auf die Webseite des Dienstleisters zu schauen, denn nur weil jemand behauptet, er würde DSGVO-konform arbeiten, heißt das nicht, dass dem auch so ist. Auch Unimed hat seine hohen Sicherheitsstandards bisher gelobt. Genützt hat es offensichtlich nicht. Die Erfüllung der Vereinbarungen im AV-Vertrag muss außerdem regelmäßig überprüft werden.

Das sollten Unternehmen jetzt tun

Dieser Fall ist nur ein Beispiel von vielen, denn die Zahl der Hackerangriffe steigt stetig. Jedes Unternehmen, das personenbezogene Daten an Auftragsverarbeiter wie Lohnbüros, Cloud-Anbieter oder Abrechnungssysteme weitergibt, sollte daher einmal prüfen, ob die Daten in guten Händen sind. Hier ist eine kurze Checkliste:

• Haben Sie Ihre Dienstleister überprüft?
• Liegt für jeden Dienstleister mit Datenzugang ein vollständiger AV-Vertrag nach Art. 28 III DSGVO vor?
• Sind die technischen und organisatorischen Maßnahmen des Dienstleisters konkret dokumentiert und geprüft?
• Gibt es bei Ihnen einen Prozess für den Fall, dass der Dienstleister eine Datenpanne meldet?

Wenn Sie nicht alle Fragen mit Ja beantworten können, besteht Handlungsbedarf.

Und jetzt?

Haben Sie am Ende dieses Artikels ein ungutes Gefühl, wenn Sie an Ihre Auftragsverarbeiter denken? Aus meiner Erfahrung kann ich Ihnen sagen, dass Sie auf Ihr Gefühl hören sollten. Vereinbaren Sie einen Termin mit mir, damit ich Ihre Verträge und ihre Dokumentation überprüfen kann. Sollte ich Defizite erkennen, stellen wir sie gemeinsam ab.

Wenn Sie mehr über IT-Sicherheit und Datenschutz lernen möchten, buchen Sie eins meiner Seminare.

Der Beitrag Datenpanne beim Dienstleister erschien zuerst auf cheyenne-Blog.