6.1 Was HIPAA abdeckt
Modul 6: HIPAA — Gesundheitsdatenschutz in den USA
Erklärt den Health Insurance Portability and Accountability Act (1996), die Privacy Rule, den Begriff Protected Health Information sowie Covered Entities und Business Associates — mit Vergleich zur deutschen Rechtslage.
Learning Material
1 pagesWas HIPAA abdeckt
Der Health Insurance Portability and Accountability Act — kurz HIPAA — ist ein US-Bundesgesetz aus dem Jahr 1996, das ursprünglich dazu dienen sollte, Arbeitnehmern den Versicherungsschutz beim Jobwechsel zu erhalten. Im Laufe der Zeit wurden ihm jedoch weitreichende Datenschutzregeln hinzugefügt, die heute den Umgang mit Gesundheitsinformationen in den USA maßgeblich bestimmen. Für deutschsprachige Leserinnen und Leser ist HIPAA in der Praxis relevant, wenn sie in den USA behandelt werden, mit US-Gesundheitsdienstleistern zusammenarbeiten oder Gesundheits-Apps nutzen, die US-amerikanischen Anbietern gehören.
Die Privacy Rule (2003)
Das US-Gesundheitsministerium (Department of Health and Human Services, HHS) erließ 2003 die sogenannte Privacy Rule, die konkrete Standards für den Schutz von Patientendaten festlegt. Kern des Gesetzes ist das Konzept der Protected Health Information (PHI) — geschützte Gesundheitsinformationen. PHI umfasst alle Informationen, die die Gesundheit, die Behandlung oder die Bezahlung von Gesundheitsleistungen einer Person betreffen und mit der Person in Verbindung gebracht werden können. Dazu zählen Name, Adresse, Geburtsdatum, Sozialversicherungsnummer, Diagnosen, Behandlungsverläufe, Abrechnungsdaten und sogar IP-Adressen, soweit sie mit Gesundheitsdaten verbunden sind.
Wer ist gebunden? Covered Entities und Business Associates
HIPAA gilt nicht für alle Unternehmen, die irgendwie mit Gesundheitsdaten in Berührung kommen. Es bindet drei Kategorien von sogenannten Covered Entities: erstens Krankenversicherungen (Health Plans), zweitens Gesundheitsleistungserbringer (Health Care Providers) — also Ärzte, Krankenhäuser, Apotheken und Labore —, und drittens Health Care Clearinghouses, die Abrechnungsdaten zwischen verschiedenen Formaten übersetzen. Dazu kommen Business Associates: externe Dienstleister, die im Auftrag einer Covered Entity mit PHI arbeiten, zum Beispiel IT-Dienstleister, Rechtsanwaltskanzleien oder Cloud-Anbieter.
Erlaubte und genehmigungspflichtige Verwendungen
Nicht jede Weitergabe von PHI erfordert eine ausdrückliche Genehmigung des Patienten. Ohne Zustimmung erlaubt sind Nutzungen für Behandlung (Treatment), Abrechnung (Payment) und Krankenhausbetrieb (Health Care Operations) — die sogenannte TPO-Ausnahme. Dagegen ist eine schriftliche Autorisierung des Patienten erforderlich, wenn PHI zu Marketingzwecken, für Forschung außerhalb bestimmter Ausnahmeregelungen oder für den Verkauf der Daten verwendet werden soll.
Vergleich mit Deutschland
In Deutschland schützen das Sozialgesetzbuch V (SGB V) für gesetzlich Versicherte sowie die ärztliche Schweigepflicht (verankert in § 203 StGB) Gesundheitsdaten umfassend. Zusätzlich gilt die DSGVO als horizontaler Rechtsrahmen für alle Verarbeitungen personenbezogener Daten, einschließlich Gesundheitsdaten als besondere Kategorie nach Art. 9 DSGVO. Der entscheidende Unterschied: Das deutsche System schützt breiter und lückelloser; HIPAA deckt nur bestimmte Stellen ab und lässt — wie Lektion 6.4 zeigen wird — erhebliche Lücken.