Kann ein italienisches Unternehmen dem HIPAA unterliegen?

Ja — nicht nach italienischem Recht, sondern per Vertrag. HIPAA gilt für US-Covered-Entities (Gesundheitsdienstleister, Krankenversicherungen, Clearinghouses) und deren Business Associates: für jeden, der geschützte Gesundheitsdaten (PHI) in ihrem Auftrag erstellt, empfängt, speichert oder übermittelt — unabhängig vom Standort. Ein italienisches Unternehmen, das PHI für einen US-Kunden verarbeitet, übernimmt die HIPAA-Pflichten durch Unterzeichnung eines Business Associate Agreement; dasselbe gilt in der Kette für seine Subunternehmer. Das betrifft Softwarehäuser, Sprachdienstleister und Life-Science-Anbieter, Hosting und Managed Services.

Was ist ein Business Associate Agreement (BAA) und wer muss es unterzeichnen?

Es ist der Vertrag, den HIPAA zwischen einer Covered Entity und jedem Business Associate verlangt — und in der Kette zwischen Business Associates und Subunternehmern, die PHI verarbeiten. Er definiert die zulässigen Datennutzungen, die geforderten Sicherheitsmaßnahmen, die Pflicht zur Meldung von Verletzungen und Vorfällen, die Bedingungen für den Einsatz von Subunternehmern sowie die Rückgabe oder Löschung der Daten am Ende der Zusammenarbeit. Er muss unterzeichnet werden, bevor Gesundheitsdaten fließen: Gut organisierte US-Kunden verlangen ihn in der Due Diligence.

Gibt es eine HIPAA-Zertifizierung?

Nein. Das Department of Health and Human Services erkennt keine offizielle HIPAA-Zertifizierung an: Die am Markt angebotenen „HIPAA-Zertifizierungen" sind private Bescheinigungen ohne regulatorischen Wert. Konformität wird durch Risk Analysis, Richtlinien, Verträge und tatsächlich implementierte Kontrollen nachgewiesen. Eine ISO/IEC-27001-Zertifizierung ist hier die anerkannteste dokumentarische Grundlage: Sie ersetzt HIPAA nicht, belegt aber, dass das Sicherheitsmanagementsystem existiert und von unabhängiger Stelle geprüft wird.

Reicht ISO 27001 für die HIPAA-Konformität aus?

Sie ist eine solide Grundlage, allein aber nicht ausreichend. Ein ISO/IEC-27001-ISMS deckt einen Großteil der administrativen, physischen und technischen Safeguards der Security Rule ab — Risikobewertung, Zugriffskontrolle, Incident Management, Kontinuität — und NIST SP 800-66 Rev. 2 liefert das offizielle Mapping zwischen Security Rule und Sicherheitskontrollen. Es bleiben jedoch HIPAA-spezifische Pflichten ohne direktes ISO-Äquivalent: das BAA, das Minimum-Necessary-Prinzip und die Meldung von Verletzungen an die Covered Entity nach der Breach Notification Rule — ohne ungerechtfertigte Verzögerung, spätestens innerhalb von 60 Tagen nach Entdeckung, eine Obergrenze, die Verträge typischerweise verschärfen.

HIPAA und DSGVO: Was ist der Unterschied und wie koexistieren sie?

Sie sind unterschiedlicher Natur: Die DSGVO ist ein Gesetz, das territorial gilt und personenbezogene Daten schützt, wenn die Verarbeitung in der EU stattfindet oder Personen in der EU betrifft; HIPAA ist ein US-Gesetz zum Schutz von Gesundheitsdaten, das nicht-amerikanische Unternehmen nur über die Vertragskette der BAAs erreicht. Für ein italienisches Unternehmen, das Gesundheitsdaten von US-Patienten oder -Nutzern verarbeitet, gelten oft beide: die DSGVO kraft Gesetzes für die Verarbeitung in Europa, HIPAA per Vertrag gegenüber dem Kunden. Sie stehen nicht im Konflikt: Die geforderten Sicherheitskontrollen überschneiden sich weitgehend, und ein ISO-27001-System bietet die gemeinsame Grundlage, sie auf beiden Seiten nachzuweisen.

HIPAA-Konformität für italienische Unternehmen mit US-Kunden: worauf es ankommt

Q: Verlangt HIPAA, dass Gesundheitsdaten in den USA gespeichert werden?

Nein. HIPAA enthält keinerlei Anforderung an die Datenresidenz: Die HHS-Leitlinien zum Cloud Computing verbieten die Speicherung außerhalb der USA nicht, sofern ein BAA vorliegt und die Risiken in der Risk Analysis abgedeckt sind. Für ein italienisches Unternehmen ist die Speicherung in europäischen Rechenzentren oft die sinnvollste Wahl, weil sie auch die DSGVO-Konformität vereinfacht. Verlangt ein US-Kunde die Speicherung in den USA, ist das seine vertragliche Entscheidung, keine gesetzliche Pflicht.

Q: Was ändert sich mit dem Update der Security Rule?

Der am 6. Januar 2025 im Federal Register veröffentlichte Änderungsvorschlag (NPRM) ist die erste substanzielle Überarbeitung seit 2013: verpflichtende Multi-Faktor-Authentifizierung, Verschlüsselung elektronischer Gesundheitsdaten im Ruhezustand und bei der Übertragung, Wegfall der Unterscheidung zwischen „required" und „addressable", ein Technologie-Inventar mit Netzwerkkarte der Datenflüsse und eine jährliche Konformitätsprüfung. Die finale Regel wurde bis Mai 2026 erwartet und ist bislang nicht veröffentlicht — die Richtung ist aber klar: Es lohnt sich, schon jetzt nach den vorgeschlagenen Anforderungen zu planen.

Alle News

11. Juni 2026·HIPAAComplianceGesundheitsdatenCloudUSA

Kurz gesagt: Wenn Ihr Unternehmen Gesundheitsdaten im Auftrag von US-Kunden verarbeitet — Software, Sprachdienstleistungen, Life Science, Hosting —, sind Sie mit hoher Wahrscheinlichkeit ein Business Associate im Sinne des HIPAA (Health Insurance Portability and Accountability Act), des US-Bundesgesetzes zum Schutz von Gesundheitsdaten. Die Pflichten kommen per Vertrag: Sie brauchen ein BAA (Business Associate Agreement), Sie müssen die Daten nicht in die USA verlagern, und eine „HIPAA-Zertifizierung“ existiert nicht. Worauf es wirklich ankommt — und warum Unternehmen mit einem ISO-27001-System im Vorteil sind.

HIPAA-ZertifizierungExistiert nicht

BAAVerpflichtend

US-DatenresidenzNicht gefordert

Security RuleUpdate kommt

HIPAA in Kürze: Warum es auch italienische Unternehmen betrifft

HIPAA schützt PHI (Protected Health Information): Gesundheitsinformationen, die einer Person zugeordnet werden können — Patientenakten, Befunde, Daten aus klinischen Studien und der Pharmakovigilanz, Abrechnungsdaten im Gesundheitswesen. In elektronischer Form spricht man von ePHI. Die operativen Regeln stehen in zwei Durchführungsverordnungen: der Privacy Rule (zulässige Nutzungen und Offenlegungen) und der Security Rule (Sicherheitsmaßnahmen für ePHI), kodifiziert in 45 CFR Parts 160 und 164.

Das Gesetz gilt unmittelbar für Covered Entities — US-Gesundheitsdienstleister, Krankenversicherungen und Clearinghouses — und für deren Business Associates: jeden, der PHI in ihrem Auftrag erstellt, empfängt, speichert oder übermittelt. Die Kette endet nicht beim ersten Glied: Der Subunternehmer eines Business Associate unterliegt denselben Pflichten.

HIPAA ist kein italienisches Gesetz, und das OCR (Office for Civil Rights) des HHS (Department of Health and Human Services) hat keine direkte Zuständigkeit für ein Unternehmen in Piacenza oder Mailand. Die Bindung entsteht jedoch über den Vertrag — und über den Markt: Ohne schriftlich zugesicherte HIPAA-Garantien kann der amerikanische Kunde Ihnen keine Gesundheitsdaten anvertrauen.

Das BAA: Der Vertrag, der die Pflichten auslöst

Das Business Associate Agreement ist der Vertrag, den HIPAA zwischen Covered Entity und Business Associate vorschreibt — und in der Kette zwischen Business Associate und seinen Subunternehmern. Es enthält die Elemente, die die Regulierung ausdrücklich verlangt: zulässige Nutzungen und Offenlegungen der PHI, angemessene Sicherheitsmaßnahmen, die Pflicht, Verletzungen und Vorfälle dem Kunden zu melden, die Bedingungen für den Einsatz von Subunternehmern (ihrerseits schriftlich gebunden) sowie die Rückgabe oder Löschung der Daten am Ende der Zusammenarbeit.

Das typische Beispiel: Ein US-Krankenhaus oder Life-Science-Unternehmen (Covered Entity oder selbst Business Associate) beauftragt ein italienisches Unternehmen mit Leistungen, die Gesundheitsdaten berühren — medizinische Übersetzungen, Softwareentwicklung, Datenanalyse, Anwendungs-Hosting. Das italienische Unternehmen unterzeichnet das BAA mit seinem Kunden; seine eigenen Lieferanten, die diese Daten sehen, unterzeichnen mit ihm. Es ist dieselbe Transparenzlogik, die wir auf unsere öffentliche Liste der Subunternehmer anwenden: Jedes Glied der Kette steht für das nächste ein.

Der richtige Zeitpunkt für die Unterzeichnung ist, bevor PHI zu fließen beginnen: Gut organisierte US-Kunden verlangen das BAA in der Due Diligence, zusammen mit Nachweisen über die Sicherheitskontrollen.

Mythos: Die Daten müssen in den USA bleiben

HIPAA enthält keinerlei Anforderung an die Datenresidenz. Die HHS-Leitlinien zum Cloud Computing verbieten die Speicherung außerhalb der Vereinigten Staaten nicht: Sie verlangen, dass der Cloud-Anbieter ein BAA unterzeichnet und die Risiken — auch die jurisdiktionsbezogenen — in der Risk Analysis abgedeckt sind.

Für ein italienisches Unternehmen ist die Speicherung in europäischen Rechenzentren oft die sinnvollste Wahl: Die Verarbeitung in der EU unterliegt ohnehin der DSGVO, und eine einzige Datenresidenz vereinfacht beide Seiten. HIPAA und DSGVO koexistieren konfliktfrei — das eine kommt per Vertrag, die andere per Gesetz. Verlangt ein amerikanischer Kunde die Speicherung in den USA, ist das seine interne Policy oder eine Verhandlungsklausel: legitim, aber keine HIPAA-Pflicht.

Security Rule: Das Mapping auf ISO 27001, 27017 und 27018

Die Security Rule gliedert die Maßnahmen für ePHI in drei Familien: administrative Safeguards (Risk Analysis, Schulung, Personal- und Zugriffsverwaltung, Incident Response), physische Safeguards (Zugang zu Gebäuden, Arbeitsplätzen und Datenträgern) und technische Safeguards (Zugriffskontrolle, Auditing, Integrität, Verschlüsselung bei der Übertragung).

Wer ein ISMS nach ISO/IEC 27001 betreibt, hat die organisatorische Maschine bereits: Risikobewertung, Richtlinien, Zugriffskontrolle, Incident Management, Betriebskontinuität. Die Cloud-Kontrollen der ISO/IEC 27017 und der Schutz personenbezogener Daten in der Cloud nach ISO/IEC 27018 decken das cloudspezifische Terrain ab. Der offizielle Mapping-Leitfaden ist NIST SP 800-66 Rev. 2 (Februar 2024), der die Security Rule in konkrete Sicherheitskontrollen übersetzt: der Ausgangspunkt, um die HIPAA-Anforderungen mit dem eigenen Statement of Applicability abzugleichen.

Es bleiben HIPAA-spezifische Anforderungen ohne direktes ISO-Äquivalent: das BAA, das Minimum-Necessary-Prinzip (nur das für den Zweck nötige Minimum an PHI verarbeiten) und die Meldung von Verletzungen an die Covered Entity nach der Breach Notification Rule: ohne ungerechtfertigte Verzögerung, spätestens innerhalb von 60 Tagen nach Entdeckung — eine regulatorische Obergrenze, die Verträge typischerweise verschärfen. Genau auf diese Punkte konzentriert sich ein Audit des US-Kunden zuerst.

Das Security-Rule-Update: MFA und Verschlüsselung werden Pflicht

Am 6. Januar 2025 veröffentlichte das HHS im Federal Register den Änderungsvorschlag zur Security Rule (NPRM, Notice of Proposed Rulemaking): die erste substanzielle Überarbeitung seit 2013. Die Kernpunkte: verpflichtende Multi-Faktor-Authentifizierung, Verschlüsselung der ePHI im Ruhezustand und bei der Übertragung, Wegfall der Unterscheidung zwischen „required“ und „addressable“ (heute sind viele Maßnahmen faktisch verhandelbar, künftig nicht mehr), ein Technologie-Inventar mit Netzwerkkarte der ePHI-Flüsse und eine jährliche Konformitätsprüfung.

Stand Juni 2026: Die finale Regel wurde bis Mai erwartet und ist bislang nicht veröffentlicht. Die Richtung ist jedoch klar, und es lohnt sich, schon jetzt nach den vorgeschlagenen Anforderungen zu planen: MFA und Verschlüsselung sind ohnehin gute Praxis — und für Unternehmen im NIS2-Anwendungsbereich größtenteils bereits gesetzliche Pflicht.

Cloud-Stack und HIPAA: Was Microsoft abdeckt, was bei Ihnen bleibt

Microsoft nimmt seine Business-Associate-Verpflichtungen in sein Data Protection Addendum auf: Azure und Microsoft 365 können ePHI daher im Rahmen des Microsoft-BAA hosten, auch in europäischen Regionen — die von uns genutzten bieten jeweils 3 Availability Zones.

Aber Vorsicht beim Perimeter: Das BAA des Cloud-Anbieters deckt die Infrastruktur ab, nicht die Art, wie Sie sie nutzen. Zugriffskonfiguration, Multi-Faktor-Authentifizierung, Verschlüsselung, Aufbewahrung der Audit-Logs, Mitarbeiterschulung und Incident Management bleiben in der Verantwortung dessen, der den Dienst für den Endkunden erbringt — das Modell der geteilten Verantwortung, das für alle Cloud-Dienste gilt. Das richtige BAA zu unterzeichnen und dann ein Administratorkonto ohne MFA zu lassen, ist der schnellste Weg, Konformität zu Papier zu machen.

Digitale Souveränität: eine Anmerkung gegen den Strom

Die europäische Debatte über digitale Souveränität rutscht oft in den Maximalismus ab: „Wir brauchen europäische Software“, „weg von amerikanischen Anbietern“ — als wären die USA ein strategischer Gegner. Die industrielle Realität ist weniger ideologisch: Bei Cloud, Sicherheit und digitaler Gesundheit konzentriert sich die weltweite Spezialisierung großteils in den USA — wo im Übrigen sehr viele italienische Fachleute arbeiten —, und ein erheblicher Teil der italienischen B2B-Wirtschaft lebt von transatlantischen Beziehungen, einschließlich der vielen italienischen Unternehmen in amerikanischem Besitz.

Für diese Unternehmen ist die Sorge vor „Daten in Europa, aber unter amerikanischem Recht“ oft ein Scheinproblem: Ist die Muttergesellschaft amerikanisch, besteht die US-Jurisdiktion über die Gruppe ohnehin — durch die Konzernstruktur, noch bevor der Speicherort der Daten eine Rolle spielt. Und Italien vertraut den USA weit kritischere Technologien an als ein Cloud-ERP: die F-35-Kampfflugzeuge, deren Logistik und Software-Updates von amerikanischer Infrastruktur abhängen — die öffentliche Debatte reichte bis zu einem angeblichen „Kill Switch“, offiziell dementiert. Europäischen Purismus bei SaaS zu fordern, während die Landesverteidigung auf US-Plattformen fliegt, sagt viel darüber, wie sehr die Diskussion ideologischer als technisch geworden ist.

Pragmatismus heißt nicht Nachlässigkeit: Wir kennen die Auswirkungen des CLOUD Act, führen Transfer Impact Assessments (TIA) durch, wo Datentransfers es erfordern, und verfolgen den europäischen Data Act und AI Act aufmerksam. Aber Datenresidenz bleibt ein Werkzeug, keine Fahne: Wir schlagen europäische Rechenzentren vor, wenn sie Verträge und Compliance vereinfachen — allen voran die DSGVO —, und arbeiten problemlos innerhalb amerikanischer Konzern- und Regulierungsketten, wenn der Kunde genau das verlangt — ohne uns einer einzigen Philosophie oder einem Lager zu verschreiben. HIPAA funktioniert schließlich genau so: Es folgt den Verträgen, nicht den Grenzen.

Wie AtWorkStudio hilft

Transparenz zuerst: Eine HIPAA-Zertifizierung existiert nicht, und kein seriöser Anbieter kann sich als „HIPAA certified“ bezeichnen. Was wir tun: Wir bringen die Methodik unseres zertifizierten Managementsystems auf das HIPAA-Terrain — Risk Analysis, technische und organisatorische Maßnahmen, prüfbare Dokumentation, Vertragskette mit den Subunternehmern. Wir betreuen bereits italienische Unternehmen mit Nutzern in den Vereinigten Staaten auf verwalteten Cloud-Infrastrukturen.

Wir arbeiten seit dem Jahr 2000 in Piacenza. Wir sind zertifiziert nach ISO/IEC 27001, 27017, 27018 und ISO 9001, ACN-qualifiziert (Agenzia per la Cybersicurezza Nazionale, die italienische nationale Cybersicherheitsbehörde) für Cloud-Dienste, Mitglieder von Clusit (italienischer Verband für Informationssicherheit) und Confindustria Piacenza im RICT-Cluster zugeordnet.

Quellen

U.S. Department of Health and Human Services (HHS) — HIPAA Security Rule, 45 CFR Parts 160 und 164
HHS Office for Civil Rights — Guidance on HIPAA & Cloud Computing
Federal Register — HIPAA Security Rule Notice of Proposed Rulemaking, 6. Januar 2025
NIST SP 800-66 Rev. 2 — Implementing the HIPAA Security Rule, Februar 2024
The HIPAA Journal — „HIPAA Updates and HIPAA Changes in 2026“, aktualisiert 9. Juni 2026
Microsoft — HIPAA Business Associate Agreement, Products and Services Data Protection Addendum
F-35 Joint Program Office — Stellungnahme zum angeblichen „Kill Switch“, März 2025

Mehr erfahren

Europäische Rechenzentren Zertifizierungen HIPAA-Konformität Microsoft 365 Cybersecurity-Dienste IT-Lieferkette, NIS2 und DSGVO

Häufige Fragen

Antworten auf die häufigsten Fragen zu HIPAA für italienische Unternehmen mit US-Kunden.

Hat ein US-Kunde Sie nach HIPAA gefragt?

Unser kostenloses Assessment basiert auf NIST CSF 2.0 — derselben Sprache, die Ihre amerikanischen Kunden sprechen: Es erfasst Identität, Datenschutz, Erkennung und Reaktion. Für den Aufbau der HIPAA-Konformität auf ISO-27001-Basis kontaktieren Sie uns.

Kostenloses NIST-Assessment Kontakt

HIPAA für italienische Unternehmen:worauf es wirklich ankommt