Die UnitedHealth Group wurde bereits mit mindestens sechs Sammelklagen konfrontiert, in denen sie beschuldigt wird, die persönlichen Daten von Millionen von Menschen nach dem Hack von Change Healthcare, ihrer Zahlungsabwicklungseinheit, im letzten Monat nicht geschützt zu haben. Es werden wahrscheinlich noch weitere Klagen folgen.

In einem Antrag, der am späten Dienstagabend in Washington, D.C., eingereicht wurde, baten die Anwälte der Kläger ein Bundesgericht, die sechs Fälle vor dem Bundesgericht in Nashville, Tennessee, wo Change seinen Hauptsitz hat, zusammenzufassen, und sagten, sie rechneten damit, dass weitere Fälle eingereicht werden.

Es ist nicht bekannt, wie groß der Rechtsstreit werden könnte, da nicht klar ist, wie viele oder welche Art von Informationen bei dem Angriff, der von der Ransomware-Hackergruppe BlackCat durchgeführt wurde, kompromittiert wurden.

UnitedHealth, das den Angriff am 21. Februar bekannt gab, ohne anzugeben, wie viele Menschen davon betroffen waren, sagte am Mittwoch in einer Erklärung, dass es sich auf die Wiederherstellung des Betriebs von Change konzentriere.

UnitedHealth hat sich nicht dazu geäußert, ob BlackCat Lösegeld gefordert hat. In einem Beitrag in einem von Hackern genutzten Online-Forum wurde jedoch behauptet, dass das Unternehmen 22 Millionen Dollar an die Hacker gezahlt hat, um wieder Zugang zu den gesperrten Systemen zu erhalten.

Gemäß dem Health Insurance Portability and Accountability Act (HIPAA), einem US-Gesetz zum Schutz der Privatsphäre im Gesundheitswesen, haben Unternehmen 60 Tage Zeit, nachdem sie eine Datenpanne entdeckt haben, um die betroffenen Personen darüber zu informieren, dass ihre persönlichen Daten kompromittiert worden sind.

Bei Verstößen, die mehr als 500 Personen betreffen, muss das Unternehmen die Bundesaufsichtsbehörden und prominente Medien informieren. UnitedHealth hat bisher noch keine solche Mitteilung gemacht.

Change bearbeitet etwa 50% der medizinischen Ansprüche in den Vereinigten Staaten für etwa 900.000 Ärzte, 33.000 Apotheken, 5.500 Krankenhäuser und 600 Labore.

Der Angriff hat den Betrieb von Change zum Stillstand gebracht, so dass Anbieter, darunter große Krankenhaussysteme, kleine Arztpraxen und Apotheken, keine Zahlungen mehr eintreiben können. Laut der Website von UnitedHealth wird Change voraussichtlich bis zum 15. März die Zahlungsabwicklung wieder aufnehmen.

In allen Klagen wird behauptet, dass Change es versäumt hat, die persönlichen Daten der Patienten zu schützen und sie damit dem Risiko des Identitätsdiebstahls und der Verletzung der Privatsphäre ausgesetzt hat. Einige behaupten auch, dass Patienten ihre Rezepte nicht einlösen konnten, weil ihre Versicherungsansprüche nicht bearbeitet werden konnten, wodurch ihre Gesundheit gefährdet wurde.

Die Kläger behaupten, dass die von Change gespeicherten und nun potenziell gefährdeten Informationen medizinische Unterlagen, Zahlungsinformationen, Namen und Sozialversicherungsnummern umfassen. In einer der Klagen heißt es, dass "Informationen aus der Datenpanne im Dark Web zu finden sind und bereits zum Verkauf angeboten werden", allerdings werden keine Details genannt, die diese Behauptung stützen.

Die Klagen beschuldigen das Unternehmen der Fahrlässigkeit und des Verstoßes gegen die Datenschutzbestimmungen des HIPAA und verschiedene staatliche Gesetze.

Vier der Klagen richten sich gegen Change in Nashville und zwei gegen UnitedHealth im Heimatstaat der Muttergesellschaft, Minnesota.

Der Antrag vom Dienstag wurde von den Anwälten der Fälle in Nashville eingereicht. Die Anwälte der Fälle in Minnesota könnten einen konkurrierenden Antrag auf Verlegung der Fälle an ihr Gericht stellen. In diesem Fall würde das U.S. Judicial Panel on Multidistrict Litigation entscheiden, wohin die Fälle geschickt werden. (Bericht von Brendan Pierson in New York, Bearbeitung durch Alexia Garamfalvi und Aurora Ellis)