Health Insurance Portability and Accountability (HIPAA) & HITECH ActsHealth Insurance Portability and Accountability (HIPAA) & HITECH Acts

HIPAA und der HITECH Act (Übersicht)HIPAA and the HITECH Act overview

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-Gesundheitsgesetz, das Anforderungen für die Nutzung, Offenlegung und Wahrung individuell identifizierbarer Gesundheitsinformationen festlegt.The Health Insurance Portability and Accountability Act (HIPAA) is a US healthcare law that establishes requirements for the use, disclosure, and safeguarding of individually identifiable health information. Sie gilt für erfasste Entitäten – Ärzte Büros, Krankenhäuser, Krankenversicherer und andere Gesundheitsunternehmen – mit Zugriff auf geschützte Integritätsinformationen von Patienten (Phi) sowie mit Geschäftspartnern wie Cloud Service und IT-Anbietern, die Phi in Ihrem Auftrag verarbeiten.It applies to covered entities — doctors' offices, hospitals, health insurers, and other healthcare companies — with access to patients' protected health information (PHI), as well as to business associates, such as cloud service and IT providers, that process PHI on their behalf. (Die meisten betroffenen Entitäten führen selbst keine Funktionen wie Anspruchs- oder Datenverarbeitung aus, sondern verlassen sich dafür auf Geschäftspartner.)(Most covered entities do not carry out functions such as claims or data processing on their own; they rely on business associates to do so.)

Das Gesetz regelt die Nutzung und Verbreitung von PHI in vier allgemeinen Bereichen:The law regulates the use and dissemination of PHI in four general areas:

  • Datenschutz, der die Vertraulichkeit der Patientendaten abdeckt.Privacy, which covers patient confidentiality.
  • Sicherheit, die den Schutz von Informationen einschließlich physischer, technischer und administrativer Sicherheitsvorkehrungen betrifft.Security, which deals with the protection of information, including physical, technological, and administrative safeguards.
  • Bezeichner, welche die Informationstypen darstellen, die nicht freigegeben werden können, wenn sie für Forschungszwecke gesammelt wurden.Identifiers, which are the types of information that cannot be released if collected for research purposes.
  • Codes für die elektronische Übermittlung von Daten in mit dem Gesundheitswesen zusammenhängenden Transaktionen, einschließlich Berechtigungs- und Versicherungsansprüchen und Zahlungen.Codes for electronic transmission of data in healthcare-related transactions, including eligibility and insurance claims and payments.

Der Umfang von HIPAA wurde durch den Erlass des HITECH Act (Health Information Technology for Economic and Clinical Health) erweitert. Die Regeln von HIPAA und dem HITECH Act umfassen insgesamt:The scope of HIPAA was extended with the enactment of the Health Information Technology for Economic and Clinical Health (HITECH) Act. Together, HIPAA and HITECH Act rules include:

  • Die HIPAA-Datenschutzregel, die sich auf das Recht von Einzelpersonen zur Kontrolle der Verwendung ihrer persönlichen Daten konzentriert und die Vertraulichkeit von PHI abdeckt und deren Nutzung und Offenlegung einschränkt.The HIPAA Privacy Rule, which focuses on the right of individuals to control the use of their personal information, and covers the confidentiality of PHI, limiting its use and disclosure.
  • Die HIPAA-Sicherheitsregel, mit der die Standards für administrative, technische und physische Sicherheitsmaßnahmen festgelegt werden, um elektronische PHI vor unbefugtem Zugriff, Nutzung und Offenlegung zu schützen.The HIPAA Security Rule, which sets the standards for administrative, technical, and physical safeguards to protect electronic PHI from unauthorized access, use, and disclosure. Er umfasst auch solche organisatorischen Anforderungen wie Verträge für Geschäftspartner (Business Associate Agreements, BAAs).It also includes such organizational requirements as Business Associate Agreements (BAAs).

Die endgültige Richtlinie zur Benachrichtigung bei HITECH-Verletzungen (HITECH Breach Notification Final Rule), welche die Benachrichtigung von Einzelpersonen und Behörden erfordert, wenn eine Sicherheitsverletzung unsicherer PHI eintritt.The HITECH Breach Notification Final Rule, which requires giving notice to individuals and the government when a breach of unsecured PHI occurs.

Microsoft und HIPAA sowie der HITECH ActMicrosoft and HIPAA and the HITECH Act

Die HIPAA-Bestimmungen erfordern, dass betroffene Unternehmen und deren Geschäftspartner – in diesem Fall Microsoft, wenn es Dienste einschließlich Clouddiensten für betroffene Unternehmen bereitstellt – Verträge abschließen, um sicherzustellen, dass diese Geschäftspartner PHI angemessen schützen.HIPAA regulations require that covered entities and their business associates — in this case, Microsoft when it provides services, including cloud services, to covered entities — enter into contracts to ensure that those business associates will adequately protect PHI. Diese Verträge oder Baas klären und begrenzen, wie der Geschäftspartner Phi verarbeiten kann, und legen jede Partei fest, welche Sicherheits-und Datenschutzbestimmungen in HIPAA und im HITECH Act dargelegt sind. Sobald eine Baa vorhanden ist, können Microsoft-Kunden – verdeckte Entitäten – ihre Dienste zum Verarbeiten und Speichern von Phi verwenden.These contracts, or BAAs, clarify and limit how the business associate can handle PHI, and set forth each party's adherence to the security and privacy provisions set forth in HIPAA and the HITECH Act. Once a BAA is in place, Microsoft customers — covered entities — can use its services to process and store PHI.

Derzeit gibt es keine offizielle Zertifizierung für HIPAA- oder HITECH Act-Compliance.Currently there is no official certification for HIPAA or HITECH Act compliance. Allerdings wurden für die im BAA abgedeckten Microsoft-Dienste Audits für die ISO/IEC 27001-Zertifizierung von Microsoft durch akkreditierte, unabhängige Prüfer durchgeführt.However, those Microsoft services covered under the BAA have undergone audits conducted by accredited independent auditors for the Microsoft ISO/IEC 27001 certification.

Microsoft Enterprise Cloud-Dienste sind auch durch FedRAMP-Bewertungen abgedeckt.Microsoft enterprise cloud services are also covered by FedRAMP assessments. Microsoft Azure und Microsoft Azure Government haben eine „Provisional Authority to Operate“ vom FedRAMP Joint Authorization Board erhalten. Dynamics 365 U.S. Government erhielt eine „Agency Authority to Operate“ vom US Department of Housing and Urban Development (US-Ministerium für Wohnungsbau und städtische Entwicklung), ebenso wie Microsoft Office 365 U.S. Government vom US Department of Health and Human Services (US-Gesundheitsministerium).Microsoft Azure and Microsoft Azure Government received a Provisional Authority to Operate from the FedRAMP Joint Authorization Board; Microsoft Dynamics 365 U.S. Government received an Agency Authority to Operate from the US Department of Housing and Urban Development, as did Microsoft Office 365 U.S. Government from the US Department of Health and Human Services.

Wenn Sie erfahren möchten, wie die Microsoft-Cloud Kunden dabei unterstützt, HIPAA und die HITECH-Anforderungen zu erfüllen, besuchen Sie die Microsoft-Kundenreferenzen.To learn how the Microsoft Cloud helps customers support HIPAA and the HITECH requirements, visit Microsoft Customer Stories.

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

  • Azure und Azure GovernmentAzure and Azure Government
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Microsoft Healthcare Bot-DienstMicrosoft Microsoft Healthcare Bot Service
  • Microsoft StreamMicrosoft Stream
  • Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Microsoft 365 for BusinessMicrosoft Professional Services: Premier and On Premises for Azure, Dynamics 365, Intune, and for medium business and enterprise customers of Microsoft 365 for business
  • Dynamics 365 und Dynamics 365 U.S. GovernmentDynamics 365 and Dynamics 365 U.S. Government
  • Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthaltenPower Automate (formerly Microsoft Flow) cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • IntuneIntune
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government DefenseOffice 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthaltenPowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Plans oder einer Suite von Office 365 oder Dynamics 365 mit BrandingPower BI cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Azure DevOps ServicesAzure DevOps Services

Beschleunigen Sie die Bereitstellung von HIPAA/HITRUST-Lösungen auf AzureAccelerate your deployment of HIPAA/HITRUST solutions on Azure

Nutzen Sie die Vorteile der Cloud für Gesundheitsdatenlösungen mit der Azure-Blaupause für Sicherheit und Compliance – HIPAA/HITRUST-Gesundheitsdaten und AI.Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint — HIPAA/HITRUST Health Data and AI. Diese Blaupause bietet Tools und Anleitungen, die Ihnen bei den ersten Schritten der Erstellung von HIPAA/HITRUST-Lösungen helfen.This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

Beginnen Sie mit der Verwendung der Azure HIPAA/HITRUST-BlaupauseStart using the Azure HIPAA/HITRUST Blueprint

Häufig gestellte FragenFrequently asked questions

Kann meine Organisation einen Vertrag für Geschäftspartner (BAA) mit Microsoft eingehen?Can my organization enter into a BAA with Microsoft?

Microsoft bietet qualifizierten Unternehmen oder deren Lieferanten ein BAA, das zum Umfang gehörige Microsoft-Dienste abdeckt.Microsoft offers qualified companies or their suppliers a BAA that covers in-scope Microsoft services.

Für Microsoft-Clouddienste: Der HIPAA-Vertrag für Geschäftspartner wird standardmäßig über die Nutzungsbedingungen für Onlinedienste für alle Kunden zur Verfügung gestellt, die unter die HIPAA fallende Entitäten oder Geschäftspartner sind.For Microsoft cloud services: The HIPAA Business Associate Agreement is available via the Online Services Terms by default to all customers who are covered entities or business associates under HIPAA. Eine Liste der Clouddienste, die von diesem BAA abgedeckt werden, finden Sie auf dieser Website unter „Microsoft Cloud Services im Leistungsumfang“.See 'Microsoft in-scope cloud services' on this webpage for the list of cloud services covered by this BAA.

Für Microsoft Professional Services-Dienste: Der HIPAA-Vertrag für Geschäftspartner (BAA) ist für Microsoft Professional-Dienste im Leistungsumfang auf Anforderung bei Ihrem Vertreter für die Microsoft-Dienste verfügbar.For Microsoft Professional Services services: The HIPAA Business Associate Amendment is available for in-scope Microsoft Professional Services upon request to your Microsoft services representative.

Ist es mit einer Baa mit Microsoft sichergestellt, dass die Compliance meines Unternehmens mit dem HIPAA und dem HITECH Act übereinstimmt?Does having a BAA with Microsoft ensure my organization's compliance with HIPAA and the HITECH Act?

Nein.No. Durch die Bereitstellung eines BAA hilft Microsoft, Ihre HIPAA-Compliance zu unterstützen, aber durch die Verwendung von Microsoft-Diensten allein wird diese nicht erreicht.By offering a BAA, Microsoft helps support your HIPAA compliance, but using Microsoft services does not on its own achieve it. Ihre Organisation ist dafür verantwortlich, sicherzustellen, dass Sie über ein adäquates Compliance-Programm und entsprechende interne Prozesse verfügen und dass Ihre besondere Verwendung von Microsoft-Diensten HIPAA und dem HITECH Act entspricht.Your organization is responsible for ensuring that you have an adequate compliance program and internal processes in place, and that your particular use of Microsoft services aligns with HIPAA and the HITECH Act.

Kann Microsoft die Baa meiner Organisation ändern?Can Microsoft modify my organization's BAA?

Microsoft kann den HIPAA BAA nicht ändern, da die Microsoft-Dienste für alle Kunden einheitlich sind und daher für alle Benutzer dieselben Verfahren ausgeführt werden müssen.Microsoft cannot modify the HIPAA BAA, because Microsoft services are consistent for all customers and so must follow the same procedures for everyone. Um jedoch die Baa für Microsofts HIPAA-regulierte Kunden und deren Dienste zu erstellen, arbeitete Microsoft mit einigen der führenden US Medical Schools und ihren HIPAA-Datenschutzrichtlinien sowie anderen öffentlichen und privaten HIPAA-bezogenen Entitäten zusammen.However, to create the BAA for Microsoft's HIPAA-regulated customers and its services, Microsoft collaborated with some of the leading US medical schools and their HIPAA privacy counsel, as well as other public- and private-sector HIPAA-covered entities.

Wie kann ich Kopien der Berichte des Auditors erhalten?How can I get copies of the auditor's reports?

Das Vertrauensstellungsportal stellt unabhängig geprüfte Complianceberichte zur Verfügung.The Service Trust Portal provides independently audited compliance reports. Sie können über das Portal Prüfberichte anfordern, sodass Ihre Prüfer die Ergebnisse der Clouddienste von Microsoft mit Ihren eigenen gesetzlichen und regulatorischen Anforderungen vergleichen können.You can use the portal to request audit reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Wie kann ich mehr über die Einhaltung von HIPAA und dem HITECH Act erfahren?How can I learn more about complying with HIPAA and the HITECH Act?

Um Kunden bei dieser Aufgabe zu unterstützen, hat Microsoft die folgenden Leitfäden veröffentlicht:To assist customers with this task, Microsoft has published these guides:

Verwenden Sie den Microsoft Compliance Manager, um Ihr Risiko einzuschätzenUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen in Compliance Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources