Was HIPAA tatsächlich über Tracking sagt

HIPAA selbst erwähnt weder Cookies noch Pixel oder Web-Tracking — das Gesetz wurde 1996 geschrieben und durch den HITECH Act 2009 geändert. Die relevanten Regeln für Online-Tracking kommen aus zwei Quellen: der PHI-Definition in der Datenschutzregel und den Anforderungen der Sicherheitsregel zum Schutz elektronischer PHI (ePHI). Zusammen besagen sie, dass alle individuell identifizierbaren Gesundheitsinformationen, die von einer abgedeckten Einrichtung oder einem Geschäftspartner gehalten werden, geschützt werden müssen, und dass die Offenlegung an Dritte ohne Genehmigung oder eine Geschäftspartnervereinbarung eine unzulässige Nutzung darstellt.

Das OCR-Bulletin zu Tracking-Technologien

Das maßgebliche regulatorische Dokument für Verlage ist das OCR-Bulletin mit dem Titel Verwendung von Online-Tracking-Technologien durch HIPAA-abgedeckte Einrichtungen und Geschäftspartner. Die ursprüngliche Version vom Dezember 2022 nahm eine aggressive Position ein — dass jede auf einer Webseite erfasste IP-Adresse potenziell PHI ist, wenn die Seite einen bestimmten Gesundheitszustand betrifft. Nach einer Bundesgerichtsentscheidung 2024, die Teile des Bulletins als Überschreitung der OCR-Befugnisse aufhob, überarbeitete OCR das Dokument, um eine schärfere Linie zwischen nicht authentifizierten Marketingseiten und authentifizierten Patientenportalseiten zu ziehen. Die Überarbeitung von 2024 ist der maßgebliche Text im Jahr 2026 und ist das Dokument, das die Rechtsteams der Verlage bei der CMP-Konfiguration auf einem zweiten Monitor geöffnet haben sollten.

Was im Tracking-Kontext als PHI gilt

OCR behandelt die Kombination eines Identifikators (IP-Adresse, Geräte-ID, Browser-Fingerabdruck, gehashte E-Mail) mit Informationen über die Gesundheit einer bestimmten Person (eine Suche nach einem Erkrankungsbild, ein Klick auf eine Behandlungsseite, eine Formulareinreichung mit Symptomen) als PHI, wenn die Kombination auf einen bekannten Patienten oder eine identifizierbare Person bezogen ist. Der Identifikator allein ist keine PHI; die Gesundheitsinformation allein ist keine PHI; die Kombination ist es. Dies ist der analytische Schritt, der Verlage überrascht, weil der Standard-Adtech-Pixel genau dazu entwickelt wurde, diese Kombination zu Mess- und Personalisierungszwecken an Dritte weiterzugeben.

Die Unterscheidung zwischen authentifiziert und nicht authentifiziert

Das mit Abstand wichtigste Konzept im OCR-Bulletin ist die Linie zwischen einer authentifizierten Seite — einer, auf die ein Nutzer durch Anmeldung in einem Patientenportal, einem EHR-verbundenen Terminsystem oder einer Abrechnungskonsole gelangt — und einer nicht authentifizierten Seite — den öffentlichen Marketingseiten, Informationsartikeln zu Erkrankungen, der Arztsuche. Die Compliance-Haltung unterscheidet sich zwischen beiden erheblich.

Authentifizierte Seiten

Authentifizierte Seiten sind die risikoreiche Oberfläche. Sobald sich ein Nutzer angemeldet hat, weiß die abgedeckte Einrichtung, wer er ist, und jede Tracking-Technologie, die auf diesen Seiten aktiviert wird, gibt potenziell PHI an den Anbieter weiter, der die Anfrage erhält. Drittanbieter-Pixel, Marketing-Pixel und alle Analyse-Tags, die außerhalb einer Geschäftspartnervereinbarung betrieben werden, sollten auf authentifizierten Seiten überhaupt nicht laufen. Die Position des OCR ist hier eindeutig, und die Fallvergleiche waren erheblich.

Nicht authentifizierte Seiten

Nicht authentifizierte Seiten sind differenzierter. Die OCR-Überarbeitung von 2024 räumte ein, dass nicht jeder Besuch einer öffentlichen Marketingseite PHI erzeugt — ein Nutzer, der einen allgemeinen Artikel über Diabetes liest, gibt nicht notwendigerweise preis, dass er an Diabetes leidet. Aber die Linie verschiebt sich, wenn die Seite einen Identifikator mit einem klaren Gesundheitskontext kombiniert: ein Symptom-Checker, der Freitexteingaben akzeptiert und einen Pixel mit der beigefügten Eingabe auslöst, eine krankheitsspezifische Landingpage, die die URL als Tracking-Parameter nutzt, ein Tool zur Facharztsuche, das Fachrichtung und Postleitzahl an einen Analyseanbieter weitergibt. Diese Flows verwandeln eine nicht authentifizierte Seite in eine PHI-Oberfläche.

Der praktische Test

Der praktische Test, den Verlage 2026 anwenden, ist der Test der vernünftigen Erwartung. Würde eine vernünftige Person, die diese Seite besucht, erwarten, dass ihr Besuch ein bestimmtes Gesundheitsanliegen signalisiert? Wenn ja, wird die Seite für Tracking-Zwecke unabhängig vom Authentifizierungsstatus als PHI-tragend behandelt. Der Test ist bewusst konservativ — auf der permissiven Seite falsch zu liegen erzeugt Durchsetzungsrisiko, auf der restriktiven Seite falsch zu liegen erzeugt nur entgangene Werbeeinnahmen.

Geschäftspartnervereinbarungen und der Anbieter-Stack

HIPAA erlaubt einer abgedeckten Einrichtung, PHI nur dann mit einem Anbieter zu teilen, wenn der Anbieter eine Geschäftspartnervereinbarung (BAA) unterzeichnet hat, in der er sich zu HIPAA-äquivalenten Schutzmaßnahmen verpflichtet. Unter den großen Adtech- und Analyseanbietern ist die BAA-Lage uneinheitlich und folgenreich.

Anbieter, die BAAs unterzeichnen

Google bietet eine HIPAA BAA für Google Workspace, Google Cloud Platform und eine begrenzte Teilmenge von Google Analytics 4-Implementierungen unter spezifischen Konfigurationen an. Microsoft unterzeichnet BAAs für Azure und eine eingeschränkte Microsoft Clarity-Einrichtung. Eine Handvoll auf das Gesundheitswesen spezialisierter Analyseplattformen — Freshpaint, Heap mit HIPAA-Add-on, FullStory in der Gesundheitskonfiguration — unterzeichnen BAAs. Dies sind die Anbieter, die ein HIPAA-abgedeckter Verlag auf authentifizierten oder PHI-tragenden Oberflächen einsetzen kann.

Anbieter, die keine BAAs unterzeichnen

Meta unterzeichnet für Meta Pixel oder Conversions API in keiner Standardkonfiguration BAAs. TikTok unterzeichnet für TikTok Pixel keine BAAs. Die meisten programmatischen SSPs und DSPs unterzeichnen keine BAAs. Standard-Google Analytics, Standard-Google Tag Manager-Vorlagen und die standardmäßigen Google Ads-Conversion-Tags sind nicht durch Googles BAA abgedeckt. Jeden dieser Dienste auf einer PHI-tragenden Oberfläche zu betreiben, stellt einen HIPAA-Verstoß dar, unabhängig von der Konfiguration des Einwilligungsbanners — Einwilligung ersetzt keine BAA, wenn PHI involviert ist.

Der Einwilligungs-plus-BAA-Stack

Das konforme Muster für die Marketingseiten eines Gesundheitsverlegers ist der Einwilligungs-plus-BAA-Stack. Die nicht authentifizierten Marketingseiten betreiben eine CMP mit Einwilligungsgates für jegliches nicht notwendiges Tracking, die Analyseebene wird unter einer BAA mit einem HIPAA-bewussten Anbieter konfiguriert, und die Marketing-Pixel-Ebene läuft entweder nur auf Seiten, die den Test der vernünftigen Erwartung bestehen, oder wird über eine serverseitige Conversion-API geleitet, die identifizierende Informationen entfernt, bevor sie an Nicht-BAA-Anbieter weitergeleitet werden.

Die CMP-Architektur für Gesundheitsverlage

Die CMP für einen HIPAA-abgedeckten Verlag tut mehr als Einwilligungen sammeln. Sie setzt die Seitenklassen-Unterscheidung durch, steuert Anbieter nach BAA-Status und erzeugt ein Prüfprotokoll, das sowohl die Dokumentationsanforderungen der HIPAA-Sicherheitsregel als auch alle zusätzlich geltenden staatlichen Datenschutzgesetze erfüllt.

Seitenklassen-Erkennung

Die CMP muss wissen, welche Seitenklasse sie rendert. Das sauberste Muster ist eine per CSP injizierte JavaScript-Variable — vom Server anhand des URL-Musters, des Authentifizierungsstatus und der Inhaltstyp-Metadaten gesetzt — die die CMP bei der Initialisierung liest. Die Variable erzeugt einen Tri-State: öffentlich-niedrig-Risiko (kein Gesundheitskontext), öffentlich-PHI-tragend (Gesundheitskontext, keine Authentifizierung) oder authentifiziert. Die Anbieterliste der CMP und die Einwilligungs-Standardeinstellungen wechseln über die drei Zustände.

Anbieter-Gating nach BAA-Status

Jeder Anbieter in der Anbieterliste der CMP muss mit seinem BAA-Status und den Bedingungen, unter denen die BAA gilt, versehen werden. Ein Anbieter ohne BAA wird auf PHI-tragenden und authentifizierten Oberflächen unabhängig vom Einwilligungsstatus hart gesperrt. Ein Anbieter mit einer bedingten BAA — eine, die bestimmte Konfigurationsentscheidungen erfordert — wird nur zugelassen, wenn diese Bedingungen bestätigt sind. Das Prüfprotokoll erfasst jede Anbieterentscheidung mit Seitenklasse, Einwilligungsstatus und BAA-Entscheidung und erzeugt so einen verteidigungsfähigen Datensatz für eine behördliche Anfrage.

Die staatliche Rechtsebene

HIPAA ist ein bundesstaatlicher Mindeststandard; die staatlichen Gesetze — Kaliforniens CMIA, Washingtons My Health My Data Act und die Verbraucherschutzbestimmungen für Gesundheitsdaten in Connecticut und Nevada — liegen darüber mit strengeren Anforderungen in ihren spezifischen Anwendungsbereichen. Die CMP-Architektur sollte HIPAA als Ausgangslinie behandeln und die strengste anwendbare staatliche Regel darüber legen, wenn das geografische Signal eines Nutzers auf einen Staat mit einem stärkeren Verbrauchergesundheitsregime hindeutet.

Häufige HIPAA-Tracking-Fehler, die Vergleiche auslösen

Die HIPAA-Tracking-Durchsetzungsmaßnahmen der Jahre 2024 und 2025 haben eine klare Liste der Muster erzeugt, die zu OCR-Untersuchungen führen. Meta Pixel, das auf Patientenportalen ausgelöst wird, weil jemand es ohne Rücksprache mit der Compliance-Abteilung für Marketing-Analyse hinzugefügt hatte. Google Analytics, das auf einem Symptom-Checker-Tool mit dem Symptom als benutzerdefinierter Dimension läuft. Eine Arztsuche-Seite, die die Fachrichtung als URL-Parameter übergibt, den das Analyse-Tag erfasst und weiterleitet. Ein Telemedizin-Onboarding-Flow mit für bezahlte Nutzergewinnung installiertem TikTok Pixel, der nicht entfernt wurde, als der Nutzer das authentifizierte Portal betrat. Ein A/B-Test des Marketingteams, der einen Heatmap-Recorder auf jeder Seite einschließlich der patientenseitigen Formulare auslöste. Jeder dieser Fälle hat im Durchsetzungszeitraum nach 2022 zu einem öffentlichen Vergleich oder Korrekturmaßnahmenplan geführt.

Fazit

HIPAA ist im Jahr 2026 kein Back-Office-Compliance-Regime mehr, das das Marketingteam ignorieren kann. Das OCR-Bulletin, die öffentlichen Vergleiche und die reifende Durchsetzungslinie gegen Pixel-Einsatz auf authentifizierten Seiten haben Online-Tracking zu einer Frage auf Vorstandsebene für jede abgedeckte Einrichtung mit digitalem Fußabdruck gemacht. Die Compliance-Haltung ist nicht unmöglich — es ist eine CMP, die die Seitenklasse kennt, ein Anbieter-Stack, der die BAA-Grenze respektiert, eine Einwilligungsebene, die das staatliche Rechtsoverlay handhabt, und eine dokumentierte Architektur, die ein OCR-Ermittler in einer Stunde lesen und überzeugt verlassen kann. Die Verlage, die 2026 in diese Architektur investieren, halten ihre digitalen Kanäle offen und ihre Zielgruppen monetarisierbar; die Verlage, die Gesundheitsseiten weiterhin wie E-Commerce-Seiten behandeln, verbringen die nächsten zwei Jahre damit, Vergleichsverträge mit der Bundesregierung zu entwerfen.