6.4 Wann HIPAA nicht gilt

Eine der häufigsten Fehlannahmen über HIPAA lautet: „Meine Gesundheitsdaten sind doch durch HIPAA geschützt!" Das stimmt — aber nur teilweise. HIPAA schützt vor dem Missbrauch Ihrer Gesundheitsdaten durch Covered Entities: Krankenhäuser, Arztpraxen, Krankenversicherungen. Viele andere Stellen, die ebenfalls Zugang zu sensiblen Gesundheitsinformationen haben oder haben könnten, sind von HIPAA nicht erfasst. Das schafft erhebliche Schutzlücken, die im US-Recht bis heute nicht vollständig geschlossen sind.

Arbeitgeber

Ihr Arbeitgeber ist keine Covered Entity im HIPAA-Sinne — auch wenn er Ihre Krankenversicherung bezahlt oder weiß, dass Sie eine bestimmte Krankheit haben. Ein Arbeitgeber, der aus Ihrer Krankenversicherungsakte erfährt, dass Sie an einer chronischen Erkrankung leiden, und Sie deshalb nicht befördert, handelt möglicherweise diskriminierend — aber nicht automatisch gegen HIPAA. Schutz bietet hier das Americans with Disabilities Act (ADA) oder der Genetic Information Nondiscrimination Act (GINA), nicht HIPAA.

Lebensversicherungen

Lebensversicherungen, Berufsunfähigkeitsversicherungen und Pflegeversicherungen sind in den USA keine Covered Entities. Sie können im Rahmen des Antragsprozesses umfangreiche Gesundheitsinformationen anfordern und erhalten — und auf dieser Grundlage Prämien kalkulieren oder Anträge ablehnen, ohne gegen HIPAA zu verstoßen.

Gesundheits-Apps und Wearables

Fitbit, Apple Health, Google Fit, Noom und ähnliche Apps sind keine Covered Entities — sie sind Technologieunternehmen. Die Daten, die sie erheben (Herzfrequenz, Schlaf, Bewegung, Menstruationszyklus), sind nicht durch HIPAA geschützt. Diese Unternehmen können Ihre Daten an Arbeitgeber, Versicherer oder Datenhändler weitergeben, sofern ihre eigenen Datenschutzerklärungen das erlauben. Eine Untersuchung der Federal Trade Commission (FTC, 2021) stellte fest, dass viele Gesundheits-Apps Daten mit Dutzenden von Drittpartnern teilen, ohne dass Nutzer sich dessen bewusst sind.

Schulen

Gesundheitsinformationen von Schülern fallen primär unter den Family Educational Rights and Privacy Act (FERPA), nicht unter HIPAA. Schulärztliche Unterlagen können damit anderen Regeln unterliegen als Krankhausakten.

Was das für das Vertrauen bedeutet

Die entstehende Lücke ist nicht trivial: In einer Welt, in der Gesundheits-Apps allgegenwärtig sind, entstehen täglich Milliarden von Datenpunkten über Gesundheit und Körper — außerhalb des HIPAA-Schutzes. Das US-Recht hat diese Entwicklung regulatorisch noch nicht vollständig aufgeholt. Ein erster Schritt war die FTC Health Breach Notification Rule, die App-Anbieter zur Meldung von Datenpannen verpflichtet.

Vergleich mit Deutschland

In Deutschland schützen das SGB V, § 203 StGB und die DSGVO Gesundheitsdaten weit umfassender — unabhängig davon, ob die verarbeitende Stelle ein Krankenhaus, ein Arbeitgeber, eine App oder eine Versicherung ist. Die DSGVO gilt horizontal für alle Verantwortlichen, die personenbezogene Daten verarbeiten. Gesundheitsdaten als besondere Kategorie nach Art. 9 DSGVO unterliegen einem strikten Verarbeitungsverbot mit engen Ausnahmen — ein grundlegend anderes Schutzniveau als das sektorale US-Modell.