Dieser Text wurde ganz oder teilweise mit Hilfe von KI erstellt.
HIPAA ist die Abkürzung für Health Insurance Portability and Accountability Act. Das US Gesetz wurde 1996 verabschiedet und bildet bis heute eine zentrale Grundlage für den Umgang mit Gesundheitsdaten in den Vereinigten Staaten. Stand dieses Beitrags ist der 23. März 2026.
Einfach erklärt schützt HIPAA medizinische und andere personenbezogene Gesundheitsinformationen vor unzulässiger Nutzung und Weitergabe. Die praktische Umsetzung erfolgt vor allem über spätere Datenschutz und Sicherheitsregeln, insbesondere die Privacy Rule, die Security Rule und die Breach Notification Rule. Diese Regeln legen fest, wer Gesundheitsdaten verwenden oder weitergeben darf, welche Schutzmaßnahmen Organisationen einführen müssen und wann Betroffene oder Behörden bei Datenpannen informiert werden müssen.
HIPAA gilt nicht für jede beliebige Firma weltweit, sondern in erster Linie für bestimmte Akteure im US Gesundheitswesen. Dazu gehören unter anderem Gesundheitspläne, viele Leistungserbringer im Gesundheitswesen und sogenannte Business Associates, also Dienstleister, die im Auftrag solcher Organisationen mit geschützten Gesundheitsdaten arbeiten. Deshalb ist HIPAA besonders relevant für Krankenhäuser, Versicherungen, Abrechnungsstellen, IT Dienstleister und Cloud oder Softwareanbieter, wenn sie mit entsprechenden Daten im Auftrag regulierter Stellen umgehen.
Die wichtigste Kernaussage lautet: Gesundheitsdaten sind besonders schützenswert. Nach HIPAA dürfen geschützte Gesundheitsinformationen grundsätzlich nicht frei verwendet oder weitergegeben werden. Nutzung und Offenlegung sind nur erlaubt, wenn das Gesetz dies zulässt oder wenn eine wirksame Einwilligung oder eine andere rechtliche Grundlage vorliegt. Gleichzeitig haben betroffene Personen unter HIPAA auch bestimmte Rechte, zum Beispiel das Recht auf Zugang zu ihren Gesundheitsinformationen.
Für Organisationen bedeutet das konkrete Pflichten. Die Security Rule verlangt administrative, physische und technische Schutzmaßnahmen für elektronische geschützte Gesundheitsinformationen. Dazu gehören etwa Zugriffsbeschränkungen, Verfahren zur Zugriffskontrolle, Schulungen, Sicherheitsprozesse und Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Verschlüsselung ist dabei ein wichtiges Instrument, aber nicht jede verkürzte Alltagsformel wie Daten müssen immer verschlüsselt sein trifft den Regelungsrahmen vollständig. HIPAA arbeitet an vielen Stellen risikobasiert und verlangt angemessene Schutzmaßnahmen.
Ein praktisches Beispiel ist ein Krankenhaus, das Patientendaten digital speichert. Dann dürfen nur berechtigte Personen auf diese Informationen zugreifen. Das Krankenhaus muss organisatorische und technische Schutzmaßnahmen umsetzen, Zugriffe dokumentieren und Risiken bewerten. Werden Daten an andere Stellen übermittelt, muss dies durch HIPAA oder eine andere gültige Rechtsgrundlage gedeckt sein. Kommt es zu einer unzulässigen Offenlegung oder zu einem Datenverlust, können Meldepflichten gegenüber Betroffenen und Behörden ausgelöst werden. Außerdem drohen Durchsetzung, Ermittlungen und Sanktionen.
HIPAA hat klare Chancen. Es stärkt die Privatsphäre von Patientinnen und Patienten, schafft Vertrauen in digitale Gesundheitsdienste und gibt Unternehmen einen verbindlichen Rahmen für den Umgang mit sensiblen Informationen. Das ist auch für moderne Anwendungen wie Datenplattformen, Analysewerkzeuge und KI Systeme im Gesundheitsbereich wichtig.
Gleichzeitig hat HIPAA Grenzen. Das Gesetz gilt nur im US Rechtsraum und ist daher nicht mit der europäischen Datenschutz Grundverordnung gleichzusetzen. Außerdem stammt die gesetzliche Grundlage aus dem Jahr 1996, während viele heutige Technologien deutlich neuer sind. Zwar wurden die HIPAA Regeln über die Jahre ergänzt und fortentwickelt, doch neue digitale Produkte, Apps und KI Anwendungen werfen weiterhin Abgrenzungs und Umsetzungsfragen auf. Wer in Europa mit Gesundheitsdaten arbeitet, muss daher zusätzlich und oft vorrangig die DSGVO und weitere einschlägige Regeln beachten.
Das Take away ist einfach: HIPAA ist kein allgemeines Technikgesetz, sondern ein zentraler Rechtsrahmen für Datenschutz, Datennutzung und Datensicherheit im US Gesundheitswesen. Für Projekte mit Gesundheitsdaten gilt deshalb: Zugriffe müssen sauber geregelt sein, die Rechtsgrundlage muss klar sein, Schutzmaßnahmen müssen dokumentiert und angemessen umgesetzt werden und Datenpannen dürfen nicht ignoriert werden. Gesundheitsdaten gehören zu den am stärksten geschützten Daten überhaupt.
Quellen
Health Insurance Portability and Accountability Act of 1996, U.S. Government Publishing Office, https://www.govinfo.gov/content/pkg/PLAW-104publ191/html/PLAW-104publ191.htm, 21. August 1996.
Health Insurance Portability and Accountability Act of 1996, Office of the Assistant Secretary for Planning and Evaluation, U.S. Department of Health and Human Services, https://aspe.hhs.gov/reports/health-insurance-portability-accountability-act-1996, 20. August 1996.
The HIPAA Privacy Rule, U.S. Department of Health and Human Services, https://www.hhs.gov/hipaa/for-professionals/privacy/index.html, 27. September 2024.
Summary of the Privacy Rule, U.S. Department of Health and Human Services, https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html, 14. März 2025.
Summary of the Security Rule, U.S. Department of Health and Human Services, https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html, 30. Dezember 2024.
Breach Notification Rule, U.S. Department of Health and Human Services, https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html, 26. Juli 2013.
45 CFR Part 160, Electronic Code of Federal Regulations, https://www.ecfr.gov/current/title-45/subtitle-A/subchapter-C/part-160, abgerufen am 23. März 2026.
45 CFR Part 164, Electronic Code of Federal Regulations, https://www.ecfr.gov/current/title-45/subtitle-A/subchapter-C/part-164, abgerufen am 23. März 2026.
Health Insurance Portability and Accountability Act of 1996 HIPAA, Centers for Disease Control and Prevention, https://www.cdc.gov/phlp/php/resources/health-insurance-portability-and-accountability-act-of-1996-hipaa.html, 2024.