Hacker greifen Klinikdaten an – Patienten sollen sich selbst melden?

Beim Klinikkonzern Ameos herrscht seit einem massiven Hackerangriff Anfang Juli 2025 Ausnahmezustand. Doch während man erwarten würde, dass nun alle Hebel in Bewegung gesetzt werden, um Patienten zu schützen, folgt ein Vorgehen, das viele schlicht fassungslos macht: Betroffene sollen sich selbst melden, wenn sie glauben, vom Datenleck betroffen zu sein – und dabei gleich eine Kopie ihres Personalausweises hochladen.

Was wie ein schlechter Scherz klingt, ist bitterer Ernst. Denn: Es ist die Pflicht des Unternehmens, alle Betroffenen aktiv zu informieren – und nicht deren Aufgabe, dem Verlust ihrer eigenen sensiblen Daten hinterherzurennen.

Gesundheitsdaten aus elf Kliniken betroffen – das Schweigen wiegt schwer

Der Angriff betrifft alle elf Ameos-Standorte in Sachsen-Anhalt, darunter Kliniken in Aschersleben, Halberstadt, Wernigerode, Haldensleben und weiteren Städten. Und es geht nicht um belanglose Informationen, sondern um hochsensible medizinische Daten.

Am Dienstag bestätigte Ameos erstmals, dass auch Gesundheitsdaten abgeflossen seien – also intime Informationen, die unter besonderem Schutz stehen. Trotzdem verzichtet der Konzern bislang auf die direkte Benachrichtigung der betroffenen Personen. Stattdessen gibt es eine Internetseite, auf der sich Patienten durch ein umständliches Verfahren selbst informieren dürfen, ob sie betroffen sind.

Datenschützerin: Beschwerden häufen sich

Maria Christina Rost, Datenschutzbeauftragte für Sachsen-Anhalt, reagiert deutlich auf die Vorwürfe. Sie bestätigte gegenüber dem MDR, dass mehrere Beschwerden eingegangen seien. Derzeit stimme man sich mit Kollegen aus anderen Bundesländern ab, wie weiter vorzugehen sei.

Klar ist: Die DSGVO verpflichtet Unternehmen, bei Datenpannen unverzüglich zu informieren, wenn ein Risiko für die Rechte und Freiheiten von Personen besteht. Die Verantwortung darf nicht auf die Patienten abgeschoben werden – zumal viele vermutlich gar nichts vom Datenleck wissen und sich daher auch nicht „vorsorglich“ melden können.

Ameos verteidigt sich – Kritik bleibt

Der Klinikkonzern gibt sich offiziell kooperativ und verweist auf eine enge Abstimmung mit den Datenschutzbehörden. Auf die Frage, warum Betroffene nicht direkt kontaktiert werden, verweist Ameos auf den „hohen individuellen Prüfaufwand“ und fehlende Erkenntnisse zur genauen Zahl der Betroffenen.

Doch genau das ist kein Freifahrtschein, um die Verantwortung einfach an die Patienten zu übergeben – schon gar nicht in einem sensiblen Bereich wie dem Gesundheitswesen. Dass Betroffene zur Identifikation auch noch ihren Personalausweis hochladen sollen, ist aus Sicht von Experten ein zusätzlicher datenschutzrechtlicher Irrsinn.

Vorgehen von Ameos ist ein Skandal

Wer sensible Gesundheitsdaten speichert, trägt auch Verantwortung, wenn sie in die falschen Hände geraten. Und diese Verantwortung endet nicht bei einer vagen Mitteilung auf einer Website. Patienten haben ein Recht darauf, informiert zu werden – klar, direkt und ohne Extra-Aufwand.

Dass ein Klinikkonzern diese Grundsätze ignoriert und stattdessen auf „Selbstauskunft“ setzt, ist nicht nur rechtlich fragwürdig – es ist moralisch völlig daneben. Wenn Datenschutz als Last empfunden wird, hat man im Gesundheitswesen nichts zu suchen. Hier braucht es klare Kante von den Aufsichtsbehörden – und ein Umdenken bei Ameos. Dringend.