Änderungen der HIPAA-Bestimmungen zur reproduktiven Gesundheitsversorgung: Einhaltung der Vorschriften in einem unsicheren Umfeld hinsichtlich der Durchsetzung

Die Änderungen der HIPAA-Datenschutzbestimmungen zum Schutz von Informationen zur reproduktiven Gesundheitsversorgung (Änderungen) werden rechtlich angefochten, da das Datum für die Einhaltung der Vorschriften schnell näher rückt.

Wie in unserem vorherigen Beitrag ausführlicher erläutert, müssen regulierte Unternehmen die Änderungen bis zum 23. Dezember 2024 umsetzen (mit einer späteren Frist bis zum 16. Februar 2026 für die erforderlichen Änderungen der Datenschutzerklärung). Jüngste rechtliche Herausforderungen und eine neue Präsidentschaftsverwaltung machen die Durchsetzungslage für diese Änderungen unklar. Zum Zeitpunkt der Veröffentlichung dieses Blogs sollten regulierte Unternehmen jedoch darauf vorbereitet sein, die Änderungen bis zum 23. Dezember 2024 umzusetzen.

Aktuelle Fälle, in denen die Änderungen angefochten werden

Im nördlichen Bezirk von Texas wurden zwei Klagen gegen das Ministerium für Gesundheit und Soziales (HHS) eingereicht, mit denen die Ungültigkeit der Änderungen geltend gemacht werden soll. In den Klagen wird argumentiert, dass die Änderungen gegen das Verwaltungsverfahrensgesetz (APA) verstoßen, das regelt, wie Bundesbehörden Vorschriften und Regelungen erlassen und durchsetzen. Die Kläger argumentieren, dass ein Gericht gemäß dem APA eine behördliche Maßnahme, die die gesetzliche Befugnis einer Behörde überschreitet, oder Maßnahmen, die als willkürlich, launisch, als Missbrauch von Ermessensspielraum oder als nicht gesetzeskonform eingestuft werden, aufheben muss.

Die erste Klage, State of Texas v. HHS,[1] wurde im September 2024 vom Generalstaatsanwalt von Texas eingereicht. Der Generalstaatsanwalt von Texas macht geltend, dass HIPAA die Ermittlungsbefugnisse der Bundesstaaten in Bezug auf die Meldung von Krankheiten oder Verletzungen, Kindesmissbrauch, Geburten oder Todesfällen, die Überwachung der öffentlichen Gesundheit oder Ermittlungen oder Interventionen im Bereich der öffentlichen Gesundheit bewahrt und dass das HHS daher seine gesetzlichen Befugnisse überschritten habe, indem es regulierten Einrichtungen untersagt habe, Informationen zur reproduktiven Gesundheitsversorgung an Ermittler der Bundesstaaten weiterzugeben. Der Generalstaatsanwalt vertritt die Auffassung, dass das HHS seine gesetzlichen Befugnisse überschreitet, da die Änderungen die Fähigkeit eines Bundesstaates beeinträchtigen, seine eigenen Gesetze zur reproduktiven Gesundheitsversorgung, einschließlich Abtreibung und geschlechtsbejahender Versorgung, durchzusetzen. Der Generalstaatsanwalt von Texas strebt außerdem die Aufhebung von Bestimmungen der HIPAA-Datenschutzverordnung aus dem Jahr 2000 an und behauptet, dass der Kongress niemals beabsichtigt habe, dem HHS zu gestatten, die Umstände zu beschränken, unter denen ein reguliertes Unternehmen geschützte Gesundheitsdaten an Strafverfolgungsbehörden weitergeben darf.

Die zweite Klage, Purl gegen HHS,[2] wurde von einem Arzt aus Texas eingereicht, der ähnliche Ansprüche wie der Generalstaatsanwalt von Texas geltend macht. Der Arzt behauptet jedoch, dass die Änderungen Ärzten verbieten, Missbrauch oder Vernachlässigung zu melden, wenn es um Themen im Zusammenhang mit der reproduktiven Gesundheitsversorgung geht, einschließlich Abtreibungen oder Geschlechtsumwandlungen, oder sich an Aufforderungen der Strafverfolgungsbehörden zu beteiligen und diesen nachzukommen. Darüber hinaus argumentiert der Arzt, dass die Änderungen willkürlich und launenhaft seien, da das HHS nicht ausreichend erklärt habe, warum es diese neuen Verbote und Anforderungen aus anderen Gründen als als Reaktion auf das Urteil des Obersten Gerichtshofs in der Rechtss ache Dobbs gegen Jackson Women's Health Organization[3] einführt.

In seiner eingereichten Antwort und Einwendung zum Fall Purl argumentiert das HHS, dass die Änderungen die Pflicht des Arztes, mutmaßlichen Missbrauch oder Vernachlässigung gemäß staatlichem Recht zu melden, nicht beeinträchtigen. Das HHS konzentrierte sich insbesondere auf die Tatsache, dass die Änderungen die Definition von „öffentlicher Gesundheit” beibehalten, die Überwachung, Untersuchung und Intervention als Mittel zur Vorbeugung von Krankheiten und zur Förderung der Gesundheit der Bevölkerung umfasst, im Gegensatz zur Durchführung von Untersuchungen oder der Auferlegung von Haftung für Personen, die Gesundheitsversorgung in Anspruch nehmen. Das HHS argumentiert, dass die Änderungen, da sie diese Definition beibehalten, die Möglichkeit eines Arztes, Missbrauch oder Vernachlässigung zu melden, nicht einschränken. Stattdessen verbieten die Änderungen lediglich die Möglichkeit eines Arztes, über Aktivitäten im Zusammenhang mit einer Person zu berichten, die reproduktive Gesundheitsversorgung in Anspruch nimmt, erhält, erbringt oder erleichtert, sodass ein vermuteter Missbrauch von dem Offenlegungsverbot ausgenommen wäre.

Wechsel in der Verwaltung

Derzeit ist auch unklar, ob das HHS unter der Trump-Regierung diese Klagen weiterhin verteidigen und/oder diese Änderungen durchsetzen wird. Vom 23. Dezember 2024 bis zu dem Zeitpunkt, an dem das Gericht über die Rechtmäßigkeit der Änderungen entscheidet oder konkrete Leitlinien von der Trump-Regierung nach ihrem Amtsantritt vorliegen, sollten regulierte Unternehmen jedoch die Änderungen einhalten, wenn sie Informationen zur reproduktiven Gesundheitsversorgung verwenden oder offenlegen.

HHS verstärkt in jüngster Einigung seine Unterstützung für den Schutz der Privatsphäre bei Informationen zur reproduktiven Gesundheitsversorgung

Im November 2024 schloss das HHS einen Vergleich mit einem Krankenhaus wegen der unzulässigen Weitergabe der vollständigen Krankenakte eines Patienten an dessen potenziellen Arbeitgeber; der Patient hatte eine Einwilligung unterzeichnet, die nur die Weitergabe eines einzigen Testergebnisses genehmigte. Die weitergegebenen Informationen umfassten Angaben zur reproduktiven Gesundheit, worauf das HHS in seinen öffentlichen Erklärungen zum Vergleich besonders einging – obwohl diese Weitergabe vor dem vorgeschriebenen Stichtag für die Einhaltung der Änderungen erfolgte.

In der verlinkten Pressemitteilung erklärte das HHS: „Patienten müssen darauf vertrauen können, dass sensible Gesundheitsdaten in ihren Akten geschützt sind, um ihr Vertrauen in die Arzt-Patienten-Beziehung zu bewahren und sicherzustellen, dass sie die benötigte Versorgung erhalten. Dies gilt insbesondere für die Privatsphäre im Bereich der reproduktiven Gesundheit.“ Die Überschrift der vom HHS veröffentlichten Meldung über die Einigung enthielt ebenfalls den Begriff „Informationen zur reproduktiven Gesundheit“. Dies ist ein Hinweis auf die Unterstützung, die das derzeitige HHS für diese Änderungen hat.

Wichtigste Erkenntnisse

Obwohl die Zukunft der Änderungen unklar ist, sollten regulierte Unternehmen ab dem 23. Dezember 2024 bis auf Weiteres darauf vorbereitet sein, die Änderungen bei der Verwendung oder Offenlegung von Informationen zur reproduktiven Gesundheitsversorgung einzuhalten. Um sich auf die Einhaltung vorzubereiten, sollten regulierte Unternehmen:

Aktualisieren Sie die HIPAA-Datenschutzrichtlinien und -Prozesse, um sicherzustellen, dass Informationen zur reproduktiven Gesundheitsversorgung nicht unter Verstoß gegen die Änderungen verwendet oder offengelegt werden.
Holen Sie Bescheinigungen ein, bevor Informationen zur reproduktiven Gesundheitsversorgung an Gesundheitsaufsichtsbehörden, Strafverfolgungsbehörden, Gerichtsmediziner oder medizinische Gutachter weitergegeben werden oder in Gerichts- oder Verwaltungsverfahren (einschließlich als Reaktion auf Vorladungen und Gerichtsbeschlüsse) verwendet werden.
Führen Sie aktualisierte Schulungen für Mitarbeiter durch, die für die Weitergabe von Gesundheitsdaten an Dritte verantwortlich sind, um die Einhaltung der Änderungen sicherzustellen.

Der Datenschutz im Gesundheitswesen entwickelt sich weiterhin rasant weiter, weshalb regulierte Unternehmen alle neuen Entwicklungen genau beobachten und weiterhin die notwendigen Schritte zur Einhaltung der Vorschriften unternehmen sollten. Wenn Sie Fragen zur Einhaltung der endgültigen Regelung und anderen aktuellen Änderungen der Datenschutzgesetze im Gesundheitswesen haben, wenden Sie sich bitte an einen der Autoren oder einen der Partner oder Senior Counsel der Cybersecurity and Data Privacy Groupoderder Health Care Practice Group von Foley.

[1] Texas gegen Dep’t Health & Hum. Servs., Nr. 5:24-cv-00204 (N.D. Tex. 4. September 2024).

[2] Purl gegen Dep’t Health & Hum. Servs., Nr. 2:24-cv-00228 (N.D. Tex. 21. Oktober 2024).

[3] Dobbs gegen Jackson Women’s Health Org., 597 U.S. 215 (2022).

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

Milwaukee 414.297.5339

[email protected]

New York 813.225.4194

[email protected]

Madison 608.250.7420

Ein Mann in dunklem Anzug und roter Krawatte steht lächelnd in einem hell erleuchteten, modernen Büroflur, der die Professionalität der Top-Anwälte in Chicago widerspiegelt.

[email protected]

Tampa 813.225.4129

Änderungen der HIPAA-Bestimmungen zur reproduktiven Gesundheitsversorgung: Einhaltung der Vorschriften in einem unsicheren Umfeld hinsichtlich der Durchsetzung

Aktuelle Fälle, in denen die Änderungen angefochten werden

Wechsel in der Verwaltung

HHS verstärkt in jüngster Einigung seine Unterstützung für den Schutz der Privatsphäre bei Informationen zur reproduktiven Gesundheitsversorgung

Wichtigste Erkenntnisse

Autor(en)

Lauren L. Hudon

Michaela L. Wiese

Jennifer J. Hennessy

Aaron T. Maguregui

Verwandte Einblicke

How Following “Doctors’ Orders” Provided a Defense in a First Circuit FCA Case

Einsatz digitaler Gesundheitstechnologien in klinischen Studien: Unterstützung durch MAHA und definierte Erwartungen aus der endgültigen Leitlinie der FDA

Fusionen und Übernahmen in der GLP-1-Technologie: Praktische Empfehlungen und Best Practices