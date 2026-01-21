Zeitpunkt und erste Maßnahmen: Identifikation des Angriffs am 7. Juli 2025 und zentrale Abschaltung digitaler Systeme als Vorsichtsmaßnahme.

Datenzugriff: AMEOS bestätigt einen Datenschutzvorfall und „teilweise“ erlangte personenbezogene Daten an einigen Standorten.

Betroffenheit von Patienten und Mitarbeitern: Medienberichte (dpa) gehen davon aus, dass auch Daten von Patienten und Mitarbeitern betroffen sein können. Das konkrete Ausmaß sei weiter unklar und werde einzelfallbezogen geprüft.

Informationspflichten: Mehrere Datenschutzbehörden prüfen nach Medienberichten Beschwerden bzw. mögliche Verstöße, insbesondere mit Blick auf die Information Betroffener.

Auskunftsprozess: In der Berichterstattung wurde ein Auskunftsformular thematisiert. AMEOS kündigte später an, Betroffene proaktiv zu informieren bzw. das Vorgehen anzupassen.

Auskunftsrecht (Art. 15 DSGVO): Betroffene können eine Bestätigung verlangen, ob personenbezogene Daten verarbeitet werden, und Auskunft über die verarbeiteten Daten, Zwecke, Empfänger, Speicherdauer sowie weitere Informationen.

Fristen (Art. 12 Abs. 3 DSGVO): Der Verantwortliche muss „unverzüglich“, spätestens innerhalb eines Monats antworten. Eine Verlängerung ist nur in Ausnahmefällen möglich (regelmäßig bis zu zwei weiteren Monaten) – dann aber mit Begründung und Information innerhalb der Monatsfrist.

Durchsetzung: Bleibt eine Auskunft aus oder ist sie unvollständig, kommen Beschwerde bei der Datenschutzaufsicht (Art. 77 DSGVO) und gerichtliche Schritte (Art. 79 DSGVO) in Betracht.

Schadensersatz (Art. 82 DSGVO): Neben der Auskunft kann – je nach Einzelfall – auch ein Anspruch auf immateriellen Schadensersatz bestehen, wenn ein DSGVO-Verstoß zu einem Schaden führt.

Bei AMEOS hat ein Cyberangriff bereits im Juli 2025 zu einem Datenschutzvorfall geführt, bei dem Täter nach Angaben des Klinikbetreibers an einigen Standorten teilweise personenbezogene Daten unrechtmäßig abgreifen konnten. AMEOS bestätigte dies in einer Unternehmensmitteilung und verweist zudem auf laufende Prüf- und Ermittlungsverfahren. In Deutschland hatten die Störungen zuvor zur vorsorglichen Abschaltung digitaler Systeme geführt. Dr. Stoll & Sauer bewertet den Vorfall als besonders sensibel, weil es im Gesundheitsbereich um schutzwürdige Daten und ein erhöhtes Missbrauchsrisiko geht, und prüft Ansprüche auf Auskunft und Schadensersatz nach der DSGVO – eine kostenlose Ersteinschätzung bietet die Kanzlei im AMEOS-Datenleck-Online-Check. Dr. Stoll & Sauer hat in vergleichbaren Fällen bereits Schadensersatz im vierstelligen Bereich erstritten.Nach den öffentlich zugänglichen Informationen identifizierte die AMEOS IT am 7. Juli 2025 einen Angriff und schaltete vorsorglich alle digitalen Systeme ab. Später erklärte AMEOS, es handele sich um einen kriminellen Cyberangriff, der einen Datenschutzvorfall ausgelöst habe. Inzwischen lägen Erkenntnisse vor, dass Täter von einigen Standorten teilweise personenbezogene Daten unrechtmäßig erlangt haben.Wichtige Punkte aus der Berichterstattung und den AMEOS-UpdatesDer Klinikbetreiber AMEOS sprach in der frühen Kommunikation zunächst von einer „Netzwerkstörung“ und betonte, dass die Einschränkungen auf eine vorsorgliche Maßnahme zurückgingen. In einer Mitteilung vom 9. Juli 2025 heißt es, eine „zentrale, selbst vorgenommene Abschaltung der Netzwerke“ habe die Verfügbarkeit digitaler Dienste eingeschränkt; zugleich erklärt AMEOS, die eigene IT habe „am Montagabend einen Angriff identifiziert“ und daraufhin „vorsorglich alle digitalen Systeme“ abgeschaltet.Später ordnete AMEOS den Vorfall als Cyberangriff mit Datenschutzbezug ein. In einer Unternehmensmitteilung vom 26. August 2025 schreibt der Konzern, im Juli 2025 sei AMEOS „Ziel eines kriminellen Cyberangriffs“ geworden, „bei dem es zu einem Datenschutzvorfall kam“; nach dem Stand des „Prüf- und Ermittlungsverfahrens“ lägen „Erkenntnisse“ vor, dass die Täter „teilweise personenbezogene Daten unrechtmäßig erlangt haben“ – und zwar „von einigen Standorten“.Dr. Stoll & Sauer liegt ein Fall aus der Mandantschaft vor, in dem eine Betroffene nach dem AMEOS-Vorfall seit Monaten keine inhaltliche Auskunft erhält. Das ist rechtlich relevant, weil die DSGVO Betroffenen klare Rechte gibt:Der EuGH hat zu Art. 82 DSGVO klargestellt, dass ein Verstoß allein noch keinen Anspruch auf Geldentschädigung begründet, sondern zusätzlich ein Schaden und Kausalität erforderlich sind; zugleich gibt es keine starre Erheblichkeitsschwelle, so dass auch immaterielle Beeinträchtigungen ersatzfähig sein können, wenn sie im Einzelfall nachvollziehbar dargelegt werden. Der BGH hat diese Linie für Deutschland im Facebook-Scraping-Komplex aufgegriffen und entschieden, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann; die Höhe hängt aber von den konkreten Umständen ab. Ergänzend zeigt die jüngere deutsche Rechtsprechung, dass Betroffene ihre individuelle Beeinträchtigung plausibel schildern müssen – bloße, pauschale Sorgen reichen regelmäßig nicht aus.Dr. Stoll & Sauer hat in vergleichbaren Datenschutzkomplexen bereits Erfolge erzielt und führt Verfahren bundesweit: