AMEOS gehört neben Helios und Sana zu den größten privaten Klinik-Betreibern im deutschsprachigen Raum. „AMEOS sichert die Gesundheitsversorgung in den Regionen: An über 50 Standorten in unseren Krankenhäusern, Poliklinika, Reha-, Pflege- und Eingliederungseinrichtungen sind wir Vorreiter in Medizin und Pflege. AMEOS steht für eine umfassende und zukunftssichere Versorgung der breiten Bevölkerung in regionalen Netzwerken. Denn für AMEOS gilt: vor allem Gesundheit.“ So die Selbstdarstellung des AMEOS-Klinikkonzernauf seiner Homepage.

Am 09.07.2025 erklärte die AMEOS Gruppe in einer Pressemitteilung lapidar: „Netzwerkstörung bei AMEOS – Eine zentrale, selbst vorgenommene Abschaltung der Netzwerke hat zu Einschränkungen bei der Verfügbarkeit digitaler Dienste in den AMEOS Einrichtungen in Deutschland geführt. Die AMEOS IT identifizierte am Montagabend einen Angriff und schaltete vorsorglich alle digitalen Systeme ab. Seitdem arbeiten die Experten der IT-Services mit höchster Priorität an der Wiederinbetriebnahme…“ Was sich so harmlos liest, hatte offensichtlich tiefgehende Auswirkungen. Nicht nur in der Versorgung von Patient*innen und Pflegeheim-Bewohner*innen sondern auch im Bezug auf deren Gesundheits- und Behandlungsdaten. Mit hoher Wahrscheinlichkeit gelang es den Betreiber*innen des Hackerangriff, auf diese Daten in großem Umfang Zugriff zu erhalten.

In der DSGVO findet sich für solche Fälle eine eindeutige Handlungsorientierung: In § 34 Abs. 1 und 2 DSGVO ist geregelt: „(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung. (2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.“

Und in Art. 33 Abs. 3 DSGVO wird festgelegt: „Die Meldung… enthält zumindest folgende Informationen: a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b) …; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; d) …“

Wie hat sich der Ameos-Klinikkonzern verhalten?

Der MDR berichtet am 31.08.2025: „Ameos hat nach dem Hackerangriff wohl auch sensible Patientendaten verloren. Doch statt die Opfer zu informieren, fordert der Konzern Patienten auf, sich selbst zu melden – ein Vorgehen, das nach Einschätzung von Datenschützern gegen die DSGVO verstößt.“

Diese Nachricht wurde beim Blick auf die Homepage des Ameos-Klinikkonzern bestätigt: Ein eindeutig DSGVO-widriges Verfahren!

Quelle: Screenshot der Ameos-Homepage (Hinweis: Dieses Rückmeldeformular wurde zwischenzeitlich gelöscht)