Der Datenschutz ist im Jahr 2023 zu einem wichtigen Thema im Gesundheitswesen geworden. Zahlreiche Klagen wurden eingereicht, Bußgelder und Vorschriften verhängt und einige Gesundheitswebsites mussten Verstöße melden. Aufsichtsbehörden wie das Ministerium für Gesundheit und menschliche Dienste (HHS) und die Federal Trade Commission (FTC) haben mehrere Gesundheitsorganisationen gewarnt, dass Dritte möglicherweise unrechtmäßig Gesundheitsdaten auf ihren Websites sammeln.
Der Fokus auf den Datenschutz hat sich im Jahr 2024 noch verstärkt, da neue Gesetze den Flickenteppich bereits bestehender Vorschriften ergänzen. In diesem Artikel wird untersucht, wo wir waren, wohin wir gehen und wie Gesundheitsorganisationen sich vor Datenschutzrisiken schützen können, die durch das Meta-Pixel und andere Tracker von Drittanbietern verursacht werden.
Rückblick 2023 – Regulatorische Maßnahmen und Klagen im Gesundheitswesen
Das Jahr 2023 begann mit der Verhängung einer Geldstrafe von 1,5 Millionen US-Dollar durch die FTC gegen GoodRx im Februar. Das vorliegende Problem ist eines, von dem inzwischen so viele Gesundheitsunternehmen aus erster Hand erfahren haben: GoodRx gab persönliche Gesundheitsinformationen an Meta, Google und andere Dritte weiter, ohne dass die Verbraucher dies offenlegten und ihre Website-Besucher ihr Einverständnis gaben. Wie wir inzwischen in Hunderten von Fällen gesehen haben, geben Websites diese Daten normalerweise nicht absichtlich an Dritte weiter, aber es kann schwieriger sein, diese Weitergabe auf einer modernen Website zu vermeiden, als es scheint.
Ebenso wurde Betterhelp im darauffolgenden Monat mit einer Geldstrafe von 7,8 Millionen US-Dollar belegt. Im Juli warnten die FTC und das HHS in einem gemeinsamen Brief 120 Krankenhäuser und Telegesundheitssysteme vor der Verwendung des Meta-Pixels, der möglichen Weitergabe persönlicher Gesundheitsinformationen und der Tatsache, dass dies als Verstoß gegen das HIPAA angesehen werden könnte. Die FTC warnte davor, dass die Verwendung von Drittanbieter-Pixeln möglicherweise gegen das FTC-Gesetz, die HIPAA-Datenschutz-, Sicherheits- und Benachrichtigungsregeln für Verstöße sowie verschiedene Landes- und Bundesgesetze verstoßen könnte. Das Jahr 2023 wirft auch ein Licht auf die Durchführbarkeit von Meta-Pixel-Klagen, da viele Krankenhäuser ihre Klagen beigelegt haben, darunter auch das Advocate Aurora Hospital im August für 12,25 Millionen US-Dollar. Während der Schwerpunkt klar auf Gesundheitsdaten lag, war dies bei der Gesamtlösung weniger der Fall, wie viele Websites aus dem Gesundheitswesen und dem Einzelhandel erfuhren.
Diese Durchsetzungsmaßnahmen entsprechen dem aktuellen Stand des Datenaustauschs, der bei der Erstellung von Websites normalerweise nur unzureichend ist. Es geht nicht so sehr darum, dass ein Unternehmen Ihre Daten weitergeben möchte oder böse Absichten hegt. Dritte nutzen die erhaltenen Daten, um Unternehmen die Möglichkeit zu bieten, gezielt Anzeigen oder benutzerdefinierte Inhalte an Verbraucher zu richten. Hier wird es schwierig, wenn es um Gesundheitsdaten und andere sensible Daten geht.
Hier ist das Szenario, das wir alle vermeiden wollen. Wenn Sie die Website Ihres Krankenhauses besuchen, um Ihren Termin zu überprüfen, entscheiden Sie sich, nach verschiedenen Erkrankungen für Sie oder einen geliebten Menschen zu suchen. Diese Informationen werden mit anderen Trackern und wiederum anderen Trackern und Datenaggregatoren geteilt und landen oft bei Datenbrokern. Die Daten werden dann als Kriterium dafür verwendet, ob Sie auf anderen Websites im Internet Werbung beispielsweise für Krebsbehandlungen sehen oder nicht. Dies kann zu einigen peinlichen Momenten führen, wenn Sie bei der Arbeit den Bildschirm teilen und zufällig eine Suchleiste öffnen (denken Sie an eine Anzeige für Sucht-Rehabilitation).
Deutlich gravierender wird das Problem, wenn eine präzise Standortverfolgung genutzt und weitergegeben wird. Berücksichtigen Sie, dass dies geschieht, wenn Sie nach sensiblen Erkrankungen wie reproduktiver Gesundheitsfürsorge, Sucht- oder psychischen Gesundheitsbehandlungen usw. suchen. Ist dies nicht die Privatsphäre, die HIPAA zu schützen verspricht?
2024 – Aktuelle Datenschutzlandschaft und Datenschutzprognosen
Auch im Jahr 2024 liegt der Fokus weiterhin auf der Gesundheitsversorgung. Derzeit wurden 16 staatliche Datenschutzgesetze unterzeichnet, von denen fünf Bundesstaaten (Kalifornien, Colorado, Virginia, Connecticut und Utah) bereits erlassen wurden. Darüber hinaus traten am 31. März 2024 zwei gesundheitsspezifische Gesetze in Kraft, eines in Nevada und eines in Washington. Drei weitere Bundesstaaten (Tennessee, Florida und Oregon) werden am 31. Juli 2024 Gesetze erlassen, gefolgt von Montana am 1. Oktober. 2024. Da die Staaten die Führung übernehmen, stehen Unternehmen vor einer komplexen Regulierungslandschaft und müssen sich mit zahlreichen landesspezifischen Vorschriften auseinandersetzen.
Am 5. April schlugen zwei wichtige Mitglieder des Kongresses einen Entwurf eines parteiübergreifenden, zweikammerigen Bundesgesetzes zum Datenschutz vor, der als American Privacy Rights Act bekannt ist. Auch wenn dieser Gesetzentwurf nicht verabschiedet wird, zeigt er die Dringlichkeit und Popularität der Regulierung des Datenschutzes.
Der Washington My Health My Data Act (MHMDA) ist aus mehreren Gründen besonders erwähnenswert:
Es erweitert die Definition von Verbrauchergesundheitsdaten und umfasst nun verschiedene personenbezogene Daten, die mit einem Verbraucher in Zusammenhang stehen, darunter Krankenakten, Interventionen, reproduktive Gesundheit, Biometrie und Schlussfolgerungen aus nicht gesundheitsbezogenen Daten wie Online-Browserverläufen. MHMDA schreibt eine klare, bejahende, informierte und eindeutige Opt-in-Einwilligung für die Datenerhebung, -weitergabe und -verkauf vor und legt damit eine hohe Messlatte für eine gültige Einwilligung fest. Das Gesetz ermöglicht es Verbrauchern, Organisationen wegen Verstößen gegen Einwilligungs- und Datenverarbeitungsanforderungen zu verklagen, was die Durchsetzung verbessert und möglicherweise die Auslegung des Gesetzes erweitert. Und mit einem der ersten zugelassenen „privaten Klagerechte“ können Einzelpersonen nun Klagen einreichen.
Dieses Gesetz stellt eine bedeutende Änderung in der Art und Weise dar, wie Unternehmen sensible Gesundheitsdaten verwalten müssen, die über die aktuellen HIPAA-Vorschriften hinausgeht. Dabei geht es um Gesundheitsdaten, die über Tracking-Tools wie den Meta-Pixel und andere erfasst und weitergegeben werden. Wir rechnen mit weiteren Klagen und gehen davon aus, dass im Jahr 2024 weitere Bundesstaaten ähnliche Gesetze erlassen werden.
Herausforderungen und Werkzeuge für Compliance
Während immer häufiger Vorschriften erlassen werden, mangelt es nach wie vor an praktischen Leitlinien zur Einhaltung. Weitere Faktoren, die die Einhaltung von Vorschriften zu einer Herausforderung machen, sind die Komplexität und Dynamik des Webs sowie die Tatsache, dass die vorhandenen Tools zur Einhaltung der Vorschriften in vielen Fällen tatsächlich unzureichend sind.
Websites entwickeln sich täglich weiter, ebenso wie die darauf befindlichen Tracker, aber Einwilligungstools haben oft Schwierigkeiten, mit der täglichen Entdeckung neuer Tracker Schritt zu halten. Wenn es um die Implementierung von Einwilligungstools geht, herrscht häufig der Eindruck vor, dass der bloße Einsatz eines Einwilligungsmanagementtools einer automatischen Compliance gleichkommt. Das ist nicht der Fall. Einwilligungstools erfordern bei der Ersteinrichtung einen erheblichen manuellen Konfigurationsaufwand. Darüber hinaus benötigen sie manuelle Überwachung und Aktualisierungen, um den häufigen Änderungen an Trackern auf Websites gerecht zu werden. Weitere Probleme bei der Einrichtung bestehen darin, dass sie auf bestimmten Seiten häufig fehlen und verschiedene Arten von Datenerfassungsmechanismen wie Pixel und Fingerabdrücke, die Daten erfassen, nicht erfassen, was bedeutet, dass Ihr Unternehmen möglicherweise nicht über die ordnungsgemäße Einwilligung verfügt.
Zusammenfassend lässt sich sagen, dass die meisten Unternehmen das Richtige tun wollen, aber die Regeln unklar sind und die Tools oft nicht so funktionieren, wie sie sollten.
Bleiben Sie vorne: Schutzstrategien
Der Aufwand und die Absicht, die Datenschutzbestimmungen einzuhalten, tragen wesentlich dazu bei. Um sich vor unbefugter Datenerfassung zu schützen, sollten Unternehmen:
Erhalten Sie Transparenz und Kontrolle über alle Drittanbieter auf ihren Websites und Apps. Implementieren Sie Echtzeit-Scan- und Blockierungstools, um Sie über bekannte und unerwartete Dritte zu informieren. Informieren Sie sich über den Umfang Ihrer Datenweitergabe, um sicherzustellen, dass Tools vorhanden sind, um den Umfang und die Nutzung der Daten gegenüber allen Dritten, die Daten erhalten, einzuschränken. Selbst wenn ein Vertrag besteht, möchten Sie dennoch die Datenerfassungspraktiken überwachen. Scannen Sie häufig, um das Risiko, dass neue Tracker und Tags hinzugefügt werden, zuverlässig zu verwalten. Da ein Dritter plötzlich einem anderen Dritten gestatten kann, Daten auf Ihren Websites zu sammeln, kann sich der Umfang Dritter ständig ändern. Holen Sie die ausdrückliche Zustimmung des Benutzers ein, um die fortlaufende Verwaltung und Einhaltung sich entwickelnder Vorschriften sicherzustellen. Sie sollten außerdem die Einwilligungstools regelmäßig überprüfen, um sicherzustellen, dass sie ordnungsgemäß funktionieren, und die Einwilligung für alle Datenerfassungsquellen und auf allen Seiten einholen.
Regelmäßige Datenprüfungen, die Schulung von Teams zu Datenschutzpraktiken und die Förderung der Zusammenarbeit zwischen IT- und Rechtsabteilungen sind von entscheidender Bedeutung. Angesichts dynamischer technologischer Veränderungen ist eine aufmerksame Überwachung unerlässlich, um unbeabsichtigte Folgen zu vermeiden.
Organisationen müssen Transparenz priorisieren, die Datenerfassung einschränken, unbekannte Dritte blockieren und klare Prozesse für die Navigation in der Regulierungslandschaft etablieren. Es ist außerdem von entscheidender Bedeutung, Datenminimierung zu betreiben, robuste Sicherheitsmaßnahmen zu implementieren, eine Kultur zu fördern, bei der der Datenschutz an erster Stelle steht, und sich an laufende Veränderungen anzupassen.
Foto: LeoWolfert, Getty Images
Als CEO und Gründer von LOKKER widmet sich Ian Cohen der Bereitstellung von Lösungen, die es Unternehmen ermöglichen, die Kontrolle über ihre Datenschutzverpflichtungen zu übernehmen. Bevor er LOKKER im Jahr 2021 gründete, war Cohen zuvor CEO für Credit.com und CPO für Experian, wo er sich auf verbrauchergenehmigte Daten konzentrierte.
