Cyber-News

Cyber news Kategorien

Datenschutz für deutsche Unternehmen: HIPAA und DSGVO im Fokus 

Bisher wurde hierzulande und insbesondere im europäischen Kontext meist die klassische Übertragung von Gesundheitsdaten in ein Drittland wie die USA aufgezeigt, kritisch beleuchtet und ausgewertet. Hierbei wurden immer wieder das Privacy Shield, Safe Harbor Abkommen sowie das jüngst in Kraft getretene EU-US Privacy Framework als rechtliche Schwerpunkte ausgiebig diskutiert.

Außer Acht gelassen wurde hierbei der umgekehrte Fall, wenn Gesundheitsdaten aus den USA beispielsweise in Deutschland oder einem anderen europäischen Mitgliedsstaat verarbeitet werden. Dies ist keineswegs ein untypisches Szenario. Mit Blick auf die in Deutschland stationierten Soldaten, aus den USA entsendeten Arbeitnehmer, Übertragung von Forschungsergebnissen/Studien zwischen deutschen und amerikanischen Unternehmen wie beispielsweise Pfizer/Biontech, sogar eher ein alltägliches Szenario. 

Fraglich ist nun, nach welchen Standards bzw. Vorschriften die Übertragung von Gesundheitsdaten aus den USA nach Deutschland erfolgt und welche Komplikationen dabei zu beachten sind. Diese Frage werden wir in diesem Blogartikel klären sowie auf die Unterschiede zwischen der DSGVO und HIPAA eingehen. Abschließend geben wir Empfehlungen für den Umgang mit amerikanischen Gesundheitsdaten für deutsche Unternehmen. 

Die Übertragung von amerikanischen Gesundheitsdaten ins Ausland unterliegt spezifischen Anforderungen der HIPAA. | Bildquelle: Von Anar Mammadov  | DATEI NR.: 168700942 

HIPAA – Was ist das? 

Ähnlich der DSGVO haben die Amerikaner Standards für die Übertragung von Gesundheitsdaten gemäß HIPAA etabliert. HIPAA steht dabei für Health Insurance Portability and Accountability Act (HIPAA) und wurde 1996 vom US-Kongress verabschiedet und in Kraft gesetzt. Aufgrund der Tatsache, dass es sich hier um ein amerikanisches Gesetz handelt, muss geklärt werden inwiefern deutsche Unternehmen/Institutionen sowie Behörden diesem Gesetz Folge leisten müssen bzw. das Einhalten der DSGVO für die Einhaltung der HIPAA ausreicht.  

Grundsätzlich ist festzuhalten, dass es sich bei dem HIPAA um ein amerikanisches Gesetz handelt und damit deutsche Unternehmen/Institutionen sowie Behörden dieser Regelung direkt nicht unterliegen. Dies bedeutet allerdings nicht, dass die HIPAA für deutsche Unternehmen nicht relevant sind. Ganz im Gegenteil! Deutsche Unternehmen müssen US-Sanktionen und Klagen befürchten, wenn Sie Gesundheitsdaten aus den USA verarbeiten oder darauf Zugriff haben und nicht die HIPAA Anforderungen erfüllen können. 

Darüber hinaus sind politische sowie wirtschaftspolitische Konsequenzen nicht auszuschließen, sodass sehr wahrscheinlich auch von Seiten der deutschen Behörden Druck ausgeübt werden könnte. Zumindest lässt sich dies nicht gänzlich ausschließen. Aus diesem Grund unterliegen US-Patientendaten den sog. HIPAA-Compliance Regeln

Auch deutsche Unternehmen müssen den HIPAA Compliance Regeln Folge leisten. 
| Bildquelle: Von Rawf8 | DATEI NR.: 188939036 

Was braucht es für die HIPAA-Compliance?

Es stellt sich nun die Frage, ob Unternehmen, die die Anforderungen nach der DSGVO erfüllen auch automatisch die HIPAA-Compliance Anforderungen erfüllen. 

Zunächst einmal muss klargestellt werden, dass die HIPAA-Compliance keine Checkliste zum schnellen Überfliegen ist. Vielmehr stellt die HIPAA-Compliance eine verbindliche Unternehmenskultur dar. Somit genügt es nicht nur einzelne Bestandteile wie die Privatsphäre, die Sicherheit sowie die Integrität bzgl. der Gesundheitsdaten zu schützen, sondern auch äußerliche Umstände sowie Einflüsse sind zu berücksichtigen. Die Managementebene sowie Führungskräfte müssen es Ihren Mitarbeitern vorleben. Sie müssen mit gutem Beispiel vorangehen, damit diese wiederum die HIPAA konformen Verhaltensweisen adaptieren können. 

Zudem ist es unabdinglich Mitarbeitern nicht nur Best Practice Beispiele aufzuzeigen, sondern auch vergangene Fehler. Insbesondere Fehler, die selbst von der Managementebene sowie den Führungskräften begangen worden sind mit all Ihren Konsequenzen – aus Fehlern lernt man bekanntlich!

Die HIPAA Compliance umfasst verschiedene Voraussetzungen, die auch deutsche Unternehmen erfüllen müssen. | Bildquelle: Von MQ-Illustrations  | DATEI NR.: 498627924 

DSGVO vs. HIPAA: Die Unterschiede 

Zur Klärung der Frage, ob die HIPAA die DSGVO abgedeckt bzw. umgekehrt die DSGVO für die Abdeckung der HIPAA ausreicht lässt sich folgendes sagen: HIPAA regelt lediglich den Umgang mit Gesundheitsdaten von US-Bürgern. Die DSGVO dagegen ist viel umfangreicher und umfasst verschiedene Bereiche des alltäglichen Lebens neben dem Gesundheitswesen. 

Trotz der umfangreicheren Regelungen der DSGVO, kann nicht davon ausgegangen werden, dass ein Unternehmen auch zugleich die Normen der HIPAA abdeckt, wenn es sich DSGVO konform aufgestellt hat. So regelt die HIPAA beispielsweise auch die Zusammenarbeit und Koordination der Behörden untereinander. Diese Zuständigkeiten kann und soll die DSGVO auch nicht regeln, aufgrund der unterschiedlichen Souveränitäten der Länder. 

Schließlich ist der Aspekt zu berücksichtigen, dass die HIPAA sehr detaillierte und somit strengere Anforderungen an die erforderlichen Maßnahmen stellt als die DSGVO. Somit muss bei einer Übertragung von Gesundheitsdaten aus den USA nach Deutschland neben der DSGVO auch die HIPAA ausreichend bei einer Überprüfung gewürdigt werden. Daher kommen Unternehmen nicht drumherum sich mit den Anforderungen der HIPAA vertraut zu machen. Sie müssen diese in ihren Projekte berücksichtigen und die entsprechenden Mitarbeiter diesbezüglich in regelmäßigen Abständen schulen. 

Die wichtigsten Anforderungen der HIPAA sind: 

  • Zugangsbeschränkung mit Kontrollen für sensible Bereiche schaffen 
  • Zugriffsverfahren für Notfälle 
  • Verschlüsselung und Entschlüsselung 
  • Audit Berichte oder Verfolgungsprotokolle, die Aktivitäten auf Hardware und Software aufzeichnen 
HIPAA stellt strengere Anforderungen an den Umgang mit Gesundheitsdaten als die DSGVO. | Bildquelle: Von DOC RABE Media  | DATEI NR.:  206376953 

Handlungsempfehlungen: Best Practice für den Umgang mit US-Gesundheitsdaten 

Die oben aufgeführten Maßnahmen sind absolute Mindestanforderungen, die durch die HIPAA gestellt werden. Daher sollten Unternehmen Ihre Compliance bzgl. der HIPAA sorgfältig überprüfen und ggf. Überarbeiten. Darüber hinaus kann nicht ausgeschlossen werden, dass neben HIPAA auch die DSGVO Stolpersteine aufweist. 

In diesem Sinne macht es durchaus Sinn eine GAP-Analyse zwischen der HIPAA und der DSGVO abgestimmt für das jeweilige Unternehmen und seine Verarbeitungstätigkeiten zu erstellen und sorgfältig auszuwerten. 

Nichtsdestotrotz können folgende Handlungsempfehlungen dabei helfen, ein solides Grundgerüst für die Übertragung von Gesundheitsdaten aus den USA in die EU zu schaffen: 

  • Compliance Beauftragter/Mitarbeiter sollten regelmäßige Schulungen bzgl. Der HIPAA erhalten 
  • Richtlinien, Verfahren sowie Verhaltensstandard noch einmal überprüfen und an die HIPAA anpassen 
  • Austausch mit anderen Unternehmen, die ebenfalls der Regelung unterliegen – Erfahrungsaustausch, sofern es möglich und gewünscht ist 
  • Sensibilisierung für Fristen und dementsprechend effektive Kommunikationswege schaffen 
  • Disziplinarrichtlinien aufstellen für Mitarbeiter und ggf. Haftungsverhältnisse überprüfen 
  • Austausch mit lokalen, aber auch amerikanischen Datenschutzbehörden suchen, um auf dem Laufenden zu bleiben 

Suchen Sie Experten im Bereich Datenschutz oder einen externen Datenschutzbeauftragten? Unsere Coaches von itsecuritycoach stehen Ihnen in allen Belangen rund um Datenschutz zur Seite. Kontaktieren Sie uns und vereinbaren Sie ein erstes Beratungsgespräch.   

Quellen: 

HIPAA for Dummies – 2023 Update (hipaaguide.net) 

HIPAA Privacy Rule (cdc.gov) 

https://www.proofpoint.com/de/threat-reference/hipaa-compliance

HIPAA-konforme Dateifreigabe und Cloud-Speicherung | Box 

HIPAA in a nutshell (johner-institut.de) 

Mehr aus unserem Datenschutz-Blog:

Wir freuen uns auf Ihre Fragen und Anforderungen!

Cyber-Security-Coaching, Audits, Schulungen und Veranstaltungen:
Das erste Beratungsgespräch bieten wir Ihnen kostenlos an!