Ist Google Analytics HIPAA-konform?

Image of Iron Brands

Veröffentlicht am 30. März 2023 und bearbeitet am 3. Jan. 2024 von Iron Brands

Dieser Artikel wird automatisch übersetzt. Wechsle zur englischen Version, um das Original zu lesen.

HIPAA ist derzeit ein heißes Thema. Letztes Jahr deckte eine Untersuchung des gemeinnützigen Nachrichtenmagazins The Markup auf, dass viele Krankenhäuser geschützte Gesundheitsdaten über Meta-Pixel auf ihren Websites unrechtmäßig weitergeben. Nach der Veröffentlichung der Untersuchung wurde Meta vom US-Senat zu seiner Sammlung geschützter Informationen befragt, und es wurden zahlreiche Klagen gegen Gesundheitsdienstleister wegen HIPAA-Verstößen eingereicht (einschließlich einer Sammelklage, an der Meta selbst beteiligt war).

Diese Klagen könnten die vom HIPAA erfassten Einrichtungen viel Geld kosten, so dass dies ein guter Zeitpunkt ist, sich mit dem HIPAA und seiner Bedeutung für die Website-Analyse zu befassen.

  1. Was ist HIPAA?
  2. Wer fällt unter den HIPAA?
  3. Was ist die Privacy Rule?
  4. Was sind PHI?
  5. Was dies für die Webanalyse bedeutet
  6. Ist Google Analytics HIPAA-konform?
  7. Wie implementiere ich Cookie-basierte Analysen auf eine HIPAA-konforme Weise?
  8. Es geht nicht nur um Cookies!
  9. Ist eine Analyse ohne Cookies die Lösung?
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Was ist HIPAA?

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein Bundesgesetz der Vereinigten Staaten aus dem Jahr 1996. Ziel des HIPAA ist es, die Privatsphäre und die Sicherheit geschützter Gesundheitsinformationen (PHI) zu schützen und ihre Übertragbarkeit von einem Gesundheitsdienstleister zu einem anderen zu gewährleisten.

Ziel des HIPAA ist der Schutz der Privatsphäre und der Sicherheit geschützter Gesundheitsinformationen (Physical Health Information, PHI). Außerdem befasst er sich mit technischen Standards für elektronische Gesundheitsakten und gewährleistet das Recht auf Datenübertragbarkeit. Kurz gesagt, es geht um den Datenschutz, aber es ist keine Datenschutzverordnung im engeren Sinne.

Wer fällt unter den HIPAA?

Bitte beachten Sie, dass HIPAA sich auf Patientendaten bezieht, nicht auf Gesundheitsdaten als solche. Der Grund dafür ist, dass HIPAA nur für bestimmte Einrichtungen gilt.

Der HIPAA gilt vor allem für Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen im Gesundheitswesen (d. h. Vermittler für den Austausch von Gesundheitsdaten). Diese Einrichtungen werden als abgedeckte Einrichtungen (CEs) bezeichnet.

Der HIPAA gilt auch für Geschäftspartner. Geschäftspartner sind Einrichtungen, die regelmäßig PHI von einer abgedeckten Einrichtung erhalten und bestimmte Dienstleistungen erbringen oder Tätigkeiten für die abgedeckte Einrichtung durchführen, einschließlich der Datenanalyse. Geschäftspartner unterliegen ebenfalls einigen Datenschutzvorschriften des HIPAA und müssen mit den betroffenen Einrichtungen, mit denen sie zusammenarbeiten, eine Geschäftspartnervereinbarung (BAA) unterzeichnen.

Schließlich gilt der HIPAA auch für Unterauftragnehmer. Unterauftragnehmer arbeiten mit Geschäftspartnern zusammen und erledigen im Grunde einen Teil von deren Arbeit. Sie können sich die Unterauftragnehmer als Geschäftspartner von Geschäftspartnern vorstellen.

Bitte beachten Sie, dass wir hier ein wenig vereinfachen - es gibt mehr zu bestimmen, ob jemand ein betroffenes Unternehmen, ein Geschäftspartner oder ein Unterauftragnehmer ist. Es ist jedoch wichtig zu wissen, dass die Arbeit für eine betroffene Einrichtung Sie nicht per se zu einem Geschäftspartner macht. Sie können kein Geschäftspartner sein, wenn Sie keine PHI erhalten, unabhängig davon, für wen Sie arbeiten.

Wenn Ihr Unternehmen keine betroffene Einrichtung, kein Geschäftspartner oder Unterauftragnehmer ist, müssen Sie sich keine Gedanken über HIPAA machen! Das bedeutet jedoch nicht, dass Sie mit diesen Informationen machen können, was Sie wollen. Es können auch andere Vorschriften gelten: Das kalifornische CCPA enthält beispielsweise spezielle Vorschriften für die Verarbeitung von Gesundheitsdaten und anderen Kategorien sensibler Daten.

Was ist die Privacy Rule?

Der HIPAA schreibt bestimmte Standards vor, um zu gewährleisten, dass PHI auf sichere und vertrauliche Weise verarbeitet werden. Diese Standards werden gemeinhin als HIPAA-Datenschutzregel bezeichnet.

Einer der wichtigsten Punkte der Privacy Rule ist die Beschränkung der Weitergabe von Informationen. Bestimmte Offenlegungen von PHI sind erlaubt, weil sie für die Bereitstellung von Gesundheitsleistungen und das Funktionieren des Gesundheitssystems unerlässlich sind. So kann ein Krankenhaus beispielsweise Ihre Arztrechnungen an Ihre Versicherung schicken oder Ihre elektronische Gesundheitsakte an Ihr neues Krankenhaus weiterleiten.

Für andere Offenlegungen ist eine schriftliche Genehmigung der Person erforderlich, auf die sich die Informationen beziehen. Dies ist eine wichtige Voraussetzung, da Gesundheitsdienstleister (im Allgemeinen) ihre Dienste nicht verweigern dürfen, wenn Sie die Weitergabe nicht genehmigen. Mit anderen Worten: Patienten können nicht erpresst werden, eine nicht benötigte Weitergabe zu genehmigen.

Was sind PHI?

PHI sind die Informationen, die unter den HIPAA und die Privacy Rule fallen und geschützt sind. Der Begriff "PHI" im Rahmen des HIPAA ist komplex, da er drei verschiedene Anforderungen kombiniert:

  • Sie beziehen sich auf den Gesundheitszustand einer Person oder die Erbringung von Gesundheitsleistungen (= es handelt sich um Gesundheitsinformationen)
  • sie beziehen sich auf eine identifizierbare Person (= sie sind persönlich identifizierbare Informationen - kurz PII)
  • sie werden von einem Gesundheitsdienstleister oder einer anderen unter den HIPAA fallenden Einrichtung erstellt

image1.png

Die drei Bedingungen sind kumulativ. Wenn beispielsweise eine Website zwar medizinische Informationen, aber keine Gesundheitsdienstleistungen anbietet, gilt der HIPAA nicht für sie, auch wenn sie durch ihre Webanalyse personenbezogene Gesundheitsinformationen erfasst.

Dass PHI persönlich identifizierbar sein müssen, ist die schwierigste Anforderung. Der HIPAA enthält keine Definition von persönlich identifizierbaren Informationen (PII). Dennoch bietet die Privacy Rule einige Anhaltspunkte, indem sie Identifikatoren auflistet, die Informationen zu PII machen (die entfernt werden können, um sie zu de-identifizieren). Die Liste ist lang und umfasst IP-Adressen und andere eindeutige Identifizierungsnummern.

Was dies für die Webanalyse bedeutet

Die Datenschutzrichtlinie ist für Cookie-basierte Analyseverfahren von großer Bedeutung.

Google Analytics und andere Cookie-basierte Analysedienste enthalten eindeutige Kennungen in ihren Cookies. Auf diese Weise erheben diese Dienste wichtige Kennzahlen wie z. B. eindeutige Besucher. Eindeutige Identifikatoren gelten jedoch gemäß der Datenschutzrichtlinie als personenbezogene Daten. Das bedeutet, dass Cookie-Daten PHI sind, wenn die beiden anderen Anforderungen des HIPAA erfüllt sind (= sie werden von einer vom HIPAA erfassten Identität erstellt und sind Gesundheitsinformationen).

Die Weitergabe von PHI zum Zweck des Webmarketings und der Webanalyseist keine zulässige Offenlegung im Sinne der Privacy Rule und erfordert daher eine schriftliche Genehmigung.

Das U.S. Department of Health and Human Services hat außerdem klargestellt, dass die Zustimmung zu Cookie-Bannern und ähnlichen Pop-ups nicht als gültige Genehmigung zur Weitergabe von PHI gilt. Und da es keine andere realistische Möglichkeit gibt, von jedem Besucher eine schriftliche Genehmigung einzuholen, besteht die einzige Möglichkeit für Websites, die Datenschutzbestimmungen einzuhalten, darin, bei der Nutzung eines Webanalysedienstes überhaupt keine PHI weiterzugeben.

Dies widerspricht der Konzeption von Google Analytics, da personenbezogene Daten von Google verarbeitet (und an Google weitergegeben) werden müssen, damit der Dienst funktioniert.

Das bedeutet nicht, dass HIPAA-abgedeckte Einrichtungen Google Analytics oder eine andere Cookie-basierte Analyselösung nicht verwenden können. Aber es ist eine Menge Arbeit. Wenn Sie die Cookie-basierte Analyse so implementieren, wie Sie es auf jeder anderen Website tun würden, ist ein Verstoß gegen den HIPAA praktisch garantiert.

Ist Google Analytics HIPAA-konform?

Google Analytics ist von Haus aus nicht HIPAA-konform. Aus diesem Grund ist Google nicht in der Lage, eine Geschäftspartnervereinbarung mit HIPAA-pflichtigen Einrichtungen zu unterzeichnen.

Die unternehmenseigene Dokumentation ist diesbezüglich sehr transparent. Google behauptet nicht, dass der Dienst HIPAA-konform ist, warnt seine Kunden davor, PHI an Google weiterzuleiten, und empfiehlt seinen Kunden, sich an Rechtsexperten zu wenden, um sicherzustellen, dass Google Analytics auf HIPAA-konforme Weise implementiert wird.

Diese Richtlinien des U.S. Department of Health and Human Services sind ein guter Anfang. Das Ministerium warnt davor, sehr vorsichtig mit authentifizierten Seiten umzugehen, d. h. Seiten, auf die Besucher nur nach Authentifizierung oder Anmeldung zugreifen können. Um auf Nummer sicher zu gehen, sollten Sie die Nachverfolgung auf diesen Seiten ganz deaktivieren (wie auch in der Dokumentation von Google Analytics empfohlen). Außerdem sollten Sie das Tracking auf allen Seiten deaktivieren, auf denen ein Besucher einen Termin buchen kann, unabhängig davon, ob die Seite authentifiziert ist oder nicht.

Aber sind nicht-authentifizierte Seiten ein faires Spiel? Nicht wirklich. Nicht authentifizierte Seiten, auf denen Patienten Termine buchen können, sind ebenfalls tabu. Und Seiten, die Informationen über bestimmte Gesundheitszustände oder Behandlungen bereitstellen, können es Google (oder anderen Anbietern von Cookie-basierten Analysen) ebenfalls ermöglichen, Gesundheitsdaten zu sammeln. Ob Sie Besucher auf einer nicht authentifizierten Seite nachverfolgen können, hängt also letztlich von deren Inhalt ab.

Fazit: Wenn Sie unter den HIPAA fallen, sollten Sie das Tracking auf allen authentifizierten Seiten deaktivieren. Was die nicht authentifizierten Seiten angeht, sollten Sie jede Seite sorgfältig auf ihren Inhalt hin prüfen. Sie sollten auf jeden Fall einen Rechtsexperten hinzuziehen, was kostspielig sein wird, wenn Sie keinen eigenen Anwalt oder kein juristisches Team haben.

In einigen Fällen kann eine strenge Prüfung ergeben, dass Sie die Nachverfolgung für einen großen Teil Ihrer Website deaktivieren müssen. Dies kann sich negativ auf die Qualität der Erkenntnisse aus Ihrer Webanalyse auswirken.

Krankenhaus-Websites enthalten zum Beispiel häufig Informationsseiten zu bestimmten Gesundheitszuständen und Behandlungsformen. Diese Seiten sind oft als Landing Pages gedacht, die neue Besucher anlocken sollen. Wenn Sie also das Tracking für diese Seiten deaktivieren, wirkt sich das negativ auf die Qualität Ihrer Webanalyse aus.

Es ist also möglich, aber es ist nicht so einfach, wie einige Einstellungen zu ändern und hier und da eine Codezeile einzufügen. Eine ordnungsgemäße, HIPAA-konforme Implementierung von Cookie-basierten Analysen ist aufwändig, kann kostspielig sein und wird sich wahrscheinlich auf die Qualität der gewonnenen Erkenntnisse auswirken.

Es geht nicht nur um Cookies!

Für mobile Anwendungen gelten genau dieselben Regeln: Gemäß der Datenschutzrichtlinie dürfen Sie keine personenbezogenen Daten für Marketing- oder Analysezwecke weitergeben.

In der Praxis ist die Situation für mobile Anwendungen sogar noch schlimmer. Viele gängige Software Development Kits (SDKs) enthalten integrierte Tracker. SDKs stellen generell ein großes Problem für den Datenschutz dar: Die Entwicklung von Apps wird häufig ausgelagert, so dass viele Unternehmen ihre Nutzer unwissentlich verfolgen. Wenn Sie unter den HIPAA fallen, kann dieses Tracking zu einem Verstoß gegen die Datenschutzbestimmungen führen.

PHI kann auch auf andere Weise gesammelt werden. So werden beispielsweise über APIs für beliebte Dienste wie Google Maps manchmal personenbezogene Daten erfasst und weitergegeben. Wenn Sie eine API in Ihre Website einbinden, sollten Sie genau wissen, welche Version der API Sie verwenden und welche Daten Sie weitergeben!

Eine weitere häufige Art der Verletzung der Datenschutzbestimmungen ist die unsachgemäße Entsorgung von Geräten. Wenn Sie unter den HIPAA fallen, sollten Sie sicherstellen, dass Sie alle PHI aus dem Speicher eines Geräts entfernen, bevor Sie es entsorgen (eigentlich sollten Sie dies für alle personenbezogenen Daten und unabhängig vom HIPAA tun).

Fazit: Es ist gut, sich auf Ihre Webanalyse zu konzentrieren, aber verlieren Sie nicht das Gesamtbild aus den Augen.

Ist eine Analyse ohne Cookies die Lösung?

Das kommt darauf an. Ohne Cookies bedeutet nicht unbedingt datenschutzfreundlich, denn es gibt Möglichkeiten, Besucher ohne Cookies zu verfolgen. Wenn Sie Fingerabdrücke von Besuchern nehmen oder sie über ihre IP-Adresse aufspüren, geben Sie immer noch PHI an Ihren Webanalyse-Anbieter weiter - und das ist das zentrale rechtliche Problem, um das es geht.

Die beste Option sind datenschutzfreundliche Analysedienste, die den Nutzer einfach nicht verfolgen und ohne Fingerabdrücke oder ausgeklügelte Re-Identifizierungstricks Einblicke liefern.

Wir haben ein solches Tool entwickelt. Simple Analytics wurde von Anfang an mit Blick auf den Datenschutz entwickelt. Es verfolgt keine Nutzer und benötigt auch keine persönlichen Daten, um zu funktionieren - und bietet dem Kunden gleichzeitig hochwertige Einblicke, um sein Geschäft auszubauen und seine Online-Präsenz zu verbessern. Überzeugen Sie sich selbst auf unserer Seite "Was wir sammeln" und in unserer rechtlichen Dokumentation.

Simple Analytics ist ein fantastisches Tool zur Einhaltung des HIPAA, da es niemals PII oder PHI sammelt.

Die einzige persönliche Information, die von Simple Analytics verwendet wird, ist die IP-Adresse des Besuchers, die ausschließlich für die Kommunikation benötigt wird (und niemals gespeichert oder zum Tracking verwendet wird). Selbst diese minimale Offenlegung kann vom Kunden durch die Verwendung eines Proxys verhindert werden. Dazu müssen nur ein paar Zeilen Code zu Ihrer Website hinzugefügt werden.

Mit dem Proxy können Sie Simple Analytics auf Ihrer gesamten Website implementieren, ohne dass Sie Gefahr laufen, die Datenschutzbestimmungen zu verletzen, da wir keine persönlichen Daten von Ihnen erhalten. Dies ist ein viel einfacherer und sichererer Weg zur Einhaltung der Datenschutzbestimmungen als die Auswertung und Deaktivierung des Trackings für einzelne Seiten. Und da Sie keine personenbezogenen Daten weitergeben, brauchen Sie natürlich auch keine Vereinbarung mit einem Geschäftspartner!

Um das klarzustellen: Wir schlagen keine rechtliche Umgehung vor. Sie können nicht gegen die Datenschutzbestimmungen verstoßen, wenn Sie keine personenbezogenen Daten weitergeben - so einfach ist das. Ein datenschutzfreundlicher Ansatz für die Webanalyse ist sowohl rechtskonform als auch ethisch vertretbar.

Wenn sich das für Sie gut anhört, können Sie uns gerne ausprobieren!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten