Datenleck bei Zuther+Hautmann: Gesundheitsbranche erneut im Visier von Cyberkriminellen

Zuther+Hautmann: Was bislang zum Datenleck bekannt ist

Zuther+Hautmann wird öffentlich als Fachhändler für Arzt- und Krankenhausbedarf sowie als Homecare-Dienstleister beschrieben. Das Unternehmen ist damit in einem Bereich tätig, in dem besonders sensible Daten verarbeitet werden können – etwa Kontaktdaten, Abrechnungsinformationen, Versorgungsdaten, Rezeptdaten oder Gesundheitsdaten.

Nach den bislang öffentlich zugänglichen Informationen ist Zuther+Hautmann auf einer Leak-Seite der Ransomware-Gruppe „Play“ aufgetaucht. Breachsense führt den Vorfall als „Data Breach“ mit dem Datum 20. Mai 2026, nennt als Opfer die Domain z-h.de und als mutmaßlichen Täter die Gruppe „Play“. Der Umfang des Datenlecks wird dort als unbekannt angegeben. Wasacon berichtete über einen Countdown bis zum 24. Mai 2026.

Öffentlich ist bislang nicht abschließend geklärt, ob und welche personenbezogenen Daten konkret betroffen sind. Gerade deshalb kommt es jetzt auf Transparenz an. Unternehmen müssen nach einem Sicherheitsvorfall schnell und nachvollziehbar erklären, ob personenbezogene Daten abgeflossen sind, welche Personengruppen betroffen sein könnten und welche Risiken bestehen.

Die wichtigsten Punkte im Überblick:

• Zuther+Hautmann ist im Gesundheitsbereich tätig.
• Das Unternehmen wird als Fachhändler für Arzt- und Krankenhausbedarf und als Homecare-Dienstleister beschrieben.
• Breachsense führt den Vorfall mit Datum vom 20. Mai 2026.
• Als mutmaßlicher Akteur wird die Ransomware-Gruppe „Play“ genannt.
• Der konkrete Umfang des Datenlecks ist öffentlich bislang nicht bekannt.
• Unklar ist, ob Patienten-, Kunden-, Mitarbeiter-, Arzt-, Klinik- oder Abrechnungsdaten betroffen sind.

Warum Daten aus dem Gesundheitsbereich besonders heikel sind

Daten aus dem Gesundheitsbereich gehören zu den sensibelsten Informationen überhaupt. Schon Name, Adresse, Geburtsdatum, Telefonnummer oder E-Mail-Adresse können für Betrugsversuche, Phishing oder Identitätsmissbrauch genutzt werden. Kommen Gesundheitsdaten, Therapiedaten, Rezeptinformationen oder Abrechnungsdaten hinzu, verschärft sich das Risiko erheblich.

Bei Homecare- und Medizintechnikunternehmen können Daten besonders aufschlussreich sein. Wer etwa mit Beatmung, Schlaftherapie, Sauerstoffversorgung oder medizinischen Hilfsmitteln versorgt wird, gibt damit indirekt Einblick in seinen Gesundheitszustand. Solche Informationen betreffen den Kernbereich der Privatsphäre.

„Gerade im Gesundheitsbereich darf Datenschutz nicht erst dann ernst genommen werden, wenn Daten bereits im Darknet auftauchen“, so die Kanzlei Dr. Stoll & Sauer. „Patienten und Kunden müssen wissen, ob sie betroffen sind, welche Daten abgeflossen sein könnten und welche Schutzmaßnahmen jetzt notwendig sind.“

Uniklinik Freiburg und AMEOS: Gesundheitsdaten geraten immer öfter unter Druck

Der Fall Zuther+Hautmann steht nicht isoliert. Erst am 21. Mai 2026 hatte das Universitätsklinikum Freiburg einen schwerwiegenden Datenschutzvorfall bei einem externen Dienstleister – laut Medienberichten handelt es sich um das Unternehmen Unimed – öffentlich gemacht. Nach Angaben der Uniklinik wurden bei einem Cyberangriff Daten von rund 54.000 Patienten entwendet. Betroffen waren vor allem Patienten mit privater Zusatzversicherung sowie Selbstzahler. Nach WDR-Angaben sollen bundesweit insgesamt rund 100.000 Patientendaten betroffen sein. Allein von der Uniklinik Köln sind etwa 27.000 Patientinnen und Patienten betroffen, von der Uniklinik Düsseldorf 3.000. Die Unikliniken wollen Betroffene schriftlich benachrichtigen.

Nach Klinikangaben aus Freiburg wurden Stammdaten wie Name, Geburtsdatum und Adresse gestohlen. In rund 900 Fällen kamen Rechnungsdaten hinzu, aus denen Informationen zu Diagnose und Behandlungsart hervorgehen können. In einer einstelligen Zahl von Fällen waren auch Kontodaten betroffen. Die klinischen Systeme und die Patientenversorgung waren nach Angaben der Uniklinik nicht beeinträchtigt.

Auch die AMEOS Gruppe hatte im Jahr 2025 einen Datenschutzvorfall nach einem Cyberangriff bestätigt. AMEOS teilte am 26. August 2025 mit, die Gruppe sei im Juli 2025 Ziel eines kriminellen Cyberangriffs geworden. Nach damaligem Stand hätten Täter an einigen Standorten teilweise personenbezogene Daten unrechtmäßig erlangt. Zentrale Systeme zur Patienten- und Mitarbeiterverwaltung sowie medizinische Systeme seien nach Angaben des Unternehmens nicht betroffen gewesen.

Besonders problematisch ist aus Sicht von Dr. Stoll & Sauer der Umgang mit Auskunftsersuchen. Der Kanzlei liegen Fälle von Betroffenen vor, die nach dem AMEOS-Datenvorfall über die vom Unternehmen bereitgestellte Seite Auskunft verlangt haben. Nach Angaben der Betroffenen liegt bis heute keine Antwort vor. Sollte sich dies bestätigen, wäre das aus Sicht der Kanzlei ein schwerwiegender Verstoß gegen Art. 15 DSGVO und die Antwortpflichten aus Art. 12 Abs. 3 DSGVO. Verantwortliche müssen auf Auskunftsersuchen grundsätzlich unverzüglich, spätestens innerhalb eines Monats reagieren.

Die Fälle zeigen ein Muster: Nicht nur Krankenhäuser selbst, sondern auch Dienstleister, Medizintechnikunternehmen, Homecare-Anbieter, Abrechnungsstellen und IT-Dienstleister können zum Einfallstor für Cyberkriminelle werden. Für Patienten macht das kaum einen Unterschied. Ihre Daten sind betroffen – unabhängig davon, ob der Angriff direkt die Klinik oder einen externen Dienstleister getroffen hat.

Gesundheitsbranche braucht mehr Transparenz beim Datenschutz

Zuther+Hautmann, Unikliniken und AMEOS zeigen: Die Gesundheitsbranche hat ein Datenschutzproblem. Gesundheitsdaten sind besonders wertvoll, besonders sensibel und für Betroffene besonders riskant. Wer Zugriff auf medizinische Daten, Abrechnungsdaten, Diagnosen, Behandlungsarten oder Versorgungsinformationen erhält, kann Menschen erheblich unter Druck setzen.

Für Dr. Stoll & Sauer ist deshalb klar: Datenschutz in der Gesundheitsbranche muss strenger kontrolliert, transparenter kommuniziert und konsequenter durchgesetzt werden. Es reicht nicht, nach einem Cyberangriff allgemein von einem „Sicherheitsvorfall“ zu sprechen. Betroffene benötigen konkrete Informationen: Welche Daten sind betroffen? Wer hatte Zugriff? Sind Daten im Darknet veröffentlicht worden? Welche Schutzmaßnahmen wurden ergriffen? Und warum werden Auskunftsersuchen nicht fristgerecht beantwortet?

Was Betroffene jetzt tun sollten

Wer Kunde, Patient, Mitarbeiter, Arzt, Klinikpartner oder sonstiger Kontakt von Zuther+Hautmann ist, sollte den Vorfall ernst nehmen. Noch ist öffentlich nicht bekannt, welche Daten konkret betroffen sind. Gerade bei möglichen Datenlecks im Gesundheitsbereich sollten Betroffene aber frühzeitig handeln.

Betroffene sollten insbesondere:

• auf Schreiben oder E-Mails von Zuther+Hautmann achten,
• verdächtige E-Mails, SMS oder Anrufe kritisch prüfen,
• keine Zugangsdaten oder Zahlungsdaten auf unsicheren Wegen übermitteln,
• Passwörter ändern, wenn sie bei Zuther+Hautmann oder verbundenen Diensten genutzt wurden,
• Bankkonten und Kreditkartenabrechnungen beobachten,
• verdächtige Vorgänge dokumentieren,
• Auskunft nach Art. 15 DSGVO verlangen,
• prüfen lassen, ob Schadensersatzansprüche nach Art. 82 DSGVO bestehen.

Rechtliche Einordnung: DSGVO stärkt Rechte der Betroffenen

Nach der Datenschutz-Grundverordnung müssen Unternehmen personenbezogene Daten angemessen schützen. Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, können Melde- und Informationspflichten gegenüber Behörden und Betroffenen bestehen. Art. 82 DSGVO sieht zudem Schadensersatz vor, wenn Betroffenen durch einen Datenschutzverstoß ein materieller oder immaterieller Schaden entsteht.

Die Rechtsprechung hat die Rechte von Betroffenen gestärkt. Der Europäische Gerichtshof hat in mehreren Entscheidungen klargestellt, dass es beim DSGVO-Schadensersatz keine starre Bagatellgrenze gibt. Der Bundesgerichtshof hat mit Urteil vom 18. November 2024 (Az. VI ZR 10/24) im Facebook-Scraping-Komplex entschieden, dass bereits der Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann.

Für Datenlecks im Gesundheitsbereich ist die rechtliche Bewertung besonders ernst. Gesundheitsdaten gehören nach Art. 9 DSGVO zu besonderen Kategorien personenbezogener Daten. Wenn solche Daten abgeflossen sind oder Dritte Zugriff darauf hatten, kann dies die Ansprüche der Betroffenen erheblich beeinflussen.

Dr. Stoll & Sauer rät Betroffenen daher, nicht vorschnell abzuwarten. Wer eine Mitteilung über ein Datenleck erhält oder konkrete Hinweise auf eine Betroffenheit hat, sollte seine Rechte prüfen lassen. Die Kanzlei bietet dafür eine kostenlose Ersteinschätzung im DSGVO-Online-Check an.