HIPAA — Health Insurance Portability and Accountability Act

HIPAA (Health Insurance Portability and Accountability Act) wurde 1996 unterzeichnet und ist das zentrale US-Bundesgesetz zum Schutz von Gesundheitsdaten. Es legt nationale Standards für den Schutz sensibler Patienteninformationen fest und schränkt deren Offenlegung ohne Zustimmung des Patienten ein.

• Privacy Rule: Legt Standards fest, wer auf geschützte Gesundheitsinformationen (PHI) zugreifen darf und unter welchen Umständen diese weitergegeben werden dürfen.
• Security Rule: Schreibt administrative, physische und technische Schutzmaßnahmen für elektronische PHI (ePHI) vor.
• Breach Notification Rule: Verpflichtung zur Meldung von Datenpannen, die PHI betreffen.
• Business Associate Agreements: Dritte, die mit PHI umgehen, müssen verbindliche Vereinbarungen unterzeichnen.

HIPAA wurde am 21. August 1996 von Präsident Clinton unterzeichnet. Ursprünglich auf Krankenversicherungsportabilität ausgerichtet, fügte der Kongress Datenschutz- und Sicherheitsbestimmungen hinzu, da die Digitalisierung des Gesundheitswesens zunahm. Die Privacy Rule wurde 2003 finalisiert, die Security Rule 2005. Der HITECH Act (2009) erweiterte HIPAA erheblich durch strengere Bußgeldbestimmungen und die Breach Notification Rule. Die Omnibus Rule von 2013 (HIPAA/HITECH Omnibus Rule) dehnte die Anforderungen auf Business Associates aus und verschärfte Sanktionen. Am 27. Dezember 2024 veröffentlichte das HHS einen NPRM zur grundlegenden Überarbeitung der Security Rule — die erste große Aktualisierung seit 2013. Die Finalisierung wird für Mai 2026 angestrebt.

HIPAA gilt für „Covered Entities“ (betroffene Stellen): Gesundheitsdienstleister, die Gesundheitsversorgung elektronisch abrechnen; Krankenversicherungen; Clearingstellen im Gesundheitswesen. „Business Associates“ (Geschäftspartner) sind Dritte, die PHI im Auftrag einer betroffenen Stelle verarbeiten, und unterliegen ebenfalls direkt HIPAA. Der geografische Geltungsbereich umfasst alle Personen, die US-amerikanische PHI verarbeiten, unabhängig vom Standort.

• Minimum Necessary Standard: Nur die minimal erforderliche PHI darf verwendet oder offengelegt werden.
• Patientenrechte: Recht auf Einsicht, Kopie, Berichtigung und Einschränkung der Nutzung der eigenen PHI.
• Administrative Schutzmaßnahmen: Sicherheitsverantwortlicher, Risikoanalyse, Schulungen, Zugriffsmanagement.
• Physische Schutzmaßnahmen: Zugangskontrollen zu Einrichtungen und Geräten.
• Technische Schutzmaßnahmen: Zugriffskontrolle, Prüfprotokolle, Übertragungssicherheit, Verschlüsselung (empfohlen).
• Breach Notification: Meldung an betroffene Patienten (60 Tage), HHS und ggf. Medien bei großen Verstößen.
• Bußgelder: Bis zu 2.190.294 USD pro Verstoßkategorie pro Jahr (inflationsangepasst, Stand 2026); strafrechtliche Sanktionen bis zu 10 Jahre Haft.

1 Korrektur:
- Falsches Datum fuer Breach Notification Rule
3 Aktualisierungen:
- Veraltete Hoechststrafe: $1.9 Mio. statt $2.19 Mio. (2026)
- Fehlende aktuelle Entwicklung: Security Rule NPRM (Dezember 2024)
- last_amended veraltet — 2024 HIPAA Privacy Rule Aenderung fehlt