Wie verhält sich der HIPAA im Vergleich zum CCPA und GDPR?

Image of Iron Brands

Veröffentlicht am 11. Aug. 2023 und bearbeitet am 3. Jan. 2024 von Iron Brands

Die GDPR, der HIPAA und der CCPA gehören zu den einflussreichsten und meist diskutierten Gesetzen im Bereich des Datenschutzes, aber natürlich gibt es wichtige Unterschiede zwischen ihnen. Ein sehr offensichtlicher ist, dass die GDPR eine Verordnung der EU ist, während der HIPAA und der CCPA US-Gesetze sind. Genauer gesagt ist der HIPAA ein Bundesgesetz, während der CCPA ein Gesetz des Bundesstaates Kalifornien ist. Aber die Unterschiede sind noch viel tiefgreifender als das.

  1. Worum geht es bei diesen Gesetzen?
  2. Was ist der Anwendungsbereich dieser Gesetze?
  3. Für wen gelten die GDPR, der CCPA und der HIPAA?
  4. Wie werden diese Gesetze durchgesetzt?
  5. Wie schützen diese Gesetze personenbezogene Daten?
  6. Wie schützen diese Gesetze sensible Daten?
  7. Haben diese Gesetze Vorrang vor anderen Gesetzen?
  8. Schlussfolgerungen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Worum geht es bei diesen Gesetzen?

Die GDPR ist am einfachsten zu erklären: Es handelt sich um ein Datenschutzgesetz, ganz einfach. Das CCPA liegt irgendwo zwischen dem Datenschutzgesetz und dem Verbraucherschutzgesetz, weshalb es sich hauptsächlich an Unternehmen richtet.

Der HIPAA ist ein Gesetz für den medizinischen Bereich, das nur für Gesundheitsdienstleister und Einrichtungen, die mit ihnen zusammenarbeiten, gilt. Im Gegensatz zu GDPR und CCPA deckt der HIPAA viel mehr als nur den Datenschutz ab: Es handelt sich um eine sektorale Gesetzgebung, die Sicherheitsstandards, Verwaltungsanforderungen und mehr umfasst.

Was ist der Anwendungsbereich dieser Gesetze?

Die Datenschutz-Grundverordnung hat den weitesten Geltungsbereich der drei Gesetze, da sie die gesamte Verarbeitung personenbezogener Daten mit wenigen Ausnahmen abdeckt - so fallen beispielsweise strafrechtliche Ermittlungen unter ein anderes EU-Gesetz (die Strafverfolgungsrichtlinie). Die Datenschutz-Grundverordnung gilt auch nicht für die Landesverteidigung, da diese Angelegenheit nicht unter das Mandat der EU fällt.

Der CCPA gilt nur für personenbezogene Daten von Verbrauchern, weshalb er im Allgemeinen nur für Unternehmen gilt.

Der HIPAA schließlich gilt nur für geschützte Gesundheitsinformationen (PHI). PHI ist ein komplexer Begriff: Ob Daten PHI sind oder nicht, hängt nicht nur davon ab, um welche Daten es sich handelt, sondern auch davon, wer sie kontrolliert. Weitere Informationen über den Begriff der PHI finden Sie in unserem Blog.

Für wen gelten die GDPR, der CCPA und der HIPAA?

Die Datenschutz-Grundverordnung (GDPR) hat einen allgemeinen Geltungsbereich und gilt für so gut wie jeden, obwohl sie eine Ausnahmeregelung für Tätigkeiten enthält, die rein persönlicher Natur sind. Sie müssen sich also keine Gedanken über die GDPR machen, wenn Sie auf Ihrer Facebook-Seite posten, aber Sie müssen sich Gedanken machen, wenn Sie über das Profil oder die Geschäftsseite Ihres Unternehmens posten.

Der CCPA gilt nur für bestimmte Unternehmen. Diese sind:

  • Unternehmen mit einem Bruttojahresumsatz von 25 Millionen Dollar oder mehr
  • Unternehmen, die persönliche Daten von 100.000 oder mehr Einwohnern, Haushalten oder Geräten in Kalifornien kaufen, verkaufen oder weitergeben
  • Unternehmen, die die Hälfte oder mehr ihrer Einnahmen aus dem Verkauf personenbezogener Daten kalifornischer Bürger erzielen.

Mit anderen Worten: Es handelt sich entweder um große Unternehmen oder um kleinere Unternehmen, die viele personenbezogene Daten verarbeiten. Der Feinkostladen von nebenan muss sich wahrscheinlich keine Gedanken über den CCPA machen, eine Supermarktkette aber möglicherweise schon, und Datenmakler müssen es auf jeden Fall.

Gemeinnützige Organisationen sind in der Regel vom CCPA ausgenommen, obwohl es Ausnahmen geben kann, wenn das Eigentum und die Marke einer gemeinnützigen Organisation mit einem Unternehmen verbunden werden können.

Der HIPAA gilt für Unternehmen, die im Gesundheitswesen tätig sind (Krankenhäuser, Ärzte, Versicherungsanbieter usw.). Er gilt auch für Unternehmen, die mit ihnen zusammenarbeiten (Geschäftspartner), sofern sie PHI sammeln.

Die Regeln für den Geltungsbereich des HIPAA sind ziemlich kompliziert, so dass dies eine grobe Vereinfachung darstellt. Weitere Informationen finden Sie in unserem Blog über den Geltungsbereich des HIPAA oder auf der Website des NHS.

Wie werden diese Gesetze durchgesetzt?

Die Datenschutz-Grundverordnung wird sowohl von Gerichten als auch von Datenschutzbehörden durchgesetzt. Die beiden spielen leicht unterschiedliche Rollen: Als Faustregel gilt, dass Gerichte Schadenersatz zusprechen und DPAs Geldstrafen verhängen.

Aus praktischer Sicht sind die Datenschutzbehörden oft unterbesetzt, was einen Engpass bei der Durchsetzung der DSGVO darstellt. Das System für die Bearbeitung grenzüberschreitender Fälle in der EU ist ebenfalls langsam und manchmal chaotisch, was auf die unterschiedlichen Verfahrensregeln in den Mitgliedstaaten zurückzuführen ist (ein Problem, an dessen Lösung die EU derzeit arbeitet).

Das CCPA wurde bisher vom Generalanwalt von Kalifornien durchgesetzt. Im Jahr 2024 wird der Avocate Genera durch die California Privacy Protection Agency (CPPA - ja, die Abkürzungen sind verwirrend!) ergänzt.

Der HIPAA wird von der Behörde für Bürgerrechte des Gesundheitswesens durchgesetzt.

Wie schützen diese Gesetze personenbezogene Daten?

Sowohl bei der DSGVO als auch bei der CCPA geht es im Wesentlichen darum, was mit Daten gemacht werden kann und was nicht, aber die beiden Gesetze verfolgen unterschiedliche Ansätze.

Die Datenschutz-Grundverordnung legt strenge Regeln für die Verarbeitung personenbezogener Daten fest. Personenbezogene Daten dürfen nur auf einer bestimmten Rechtsgrundlage erhoben und verarbeitet werden, und wer auch immer die Daten kontrolliert, unterliegt einigen allgemeinen Verpflichtungen.

Es ist ein weit verbreiteter Mythos, dass die Datenschutz-Grundverordnung immer eine Einwilligung verlangt. In Wahrheit erfordert die DSGVO immer eine Rechtsgrundlage, und die Einwilligung ist nicht die einzige Option. Aber ein Körnchen Wahrheit ist an dem Mythos dran, und es gibt spezifische Fälle, in denen die Einwilligung die einzige praktikable Option ist.

Das CCPA legt ebenfalls Regeln für die Verarbeitung personenbezogener Daten von Verbrauchern fest, die jedoch etwas laxer sind. Unternehmen brauchen weder eine Einwilligung noch eine Rechtsgrundlage, um personenbezogene Daten zu sammeln, aber sie müssen den Verbrauchern die Möglichkeit geben, sich gegen den Verkauf und die Weitergabe ihrer personenbezogenen Daten zu entscheiden und die Verwendung sensibler Daten einzuschränken. Insgesamt ist der CCPA weniger präskriptiv als die GDPR und stützt sich stärker auf Opt-out-Systeme.

Die wichtigsten Datenschutzgrundsätze des HIPAA finden sich in der Privacy Rule. Nach dieser Vorschrift können einige Offenlegungen geschützter Gesundheitsdaten nur mit schriftlicher Zustimmung des Patienten erfolgen, andere hingegen nicht. Die CCPA erlaubt die Weitergabe ohne Zustimmung, wenn sie für das Funktionieren des Gesundheitssystems unbedingt erforderlich ist: z. B. die Weiterleitung der Krankengeschichte eines Patienten an sein neues Krankenhaus oder die Weitergabe von medizinischen Ausgaben an seinen Versicherungsanbieter zu Abrechnungszwecken.

Die Datenschutzbestimmungen gelten auch für Geschäftspartner und schränken ein, was diese mit PHI tun dürfen.

Wie schützen diese Gesetze sensible Daten?

Sowohl die Datenschutz-Grundverordnung als auch das CCPA schützen sensible Daten, aber sie definieren sie unterschiedlich und schützen sie auf unterschiedliche Weise.

Sensible Daten im Sinne der Datenschutz-Grundverordnung sind Daten, von denen Sie nicht wollen, dass sie missbraucht werden oder in die falschen Hände geraten: Daten über Ihre Religion, Ihre Gesundheit, Ihr Sexualleben, Ihre politische Zugehörigkeit, Ihre ethnische Herkunft und so weiter. Diese Daten dürfen nur in bestimmten Szenarien verarbeitet werden, die in der Datenschutz-Grundverordnung aufgeführt sind - außerhalb dieser Szenarien dürfen sie nicht angefasst werden.

Der Begriff der sensiblen Daten im Rahmen des CCPA ist in gewisser Weise ähnlich, umfasst aber auch Daten, die üblicherweise für Betrug verwendet werden, wie z. B. Sozialversicherungsnummern und Bankkontodaten.

Anders als die Datenschutz-Grundverordnung verlangt der CCPA keinen besonderen Grund für die Erhebung dieser Daten. Die Unternehmen müssen den Verbrauchern jedoch die Möglichkeit bieten, die Verwendung und Weitergabe sensibler Daten auf das unbedingt erforderliche Maß zu beschränken - ähnlich wie beim Verkauf und der Weitergabe personenbezogener Daten, bei denen ein Opt-out möglich sein muss.

Der HIPAA enthält keine spezifischen Regeln für sensible Daten. Das macht Sinn: So ziemlich alles, was unter den HIPAA fällt, würde in den meisten Gesetzgebungen als sensible Daten gelten.

Gesundheitsdaten, die außerhalb des Gesundheitswesens erhoben werden, genießen wenig oder gar keinen Schutz, weil** sie nicht in den Geltungsbereich des HIPAA** fallen. Da es in den USA kein föderales Datenschutzgesetz gibt, können die Unternehmen mit diesen Daten mehr oder weniger machen, was sie wollen - es sei denn, die Gesetzgebung eines Bundesstaates verbietet es ihnen.

Dies ist ein großes Problem für den Datenschutz, insbesondere für Frauen. Letztes Jahr hob der republikanisch geprägte Oberste Gerichtshof der USA mit dem Urteil Dobbs gegen Jackson ein jahrzehntelanges Verbot von Anti-Abtreibungsgesetzen auf. Nach dem gesetzlichen Verbot von Abtreibungen in konservativen Staaten werden Frauen, die sich um reproduktive Behandlungen bemühen, aufgrund ihres digitalen Fußabdrucks strafrechtlich verfolgt - und der einfache Zugang zu Gesundheitsdaten macht die Durchsetzung nur allzu leicht.

Haben diese Gesetze Vorrang vor anderen Gesetzen?

Im Allgemeinen gilt die Datenschutz-Grundverordnung unmittelbar und übertrumpft" das Recht der Mitgliedstaaten. Einige Artikel lassen jedoch dem Recht der Mitgliedstaaten einen gewissen Spielraum, um zusätzliche Sicherheitsvorkehrungen zu treffen.

Als Faustregel gilt, dass der HIPAA den einzelstaatlichen Gesetzen vorgeht, es sei denn, diese sehen einen stärkeren Schutz der Privatsphäre vor. Die Vorschriften des HIPAA über die Vorrangstellung sind kompliziert, daher finden Sie auf der Website des NHS weitere Einzelheiten.

Schlussfolgerungen

Die GDPR, der CCPA und der HIPAA sind wichtige Gesetze, die sich jedoch stark voneinander unterscheiden. Wir hoffen, dass dieser Beitrag unseren Lesern eine klarere Vorstellung von diesen Gesetzen und ihrem Zweck vermittelt hat.

Wir schreiben gerne über den Datenschutz, weil wir ihn für wichtig halten. Das ist auch der Grund, warum wir den Datenschutz zum Eckpfeiler von Simple Analytics gemacht haben. Simple Analytics sammelt keine persönlichen Daten, verfolgt keine Besucher und verletzt in keiner Weise deren Privatsphäre - und das alles, während es dem Kunden alle Einblicke gewährt, die er braucht! Wenn sich das für Sie gut anhört, können Sie uns gerne ausprobieren!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten