Cyberangriff auf die Unfallkasse Thüringen: TLfDI verneint gemeinsame Verantwortlichkeit

Im Zuge eines Cyberangriffs auf die Unfallkasse Thüringen, der zu einem Datendiebstahl bei öffentlichen und nicht-öffentlichen Stellen führte, hatte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) zu prüfen, ob eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen der Unfallkasse und den jeweiligen öffentlichen und nicht-öffentlichen Stellen bestand. Der TLfDI befasste sich damit in seinem 7. Tätigkeitsbericht, der im November 2025 veröffentlicht wurde.

Der Sachverhalt – was war passiert?

Die Unfallkasse Thüringen meldete dem TLfDI am 19. Dezember 2023 eine Datenschutzverletzung gemäß Art. 33 DSGVO. Sie war Ziel eines Cyberangriffs geworden, bei dem rund 750.000 Datensätze von Versicherten gestohlen wurden.

Die Angreifer verschlüsselten mittels Ransomware – hierbei handelt es sich um ein Schadprogramm, das auf die Blockade des Computersystems oder die Verschlüsselung der Betriebs- und Nutzerdaten abzielt – Teile der IT-Infrastruktur und konnten zudem auch Daten stehlen, die sie anschließend im Darknet veröffentlichten. Gestohlen wurden Informationen über die Versicherten, Hinterbliebenen und deren Bevollmächtigte sowie Informationen über die Mitgliedseinrichtungen. Betroffen waren sowohl persönliche Daten der Versicherten als auch betriebliche Daten der mit der Unfallkasse Thüringen in Verbindung stehenden Leistungserbringer, Unternehmen und sonstigen Einrichtungen.

Gemeinsame Datenbank – gemeinsame Verantwortlichkeit?

Nach dem Vorfall wandte sich eine Kommune an den TLfDI und fragte, ob für den Betrieb einer gemeinsamen Datenbank mit der Unfallkasse Thüringen eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehe und ob alle Beteiligten eine Meldung gemäß Art. 33 DSGVO vornehmen müssten.

Die Kommune ging davon aus, es handele sich um ein arbeitsteiliges Zusammenwirken zwischen der öffentlichen Verwaltung und der Unfallkasse Thüringen, bei dem beide Einfluss auf die Zwecke der und die Mittel zur Verarbeitung der personenbezogenen Daten nehmen würden. Die Kommune nahm an, dass die Übertragung der Aufgabenerledigung auf die Unfallkasse Thüringen zur Folge hat, dass diese nach Art. 4 Nr. 7 DSGVO verantwortlich sei. Wenn dann mehrere Verantwortliche an der Erledigung von Aufgaben mitwirken, wurde von der Kommune angenommen, dass eine gemeinsame Verantwortlichkeit bestünde. Wäre das der Fall, so wären im Außenverhältnis alle gemeinsam verantwortlichen Stellen meldepflichtig.

Einschätzung der Unfallkasse Thüringen

Die Unfallkasse Thüringen ging nicht von einer gemeinsamen Verantwortlichkeit aus. Ihrer Ansicht nach würden nicht mehrere Verantwortliche die Zwecke und Mittel der Datenverarbeitung gemeinsam festlegen. Der Zweck der Datenverarbeitung und damit auch die jeweiligen Pflichten des Unfallversicherungsträgers und der Unternehmer seien im Sozialgesetzbuch für die gesetzlichen Unfallversicherungen (SGB VII) festgelegt, weshalb keine gemeinsame Festlegung der Zwecke erfolge. Zudem würde die Unfallkasse Thüringen allein über die eingesetzten Mittel zur Zweckerreichung entscheiden – also darüber, wie der Unfallversicherungsträger seinen Verpflichtungen zur Leistungserbringung nach dem SGB VII nachkommt und welche technischen Infrastrukturen für die Datenverarbeitung genutzt würden.

Einschätzung des TLfDI

Auch der TLfDI konnte bei seiner Prüfung kein gemeinsames Ziel zwischen der Unfallkasse Thüringen und den Verantwortlichen im Hinblick auf die Fallbearbeitung feststellen. Der Datenschutzvorfall hätte sich in den nachgelagerten Systemen der Unfallkasse Thüringen ereignet, für die diese allein verantwortlich sei. Zwischen der Unfallkasse und den Verantwortlichen konnte der TLfDI im Hinblick auf die Fallbearbeitung kein „gemeinsames Ziel“ feststellen, da die unfallmeldende Stelle einzig ihrer gesetzlichen Meldepflicht gegenüber der Unfallkasse nachkommen würde. Das „gemeinsame Ziel“ zwischen der Unfallkasse Thüringen und den Verantwortlichen bestünde einzig und allein in der Einhaltung der Anforderungen des SGB VII. Die Unfallkasse Thüringen sei für die Fallbearbeitung der Behandlung und Geltendmachung von Ansprüchen aus Versicherungsleistungen Verantwortlicher, da diese die Zwecke per Gesetz übertragen bekommen habe und die einzusetzenden Mittel selbstständig festlegen würde. Im vorliegenden Fall handele es sich somit um zwei voneinander getrennte Verantwortlichkeiten und die entsprechende Meldung der Datenschutzverletzung gemäß Art. 33 Abs. 1 DSGVO wurde daher korrekterweise von der Unfallkasse Thüringen allein durchgeführt.

Fazit

Unfallkassen sind für das Betreiben gemeinsamer Datenbanken mit den verantwortlichen Stellen grundsätzlich allein verantwortlich, da sie i. d. R. allein über die Zwecke und Mittel der Datenverarbeitung bestimmen. Die von dem Cyberangriff bei der Unfallkasse betroffenen öffentlichen und nicht-öffentlichen Stellen mussten daher keine eigene Meldung nach Art. 33 Abs. 1 DSGVO vornehmen, da keine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen Ihnen und der Unfallkasse bestand.

Bei der Bewertung ist entscheidend, wer tatsächlich die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten bestimmt. Werden diese – wie im vorliegenden Fall – ausschließlich von der Unfallkasse festgelegt und besteht das gemeinsame Ziel einzig und allein darin, die Anforderungen aus dem SGB VII einzuhalten, handelt es sich nicht um eine gemeinsame, sondern um eine getrennte Verantwortlichkeit.

Wichtig zu betonen ist hierbei, dass die Bewertung des TLfDI den hier konkret gesetzlich normierten Fall der Unfallversicherung betrifft. In anderen Konstellationen kann dies auch zu einer abweichenden Bewertung hinsichtlich der datenschutzrechtlichen Verantwortlichkeiten führen.

Dominik Klöcker | 19. März 2026 | Aufsichtsbehörden | Art. 26 DSGVO, Art. 33 DSGVO, Cyberangriff, Datenbank, Datenschutzverletzung, Datenverarbeitung, Gemeinsame Verantwortlichkeit, Meldepflicht, Ransomware, SGB VII, Tätigkeitsbericht, TLfDI, Unfallkasse Thüringen, Zwecke | 3 Kommentare

3 Comments

Christoph Schmees pc-fluesterer.info
19. März 2026 @ 15:57

Ein Ransomware-Befall wie dieser ist kein „Cyberangriff“, wie das Framing nahelegt, sondern eine Folge der Kombination von zwei Faktoren:
1. Verwendung von proprietären Produkten mit Sicherheitslücken (insbesondere Microsoft);
2. Verstöße gegen die Regeln der Kunst („best practice“).

Ransomware ist keine Naturkatastrophe, sondern benötigt ein gerüttelt Maß an (vorheriger) Mitwirkung des Opfers.

- Dominik Klöcker
  20. März 2026 @ 9:56
  
  Hallo Herr Schmees,
  
  vielen Dank für Ihren Kommentar. Ich habe hier den Wortlaut des TLfDI übernommen, der den Ransomware-Angriff als „Cyberangriff“ bezeichnete. Aber auch laut BSI stellen Ransomware-Angriffe „eine der größten Cyberbedrohungen für Staat, Wirtschaft und Gesellschaft dar“ (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/ransomware-angriffe_node.html), sodass ein Ransomware-Angriff durchaus als Cyberangriff bezeichnet werden kann.
  
  Viele Grüße
  
  Dominik Klöcker
  
  - Christoph Schmees pc-fluesterer.info
    20. März 2026 @ 12:00
    
    Moin, danke für die Antwort. Dann stammt das Framing eben vom TLfDI. Diese Wortwahl ist eine hübsche Möglichkeit, von eigenen Versäumnissen abzulenken, die den Erfolg des Angriffs erst ermöglichten. Der Angriffsvektor (die Abfolge der einzelnen Schritte), der hier zum „Erfolg“ der Angreifer führte, würde mich schon mal interessieren.