HIPAA-Verstöße

Image of Iron Brands

Veröffentlicht am 3. Okt. 2023 und bearbeitet am 18. Okt. 2023 von Iron Brands

Die Nichteinhaltung des HIPAA kann kostspielig sein - deshalb machen Verstöße gegen den HIPAA häufig Schlagzeilen. Aber was passiert, wenn gegen den HIPAA verstoßen wird, und was sind die Folgen? Finden wir es heraus!

  1. Was ist der HIPAA?
  2. Wie wird gegen den HIPAA verstoßen?
  3. Wer sollte sich über Verstöße gegen den HIPAA Gedanken machen?
  4. Wie wird der HIPAA durchgesetzt?
  5. Was sind die Folgen von HIPAA-Verstößen?
  6. Wie hoch sind die zivilrechtlichen Strafen nach dem HIPAA?
  7. Was sind die strafrechtlichen Sanktionen im Rahmen des HIPAA?
  8. Schlussfolgerungen
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Was ist der HIPAA?

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein komplexes Gesetz, das viele Aspekte der Verwendung geschützter Gesundheitsinformationen (PHI) im Gesundheitswesen regelt.

Der bekannteste und meistdiskutierte Teil des HIPAA ist die Privacy Rule, die sich mit der genehmigten Weitergabe von Informationen befasst. Mit anderen Worten: Die Privacy Rule legt fest, wann und an wen Gesundheitsdienstleister und ihre Partner geschützte Gesundheitsinformationen weitergeben dürfen.

Der HIPAA deckt jedoch eine breite Palette anderer Themen ab: Datenmanagement, technische Standards für elektronische Gesundheitsakten und vertragliche Vereinbarungen mit Geschäftspartnern.

Wie wird gegen den HIPAA verstoßen?

Da das Gesetz so weitreichend ist, können Verstöße gegen den HIPAA viele Formen annehmen. Die Verstöße, die in die Schlagzeilen kommen, sind in der Regel Verletzungen des Datenschutzes durch unberechtigte Offenlegungen oder Datenschutzverletzungen. Es kommt aber auch häufig vor, dass Unternehmen gegen den HIPAA verstoßen, indem sie Patienten den Zugang zu ihren Daten verweigern, indem sie es versäumen, mit Dritten eine Vereinbarung über die Zusammenarbeit mit Geschäftspartnern abzuschließen, wie es das Gesetz vorschreibt, indem sie es versäumen, eine Datenschutzverletzung zu melden, indem sie es versäumen, ihre Mitarbeiter in Sachen Sicherheit zu schulen usw.

Fazit: Die Privacy Rule erhält die meiste Aufmerksamkeit, aber vergessen Sie nicht die anderen Aspekte des HIPAA!

Wer sollte sich über Verstöße gegen den HIPAA Gedanken machen?

Der HIPAA gilt nur für Gesundheitsdienstleister ("covered entities") und so genannte Geschäftspartner.

Geschäftspartner sind Organisationen oder Einzelpersonen, die für eine betroffene Einrichtung arbeiten und Zugang zu geschützten Gesundheitsinformationen benötigen. Ein Webhosting-Unternehmen, das die Website eines Krankenhauses hostet, muss wahrscheinlich geschützte Gesundheitsdaten verarbeiten und gilt daher als Geschäftspartner. Als solches muss es den HIPAA einhalten und eine Geschäftspartnervereinbarung (BA) abschließen.

Wenn Sie hingegen Gesundheitsdaten verarbeiten, die nicht im Rahmen der Gesundheitsversorgung erhoben werden, müssen Sie sich nicht um den HIPAA kümmern. Weitere Informationen finden Sie in unserem Blog über den Geltungsbereich des HIPAA.

Wie wird der HIPAA durchgesetzt?

Der HIPAA wird vom Office for Civil Rights des US Department of Health and Human Services (HHS) sowie vom Generalstaatsanwalt des jeweiligen Bundesstaates durchgesetzt. Strafrechtlich relevante Fälle werden an das Justizministerium verwiesen.

Durchsetzungsverfahren können nach einer Untersuchung auf eigene Initiative oder nach einer Meldung eines Patienten oder Mitarbeiters einer betroffenen Einrichtung eingeleitet werden.

Darüber hinaus sind Organisationen verpflichtet, Verstöße gegen den HIPAA in bestimmten Fällen selbst zu melden, z. B. bei bekannten Datenschutzverletzungen. Die Nichtmeldung eines HIPAA-Verstoßes kann Organisationen in eine schlechte Position bringen. Daher ist es wichtig, dass Organisationen über solide Verfahren verfügen, um interne Berichte über mögliche HIPAA-Verstöße zu bewerten und den Datenschutzbeauftragten und die Rechtsabteilung in die Angelegenheit einzubeziehen.

Was sind die Folgen von HIPAA-Verstößen?

Verstöße gegen den HIPAA können je nach Art des Verstoßes sowohl zivil- als auch strafrechtliche Folgen haben. Darüber hinaus kann das HHS einer Organisation einen Plan mit Abhilfemaßnahmen auferlegen, um die Einhaltung der Vorschriften in Zukunft zu gewährleisten.

Es sei darauf hingewiesen, dass Unternehmen nach US-Recht strafrechtlich haftbar gemacht werden können. Daher kann ein Unternehmen, das dem HIPAA unterliegt, selbst mit Geldstrafen belegt werden, die sich aus der strafrechtlichen Haftung ergeben. In einigen Fällen können auch Einzelpersonen innerhalb einer Organisation zusammen mit der Organisation selbst strafrechtlich zur Verantwortung gezogen werden.

Organisationen können auch von den Patienten für Schäden haftbar gemacht werden, die durch eine Verletzung des HIPAA verursacht wurden, und müssen darüber hinaus eine Geldstrafe zahlen. Diese Schäden können besonders hoch sein, wenn Patienten eine Sammelklage einreichen. So zahlte beispielsweise der Versicherungsanbieter Anthem im Jahr 2018 im Rahmen eines Vergleichs für einen massiven Datenschutzverstoß eine Geldstrafe in Höhe von 18 Millionen US-Dollar (die bisher höchste HIPAA-Strafe). Zusätzlich zu dieser Geldstrafe musste das Unternehmen mehr als 100 Mio. USD zahlen, um eine Sammelklage seiner Patienten beizulegen.

Wie hoch sind die zivilrechtlichen Strafen nach dem HIPAA?

Der HIPAA sieht sowohl einen Mindest- als auch einen Höchstbetrag für zivilrechtliche Sanktionen aufgrund von Verstößen gegen den HIPAA vor. Bei der Durchsetzung des HIPAA kann das HHS eine Geldstrafe zwischen diesen Mindest- und Höchstgrenzen verhängen, die von Faktoren wie dem zugefügten Schaden, der Vermeidbarkeit des Vorfalls und dem Grad der Nachlässigkeit einer Organisation abhängt. Bitte beachten Sie, dass die Bußgelder an die Inflation angepasst werden, was in der Praxis zu höheren Zahlen führt.

Das Sanktionssystem des HIPAA ist etwas komplex. Jeder HIPAA-Verstoß wird je nach Art und Umständen in eine von vier Stufen eingeteilt. Für alle zivilrechtlichen Strafen gilt eine Obergrenze von 50.000 Dollar, wobei der Mindestbetrag für jede Stufe unterschiedlich ist.

Stufe 1 gilt für unwissentliche Verstöße: Eine betroffene Einrichtung wusste nichts von dem Verstoß und konnte ihn nicht verhindern. Zum Beispiel leitet ein Krankenhaus versehentlich das Ergebnis einer Untersuchung an die E-Mail-Adresse des falschen Patienten weiter. Die Strafen für Verstöße der Stufe 1 liegen zwischen 100 und 50.000 US-Dollar pro Verstoß.

Stufe 2 gilt für Verstöße aus triftigem Grund, d. h. für Verstöße, von denen die Einrichtung hätte wissen müssen, die aber nicht auf vorsätzliche Nachlässigkeit zurückzuführen sind. Ein Beispiel: Die IT-Abteilung eines Krankenhauses erleidet eine Datenschutzverletzung, weil sie es versäumt hat, ihre Software zu aktualisieren. Die Strafen für Verstöße der Stufe 2 liegen zwischen 1.000 und 50.000 US-Dollar.

Die Stufen 3 und 4 gelten für vorsätzliche Verstöße, wobei der Unterschied zwischen den Stufen darin besteht, ob der Verstoß von der betroffenen Einrichtung behoben wurde. Ein Beispiel: Wenn ein Krankenhausmitarbeiter aus Neugierde unnötigerweise auf die Gesundheitsdaten eines prominenten Patienten zugreift und das Krankenhaus den Mitarbeiter später entlässt, liegt ein Verstoß der Stufe 3 vor. Ergreift das Krankenhaus dagegen keine Maßnahmen gegen den Mitarbeiter, so liegt ein Verstoß der Stufe 4 vor.

Die Strafen für Verstöße der Stufe 3 reichen von 10.000 Dollar bis zum gleichen Höchstbetrag von 50.000 Dollar, während die Strafen für Stufe 4 auf 50.000 Dollar festgelegt sind.

In der Praxis enden Verfahren wegen HIPAA-Verstößen häufig mit einem Vergleich, was zu geringeren Strafen führt.

Was sind die strafrechtlichen Sanktionen im Rahmen des HIPAA?

Die strafrechtlichen Sanktionen für Verstöße gegen den HIPAA sind ebenfalls nach Stufen gegliedert.

Ein strafrechtlicher Verstoß der Stufe 1 liegt vor, wenn wissentlich gegen den HIPAA verstoßen wird. Verstöße der Stufe 1 werden mit einer Geldstrafe von bis zu 50.000 Dollar und einer Freiheitsstrafe von bis zu einem Jahr geahndet.

Es sei darauf hingewiesen, dass nach der Rechtsprechung ein Verstoß der Stufe 1 auch dann vorliegen kann, wenn die betreffende Person ohne besondere Kenntnis des HIPAA handelt - vorausgesetzt, sie ist sich bewusst, dass ihre Handlungen in einem allgemeineren Sinne unrechtmäßig sind.

Ein strafrechtlicher Verstoß der Stufe 2 liegt vor, wenn eine Person den HIPAA unter Vorspiegelung falscher Tatsachen** verletzt, indem sie sich beispielsweise durch Täuschung Zugang zu geschützten Gesundheitsinformationen verschafft. Verstöße der Stufe 2 werden mit einer Geldstrafe von bis zu 100.000 Dollar und einer Freiheitsstrafe von bis zu 5 Jahren geahndet.

Verstöße der Stufe 3 sind die schwerwiegendsten und liegen vor, wenn Gesundheitsinformationen zum persönlichen Vorteil, zum kommerziellen Vorteil oder zur Verursachung von böswilligem Schaden missbraucht oder unrechtmäßig offengelegt werden. Diese Verstöße können mit einer Geldstrafe von bis zu 250.000 $ und einer Freiheitsstrafe von bis zu 10 Jahren geahndet werden.

Schlussfolgerungen

Der Schutz der Privatsphäre ist uns wichtig. Deshalb möchten wir das Datenschutzrecht auf klare Art und Weise und ohne juristische Fachbegriffe erklären.

Unsere Leidenschaft für den Datenschutz hat uns dazu veranlasst, Simple Analytics zu entwickeln: eine innovative Webanalyselösung, die Ihnen alle erforderlichen Einblicke gewährt, ohne persönliche Daten zu sammeln. Simple Analytics ermöglicht es Unternehmen in aller Welt, ihre Online-Präsenz auf verantwortungsvolle und datenschutzfreundliche Weise zu verbessern.

Wenn das für Sie gut klingt, probieren Sie es doch einfach aus!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten