Datenleck bei Klinikbetreiber AMEOS nach Cyberangriff

Was bisher zum AMEOS-Cyberangriff bekannt ist

Nach den öffentlich zugänglichen Informationen identifizierte die AMEOS IT am 7. Juli 2025 einen Angriff und schaltete vorsorglich alle digitalen Systeme ab. Später erklärte AMEOS, es handele sich um einen kriminellen Cyberangriff, der einen Datenschutzvorfall ausgelöst habe. Inzwischen lägen Erkenntnisse vor, dass Täter von einigen Standorten teilweise personenbezogene Daten unrechtmäßig erlangt haben.

Wichtige Punkte aus der Berichterstattung und den AMEOS-Updates

• Zeitpunkt und erste Maßnahmen: Identifikation des Angriffs am 7. Juli 2025 und zentrale Abschaltung digitaler Systeme als Vorsichtsmaßnahme.
• Datenzugriff: AMEOS bestätigt einen Datenschutzvorfall und „teilweise“ erlangte personenbezogene Daten an einigen Standorten.
• Betroffenheit von Patienten und Mitarbeitern: Medienberichte (dpa) gehen davon aus, dass auch Daten von Patienten und Mitarbeitern betroffen sein können. Das konkrete Ausmaß sei weiter unklar und werde einzelfallbezogen geprüft.
• Informationspflichten: Mehrere Datenschutzbehörden prüfen nach Medienberichten Beschwerden bzw. mögliche Verstöße, insbesondere mit Blick auf die Information Betroffener.
• Auskunftsprozess: In der Berichterstattung wurde ein Auskunftsformular thematisiert. AMEOS kündigte später an, Betroffene proaktiv zu informieren bzw. das Vorgehen anzupassen.

Ameos nimmt Stellung: So beschreibt der Klinikbetreiber den Vorfall

Der Klinikbetreiber AMEOS sprach in der frühen Kommunikation zunächst von einer „Netzwerkstörung“ und betonte, dass die Einschränkungen auf eine vorsorgliche Maßnahme zurückgingen. In einer Mitteilung vom 9. Juli 2025 heißt es, eine „zentrale, selbst vorgenommene Abschaltung der Netzwerke“ habe die Verfügbarkeit digitaler Dienste eingeschränkt; zugleich erklärt AMEOS, die eigene IT habe „am Montagabend einen Angriff identifiziert“ und daraufhin „vorsorglich alle digitalen Systeme“ abgeschaltet.

Später ordnete AMEOS den Vorfall als Cyberangriff mit Datenschutzbezug ein. In einer Unternehmensmitteilung vom 26. August 2025 schreibt der Konzern, im Juli 2025 sei AMEOS „Ziel eines kriminellen Cyberangriffs“ geworden, „bei dem es zu einem Datenschutzvorfall kam“; nach dem Stand des „Prüf- und Ermittlungsverfahrens“ lägen „Erkenntnisse“ vor, dass die Täter „teilweise personenbezogene Daten unrechtmäßig erlangt haben“ – und zwar „von einigen Standorten“.

Mandantin wartet seit Monaten auf Auskunft: Auskunftsrecht nach DSGVO

Dr. Stoll & Sauer liegt ein Fall aus der Mandantschaft vor, in dem eine Betroffene nach dem AMEOS-Vorfall seit Monaten keine inhaltliche Auskunft erhält. Das ist rechtlich relevant, weil die DSGVO Betroffenen klare Rechte gibt:

• Auskunftsrecht (Art. 15 DSGVO): Betroffene können eine Bestätigung verlangen, ob personenbezogene Daten verarbeitet werden, und Auskunft über die verarbeiteten Daten, Zwecke, Empfänger, Speicherdauer sowie weitere Informationen.
• Fristen (Art. 12 Abs. 3 DSGVO): Der Verantwortliche muss „unverzüglich“, spätestens innerhalb eines Monats antworten. Eine Verlängerung ist nur in Ausnahmefällen möglich (regelmäßig bis zu zwei weiteren Monaten) – dann aber mit Begründung und Information innerhalb der Monatsfrist.
• Durchsetzung: Bleibt eine Auskunft aus oder ist sie unvollständig, kommen Beschwerde bei der Datenschutzaufsicht (Art. 77 DSGVO) und gerichtliche Schritte (Art. 79 DSGVO) in Betracht.
• Schadensersatz (Art. 82 DSGVO): Neben der Auskunft kann – je nach Einzelfall – auch ein Anspruch auf immateriellen Schadensersatz bestehen, wenn ein DSGVO-Verstoß zu einem Schaden führt.
• Stoll & Sauer prüft Ansprüche Betroffener anhand der individuellen Betroffenheit. Eine kostenlose Ersteinschätzung bietet die Kanzlei im Datenleck-Online-Check.

Europäische und deutsche Rechtsprechung auf Verbraucherseite

Der EuGH hat zu Art. 82 DSGVO klargestellt, dass ein Verstoß allein noch keinen Anspruch auf Geldentschädigung begründet, sondern zusätzlich ein Schaden und Kausalität erforderlich sind; zugleich gibt es keine starre Erheblichkeitsschwelle, so dass auch immaterielle Beeinträchtigungen ersatzfähig sein können, wenn sie im Einzelfall nachvollziehbar dargelegt werden. Der BGH hat diese Linie für Deutschland im Facebook-Scraping-Komplex aufgegriffen und entschieden, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann; die Höhe hängt aber von den konkreten Umständen ab. Ergänzend zeigt die jüngere deutsche Rechtsprechung, dass Betroffene ihre individuelle Beeinträchtigung plausibel schildern müssen – bloße, pauschale Sorgen reichen regelmäßig nicht aus.

Erfolge von Dr. Stoll & Sauer in Datenschutzfällen

Dr. Stoll & Sauer hat in vergleichbaren Datenschutzkomplexen bereits Erfolge erzielt und führt Verfahren bundesweit:

• Landgericht München: Nach Angaben der Kanzlei wurden 3.000 Euro Schadensersatz für einen Betroffenen des Facebook-Datenlecks erstritten (Az. 47 O 461/24).
• Sammelklage Facebook-Datenleck: Der vzbv führt eine Verbandsklage gegen Meta; Betroffene können Ansprüche gebündelt verfolgen. Dr. Stoll & Sauer ist über die Litigation-Struktur an der Durchsetzung von Ansprüchen in diesem Komplex beteiligt.
• Eine kostenlose Ersteinschätzung bietet die Kanzlei im Datenleck-Online-Check.