DSGVO vs. HIPAA: Ähnlichkeiten, Unterschiede und Tipps zur Einhaltung der Vorschriften

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein von der Europäischen Union geschaffener Rechtsrahmen zum Schutz personenbezogener Daten und der Privatsphäre von Personen innerhalb der EU. Sie trat am 25. Mai 2018 in Kraft und gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten, unabhängig vom Standort des Unternehmens. Ziel der DSGVO ist es, Einzelpersonen die Kontrolle über ihre personenbezogenen Daten zu geben und die Datenschutzgesetze innerhalb der EU zu vereinheitlichen.

Die DSGVO schreibt strenge Datenschutzmaßnahmen vor. Dazu gehören die rechtliche Grundlage für die Verarbeitung personenbezogener Daten, die Einholung ausdrücklicher Einwilligungen und die Gewährleistung der Rechte der betroffenen Personen auf Auskunft, Berichtigung und Löschung. Verstöße können zu erheblichen Geldbußen führen, die bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro betragen können, je nachdem, welcher Betrag höher ist. Die Verordnung schreibt außerdem für bestimmte Organisationen die Ernennung eines Datenschutzbeauftragten (DSB) vor, der die Einhaltung der Vorschriften überwacht.

Was ist HIPAA?

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-Bundesgesetz zum Schutz vertraulicher Patientendaten vor deren unbefugter oder unberechtigter Weitergabe. Der 1996 in Kraft getretene HIPAA enthält verschiedene Bestimmungen zur Gewährleistung der Vertraulichkeit, Integrität und Sicherheit geschützter Gesundheitsinformationen (Protected Health Information, PHI). Er gilt für Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen im Gesundheitswesen (zusammengefasst als „Covered Entities“) sowie deren Geschäftspartner.

HIPAA umfasst zwei Hauptregeln: die Datenschutzregel und die Sicherheitsregel. Die Datenschutzregel legt Standards für den Schutz von PHI in jeglicher Form fest, während sich die Sicherheitsregel speziell auf elektronische PHI konzentriert. HIPAA enthält außerdem die Breach Notification Rule, die die im Falle einer Datenschutzverletzung zu befolgenden Verfahren beschreibt. Verstöße können erhebliche Strafen nach sich ziehen, die je nach Ausmaß der Fahrlässigkeit zwischen 100 und 50.000 US-Dollar pro Verstoß liegen.

Die Ähnlichkeiten zwischen DSGVO und HIPAA

1. Kontrollierter Zugriff auf Sensible Daten

Sowohl die DSGVO als auch der HIPAA schreiben strenge Zugriffskontrollen zum Schutz sensibler Daten vor. Diese Vorschriften verpflichten Unternehmen, Maßnahmen zu ergreifen, um sicherzustellen, dass nur autorisiertes Personal auf personenbezogene Daten (PHI) zugreifen kann. Dies umfasst in der Regel robuste Benutzerauthentifizierungsprozesse, rollenbasierte Zugriffskontrollen und regelmäßige Audits zur Überwachung und Protokollierung von Zugriffsmustern. Die Gewährleistung eines kontrollierten Zugriffs trägt dazu bei, Risiken im Zusammenhang mit Datenschutzverletzungen und unbefugter Informationsweitergabe zu minimieren.

Über die Zugriffskontrollen hinaus verlangen beide Vorschriften, dass jeder Zugriff auf sensible Informationen durch einen legitimen Bedarf gerechtfertigt ist. Unternehmen müssen nachweisen, dass der Zugriff auf personenbezogene Daten (PHI) nur nach dem Need-to-know-Prinzip gewährt wird und die Einhaltung der Datenschutz- und Sicherheitsgrundsätze gewährleistet ist.

2. Methoden zum Erkennen nicht autorisierter Änderungen an PHI

Die Erkennung unbefugter Änderungen an sensiblen Daten ist eine zentrale Anforderung sowohl der DSGVO als auch des HIPAA. Unternehmen müssen Auditkontrollen und Überwachungsmechanismen einsetzen, um alle Änderungen an personenbezogenen Daten (PHI) zu verfolgen. Diese Maßnahmen helfen, verdächtige Aktivitäten und potenzielle Sicherheitsverletzungen umgehend zu erkennen und ermöglichen es Unternehmen, rasch Korrekturmaßnahmen zu ergreifen und die Datenintegrität zu wahren.

Für die Erkennung ist die Protokollierung aller Zugriffe auf und Änderungen an personenbezogenen Daten (PHI) unerlässlich. Die Analyse dieser Protokolle kann Muster aufdecken, die auf unbefugte Änderungen hinweisen, und so die Einhaltung gesetzlicher Standards gewährleisten.

3. Fordern Sie die Verschlüsselung von PHI im Ruhezustand und während der Übertragung

Verschlüsselung ist sowohl gemäß DSGVO als auch HIPAA eine grundlegende Anforderung zum Schutz sensibler Daten. Diese Vorschriften schreiben insbesondere die Verschlüsselung von PHI und personenbezogenen Daten sowohl im Ruhezustand als auch während der Übertragung vor. Bei der Verschlüsselung ruhender Daten werden gespeicherte Daten, wie z. B. Datenbanken, mithilfe von Verschlüsselungsalgorithmen gesichert, die die Daten ohne geeignete Entschlüsselungsschlüssel unlesbar machen. Dadurch wird sichergestellt, dass die Daten auch dann geschützt bleiben, wenn das physische Medium kompromittiert wird.

Bei der Verschlüsselung von Daten während der Übertragung geht es darum, die Daten während der Übertragung über Netzwerke zu sichern. Dabei kommen Protokolle wie TLS (Transport Layer Security) zum Einsatz, um Daten während der Übertragung vor dem Abfangen zu schützen.

4. Fordern Sie einen ernannten Datenschutzbeauftragten

Sowohl die DSGVO als auch der HIPAA betonen die Bedeutung einer bestimmten Person, die für die Einhaltung des Datenschutzes verantwortlich ist. Gemäß der DSGVO müssen bestimmte Organisationen einen Datenschutzbeauftragten (DSB) ernennen, der die Einhaltung der Vorschriften überwacht, Datenschutzstrategien verwaltet und als Ansprechpartner für Datenschutzbehörden fungiert. Zu den Aufgaben des DSB gehören die Überwachung der internen Einhaltung, die Beratung bei Datenschutz-Folgenabschätzungen und die Schulung der an der Datenverarbeitung beteiligten Mitarbeiter.

HIPAA schreibt zwar keinen expliziten Datenschutzbeauftragten vor, verpflichtet die betroffenen Unternehmen jedoch zur Benennung eines HIPAA-Sicherheitsbeauftragten. Diese Beauftragten sind für die Entwicklung und Umsetzung von Datenschutz- und Sicherheitsrichtlinien, die Durchführung von Risikobewertungen und die Einhaltung der HIPAA-Bestimmungen verantwortlich. Die parallele Anforderung einer eigenen Datenschutzfunktion unterstreicht die Bedeutung von Rechenschaftspflicht und Aufsicht für die Wahrung von Datenschutz und -sicherheit.

DSGVO vs. HIPAA: Die wichtigsten Unterschiede

1. Abgedeckte Einheiten

Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig von ihrer Größe oder Branche. Diese breite Anwendbarkeit stellt sicher, dass alle Unternehmen, die mit personenbezogenen Daten arbeiten, dieselben strengen Datenschutzstandards einhalten.

Der HIPAA-Ansatz ist spezifischer. Er gilt in erster Linie für betroffene Unternehmen im Gesundheitswesen, wie z. B. Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen im Gesundheitswesen. Darüber hinaus erstreckt sich HIPAA auch auf Geschäftspartner, die im Auftrag der betroffenen Unternehmen mit geschützten Gesundheitsdaten (PHI) umgehen.

2. Gerichtsstand

Die DSGVO gilt für Organisationen innerhalb und außerhalb der Europäischen Union, die personenbezogene Daten von EU-Bürgern verarbeiten. Dieser extraterritoriale Geltungsbereich bedeutet, dass jedes Unternehmen, das mit Daten von EU-Bürgern arbeitet, unabhängig von seinem Standort die DSGVO einhalten muss. HIPAA hingegen ist eine US-spezifische Regelung, die nur für betroffene Unternehmen und deren Geschäftspartner gilt, die in den USA tätig sind.

Die Unterscheidung der Zuständigkeiten hat praktische Auswirkungen auf multinationale Unternehmen. Unternehmen, die in den USA tätig sind, aber mit Unternehmen in der Europäischen Union Geschäfte machen, müssen möglicherweise beide Vorschriften gleichzeitig einhalten.

3. Arten der geschützten Daten

DSGVO und HIPAA schützen unterschiedliche Arten von Daten. Die DSGVO gilt für alle personenbezogenen Daten, darunter Informationen zu einer identifizierbaren Person, wie Namen, Adressen, Telefonnummern und Online-Kennungen. Aufgrund der weit gefassten Definition personenbezogener Daten betrifft diese Regelung Unternehmen in verschiedenen Branchen.

Der Schwerpunkt von HIPAA liegt auf geschützten Gesundheitsinformationen (Protected Health Information, PHI). Dazu gehören medizinische Aufzeichnungen und gesundheitsbezogene Informationen, die von Gesundheitsdienstleistern, Versicherern und Clearingstellen verwendet werden. Dieser Unterschied erweitert den Anwendungsbereich der DSGVO auf nahezu alle Daten, die eine Person identifizieren können, und betrifft damit auch Bereiche außerhalb des Gesundheitswesens. Der engere Fokus von HIPAA auf Gesundheitsinformationen macht es zielgerichteter, aber dennoch für Unternehmen im Gesundheitswesen von entscheidender Bedeutung.

4. Aufsichtsbehörde

Auch die für die Durchsetzung der DSGVO und des HIPAA zuständigen Aufsichtsbehörden unterscheiden sich. Die DSGVO wird von den Datenschutzbehörden der einzelnen EU-Mitgliedsstaaten durchgesetzt. Diese Behörden sind befugt, bei Verstößen Untersuchungen durchzuführen, Prüfungen durchzuführen und Bußgelder zu verhängen. Organisationen, die mit den Daten von EU-Bürgern arbeiten, müssen sich potenziellen Untersuchungen mehrerer Datenschutzbehörden in verschiedenen Mitgliedstaaten stellen, was die Compliance-Verpflichtungen zusätzlich erschwert.

Die Durchsetzung des HIPAA obliegt dem Office for Civil Rights (OCR) des US-Gesundheitsministeriums (HHS). Das OCR führt Audits durch, untersucht Beschwerden und verhängt Strafen für HIPAA-Verstöße.

5. Rechtsgrundlage der Verarbeitung

Gemäß der DSGVO benötigen Organisationen eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten, beispielsweise Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgaben oder berechtigte Interessen. Dieser Rahmen verpflichtet Organisationen dazu, die Rechtsgrundlage für jede Verarbeitungsaktivität sorgfältig zu prüfen und zu dokumentieren.

HIPAA legt fest, dass geschützte Gesundheitsdaten (PHI) nur für Behandlung, Zahlung und medizinische Versorgung (TPO) verwendet oder offengelegt werden dürfen, ohne dass eine Genehmigung des Patienten erforderlich ist. Jede andere Verwendung oder Offenlegung erfordert in der Regel die ausdrückliche Zustimmung des Patienten.

6. Strafen

Die Strafen für Verstöße gegen die DSGVO und den HIPAA unterscheiden sich. Die Bußgelder der DSGVO sind beträchtlich und betragen maximal 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist. Diese Bußgelder unterstreichen das Engagement der EU für einen strengen Datenschutz und wirken abschreckend gegen Verstöße.

Die HIPAA-Strafen sind je nach Fahrlässigkeitsgrad gestaffelt und betragen zwischen 100 und 50.000 US-Dollar pro Verstoß. Die maximale jährliche Strafe kann bis zu 1,5 Millionen US-Dollar betragen. Für Unternehmen, die sowohl die DSGVO- als auch die HIPAA-Standards einhalten möchten, ist es entscheidend, die möglichen finanziellen Folgen einer Nichteinhaltung zu verstehen.

7. Benachrichtigung bei Verstößen

Gemäß der DSGVO müssen Organisationen die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung benachrichtigen. Betroffene Personen müssen zudem informiert werden, wenn die Verletzung voraussichtlich zu hohen Risiken für ihre Rechte und Freiheiten führt.

Die HIPAA-Regel zur Meldung von Datenschutzverletzungen schreibt vor, dass betroffene Unternehmen die betroffenen Personen unverzüglich und spätestens 60 Tage nach Feststellung einer Datenschutzverletzung benachrichtigen müssen. Darüber hinaus müssen Verstöße, von denen mehr als 500 Personen betroffen sind, dem Gesundheitsministerium (HHS) und den Medien gemeldet werden.

Tipps zur Sicherstellung der Einhaltung beider Vorschriften

Ernennung eines Datenschutzbeauftragten (DSB)

Die Ernennung eines Datenschutzbeauftragten (DSB) ist ein entscheidender Schritt zur Gewährleistung der Einhaltung der DSGVO und des HIPAA (in der HIPAA-Verordnung wird diese Rolle als HIPAA-Sicherheitsbeauftragter bezeichnet). Der DSB ist für die Überwachung der Datenschutzstrategie und -implementierung des Unternehmens verantwortlich. Diese Rolle ist für die Verwaltung der Compliance, die Durchführung von Audits und die Funktion als Bindeglied zwischen dem Unternehmen und den Aufsichtsbehörden unerlässlich.

Der Datenschutzbeauftragte muss sich mit den Datenschutzgesetzen und -praktiken auskennen. Er sollte die Einhaltung der Vorschriften regelmäßig überwachen, Mitarbeiter schulen und sicherstellen, dass die Datenschutzrichtlinien aktuell sind. Durch die Ernennung eines sachkundigen Datenschutzbeauftragten können Unternehmen ihre Datenschutzverantwortung besser wahrnehmen und das Risiko von Verstößen minimieren.

Führen Sie Risikobewertungen durch

Die regelmäßige Durchführung von Risikobewertungen ist für die Einhaltung der DSGVO und des HIPAA von grundlegender Bedeutung. Diese Bewertungen helfen, potenzielle Schwachstellen und Bedrohungen für personenbezogene Daten und geschützte Gesundheitsinformationen zu identifizieren. Durch das Verständnis der Risiken können Unternehmen geeignete Sicherheitsvorkehrungen zum Schutz sensibler Informationen treffen.

Risikobewertungen sollten alle Aspekte des Datenhandlings abdecken, einschließlich Datenerfassung, -speicherung, -übertragung und -verarbeitung. Unternehmen müssen ihre Ergebnisse dokumentieren und Maßnahmen ergreifen, um identifizierte Risiken zu adressieren. Durch regelmäßige Aktualisierung dieser Bewertungen wird sichergestellt, dass die Datenschutzmaßnahmen des Unternehmens auch gegen neue Bedrohungen wirksam bleiben.

Datenklassifikation und -zuordnung

Datenklassifizierung und -zuordnung sind wesentliche Maßnahmen zur Einhaltung der DSGVO und des HIPAA. Unternehmen müssen Daten nach ihrer Sensibilität klassifizieren und nachweisen, wo und wie sie gespeichert, verarbeitet und übertragen werden. Dieser Prozess hilft dabei, zu identifizieren, welche Daten gesetzlichen Anforderungen unterliegen, und stellt sicher, dass entsprechende Schutzmaßnahmen getroffen werden.

Durch Datenklassifizierung und -zuordnung können Unternehmen ihre Daten verwalten und den Schutz vertraulicher Informationen sicherstellen. Diese Vorgehensweise unterstützt auch andere Compliance-Aktivitäten, beispielsweise die Beantwortung von Auskunftsanfragen betroffener Personen und die Durchführung von Folgenabschätzungen.

Verschlüsselung und Sicherheitsmaßnahmen

Die Implementierung von Verschlüsselung und anderen Sicherheitsmaßnahmen ist für den Schutz sensibler Daten gemäß DSGVO und HIPAA von entscheidender Bedeutung. Verschlüsselung stellt sicher, dass Daten für Unbefugte unlesbar sind und schützt sie so vor Datenmissbrauch und Diebstahl. Unternehmen müssen strenge Verschlüsselungsstandards für ruhende und übertragene Daten verwenden, um die gesetzlichen Anforderungen zu erfüllen.

Neben der Verschlüsselung sollten Unternehmen weitere Sicherheitsmaßnahmen wie Firewalls, Angriffserkennungssysteme und sichere Zugriffskontrollen einsetzen. Regelmäßige Updates und Patches schützen vor Schwachstellen. Durch die Priorisierung von Verschlüsselung und Sicherheitsmaßnahmen können Unternehmen sensible Daten schützen und die Compliance gewährleisten.

Schulung und Sensibilisierung der Mitarbeiter

Schulung und Sensibilisierung der Mitarbeiter sind wichtige Bestandteile einer erfolgreichen Compliance-Strategie. Durch Schulungen wird sichergestellt, dass die Mitarbeiter ihre Verantwortlichkeiten gemäß DSGVO und HIPAA verstehen und für den angemessenen Umgang mit personenbezogenen Daten und geschützten Gesundheitsdaten (PHI) gerüstet sind. Regelmäßige Schulungen stärken bewährte Verfahren und halten die Mitarbeiter über die neuesten gesetzlichen Anforderungen auf dem Laufenden.

Unternehmen sollten umfassende Schulungsprogramme entwickeln, die Datenschutzgrundsätze, Sicherheitspraktiken und Protokolle zur Reaktion auf Vorfälle abdecken. Die Förderung einer Datenschutzkultur im Unternehmen trägt dazu bei, Risiken zu minimieren und die Compliance-Bemühungen insgesamt zu verbessern.

DSGVO-Konformität mit Exabeam

Exabeam unterstützt Unternehmen dabei, sowohl die technologischen als auch die betrieblichen Anforderungen der DSGVO zu erfüllen, darunter:

• Reduzierung externer Bedrohungen: Exabeam arbeitet mit bestehenden Sicherheitslösungen zusammen und nutzt maschinelles Lernen und Verhaltensanalysen, um ungewöhnliche Aktivitäten zu identifizieren, die auf den Versuch eines Angreifers hindeuten könnten, Daten zu finden und darauf zuzugreifen. Die Bedrohungszeitleisten Exabeam kombinieren Ereignisse aus Anomalien und Korrelationsregeln, um Ereignisse nach Benutzer oder Gerät zu gruppieren.
• Reduzierung interner Bedrohungen: Exabeam arbeitet mit Identitäts- und Zugriffsverwaltungslösungen zusammen, um Sicherheitsvorfälle zu verhindern, die durch versehentlichen oder böswilligen Missbrauch zugewiesener Berechtigungen entstehen. Durch die Kennzeichnung von Aktivitäten, die für einen bestimmten Benutzer nicht der Norm entsprechen, hilft Exabeam potenzielle Vorfälle zu erkennen, die zu Datendiebstahl führen könnten. Ideale Protokollquellen, die Anwendungsfällen zugeordnet sind, und das MITRE ATT&CK ^Ⓡ-Framework zeigen, welche Tools im Sicherheitsarsenal kombiniert werden können, um ein klares Bild der Ereignisse zu zeichnen.

Visualisierung und Dashboards: Exabeam bietet klare, Compliance-basierte DSGVO-Dashboards zum einfachen Herunterladen, Exportieren oder regelmäßigen Versenden per E-Mail zur Unterstützung der DSGVO-Vorgaben und der Anforderungen des Datenschutzbeauftragten.