HIPAA-Compliance mit Google Workspace und Cloud Identity

Der Schutz, die Sicherheit und die ständige Verfügbarkeit der Kundendaten genießen bei Google höchste Priorität. Kunden, die dem US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) unterliegen und somit HIPAA-Auflagen erfüllen müssen, haben die Möglichkeit, Google Workspace und Cloud Identity HIPAA-konform einzusetzen.

Gemäß HIPAA sind bestimmte Informationen zum Gesundheitszustand und zu den beanspruchten Gesundheitsleistungen einer Person als „Geschützte Gesundheitsdaten“ (Protected Health Information, PHI) klassifiziert. Kunden, die HIPAA unterliegen und Google Workspace und Cloud Identity mit PHI nutzen möchten, müssen eine Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) mit Google unterzeichnen.

Kunden, die Google Workspace und Cloud Identity nutzen, müssen selbst in Erfahrung bringen, ob sie HIPAA unterliegen und ob sie die Google-Dienste in Verbindung mit PHI verwenden oder diese Verwendung beabsichtigt ist. Kunden, die keine BAA mit Google eingegangen sind, dürfen die Google-Dienste nicht in Verbindung mit PHI verwenden.

Administratoren müssen eine BAA akzeptieren, damit sie Google-Dienste mit PHI nutzen können. Hier finden Sie weitere Informationen zu Google Workspace-Produkten, die HIPAA-konform sind.

In unserem Leitfaden zur Implementierung von Google Workspace und Cloud Identity in Übereinstimmung mit HIPAA finden Kunden Informationen zum Umgang mit PHI bei Google. Er richtet sich an Mitarbeiter in Organisationen, die für die HIPAA-Implementierung und ‑Compliance in Google Workspace und in Cloud Identity verantwortlich sind.

Häufig gestellte Fragen

Wie erhalte ich eine Kopie meiner elektronisch akzeptierten HIPAA-BAA?

Die HIPAA-BAA wird Kunden über ihre Admin-Konsole zur Verfügung gestellt und kann elektronisch akzeptiert werden. Sie ist ebenso rechtsverbindlich wie eine Vereinbarung in Papierform. Zum Nachweis der elektronischen Annahme kann der Kunde einen Screenshot seiner Admin-Konsole bzw. des HIPAA-Akzeptanzprotokolls erstellen, das im Abschnitt „Rechtliches und Compliance“ angezeigt wird. Dieser Vorgang ist auch im Audit-Log für Administratoren zu sehen.

Sind Anwendungen von Drittanbietern in der BAA für Google Workspace berücksichtigt?

Anwendungen von Drittanbietern, einschließlich Add-ons, sind von der BAA ausgenommen. Weitere Informationen finden Sie in unserem HIPAA-Implementierungsleitfaden.

Wie kann ich Dokumente auf HIPAA-konforme Weise an eine externe Domain senden?

Wenn Sie PHI innerhalb oder außerhalb der Google Workspace-Domain freigeben, sollten Sie die Richtlinien Ihrer Organisation in Bezug auf den Umgang mit PHI einhalten. Sie können die entsprechende Freigabemethode innerhalb oder außerhalb von Google Workspace so auswählen, dass diese Richtlinien eingehalten werden und mit den domainweiten Einstellungen von Google Workspace konform sind. Im HIPAA-Implementierungsleitfaden finden Sie eine Anleitung zum Einschränken des Zugriffs auf PHI innerhalb einer Google Workspace-Domain, z. B. zum Freigeben für bestimmte Empfänger, nicht für Personen, die den Link haben.

Plant Google, Google-Produkte hinzuzufügen, die derzeit in der BAA nicht berücksichtigt sind?

Google prüft kontinuierlich den Umfang der abgedeckten Produkte und kann in Zukunft weitere Produkte hinzufügen. Weder die BAA noch der Zusatz zur Datenverarbeitung für Google Workspace gelten für zusätzliche Google-Dienste. Google arbeitet kontinuierlich daran, weitere Kontrollmöglichkeiten für die zusätzlichen Google-Diensten zu bieten und führt diese gegebenenfalls als neue Funktionen in den Diensten ein.

Weitere Informationen

War das hilfreich?
Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Anmelden, um weitere Supportoptionen zu erhalten und das Problem schnell zu beheben