HIPAA und Google Analytics

Google Analytics ist ein Analysetool, mit dem Sie Statistiken zum Traffic auf Ihren Websites und in Ihren Apps erhalten. Bei der Implementierung von Google Analytics und beim Erheben von Daten über Besucher Ihrer Properties müssen Sie darauf achten, dass Sie alle geltenden rechtlichen Anforderungen einhalten.

Aus Datenschutzgründen werden gemäß den Richtlinien und Nutzungsbedingungen von Google Analytics keine Daten an Google weitergegeben, die von Google als personenidentifizierbare Informationen erachtet werden könnten. Außerdem dürfen über Google Analytics keine Nutzerdaten erhoben werden, die vertraulich sind oder eine Identifizierung der jeweiligen Person ermöglichen. Wenn Sie Daten aus irgendeinem Grund von den Analytics-Servern löschen müssen, können Sie eine Anfrage zum Löschen von Daten stellen oder die User Deletion API verwenden.

Was sind die HIPAA-Bestimmungen und für wen gelten sie?

Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 ist ein US-Bundesgesetz, das für HIPAA-regulierte Rechtssubjekte gilt. Das Gesetz und die zugehörigen Bestimmungen gelten in der Regel nicht für Google Analytics-Kunden, die ausschließlich außerhalb der USA tätig sind, und sind normalerweise auch nicht für alle innerhalb des Landes tätigen Kunden relevant. Analytics-Kunden müssen selbst in Erfahrung bringen, ob sie den HIPAA-Bestimmungen unterliegen und welche Verpflichtungen sich daraus ergeben.

Kann Google Analytics HIPAA-konform genutzt werden?

Kunden dürfen Google Analytics nicht auf eine Weise verwenden, die Verpflichtungen im Rahmen der HIPAA-Bestimmungen nach sich ziehen kann. Rechtssubjekte, die den HIPAA-Bestimmungen unterliegen und Google Analytics nutzen, dürfen Daten, die als geschützte Gesundheitsdaten (Protected Health Information, PHI) eingestuft werden können, nicht offenlegen, auch wenn diese in den Verträgen und Richtlinien von Google nicht ausdrücklich als personenidentifizierbare Informationen beschrieben werden. Google macht keine Zusicherungen, dass Google Analytics die HIPAA-Bestimmungen erfüllt, und bietet keine Geschäftspartner-Vereinbarungen (Business Associate Agreement, BAA) in Verbindung mit diesem Dienst an.

HIPAA-regulierte Rechtssubjekte, die herausfinden möchten, wie Google Analytics für ihre Properties konfiguriert werden sollte, finden im HHS-Bulletin spezifische Informationen dazu, wann Daten als PHI eingestuft werden können und wann nicht. Anhand der folgenden zusätzliche Schritte können Sie ebenfalls prüfen, ob Ihre Nutzung von Google Analytics zulässig ist:

  • Kunden, die die HIPAA-Bestimmungen einhalten müssen, dürfen Google Analytics nicht auf eine Weise verwenden, die den Zugriff auf oder die Erhebung von PHI durch Google impliziert. Sie dürfen Google Analytics nur auf Seiten verwenden, die nicht den HIPAA-Bestimmungen unterliegen.
  • Da authentifizierte Seiten wahrscheinlich den HIPAA-Bestimmungen unterliegen, sollten Kunden dort keine Google Analytics-Tags einrichten.
  • Bei nicht authentifizierten Seiten, die mit der Bereitstellung von Gesundheitsdienstleistungen in Zusammenhang stehen (wie z. B. im HHS-Bulletin beschrieben), ist die Wahrscheinlichkeit höher, dass sie den HIPAA-Bestimmungen unterliegen und dass Kunden keine Google Analytics-Tags auf solchen Seiten platzieren dürfen.
  • Wenden Sie sich bitte an Ihre Rechtsabteilung, um Seiten auf Ihrer Website zu ermitteln, die nichts mit der Bereitstellung von Gesundheitsdienstleistungen zu tun haben. So können Sie dafür sorgen, dass Ihre Konfiguration von Google Analytics nicht zur Erfassung von PHI führt.

War das hilfreich?

Wie können wir die Seite verbessern?
true
Lernpfad auswählen

Unter google.com/analytics/learn finden Sie eine neue Hilfeseite, mit der Sie Google Analytics 4 optimal nutzen können. Die Website enthält Videos, Artikel, interaktive Abläufe sowie Links zum Google Analytics Discord, zum Blog, zum YouTube-Kanal und zum GitHub-Repository.

Jetzt loslegen

Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü