HIPAA-Konformität für MSPs: Was ändert sich und was müssen Sie jetzt tun?

HIPAA, das Gesetz über die Übertragbarkeit und Rechenschaftspflicht im Gesundheitswesen (Health Insurance Portability and Accountability Act), ist eines der bekanntesten Compliance-Rahmenwerke in den USA und eines der folgenreichsten für MSPs, die Kunden im Gesundheitswesen betreuen. Wenn Ihr MSP die IT für Krankenhäuser, Kliniken, Zahnarztpraxen, Anbieter psychologischer Gesundheitsdienste, Krankenversicherer oder andere Organisationen verwaltet, die mit geschützten Gesundheitsdaten (PHI) umgehen, ist die Einhaltung der HIPAA-Vorschriften keine Option. Es handelt sich um eine gesetzliche Verpflichtung, die sich direkt auf das Dienstleistungsverhältnis auswirkt.

Laut dem „Kaseya State of the MSP Report 2026“ verzeichneten 71 % der MSPs im Vergleich zum Vorjahr ein Umsatzwachstum im Bereich Cybersicherheit, wobei HIPAA-Compliance-Dienstleistungen einen wesentlichen Beitrag für MSPs leisten, die Kunden aus dem Gesundheitswesen betreuen. Laden Sie den vollständigen Bericht herunter.

Noch wichtiger ist: Die HIPAA-Vorschriften ändern sich. Am 27. Dezember 2024 veröffentlichte das HHS Office for Civil Rights einen Entwurf für eine neue Verordnung, der, sollte er in Kraft treten, die bedeutendste Aktualisierung der HIPAA-Sicherheitsvorschriften seit 2003 darstellen wird. MSPs und IT-Teams im Gesundheitswesen, die wissen, was auf sie zukommt, können sich proaktiv vorbereiten, anstatt in Hektik zu verfallen, wenn die endgültige Verordnung in Kraft tritt.

Was ist HIPAA?

HIPAA ist ein US-Bundesgesetz, das 1996 verabschiedet wurde und vom HHS Office for Civil Rights (OCR) verwaltet wird. Es legt Datenschutz- und Sicherheitsstandards für geschützte Gesundheitsdaten (PHI) fest, d. h. für personenbezogene Gesundheitsdaten, die sich auf den vergangenen, gegenwärtigen oder zukünftigen Gesundheitszustand einer Person, ihre medizinische Behandlung oder die Bezahlung von Gesundheitsleistungen beziehen.

Das Gesetz gilt für „betroffene Einrichtungen“ (Gesundheitsdienstleister, Krankenkassen und Clearingstellen im Gesundheitswesen) sowie – was besonders wichtig ist – für deren „Geschäftspartner“, d. h. jede Organisation, die im Auftrag einer betroffenen Einrichtung geschützte Gesundheitsdaten (PHI) erstellt, entgegennimmt, verwaltet oder übermittelt.

Für IT-Fachleute ist die Sicherheitsvorschrift des HIPAA, die sich auf elektronische geschützte Gesundheitsdaten (ePHI) bezieht, der für den Betrieb relevanteste Bestandteil. Sie verpflichtet betroffene Einrichtungen und Geschäftspartner dazu, administrative, physische und technische Sicherheitsvorkehrungen zu treffen, um die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI zu gewährleisten.

Für wen das HIPAA-Gesetz gilt, einschließlich MSPs

Betroffene Einrichtungen sind Gesundheitsdienstleister, die übliche elektronische Transaktionen (Abrechnung, Überweisungen, Anspruchsüberprüfungen) durchführen, Krankenkassen sowie Clearingstellen im Gesundheitswesen.

Geschäftspartner sind alle Personen oder Organisationen, die im Auftrag einer betroffenen Einrichtung Aufgaben im Zusammenhang mit geschützten Gesundheitsdaten (PHI) wahrnehmen. Dazu zählen IT-Dienstleister, Cloud-Anbieter, die geschützte Gesundheitsdaten hosten, Abrechnungsunternehmen, Anwaltskanzleien, die sich mit Gesundheitsangelegenheiten befassen, sowie Managed-Service-Provider.

Ein MSP, der IT-Dienstleistungen für eine betroffene Einrichtung erbringt – sei es durch die Verwaltung von Systemen, die geschützte Gesundheitsdaten (PHI) enthalten, die Bereitstellung von Backups, die PHI umfassen, das Anbieten von Fernzugriff auf klinische Systeme oder die Verwaltung der Netzwerksicherheit –, gilt als Geschäftspartner und unterliegt unmittelbar den Anforderungen der HIPAA-Sicherheitsvorschriften.

Auch Subunternehmer von Geschäftspartnern gelten als Geschäftspartner. Wenn ein MSP einen Cloud-Backup-Anbieter für die Speicherung von Backups geschützter Gesundheitsdaten (PHI) nutzt, ist dieser Anbieter ebenfalls ein Geschäftspartner der betroffenen Einrichtung. Die HIPAA-Verpflichtungen gelten auch für die gesamte Lieferkette.

Die drei HIPAA-Vorschriften, die IT-Teams kennen müssen

Die Datenschutzverordnung regelt, wie geschützte Gesundheitsdaten (PHI) verwendet und weitergegeben werden dürfen. Es handelt sich dabei in erster Linie um eine politische und administrative Angelegenheit, doch IT-Teams müssen sie verstehen, um Zugriffskontrollen und die Protokollierung von Datenweitergaben korrekt zu konfigurieren.

Die Sicherheitsvorschrift (45 CFR Teile 160 und 164) ist die wichtigste technische Anforderung zur Einhaltung der Vorschriften. Sie verpflichtet betroffene Einrichtungen und Geschäftspartner zur Umsetzung von Schutzmaßnahmen in drei Kategorien:

• Administrative Sicherheitsmaßnahmen: Risikoanalyse, Risikomanagement, Schulung der Mitarbeiter, Verfahren zur Zugriffskontrolle, Verfahren zur Reaktion auf Vorfälle.
• Physische Sicherheitsmaßnahmen: Zugangskontrollen zu den Räumlichkeiten, Richtlinien zur Nutzung von Arbeitsplätzen und zur Sicherheit, Kontrollen von Geräten und Datenträgern.
• Technische Sicherheitsvorkehrungen: Zugriffskontrollen (eindeutige Benutzer-IDs, Notfallzugriff, automatische Abmeldung, Verschlüsselung), Überwachungskontrollen (Aktivitätsprotokolle für Hardware und Software), Integritätskontrollen (Sicherstellung, dass ePHI nicht unzulässig verändert wurde) und Übertragungssicherheit (Verschlüsselung von ePHI während der Übertragung).

Die Vorschrift zur Meldung von Datenschutzverletzungen verpflichtet betroffene Einrichtungen, betroffene Personen, das HHS und in einigen Fällen die Medien innerhalb von 60 Tagen nach Feststellung einer Verletzung ungesicherter geschützter Gesundheitsdaten (PHI) zu benachrichtigen. Geschäftspartner müssen die betroffene Einrichtung unverzüglich und innerhalb von 60 Tagen nach Feststellung einer Verletzung, die die geschützten Gesundheitsdaten der betroffenen Einrichtung betrifft, benachrichtigen.

Die geplante Aktualisierung der Sicherheitsvorschriften: Was MSPs beachten müssen

Der im Dezember 2024 veröffentlichte Entwurf für eine neue Verordnung (Notice of Proposed Rulemaking, NPRM) stellt die bedeutendste geplante Änderung der HIPAA-Sicherheitsvorschriften seit über zwei Jahrzehnten dar. Das US-Gesundheitsministerium (HHS) hatte ursprünglich Mai 2026 als Termin für die endgültige Verordnung vorgesehen, doch da im Rahmen der Stellungnahmefrist fast 5.000 Rückmeldungen eingegangen sind, könnte sich der endgültige Zeitplan verschieben. Die derzeitige Regierung wird entscheiden, ob und wie die Verordnung endgültig verabschiedet wird.

Die Richtung ist klar, unabhängig vom endgültigen Zeitplan, und die Durchsetzungsmaßnahmen der OCR machen diese Bereiche zu einer Priorität, unabhängig davon, ob die formelle Aktualisierung bereits abgeschlossen ist.

Das Ende der „optionalen“ Anforderungen. Die größte strukturelle Änderung in dem Regelungsentwurf besteht darin, dass die Unterscheidung zwischen „obligatorischen“ und „optionalen“ Umsetzungsanforderungen aufgehoben wird. Nach den geltenden Vorschriften ermöglichen optionale Anforderungen es Organisationen, zu dokumentieren, warum eine Kontrollmaßnahme für ihre Umgebung nicht geeignet ist. Der Regelungsentwurf hebt diese Flexibilität für fast alle Anforderungen auf. Kontrollmaßnahmen wie MFA und Verschlüsselung würden ohne Ausnahmeregelungen verpflichtend werden.

Mehrfaktorauthentifizierung für jeden Zugriff auf ePHI-Systeme. Der Vorschlag würde eine Mehrfaktorauthentifizierung für jeden Zugriff auf Systeme vorschreiben, die ePHI erstellen, empfangen, verwalten oder übertragen, einschließlich Fernzugriff und Zugriff vor Ort. Damit würde eine häufige Lücke geschlossen, bei der kleinere betroffene Einrichtungen und Geschäftspartner die Mehrfaktorauthentifizierung im Rahmen des anwendbaren Standards als „nicht angemessen“ dokumentierten.

Verschlüsselung im Ruhezustand und während der Übertragung. Die Verschlüsselung von ePHI würde von einer empfohlenen zu einer vorgeschriebenen Maßnahme werden, ohne Ausnahmen. Verschlüsselte ePHI, die verloren geht oder gestohlen wird, fällt nach den geltenden Vorschriften bereits unter die Safe-Harbor-Ausnahme bei der Meldepflicht bei Datenschutzverletzungen. Die Einführung einer Verschlüsselungspflicht verankert gesetzlich, was die bewährte Praxis bereits verlangt.

Netzwerksegmentierung. Vorgeschlagene Anforderung, Systeme, die ePHI verarbeiten, vom restlichen Netzwerk zu isolieren, einschließlich der Trennung von IoT-Geräten, Gebäudesystemen und vernetzten medizinischen Geräten. Dies ist relevant für MSPs, die Gesundheitsumgebungen verwalten, die organisch gewachsen sind und eine nicht segmentierte Infrastruktur aufweisen.

Schwachstellenscans und Penetrationstests. Der Vorschlag sieht vor, dass mindestens alle sechs Monate automatisierte Schwachstellenscans und jährlich Penetrationstests an ePHI-Systemen durchgeführt werden, die von qualifizierten Cybersicherheitsexperten durchgeführt werden und deren Ergebnisse sowie die ergriffenen Korrekturmaßnahmen schriftlich dokumentiert werden.

Anforderungen an Datensicherung und Wiederherstellung. Es gelten strengere Anforderungen an die Sicherung von ePHI, darunter Offline-Sicherungskopien, dokumentierte Wiederherstellungsziele sowie besondere Aufmerksamkeit für Sicherungssysteme, die im Visier von Ransomware stehen. Für MSPs, die BCDR im Gesundheitswesen verwalten, bedeutet dies, dass die Sicherungsarchitektur und Wiederherstellungstests zu dokumentierten Nachweisen der Compliance werden und nicht mehr nur als bewährte betriebliche Vorgehensweise gelten.

Bestandsaufnahme der IT-Ressourcen und Netzwerkkartierung. Dokumentierte Bestandsaufnahme aller technischen Ressourcen, die ePHI erstellen, empfangen, verwalten oder übertragen; diese wird jährlich sowie nach wesentlichen Änderungen der Betriebsumgebung aktualisiert. Tools zur Erfassung von IT-Ressourcen und die Ergebnisse der Netzwerkkartierung, die im RMM-basierten IT-Management bereits zum Standard gehören, gelten nach der vorgeschlagenen Regelung als formelle Nachweise für die Einhaltung der Vorschriften.

Verschärfte Anforderungen an die BAA. Der Regelungsvorschlag würde vorsehen, dass in der BAA die technischen Sicherheitsvorkehrungen, die der Geschäftspartner umsetzt, konkret aufgeführt werden müssen, und dass jährlich überprüft wird, ob diese Sicherheitsvorkehrungen tatsächlich vorhanden sind. Eine unterzeichnete BAA allein würde nicht mehr ausreichen – die betroffenen Stellen müssten über dokumentierte Nachweise verfügen, dass ihre Geschäftspartner ihren Verpflichtungen nachkommen.

Meldepflicht bei Datenschutzverletzungen durch Geschäftspartner: Meldung innerhalb von 24 Stunden. Der Regelungsvorschlag würde Geschäftspartner dazu verpflichten, betroffene Einrichtungen innerhalb von 24 Stunden nach Aktivierung eines Vorfallreaktions- oder Notfallplans zu benachrichtigen, was den derzeitigen Standard „ohne unangemessene Verzögerung innerhalb von 60 Tagen“ erheblich verschärft. Ein MSP, der an einem Freitag um 23 Uhr einen Sicherheitsvorfall entdeckt, der einen Kunden aus dem Gesundheitswesen betrifft, müsste die betroffene Einrichtung noch vor Samstag Mitternacht benachrichtigen.

Für MSPs, die Kunden aus dem Gesundheitswesen betreuen, zeigen bereits die vorgeschlagenen Änderungen, wo Investitionen angesetzt werden sollten. Unabhängig davon, ob die endgültige Regelung genau dem Vorschlag entspricht, geht die Entwicklung bei der Durchsetzung bereits in diese Richtung.

Verträge mit Geschäftspartnern: Die Grundlage für die Einhaltung der MSP-Vorschriften

Eine Geschäftspartnervereinbarung (Business Associate Agreement, BAA) ist ein gemäß HIPAA vorgeschriebener Vertrag zwischen einer betroffenen Einrichtung und ihren Geschäftspartnern. Ohne eine BAA darf die betroffene Einrichtung keine geschützten Gesundheitsdaten (PHI) rechtmäßig an den MSP weitergeben. Die Tätigkeit als Geschäftspartner ohne eine solche Vereinbarung stellt für beide Parteien einen Verstoß gegen das HIPAA dar.

Eine konforme BAA muss Folgendes enthalten:

• Welche personenbezogenen Gesundheitsdaten der Auftragsverarbeiter im Auftrag der betroffenen Einrichtung verarbeitet
• Zulässige Verwendung und Weitergabe von PHI
• Erforderliche Sicherheitsvorkehrungen unter Bezugnahme auf die HIPAA-Sicherheitsvorschrift
• Meldepflichten und Fristen bei Datenschutzverletzungen
• Verpflichtungen gegenüber nachgelagerten Subunternehmern, einschließlich Anforderungen an Sub-BAA
• Verpflichtungen bei Vertragsende: Rückgabe oder Vernichtung von PHI

MSPs, die nicht mit jedem Kunden aus dem Gesundheitswesen, der mit PHI umgeht, eine BAA abgeschlossen haben, verstoßen gegen die Vorschriften. Dies ist einer der am häufigsten angeführten Verstöße gegen die HIPAA-Vorschriften und zugleich einer der am leichtesten zu vermeidenden. In den Durchsetzungsmaßnahmen der OCR aus dem Jahr 2025 wurden die Versäumnisse bei der Risikoanalyse und beim Abschluss von BAAs ausdrücklich als zentrale Feststellungen in mehreren Vergleichsvereinbarungen mit Geschäftspartnern genannt.

Nach der vorgeschlagenen Regelung müssten die BAA-Vereinbarungen wesentlich konkreter formuliert werden. Anstelle allgemeiner Formulierungen zu Sicherheitsverpflichtungen müssten die BAA-Vereinbarungen die konkret getroffenen technischen Sicherheitsvorkehrungen benennen und eine jährliche Überprüfung der Einhaltung vorsehen. MSPs sollten ihre bestehenden BAA-Vorlagen bereits jetzt anhand der vorgeschlagenen Anforderungen überprüfen.

Compliance Manager GRC Kaseya unterstützt die Dokumentation von BAA-Vereinbarungen und die Lückenanalyse gemäß der HIPAA-Sicherheitsvorschrift. Damit erhalten MSPs eine strukturierte Möglichkeit, nachzuverfolgen, welche Kunden BAA-Vereinbarungen benötigen, welche Verpflichtungen bestehen und welche technischen Nachweise zu deren Untermauerung erforderlich sind. Entdecken Sie Compliance Manager GRC.

Durchsetzung des HIPAA: Wie sehen die Strafen aus?

Die zivilrechtlichen Strafen nach dem HIPAA sind nach dem Grad der Schuld gestaffelt und werden jährlich an die Inflation angepasst:

– Stufe 1, Unkenntnis: 100 bis 50.000 Dollar pro Verstoß, jährliche Obergrenze 25.000 Dollar

– Stufe 2, triftiger Grund: 1.000 bis 50.000 Dollar pro Verstoß, jährliche Obergrenze 100.000 Dollar

– Stufe 3, Vorsätzliche Vernachlässigung, korrigiert: 10.000 bis 50.000 Dollar pro Verstoß, jährliche Obergrenze 250.000 Dollar

– Stufe 4, Vorsätzliche Vernachlässigung, nicht behoben: 50.000 $ pro Verstoß, jährliche Obergrenze 1,5 Millionen $

Die strafrechtlichen Sanktionen nach dem HIPAA können bei vorsätzlichen Verstößen bis zu 250.000 US-Dollar und 10 Jahre Freiheitsentzug betragen. Die Generalstaatsanwälte der einzelnen Bundesstaaten können zudem parallele Durchsetzungsmaßnahmen nach Landesrecht einleiten, die zusätzliche Strafen und Abhilfemaßnahmen nach sich ziehen können.

Die Durchsetzung der OCR-Vorschriften erreichte im Jahr 2024 einen bedeutenden Meilenstein: 22 Untersuchungen führten zu zivilrechtlichen Geldstrafen oder Vergleichen – eines der aktivsten Durchsetzungsjahre seit Beginn der Aufzeichnungen. Allein in den ersten fünf Monaten des Jahres 2025 gab die OCR 10 Vergleichsvereinbarungen bekannt, die sowohl betroffene Einrichtungen als auch Geschäftspartner betrafen.

Ein Befund, der sich durch alle jüngsten Durchsetzungsmaßnahmen zieht: das Versäumnis, eine gründliche und dokumentierte Risikoanalyse durchzuführen. Zu den Durchsetzungsmaßnahmen der OCR im Jahr 2025 gehörte ein Vergleich in Höhe von 3 Millionen US-Dollar mit einem Unternehmen für medizinische Abrechnungen, das keine Risikoanalyse durchgeführt hatte, bevor ein Ransomware-Angriff die Daten von 585.000 Personen kompromittierte. Das Unternehmen war ein Geschäftspartner, keine betroffene Einrichtung. Die direkte Haftung von Geschäftspartnern ist eine feststehende Realität der Durchsetzungspraxis und kein theoretisches Risiko.

Aufbau einer HIPAA-konformen MSP-Praxis

Die folgenden Schritte gelten sowohl für die Pflichten eines MSP als Geschäftspartner als auch für die Compliance-Programme, die er im Auftrag von Kunden aus dem Gesundheitswesen durchführt.

Schritt 1: Ermitteln Sie alle Kunden aus dem Gesundheitswesen, die mit geschützten Gesundheitsdaten (PHI) umgehen. Machen Sie sich klar, für wen Sie tätig sind und welche Daten durch deren Systeme fließen. Dies bestimmt den Umfang Ihrer Verpflichtungen im Rahmen der BAA sowie Ihres eigenen Compliance-Programms.

Schritt 2: Schließen Sie Vertraulichkeitsvereinbarungen (BAAs) mit allen betroffenen Kunden ab. Falls noch nicht mit jedem Kunden aus dem Gesundheitswesen, der mit geschützten Gesundheitsdaten (PHI) umgeht, eine unterzeichnete Vertraulichkeitsvereinbarung vorliegt, hat dies oberste Priorität.

Schritt 3: Führen Sie eine dokumentierte Risikoanalyse durch. Die HIPAA schreibt eine genaue und gründliche Sicherheitsrisikoanalyse vor, bei der Risiken für ePHI in den von Ihnen verwalteten Systemen ermittelt, deren Wahrscheinlichkeit und Auswirkungen bewertet und Entscheidungen zum Risikomanagement dokumentiert werden müssen. Dies bildet die administrative Grundlage für die Einhaltung der Vorschriften. Ohne eine dokumentierte Risikoanalyse können keine anderen technischen Kontrollmaßnahmen als nachweislich konform angesehen werden. Die Durchsetzungsbilanz der OCR in den Jahren 2024 und 2025 macht deutlich, dass das Versäumnis einer Risikoanalyse der sicherste Weg zu einem Vergleich ist.

Schritt 4: Setzen Sie die MFA bei jedem Zugriff auf ePHI-Systeme durch. Angesichts der derzeit verfügbaren Leitlinien und des vorgeschlagenen verbindlichen Standards ist die MFA bei jedem Zugriff auf Systeme, die PHI enthalten, für eine nachweisbare Compliance erforderlich. Dies umfasst den Fernzugriff, Administratorkonten sowie alle Portale mit Zugriff auf klinische Systeme.

Schritt 5: Implementieren Sie eine Verschlüsselung. Verschlüsseln Sie ePHI im Ruhezustand auf allen verwalteten Geräten und während der Übertragung über alle Netzwerke hinweg. Verschlüsselte ePHI, die verloren geht oder gestohlen wird, fällt unter die Safe-Harbor-Ausnahme von der Meldepflicht bei Datenschutzverletzungen gemäß der Breach Notification Rule – Verschlüsselung ist sowohl eine Maßnahme zur Einhaltung der Vorschriften als auch ein Instrument zur Risikominderung bei der Reaktion auf Vorfälle.

Schritt 6: Stellen Sie eine HIPAA-konforme Datensicherung sicher. Die Sicherung von ePHI muss dokumentierte Wiederherstellungsverfahren, getestete Wiederherstellungsfunktionen sowie Offline- oder unveränderliche Kopien umfassen, die auch einem Ransomware-Angriff standhalten. Datto BCDR bietet die technischen Voraussetzungen für MSPs, die Umgebungen im Gesundheitswesen verwalten; die betrieblichen Verfahren müssen dokumentiert und anhand festgelegter Wiederherstellungszeitziele getestet werden.

Schritt 7: Führen Sie eine Audit-Protokollierung ein. Protokollieren Sie jeden Zugriff auf Systeme, die ePHI enthalten. Überprüfen Sie die Protokolle regelmäßig. Bewahren Sie die Protokolle gemäß den HIPAA-Vorschriften zur Aufbewahrungspflicht mindestens sechs Jahre lang auf.

Schritt 8: Dokumentation und Erprobung der Vorfallreaktion. Der Regelungsvorschlag sieht vor, dass formelle Pläne zur Vorfallreaktion jährlich getestet werden müssen. Wenn Sie Ihre Verfahren zur Vorfallreaktion jetzt dokumentieren und testen, sind Sie der künftigen Vorschrift bereits einen Schritt voraus und schließen eine Lücke, auf die die OCR bei der Durchsetzung wiederholt hingewiesen hat.

Compliance Manager GRC ein Modul zur Bewertung der HIPAA-Sicherheitsvorschriften, mit dem MSPs den Compliance-Status anhand der aktuellen Anforderungen überwachen, Risikoanalysen durchführen und dokumentieren, Kontrollmaßnahmen den Sicherheitsvorschriften zuordnen sowie Nachweise für OCR-Audits oder Sicherheitsüberprüfungen durch Kunden erstellen können. Hier erfahren Sie mehr.