Krankenhäuser, die sowohl in den USA als auch in Europa tätig sind, jonglieren nicht nur mit zwei Regelwerken - sie balancieren auf einem Compliance-Drahtseil. HIPAA und DSGVO verlangen beide eine strikte Kontrolle des Zugriffs auf Patientendaten, sprechen aber unterschiedliche regulatorische Sprachen, setzen unterschiedliche Sanktionen durch und haben keinerlei Geduld für Ausreden.

In diesem Beitrag beleuchten wir, wo sich HIPAA und DSGVO überschneiden, wo sie kollidieren - und warum moderne Identitätsgovernance, nicht noch mehr Tabellen, der einzig tragfähige Weg ist, um das Gleichgewicht zu halten.

Warum Identitätsgovernance zentral für HIPAA und DSGVO ist

HIPAA und DSGVO zielen letztlich auf eine Kernfrage: Können Sie jederzeit nachweisen, wer genau auf welche Daten, aus welchem Grund und wie lange Zugriff hat?

Die Sicherheitsregel von HIPAA verlangt technische Schutzmaßnahmen, darunter Zugriffskontrollen wie eindeutige Benutzerkennungen, Notfallzugriffsverfahren, automatische Abmeldung sowie Ver- und Entschlüsselung für Systeme, die elektronische PHI (ePHI) verarbeiten

Die DSGVO ist grundsatzbasiert. Gesundheitsdaten gelten als besondere Kategorien personenbezogener Daten und unterliegen damit verschärften Anforderungen an Datenminimierung, Sicherheit und Zugriffskontrolle.

Nach DSGVO werden Gesundheitsdaten als besondere Kategorien personenbezogener Daten behandelt und unterliegen nach den Artikeln 9 und 32 erhöhten Anforderungen an Sicherheit, strikte Zugriffskontrolle und Datenminimierung

Identitätsgovernance übersetzt diese Pflichten in konkrete Steuerung:

  • Durchsetzung von Minimalprinzip-Zugriff (Least Privilege) für Klinikpersonal, Verwaltung und Dritte.
  • Automatisierte Einrichtung und Entziehung von Konten in EHR-, Personal-, OT- und SaaS-Systemen.
  • Steuerung nicht-menschlicher Identitäten (Dienstkonten, Integrationsnutzer, KI-Agenten), die Patientendaten einsehen oder bewegen können.
  • Führung unveränderlicher Prüfprotokolle, die belegen, wer worauf, wann und auf Basis welcher Richtlinie zugegriffen hat.

Wenn Ihr Identitäts-Stack aus "Okta für SSO und einer SharePoint-Checkliste für Austritte" besteht, haben Sie keine HIPAA- oder DSGVO-taugliche Governance - Sie betreiben Identitätstheater.

Doppelte Compliance: Wo HIPAA und DSGVO harmonieren - und wo sie kollidieren

Die Herausforderung ist nicht allein HIPAA oder DSGVO, sondern die gleichzeitige Erfüllung beider Regelwerke - über Cloud, On-Premises und eine wuchernde SaaS-Landschaft hinweg.

Direktvergleich: Anforderungen an Zugriff und Identität

Bereich Fokus HIPAA Fokus DSGVO Konsequenz für Identitätsgovernance
Geltungsbereich PHI/ePHI für unter HIPAA fallende Stellen und deren Partner Alle personenbezogenen Daten; Gesundheitsdaten = besondere Kategorie Steuerung aller Identitäten mit Zugriff auf Patientendaten, nicht nur in klinischen Anwendungen
Zugriffskontrolle Konkrete Schutzmaßnahmen: eindeutige Kennungen, automatische Abmeldung, Verschlüsselung "Angemessene" technische und organisatorische Maßnahmen Zentrale, richtlinienbasierte Minimalrechtsvergabe
Protokollierung & Überwachung Prüfprotokolle für Aktivitäten mit ePHI Rechenschaftspflicht und nachweisbare Compliance Unveränderliche Protokolle, systemweite Identitätsereignisse
Rechte der betroffenen Personen/Patienten Recht auf Einsicht und Berichtigung der Akte Umfassende Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch) Schneller, nachverfolgbarer Zugriff und Entzug von Berechtigungen über alle Systeme hinweg
Sanktionen Gestufte zivil- und strafrechtliche Sanktionen; Durchsetzung durch das Office for Civil Rights (OCR) Geldbußen und Anordnungen durch Aufsichtsbehörden Bußgelder heben schwache Identitätskontrollen auf die Ebene eines Vorstandsrisikos

Das ist keine Theorie:

  • HIPAA-Strafen liegen zwischen 100 und 50.000 US-Dollar pro Verstoß, bis zu 1,5 Millionen US-Dollar pro Jahr und Vorschrift - abhängig vom Verschulden
  • DSGVO-Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes betragen - je nachdem, welcher Betrag höher ist - etwa bei unzulässiger Verarbeitung oder unzureichender Sicherheit
  • EU-Aufsichtsbehörden verhängten allein im Jahr 2025 über 1,1-1,2 Milliarden Euro an DSGVO-Bußgeldern
  • Seit Beginn der HIPAA-Durchsetzung hat das US-OCR über 142 Millionen US-Dollar an Vergleichen und Strafen verhängt

Wenn ein externer Dienstleister, der seit Monaten ausgeschieden ist, noch EHR-Zugriff hat, wird "wir dachten, das hat die Personalabteilung erledigt" auf keinem Kontinent akzeptiert.

Hohe Fluktuation und Identitätsschatten: Das verdeckte Risiko im Gesundheitswesen

Krankenhäuser sind keine statischen Arbeitsumgebungen. Sie leben von rotierendem Personal: Ärztinnen und Ärzte, Leih- und Zeitarbeitskräfte, Honorarärzte, Studierende und externe Partner kommen und gehen permanent.

Die durchschnittliche Fluktuation in US-Krankenhäusern liegt bei rund 18,3 %, bei examinierten Pflegekräften bei etwa 16,4 % für das Jahr 2024

Für die Identitätsgovernance bedeutet das:

  • Ständig neue Eintritts-, Rollenwechsel- und Austrittsvorgänge.
  • Hunderte laufende Zugriffsanfragen für produktive Systeme, EHR, Radiologie, Labore, Terminplanung, Telemedizin und SaaS.
  • Ein dauerhaftes Risiko verwaister Konten - insbesondere, wenn das Offboarding von langsamen Ticket-Prozessen abhängt.

Die Branchenauswertung von Iden ist eindeutig: verwaiste EHR-Konten sind ein zentrales HIPAA-Risiko, verschärft durch hohe Personalfluktuation und verzögerten Entzug von Berechtigungen.

Hinzu kommen Hürden durch Cloud und SaaS:

  • Klinikteams nutzen Slack, Teams, Notion, Miro und gemeinsame Laufwerke, in denen Patienteninformationen leicht in falsche Kontexte geraten können.
  • Viele Anwendungen unterstützen SCIM nur teilweise - oder koppeln SCIM an teure Enterprise-Upgrades. Das ist die SCIM-Abgabe.
  • OT- und Produktionszugriffe (Medizingeräte, Bildgebung, Überwachung, lokale klinische Systeme) liegen oft komplett außerhalb moderner Identitätswerkzeuge.

Das Ergebnis ist Identitätsschatten: menschliche und nicht-menschliche Identitäten verteilen sich auf Dutzende Systeme. Kein Gesamtüberblick, keine durchgängige Durchsetzung.

Von starren Kontrollen zu kontinuierlicher, agentenbasierter Governance

Die meisten globalen Gesundheitsorganisationen steuern Identitäten noch so:

  • SSO (Okta, Entra) für zentrale Anmeldungen.
  • Manuelle Einrichtung in EHR, HR-Systemen und Fachanwendungen.
  • Vierteljährliche oder jährliche Zugriffsüberprüfungen in Tabellen.
  • Entzug von Berechtigungen per Tickets und lokalen Checklisten.

Schon unter HIPAA ist das fragil; unter dem Rechenschaftsmaßstab der DSGVO ist es praktisch nicht tragbar.

Warum statische Überprüfungen nicht standhalten

Starre, rein formale Überprüfungen versagen, wenn:

  • Ein Dienstleistungsvertrag endet, aber VPN- oder EHR-Zugang bestehen bleibt.
  • Pflegekräfte mit der Zeit immer umfangreichere Alt-Berechtigungen anhäufen "für alle Fälle".
  • Bot- oder Dienstkonten über Jahre Produktionszugriffe behalten, ohne je geprüft zu werden.

Aufsichtsbehörden erwarten kontinuierliche Governance und Entscheidungen in Echtzeit - nicht eine Bereinigung einmal im Jahr.

"Agentische" Identitätsgovernance: Was das in der Praxis bedeutet

Echte Identitätsgovernance für HIPAA + DSGVO verlangt:

  • Verwaltung jeder Identität - Mitarbeitende, Externe, Dienst- und KI-Konten - als vollwertige Identität.
  • Agentenbasierte (KI-gestützte, autonome) Abläufe, die Richtlinien interpretieren und Zugriffsentscheidungen in Echtzeit treffen.
  • Durchgängige Automatisierung über SSO, EHR, SaaS, OT und Fachanwendungen - auch dort, wo kein SCIM oder keine APIs vorhanden sind.
  • Unveränderliche Prüfprotokolle mit bankentauglicher Verschlüsselung, die Ihre Nachweise unangreifbar machen.
  • Keinen zusätzlichen Entwicklungsaufwand - entscheidend für schlanke IT- und Sicherheitsteams.

Genau hier setzt das Modell von Iden an: vollständige Governance mit universeller Konnektorabdeckung, fein granularen Berechtigungen und kontinuierlichen, richtliniengesteuerten Abläufen - ausgelegt für SaaS-getriebene Krankenhäuser mit Epic, Workday, ServiceNow, Long-Tail-SaaS, OT und Portalen für Leistungserbringer.

Fahrplan: Konkrete Schritte für transatlantische Gesundheitsanbieter

Wer gleichzeitig HIPAA und DSGVO unterliegt, braucht Klarheit, keine Theorie. Folgende Abfolge ist praxistauglich:

1. Identitäten, Systeme und Datenflüsse erfassen

  • Erfassen Sie alle Orte, an denen PHI bzw. Gesundheitsdaten liegen - EHR, LIS, RIS, HR, Terminplanung, OT, SaaS, Data Lakes.
  • Beziehen Sie nicht-menschliche Identitäten ein: Bots, API-Schlüssel, Hintergrunddienste.
  • Dokumentieren Sie grenzüberschreitende Datenflüsse - wer greift von den USA aus auf welche EU-Daten zu und über welche Werkzeuge.

2. Konsequent auf Minimalprinzip ausrichten

  • Definieren Sie granulare, rollen- und attributbasierte Modelle für alle Beschäftigten und externen Parteien.
  • Legen Sie Richtlinien in maschinenlesbarer Form fest, um Identitätsorchestrierung und automatisierte Bereitstellung zu steuern.
  • Erzwingen Sie Minimalprinzip und zeitlich begrenzte Zugriffe (z. B. Just-in-Time-Zugriff für Rufbereitschaftsspezialistinnen und -spezialisten).

3. Lücken bei Offboarding und Rollenwechsel schließen

  • Machen Sie HR (und das ärztliche Direktorium/Medical Staff Office) zur verbindlichen Datenquelle für Eintritt, Rollenwechsel und Austritt.
  • Nutzen Sie Governance, die bei Rollenänderung oder Vertragsende sofort über alle Systeme hinweg - auch ohne SCIM und On-Prem - Berechtigungen entzieht.
  • Behandeln Sie Leiharbeitskräfte und externe Dienstleister als vollumfänglich gesteuerte Identitäten - nicht als Ausnahmen.

Die universellen Konnektoren und die vollständige Lebenszyklusautomatisierung von Iden sind darauf ausgelegt, "jeden Eintritt/Rollenwechsel/Austritt - in jeder Anwendung, auch jenseits von Okta - durchgängig abzubilden".

4. Prüfprotokolle industrialisieren

  • Führen Sie alle Identitätsereignisse in einem zentralen Dashboard zusammen: Anfragen, Freigaben, Bereitstellungen, Entzüge.
  • Erzeugen Sie HIPAA- und DSGVO-Nachweise auf Knopfdruck - ohne Screenshots oder E-Mail-Nachfragen.
  • Nutzen Sie unveränderliche Protokolle und fein granulare Berechtigungen, um darzulegen, warum und wann Zugriffe gewährt oder entzogen wurden.

5. Für "neue Arten von Identitäten" rüsten

  • KI-Schreibassistenten, Diagnosetools und Entscheidungsunterstützungssysteme verarbeiten bereits heute PHI.
  • Behandeln Sie diese Agenten wie besonders risikoreiche Nutzer: eindeutige Identitäten, klar abgegrenzte Rollen, Lifecycle-Hooks.
  • Steuern Sie sie mit derselben Richtlinien-Engine und denselben agentenbasierten Abläufen wie jede andere Person.

Der European Health Data Space der EU verdeutlicht, dass der Austausch von Gesundheitsdaten massiv zunehmen wird - und erhöht damit die Anforderungen an Identität, Zugriff und Prüfkontrollen

Fazit: Vollständige, kontinuierliche Identitätsgovernance - oder Absturz

Transatlantische Krankenhäuser brauchen keine weiteren überlappenden Richtlinien, sondern eine einheitliche Governance-Schicht, die:

  • jede Anwendung mit Bezug zu Patientendaten abdeckt - unabhängig von SCIM-Unterstützung.
  • fein granulare Kontrollen für alle Identitäten - menschlich und nicht-menschlich - durchsetzt.
  • Joiner-Mover-Leaver-Prozesse automatisiert, um das Risiko verwaister Konten zu eliminieren.
  • unveränderliche Prüfprotokolle für Prüfungen durch OCR und EU-Aufsichtsbehörden jederzeit bereitstellen kann.

Für die nächsten 90 Tage bietet sich dieser praktische Fahrplan an:

  1. Prüfen Sie, welche Anwendungen mit PHI-Bezug bereits automatisierte Bereitstellung unterstützen - identifizieren Sie manuelle Lücken.
  2. Priorisieren Sie Risiken: EHR, Portale für Leistungserbringer, Datenlager, grenzüberschreitende Zugriffe.
  3. Testen Sie eine Governance-Plattform, die sich an SSO, HR, EHR andockt und auch nicht-SCIM-Anwendungen unterstützt - ohne teure Enterprise-Upgrades.
  4. Überführen Sie einen besonders kritischen Ablauf (z. B. Offboarding von Klinikpersonal oder Onboarding von Leihkräften) von ticketgetriebenem Chaos zu richtliniengesteuerter, agentenbasierter Automatisierung.

Vollständige Identitätsgovernance über Ihren gesamten Stack - schneller, einfacher und ohne Abstriche - ist der einzige Weg, um auf dem HIPAA/DSGVO-Seil sicher die Balance zu halten.

Häufig gestellte Fragen

Wie greifen HIPAA und DSGVO ineinander, wenn ein US-Krankenhaus EU-Patienten behandelt?

Sobald Sie Daten von EU-Patienten verarbeiten, gilt die DSGVO zusätzlich zu HIPAA. HIPAA regelt PHI und die US-Betriebe; die DSGVO gilt für alle personenbezogenen Daten - mit weitergehenden Rechten und strengeren Fristen. Sie müssen in jedem Bereich das jeweils höhere Schutzniveau einhalten und rechtmäßige grenzüberschreitende Datenübermittlungen sicherstellen (z. B. auf Basis von Angemessenheitsbeschlüssen oder Standardvertragsklauseln).

Reicht SSO (Okta, Entra) für Zugriffssteuerung nach HIPAA und DSGVO aus?

Nein. SSO deckt Authentifizierung und grundlegende Autorisierung ab, meist nur für SCIM-fähige Anwendungen und auf Gruppenebene. Für vollständige Bereitstellung und Entzug von Berechtigungen benötigen Sie eine Governance-Schicht - auch für nicht-SCIM-Anwendungen, zur Durchsetzung von Minimalprinzip-Richtlinien, für nicht-menschliche Identitäten und für lückenlose Prüfprotokolle. Iden liefert genau dies als Governance-Schicht oberhalb von SSO.

Was ist mit Integrationskonten, Bots und KI-Werkzeugen?

Nicht-menschliche Identitäten bergen mindestens ebenso hohe Risiken wie klinisches Personal. Ihr Zugriff ist oft breit, automatisiert und wird selten überprüft. Weisen Sie ihnen eindeutige Identitäten, klar abgegrenzte Rollen, zeitlich begrenzte Zugangsdaten und automatisierte Lebenszyklussteuerung zu - genauso wie bei Mitarbeitenden. Iden steuert alle Identitäten, menschlich wie nicht-menschlich, auf einer einzigen Plattform.

Wie unterstützt Identitätsgovernance die Rechte von Patienten und betroffenen Personen?

HIPAA und DSGVO garantieren beide ein Zugriffsrecht auf Daten (und unter der DSGVO zusätzlich Berichtigung, Löschung, Einschränkung). Ohne einheitliche Governance bedeuten solche Anfragen, dass Sie Berechtigungen in Dutzenden Systemen zusammensuchen müssen. Eine echte Governance-Plattform bietet eine zentrale Sicht auf alle Zugriffe einer Person - so können Sie Anfragen erfüllen, überflüssige Berechtigungen abbauen und Compliance sofort nachweisen.

Was sollte eine Plattform für Identitätsgovernance mindestens leisten?

Mindestanforderungen:

  • Universelle Konnektorabdeckung: EHR, Portale, OT, SaaS - mit oder ohne SCIM.
  • Fein granulare Berechtigungen (Akte, Projekt, Ressource) - nicht nur Gruppen.
  • Agentenbasierte, richtliniengesteuerte Abläufe für Anfragen, Freigaben und Offboarding.
  • Unveränderliche Prüfprotokolle, starke Verschlüsselung - bereit für Prüfung und Forensik.
  • Schnelle, ressourcenschonende Einführung - passend für schlanke IAM-Teams.

Wenn Sie diese Punkte erfüllen, verwandeln sich HIPAA und DSGVO von manueller Brandbekämpfung in kontinuierliche, automatisierte Compliance.