Es hat nach einem erfolgreichen Cyberangriff auf die Rezeptprüfungsstelle ARWINI in Niedersachsen einen Datenabfluss gegeben. Davon könnten bis zu 80.000 Patienten-Datensätze betroffen sein, die bei diesem Angriff erbeutet worden sind, heißt es. Hier einige Informationen, was bekannt ist – wobei vieles für mich widersprüchlich ist. Ergänzung: Es fand ein Datenabfluss statt.
Wer ist die ARWINI?
Bei der ARWINI handelt es sich um die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen e.V., das ist die Trägerorganisation der Prüfungsstelle Niedersachsen. Die ARWINI prüft Rezepte, die Ärztinnen und Ärzte in Niedersachsen für gesetzlich Versicherte ausstellen, auf Wirtschaftlichkeit.
Anmerkung: Aktuell ist die Webseite der Organisation "down", obiger Screenshot stammt von der Wayback Machine, wobei 2026 keine Snapshots mehr aufgezeichnet wurden. Ob die Webseite bereits länger offline war oder durch nachfolgenden erwähnten Cyberangriff beeinträchtigt wurde, muss ich daher offen lassen.
Cyberangriff auf die ARWINI
Das Thema ist mir über zwei Schienen zugegangen. Im Diskussionsbereich hat sich ein ungenannt bleiben wollender Leser mit "Infosplitter: Hacker greifen Gesundheitssystem in Niedersachsen an: Daten von Zehntausenden Versicherten betroffen?" per Kommentar gemeldet. Der Leser verlinkte auf einen Beitrag der Hannoversche Allgemeine (Paywall) und fragte "Was mir nicht ganz klar ist bei der Berichterstattung, wer wurde jetzt gehackt und noch viel wichtiger, wer ist betroffen und wie stelle ich fest, dass ich betroffen bin?"
Heute Vormittag habe ich per Mail aus der Ärzteschaft einige Informationen mehr erhalten (danke dafür). Dort hieß es, dass die Kassenärztliche Vereinigung Niedersachsen, die neben gesetzlichen Krankenkassen wie AOK und Techniker Krankenkasse zu den Trägerinnen von ARWINI gehört, den Vorfall bestätigt habe.
Magere Details über den Vorfall
Der NDR hat im Beitrag Hackerangriff: Daten von Zehntausenden Versicherten betroffen? einige Details (unter Bezug auf den Beitrag der Hannoversche Allgemeine) veröffentlicht. Der Inhalt dieses Artikels ist für mich aber widersprüchlich bis zum Abwinken.
Was fest steht: Am 4. Mai 2026 wurde laut der Kassenärztlichen Vereinigung Niedersachsen ein Hackerangriff auf die ARWINI entdeckt, worauf alle Systeme sofort heruntergefahren wurden.
Aus der Formulierung "Die Hacker hinterließen demnach eine Botschaft." des NDR schließe ich, dass es eine Ransomware-Infektion gewesen sein könnte. Aber das ist absolute Spekulation – Details zur "Botschaft" hat man ja keine offen gelegt. Von der Organisation wurde die Datenschutzverletzung laut NDR umgehend dem Landeskriminalamt und der Datenschutzaufsichtsbehörde Niedersachsen gemeldet.
Äußerst widersprüchliche Informationen
Im Nachgang ist mir aufgefallen, wie widersprüchlich auch weitere Angaben im NDR-Beitrag sind. Einerseits wird vom NDR aus einer Mitteilung von ARWINI zitiert: "Nach derzeitigen Erkenntnissen ist es wahrscheinlich, dass personenbezogene und auch besonders schützenswerte Daten betroffen sind". Andererseits zitiert der NDR Jürgen Recha, externer Datenschutzbeauftragter von Arwini, mit der Aussage "Es gehe um bis zu 80.000 anonymisierte Datensätze.".
Alleine diese beiden Ausrisse stehen im Widerspruch zueinander. Bei anonymisierten Datensätzen kann es keinen Abfluss "personenbezogene und auch besonders schützenswerte Daten" gegeben haben. Andererseits stoße ich mich sofort an der Formulierung "anonymisierte Datensätze" des externen Datenschutzbeauftragten von ARWINI. Nach allem, was ich so mitbekomme, dürften es bestenfalls pseudonymisierte Daten gewesen sein. Die gesamten Aussagen sind entweder bewusste Nebelkerzen, oder Informationen, die mangels besserem Wissen an den Journalisten der Hannoversche Allgemeine sowie an dpa (Deutsche Presseagentur) weitergegeben wurden und nun durch das Internet mäandern. Beides ist in meinen Augen wenig förderlich.
Wer betroffen sein könnte, und welche Daten konkret abgeflossen sind, wird nicht offen gelegt. In Nebensätzen wird klar, dass ARWINI selbst noch nicht weiß, was abgeflossen ist. Dies schließe ich auch aus der Formulierung "Allerdings hätten die Täter ihre digitalen Spuren so professionell verwischt, dass bislang unklar sei, ob, welche und wie viele Daten abgegriffen wurden.". Generell ist aber davon auszugehen, dass es sich um die kompletten, in der Prüfung befindlichen Rezeptdaten, die Namen und die Anschrift des Versicherten, dessen eKG-Nummer, die verordneten Medikamente sowie die Angaben zum ausstellenden Arzt samt dessen Praxisinformationen handeln könnte. Das sind hoch sensible Daten, die nicht in fremde Hände gehören.
Die Implikationen
Auf den Arbeitsalltag der Arztpraxen in Niedersachsen wirke sich der Vorfall laut KVN nicht aus. Rezepte könnten weiterhin wie gewohnt ausgestellt werden, heißt es im NDR-Beitrag. Die Information ist eigentlich eine Plattitüde, da die Rezeptprüfung aus dem Datenfluss der Rezeptausstellung und -Einlösung durch gesetzlich Krankenversicherte herausgenommen ist und nichts mit diesen Abläufen zu tun hat.
Möglichen Betroffenen empfiehlt ARWINI, besonders aufmerksam bei Kontaktaufnahmen zu sein. Versicherte sollten Daten nicht telefonisch oder elektronisch preisgegeben. Verdächtige E-Mails oder Anhänge sollten nicht geöffnet werden, heißt es laut NDR von dem Verein. Das ist wiederum ein Punkt, der mich stutzig macht – wird der Datenschutzbeauftragte von ARWINI doch mit "bis zu 80.000 anonymisierte Datensätze betroffen" zitiert. Wie passt das nochmals zusammen?
Ich habe am 17. Mai 2026 mal geschaut. Die Webseite der ARWINI ist nicht abrufbar, da kann keine Stellungnahme mit Details erscheinen. Aber die Kassenärztliche Vereinigung Niedersachsen (KVN) scheint ebenfalls keine Meldung mit Details oder Klarstellungen zum Vorfall veröffentlicht zu haben. Die mir vorliegenden Artikel (z.B. Ärztenachrichtendienst) enthalten genau die widersprüchlichen Informationen wie der NDR-Beitrag.
Der Vorfall könnte ein Vorgeschmack sein, was gesetzlich Versicherten durch die ePA blüht. Denn die Daten aus der ePA sollen, neben den Abrechnungsdaten und weiteren Daten der gesetzlich Versicherten, ab Mitte 2025 automatisch an das Forschungsdatenzentrum Gesundheit übermittelt werden. Dort sollen über den Spitzenverband der gesetzlichen Krankenkassen unter anderem die von den Pflege- und Krankenkassen "übermittelten Daten […] in versichertenbezogene Datensätze zusammen" geführt werden (siehe mein Artikel Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den "Datenschatz").
Datenabfluss bestätigt
Ergänzung: Aus der Ärzteschaft ist mir am 19.5.2026 die Information zu einem Artikel aus dem Ärztenachrichtendienst zugegangen (danke dafür). Dort sowie z.B. in diesem Artikel wird "die Polizei" zitiert, nach dem ein Datenabfluss stattgefunden habe. Zum Umfang herrscht noch Unklarheit, die Strafverfolger stehen auch mit ausländischen Behörden (u.a. in Spanien) in Kontakt.
Eine Gruppierung Namens "Kairos" soll für die Tat verantwortlich sein. Die Gruppe setzt Erpressungs-Trojaner ein und verschlüsselt die Daten auf den Servern, sobald die Daten abgezogen wurden. Klassisches Ransomware-Geschäft.
Zur oben angerissenen Diskrepanz "persönliche Daten", "anonymisierte Daten" erreichte mich die fachliche Meinung: "Anonymisiert waren die Daten sicherlich nicht, denn zur Überprüfung von Rezepten muss man den Patienten, Krankenkassen, Arzt, Medikament und Diagnose kennen."
MVP: 2013 – 2016
Schadensersatz wird es wohl auch nicht geben, wenn solche Einrichtungen die Daten verlieren. Es sollte für jeden Datenschutzvorfall auf der Welt, auch ohne eigens initiierten Rechtsweg, entsprechend hohe Gelder an Betroffene gezahlt werden müssen, damit die Institutionen sich darüber im Klaren sind: Entweder ihr verliert die Daten und zahlt Lösegeld, oder ihr verliert die Daten, zahlt kein Lösegeld und die Betroffenen werden entschädigt, oder ihr investiert das Geld in eure Sicherheit und werdet nicht gehackt.
Aber es wäre schon wichtig zu erfahren, ob man betroffen ist.
Was ist denn mit NIS2? Sollten wir nicht langsam mal besser geschützt sein?
im NDR Artikel ist von anonymisierten Daten die Rede.
Dann müssen wir zwei unterschiedliche Artikel vorliegen haben. Und die Warnung, besonders vorsichtig zu sein, passt auch nicht. Was übersehe ich?
In dem verlinkten NDR-Artikel ist von "bis zu 80.000 anonymisierte Datensätze" die Rede. Anonymisierte Datensätze auf wirtschaftliche Verordnung von Medikamenten zu prüfen ist unmöglich. Folglich müssen sie pseudonymisiert gewesen sein, sonst könnte man keine Fallzuordnung (verordnender Arzt, Patient, Medikament, Diagnose, Krankenkasse) bewerkstelligen. Vielleicht war auch einfach nur die Datenbank verschlüsselt und wurde zur Bearbeitung entschlüsselt.
"anonymisiert" wird von heutigen Qualitätsjournalisten in grosser Bandbreite verwendet.
Ah danke, diesen Satz habe ich überlesen und bei einer kurzen Suche auch nicht gefunden. Dann macht der NDR-Beitrag aber Null Sinn – speziell das auf ARWINI bezogene Zitat am Ende des Beitrags "Möglichen Betroffenen empfiehlt Arwini, besonders aufmerksam bei Kontaktaufnahmen zu sein. Versicherte sollten Daten nicht telefonisch oder elektronisch preisgegeben. Verdächtige E-Mails oder Anhänge sollten nicht geöffnet werden, heißt es von dem Verein."
Selbst bei pseudonymisierten Daten (anonymisiert sind die mit Sicherheit nicht), dürfte keine Kontaktaufnahme mit Ärzten oder Patienten erfolgen. Das passt für mich hinten und vorne nicht. Entweder Nebelkerzen für die Presse – alles bezieht sich auf den Artikel der Hannoversche Allgemeine – oder die wissen selbst nicht, welche Daten abhanden gekommen sind.
Ggf. auch Nebelkerzen _durch_ die Presse, man will doch da nicht schlechte Stimmung in die Köpfe tragen, das wäre der alternativlosen volldigitale Zukunft abträglich.
Ich gehe nicht davon aus, dass die ARWINI unter NIS-2 fällt. Die ARWINI beschäftigt unter fünfzig Mitarbeitern und der Umsatz wird auch nicht übermäßig hoch sein. Es handelt sich auch nicht um eine kritische Infrastruktur. Beim NIS-2-Betroffenheitstest des BSI fiel die ARWINI nicht unter NIS-2.
Letztlich werden bei NIS-2 nur Maßnahmen gefordert, die eigentlich selbstverständlich sein sollten. Gut finde ich an den NIS-2-Richtlinie, dass die Geschäftsführung in der Verantwortung genommen wird und nicht einfach auf die IT-Abteilung verweisen kann.
Ich empfinde es auch als sehr unbefriedigend, dass die Opfer von Datenlecks nicht entschädigt werden. Die Mittel und die Kraft vor Gericht einen Schadensersatz durchzusetzen, werden Betroffene nur in Ausnahmefällen haben. Entschädigungen würden sich auch positiv auf die IT-Sicherheit auswirken, denn ohne entsprechende Maßnahmen würden erhebliche Summen an Entschädigungsgeldern anfallen. Gesundheitsdaten sind hochsensibel und deren Offenbarung kann im Extremfall Leben zerstören. Im konkreten Bespiel werden 80.000 Betroffene als Zahl genannt. Wenn jedem Betroffenen eine Entschädigung von pauschal eintausend Euro zugesprochen wird, liegt die Gesamtsumme bereits bei achtzig Millionen Euro. Da dies jedoch nicht geschieht, scheint es preiswerter zu sein, in Sachen IT-Sicherheit zu sparen und Datenlecks in Kauf zu nehmen.
Ein Schadensersatz erfordert einen Schaden und ein eingetretener Schaden muss beziffert werden können.
Welcher Schaden in welcher Höhe ist hier denn eingetreten?
Hier braucht es andere Gesetzliche Regelungen, wenn man Betroffenen eine Zuwendung geben will wegen des Vorfalls.
"Welcher Schaden in welcher Höhe ist hier denn eingetreten?"
Alleine, dass personenbezogene Daten in die Hand anderer Fallen
ist schon ein Schaden.
Es hat KEINEN ausser Arzt, Krankenkasse zu interressieren, wann,wie,wo,weshalb, warum man (ich) für was auch immer ein Rezept, Verordnung, etc aufgrund welcher Diagnose (inkl ggf. Vorgeschichte) erbeten oder bekommen haben.
Und personenbezogene Daten ist auch so etwas 'simples' wie
ich, am x.y.zz hat Arzt A, Krankenhaus B oder Sanitätshaus C besucht.
Im Zweifelsfall ist eh alles für die Katz, wenn Spahn, Lauterbach, et al die vorgesetzten Pläne weitergeführt werden, alles per PersonenID zu verbinden, inkl sämtlicher Gesundheitsdaten, Finanz, Bewegungsprofilen, etc a.k.a. SocialCreditSystem, – nach den Ideen/Zielen die WEF in einem 'hübschen' kreisrunden Diagram seit > 10 jahren vorantreiben.
Bitte erst dazu informieren bevor das als Fantasiererei abgetan wird, danke.
> Ein Schadensersatz erfordert einen Schaden und ein eingetretener Schaden muss beziffert werden können.
> Welcher Schaden in welcher Höhe ist hier denn eingetreten?
Nein, so pauschal stimmt das nicht.
Ein Schadensersatzanspruch nach Art. 82 DSGVO setzt zwar einen Schaden voraus (der bloße DSGVO-Verstoß allein genügt also nicht). ABER: Der Schaden muss nicht zwingend ein konkret bezifferbarer Vermögensschaden sein. Art. 82 DSGVO erfasst explizit schon im ersten Absatz auch immaterielle Schäden (Stichwort: Kontrollverlust).
Ich bin kein Rechtsanwalt und das ist keine Rechtsberatung, aber als aktiver Datenschutz-Consultant würde ich sagen: Nach der aktuellen Rechtsprechung kann insbesondere der Kontrollverlust über personenbezogene Daten selbst einen immateriellen Schaden darstellen. Die Höhe muss nicht vorab mathematisch exakt beziffert werden, sondern kann vom Gericht geschätzt werden, typischerweise nach § 287 ZPO.
Und dazu gibt es auch schon ordentlich Rechtssprechung, die Schadenersatz zugesprochen hat. Wen es interessiert, u.a. BGH, Urteil vom 18.11.2024 VI ZR 10/24. Und hier geht es um ERHEBLICH sensiblere Daten, wahrscheinlich Kategorie Artikel 9. Da reichen 100,- € sicher nicht.