Im Juli 2025 wurde die AMEOS Gruppe Ziel eines kriminellen Cyberangriffs. Nach den bisher vorliegenden Erkenntnissen haben unbefugte Dritte dabei teilweise Zugriff auf personenbezogene Daten erlangt. Dieser Umstand wurde im Rahmen der derzeit noch laufenden Prüf- und Ermittlungsverfahren bestätigt. Der Vorfall wurde gemäß Art. 33 DSGVO fristgerecht an die Behörden gemeldet mit denen wir in engem Austausch stehen. 

Die AMEOS Gruppe hat die Sorgen rund um die Informationspflichten gegenüber den Betroffenen sehr ernst genommen und die eingegangenen kritischen Hinweise und Nachfragen sorgfältig geprüft. 

Selbstverständlich kommt die AMEOS Gruppe den Vorgaben nach Art. 34 DSGVO proaktiv nach – unabhängig davon, ob die bereitgestellten Formulare genutzt werden oder nicht. Betroffene Personen werden unaufgefordert nach Abschluss des Prüfverfahrens (postalisch) informiert, sofern ihre personenbezogenen Daten betroffen sind. 

Nach zwischenzeitlicher Rücksprache mit der zuständigen Datenschutzbehörde möchten wir im Hinblick auf mögliche Unsicherheiten bezüglich der zur Verfügung gestellten Formulare auf unserer Homepage Folgendes klarstellen:  
Die Nutzung der auf unserer Internetseite zur Verfügung gestellten Formulare ist freiwillig und nicht erforderlich, um die Informationen gem. Art. 34 DSGVO zu erhalten. Sie kann jedoch auf freiwilliger Basis dazu beitragen, die Bearbeitungsdauer zu verkürzen. Ein Upload von Identifikationsdokumenten ist nicht mehr erforderlich. Soweit das Formular bereits genutzt wurde, bestätigen wir, dass zur Identifikation abgefragten Daten gelöscht worden sind. 
Darüber hinaus weisen wir darauf hin, dass es im Zuge des Cyberangriffs keinen zentralen Datenabfluss aus den klinischen Informationssystemen sowie den Personalmanagementsystemen gegeben hat. Patientendaten wurden nicht durch die Angreifer verschlüsselt und standen dem Klinikpersonal jederzeit zur Verfügung. Allerdings wurden einzelne Ordnerstrukturen lokaler Laufwerke aus administrativen Bereichen teilweise ausgelesen, sodass es in Einzelfällen zu einem Abfluss von Daten gekommen sein kann. 

Die genaue Klärung des Umfangs ist Gegenstand der laufenden Prüf- und Ermittlungsverfahren. 
Die AMEOS Gruppe steht weiterhin in engem Austausch mit den zuständigen Behörden und wird die Öffentlichkeit sowie Betroffene auch künftig transparent informieren. 

Weitere Informationen finden Sie unter: www.ameos.eu/datenschutz/datenschutzvorfall-gem-art-34-dsgvo/