Cyberangriff auf externen Abrechnungsdienstleister betrifft auch Daten von Patient:innen der Universitätsmedizin Mainz

Patientenversorgung und klinische Systeme der Universitätsmedizin Mainz waren zu keinem Zeitpunkt beeinträchtigt

22.05.2026

Die Universitätsmedizin Mainz (UM) informiert über einen Datenschutzvorfall bei einem externen Dienstleister, der mit zahlreichen Kliniken in Deutschland Leistungen bei Patientinnen und Patienten mit privater (Zusatz-)Versicherung und Selbstzahler abrechnet. Patientinnen und Patienten mit gesetzlicher Abrechnung sind von dem Angriff nicht betroffen. Der Angriff betraf ausschließlich den externen Dienstleister. Die Patientenversorgung oder die klinischen Systeme der UM waren zu keinem Zeitpunkt beeinträchtigt und auch nicht Ziel des externen Angriffs. 

Der Cyberangriff auf den externen Dienstleister erfolgte nach bisherigen Erkenntnissen Mitte April. Ebenfalls Mitte April wurde die Datenübertragung an den Dienstleister gestoppt. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz wurde vorsorglich von der Universitätsmedizin über den Vorfall umgehend informiert, obwohl zu dem Zeitpunkt noch nicht klar war, ob Daten von Patient:innen der Universitätsmedizin Mainz betroffen waren. Seitdem stehen wir mit ihm im engen Austausch und haben weitere Informationen vom Dienstleister sowie eine lückenlose Aufklärung eingefordert. So wissen wir seit Anfang der Woche, dass tatsächlich auch Daten von Patient:innen der Universitätsmedizin von dem Vorfall betroffen sind.  Nach den bisher vom Dienstleister zur Verfügung gestellten Informationen handelt es sich um Daten von maximal 2.764 Patientinnen und Patienten mit privater (Zusatz-)Versicherung bzw. Selbstzahler der Universitätsmedizin Mainz. Genauere Informationen über Umfang und Inhalt der abgeflossenen Datensätze hat die Universitätsmedizin Mainz bei dem Dienstleister angefordert.

Da Gesundheitsdaten zu den sensibelsten Daten überhaupt gehören, ist der Cyberangriff auf den externen Dienstleister ein schwerwiegender Eingriff für die Betroffenen, den wir aufs Schärfste verurteilen.

Patientinnen und Patienten mit privater (Zusatz-)Versicherung und Selbstzahler, deren Daten von dem Vorfall betroffen sind, werden in einem Schreiben persönlich benachrichtigt. Sofern Patientinnen und Patienten der Universitätsmedizin Mainz kein solches Schreiben erhalten, sind ihre Daten nicht kompromittiert worden. 

Die Universitätsmedizin Mainz wird über die weitere Entwicklung informieren.

Pressekontakt Universitätsmedizin Mainz:
Barbara Reinke,
Stabsstelle Unternehmenskommunikation, Universitätsmedizin Mainz,
Telefon 06131 17-7428, E-Mail