Der Schutz, die Sicherheit und die ständige Verfügbarkeit der Kundendaten haben bei Google höchste Priorität. Kunden, die dem US‑Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) unterliegen und somit HIPAA-Auflagen erfüllen müssen, haben die Möglichkeit, bestimmte Google Workspace- und Cloud Identity-Dienste HIPAA-konform einzusetzen.
Gemäß HIPAA sind bestimmte Informationen zum Gesundheitszustand und zu den in Anspruch genommenen Gesundheitsleistungen einer Person als „Geschützte Gesundheitsdaten“ (Protected Health Information, PHI) klassifiziert. Google Workspace- und Cloud Identity-Kunden, die HIPAA unterliegen und bestimmte Google Workspace- oder Cloud Identity-Dienste nutzen möchten, die in der Liste der HIPAA-konformen Dienste aufgeführt sind, müssen eine Änderungsvereinbarung für Geschäftspartner (Business Associate Amendment, BAA) mit Google abschließen.
Kunden, die Google Workspace und Cloud Identity nutzen, müssen selbst prüfen, ob sie HIPAA unterliegen und ob sie PHI in Google-Diensten verwenden oder verwenden möchten. Kunden, die keine BAA mit Google eingegangen sind, dürfen PHI in Google Workspace- oder Cloud Identity-Diensten nicht verwenden.
Administratoren müssen eine BAA zur Kenntnis nehmen und akzeptieren, damit sie PHI in Google-Diensten nutzen können. Eine Liste der Google Workspace-Produkte, die HIPAA-konform sind, finden Sie hier.
Wir haben den HIPAA-Implementierungsleitfaden für Google Workspace und Cloud Identity veröffentlicht, damit Kunden nachvollziehen können, wie Daten in Google-Diensten beim Umgang mit PHI organisiert werden. Er richtet sich an Mitarbeiter in Organisationen, die für die HIPAA-Implementierung und -Compliance in Google Workspace und Cloud Identity verantwortlich sind.
Häufig gestellte Fragen
Wie erhalte ich eine Kopie meiner elektronisch akzeptierten HIPAA-BAA?
Die HIPAA-BAA wird Kunden über ihre Admin-Konsole zur Verfügung gestellt und kann elektronisch akzeptiert werden. Sie ist ebenso rechtsverbindlich wie eine Vereinbarung in Papierform. Als Nachweis der elektronischen Annahme kann der Kunde einen Screenshot des HIPAA-Akzeptanzprotokolls erstellen, das im Abschnitt Rechtliches und Compliance der Admin-Konsole angezeigt wird. Rufen Sie in einem Super Admin-Konto die Startseite der Admin-Konsole auf. Gehen Sie dann zu Kontoeinstellungen 
Rechtliches und Compliance.
Sind smarte Gmail-Funktionen in der HIPAA-Compliance enthalten?
Die Funktion „Formuliere für mich“, kontextbezogene intelligente Antworten und die Funktionen der Seitenleiste sind als Teil von Google Workspace mit Gemini in HIPAA-konformen Diensten enthalten. Weitere Informationen zu smarten Funktionen finden Sie unter Mit Gemini in Gmail zusammenarbeiten.
Sind Anwendungen von Drittanbietern in der BAA für Google Workspace berücksichtigt?
Anwendungen von Drittanbietern, einschließlich Add-ons, sind von der BAA ausgenommen. Weitere Informationen finden Sie in unserem Leitfaden zur Implementierung von Google Workspace und Cloud Identity in Übereinstimmung mit HIPAA.
Wie kann ich Dokumente auf HIPAA-konforme Weise an eine externe Domain senden?
Wenn Sie PHI innerhalb oder außerhalb der Google Workspace-Domain freigeben, sollten Sie die Richtlinien Ihrer Organisation in Bezug auf den Umgang mit PHI einhalten. Sie können die entsprechende Freigabemethode innerhalb oder außerhalb von Google Workspace so auswählen, dass diese Richtlinien eingehalten werden und mit den domainweiten Einstellungen von Google Workspace konform sind. Im Leitfaden zur Implementierung von Google Workspace und Cloud Identity in Übereinstimmung mit HIPAA finden Sie eine Anleitung zum Einschränken des Zugriffs auf PHI innerhalb einer Google Workspace-Domain, z. B. zum Freigeben für bestimmte Empfänger, nicht für Personen, die den Link haben.
Plant Google, Google-Produkte hinzuzufügen, die derzeit in den HIPAA-konformen Diensten nicht berücksichtigt sind?
Google prüft kontinuierlich den Umfang der abgedeckten Produkte und kann in Zukunft weitere Produkte hinzufügen. Beachten Sie, dass sich weder der Zusatz zur Verarbeitung von Cloud-Daten (CDPA) noch die BAA-Bedingungen auf zusätzliche Google-Dienste beziehen. Google arbeitet kontinuierlich daran, weitere Steuerelemente im Zusammenhang mit zusätzlichen Google-Diensten bereitzustellen und führt diese gegebenenfalls als neue Funktionen in den Diensten ein.