Ein praktischer Leitfaden zu HIPAA, CCPA und GDPR im Vergleich

Dieser Leitfaden erklärt HIPAA, CCPA und GDPR im Vergleich praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

HIPAA, CCPA und GDPR werden oft als "Datenschutzgesetze" zusammengefasst, sie lösen jedoch unterschiedliche Probleme. Sie als austauschbar zu behandeln, führt zu schlechten Compliance-Entscheidungen.

Die praktische Frage lautet nicht: "Welches Gesetz ist das strengste?" Es lautet: "Welches Gesetz gilt in diesem Zusammenhang für diesen Datenfluss, für diese Organisation?"

GDPR: Umfassender Schutz personenbezogener Daten

Die GDPR gilt für personenbezogene Daten von Personen in der EU/EWR, wenn die Verarbeitung in ihren räumlichen Geltungsbereich fällt. Personenbezogene Daten sind weit gefasst: Wenn Informationen eine Person direkt oder indirekt identifizieren können, kann es sich um personenbezogene Daten handeln.

GDPR konzentriert sich auf:

• Rechtsgrundlage für die Verarbeitung
• Transparenz
• Zweckbindung
• Datenminimierung
• Genauigkeit
• Speicherbeschränkung
• Sicherheit
• Rechte der betroffenen Person
• Internationale Übermittlungen
• Verantwortung

Die Europäische Kommission fasst die individuellen Rechte nach GDPR zusammen, einschließlich Zugang, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch (Übersicht über die Rechte der Europäischen Kommission).

Zu den GDPR-Fragen für Analysen gehört unter anderem, ob für cookies eine Einwilligung erforderlich ist, ob es sich bei IP-Adressen oder -Kennungen um personenbezogene Daten handelt, ob das Tool Daten international überträgt und ob die erfassten Daten erforderlich sind.

CCPA/CPRA: Verbraucherrechte in Kalifornien

Der durch CPRA geänderte California Consumer Privacy Act gibt den Einwohnern Kaliforniens Rechte in Bezug auf personenbezogene Daten und erlegt den betroffenen Unternehmen Pflichten auf. In der CCPA-Übersicht des kalifornischen Generalstaatsanwalts werden Rechte wie Kenntnisnahme, Löschung, Berichtigung, Ablehnung des Verkaufs oder der Weitergabe sowie Einschränkung der Nutzung sensibler personenbezogener Daten erläutert.

CCPA ist besonders wichtig für:

• Verbraucherhinweise
• "Nicht verkaufen oder teilen"-Verpflichtungen
• Sensible persönliche Informationen
• Datenbrokeraktivität
• Globale Datenschutzkontrolle in einigen Kontexten
• Lieferanten- und Dienstleisterverträge

Bei der Analyse stellt sich die große Frage, ob der Datenaustausch mit Ad-Tech- oder Analyseanbietern nach kalifornischem Recht als Verkauf oder Weitergabe gilt, insbesondere bei kontextübergreifender Verhaltenswerbung.

HIPAA: Gesundheitsinformationen in spezifischen Beziehungen

HIPAA ist schmaler als viele Leute annehmen. Es deckt nicht jede gesundheitsbezogene Website oder Wellness-App ab. Sie gilt für betroffene Unternehmen und Geschäftspartner, die mit geschützten Gesundheitsinformationen umgehen.

HHS erklärt, dass die HIPAA-Datenschutzregel Krankenakten und andere individuell identifizierbare Gesundheitsinformationen schützt, die von abgedeckten Unternehmen gespeichert werden, und Einzelpersonen Rechte an diesen Informationen einräumt (HHS HIPAA-Datenschutzregel).

HIPAA ist für die Analyse von Bedeutung, wenn die Website oder App eines regulierten Unternehmens identifizierbare gesundheitsbezogene Informationen an einen Tracking-Anbieter sendet. HHS OCR hat Leitlinien zu Online-Tracking-Technologien herausgegeben, da Pixel, cookies und ähnliche Tools in bestimmten Kontexten geschützte Gesundheitsinformationen offenlegen können. Wichtiger Vorbehalt für 2024: HHS weist darauf hin, dass ein Bundesgericht einen Teil dieses Bulletins aufgehoben hat, da es sich auf die Theorie bezieht, dass eine IP-Adresse plus ein Besuch bestimmter nicht authentifizierter öffentlicher Webseiten automatisch HIPAA-Verpflichtungen auslöst.

Beispiel: Eine Krankenhausterminseite, die die Adresse URL, die Adresse IP und Klickdaten an eine Anzeigenplattform sendet, kann ein ganz anderes Risiko darstellen als ein allgemeiner Fitness-Blog, der aggregierte Analysen verwendet.

Hauptunterschiede

GDPR ist umfassend und prinzipienbasiert. Es umfasst viele Arten personenbezogener Daten und erfordert eine rechtmäßige Grundlage für die Verarbeitung.

CCPA/CPRA konzentriert sich auf Verbraucherrechte. Der Schwerpunkt liegt auf der Benachrichtigung, dem Zugriff, der Löschung, der Korrektur, der Abmeldung vom Verkauf/der Weitergabe sowie der Einschränkung der Nutzung sensibler Daten.

HIPAA ist branchenspezifisch. Es schützt Gesundheitsinformationen, die von erfassten Unternehmen und Geschäftspartnern gespeichert werden, und enthält detaillierte Regeln für zulässige Verwendungen und Offenlegungen.

Das gleiche Analyseereignis kann daher sein:

• GDPR personenbezogene Daten, wenn sie sich auf einen EU-Besucher beziehen
• Persönliche Informationen CCPA, wenn sie sich auf einen kalifornischen Verbraucher beziehen
• HIPAA geschützte Gesundheitsinformationen, wenn sie von einem abgedeckten Unternehmen oder Geschäftspartner in einem Kontext erfasst werden, der sich auf Pflege, Zahlung, authentifizierte Dienstleistungen oder offengelegte Gesundheitsinformationen bezieht

Der Kontext verändert alles.

Checkliste zur Analytics-Compliance

Für jede Website oder App:

1. Identifizieren Sie, wer das Publikum ist.
2. Stellen Sie fest, ob es sich bei der Organisation um eine betroffene Einheit, einen Geschäftspartner, ein betroffenes Unternehmen, einen Verantwortlichen oder einen Auftragsverarbeiter handelt.
3. Listen Sie Analyseanbieter und Tags auf.
4. Notieren Sie, welche Daten jedes Tag sammelt.
5. Prüfen Sie, ob URLs sensible Inhalte offenbaren, wie z. B. Bedingungsseiten oder Terminpfade.
6. Bestimmen Sie, ob eine Einwilligung, ein Opt-out oder eine Autorisierung erforderlich ist.
7. Minimieren Sie Daten, bevor Sie sie an Anbieter senden.
8. Aktualisieren Sie Bekanntmachungen und Verträge.

Checkliste für die Framework-Zuordnung

Ordnen Sie jeden Analysedatenfluss nach Organisationsrolle, Besucherstandort, Datentyp, Seitenkontext, Zweck und Ziel zu. Unter HIPAA trennen Sie nicht authentifizierte öffentliche Bildungsmessungen von Termin-, Portal-, Aufnahme-, Zahlungs-, bedingungsspezifischen und authentifizierten Arbeitsabläufen. Überprüfen Sie unter CCPA/CPRA den Verkauf/die Weitergabe sowie vertrauliche persönliche Informationen. Überprüfen Sie nach GDPR die Rechtsgrundlage, die ePrivacy-Einwilligung, Übertragungen, Minimierung und das Risiko einer Sonderkategorie.

Wenn das gleiche Ereignis Verpflichtungen in mehr als einem Rahmenwerk mit sich bringt, entwerfen Sie die strengste praktische Kontrolle: Sammeln Sie weniger, entfernen Sie sensiblen Kontext, vermeiden Sie die Wiederverwendung von Werbung, verkürzen Sie die Aufbewahrung und sorgen Sie dafür, dass Verträge am tatsächlichen Datenfluss ausgerichtet sind.

Das Fazit

HIPAA, CCPA und GDPR überschneiden sich, sind aber nicht identisch. Ein datenschutzorientiertes Analyse-Setup ist bei allen dreien hilfreich, da es die Erfassung personenbezogener Daten reduziert, die Weitergabe an Anbieter einschränkt und die Messung näher an den gesamten Geschäftsanforderungen hält. Je weniger sensible Signale Ihre Website an Dritte sendet, desto einfacher wird jedes Framework.

Edge-Fälle für Website-Analysen

Die schwierigsten Fälle sind nicht offensichtliche Kontaktformulare. Dabei handelt es sich um gewöhnliche URLs, referrers, Suchbegriffe und Ereignisnamen, die den Kontext offenbaren. Ein Klinikseitenpfad wie /appointments/cardiology, die Landingpage einer Anwaltskanzlei zum Thema Insolvenz oder ein Supportartikel über häusliche Gewalt können sensibel werden, wenn sie an einen Analyse- oder Werbeanbieter gesendet werden. Unter HIPAA hat OCR gewarnt, dass regulierte Unternehmen mit [Online-Tracking-Technologien] vorsichtig sein müssen (https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/hipaa-online-tracking/index.html). Unter GDPR und CCPA/CPRA können ähnliche Signale je nach Kontext personenbezogene Daten, sensible Daten, Verkaufs-/Teilen- oder Einwilligungsfragen erzeugen.

Eine praktische Überprüfung sollte drei Spalten umfassen: Datenelement, Sensibilität und Ziel. Die vollständige IP-Adresse, der genaue Standort, die Konto-ID, die E-Mail-Adresse, die Termin-ID, die Anzeigenklick-ID und die Freitextsuchfelder verdienen eine besondere Prüfung. Wenn ein Anbieter die Daten unter allen geltenden Vorschriften nicht sicher empfangen kann, löschen Sie sie vor der Erfassung, anstatt später zu versuchen, sie im Dashboard zu reparieren. Datenschutzorientierte Analysen helfen, weil sie mit weniger Identität, weniger third-party-Zielen und klareren Zweckgrenzen beginnen.