New Yorks vorgeschlagenes Gesetz zum Schutz von Gesundheitsdaten zielt auf digitale Gesundheitsunternehmen ab

Das New Yorker Gesetz zum Schutz von Gesundheitsdaten (NYHIPA) könnte, wenn es in Kraft tritt, einen abschreckenden Effekt auf den Zugang und die Nutzung von leicht verfügbaren digitalen Gesundheitsdiensten haben, auf die sich die Einwohner New Yorks verlassen. Digitale Gesundheitsunternehmen werden wahrscheinlich Schwierigkeiten haben, die Patientenbindung und die Koordinierung der Versorgung aufrechtzuerhalten, und aufgrund der finanziellen und betrieblichen Belastungen, die durch das NYHIPA entstehen, mit ziemlicher Sicherheit Hindernisse bei der Verbesserung ihrer Produkte und Dienstleistungen zu bewältigen haben.

Am 23. Januar 2025 wurde das NYHIPA sowohl vom Senat als auch vom Repräsentantenhaus des Bundesstaates New York verabschiedet und wird nun dem Gouverneur zur Unterzeichnung vorgelegt. Sollte es in Kraft treten, würde das NYHIPA erhebliche Auswirkungen darauf haben, wie digitale Gesundheitsunternehmen in New York Gesundheitsdaten von Verbrauchern erheben, weitergeben und nutzen.

Wer unterliegt der Regulierung?

In seiner derzeitigen Fassung gilt das NYHIPA für alle Gesundheitsorganisationen mit Patienten oder Kunden, die einen Bezug zu New York haben.

Insbesondere würde NYHIPA für alle Unternehmen gelten, die:

kontrolliert die Verarbeitung regulierter Gesundheitsdaten eines Einwohners von New York,
kontrolliert die Verarbeitung regulierter Gesundheitsdaten einer Person, die sich physisch in New York aufhält, während sich diese Person in New York befindet, oder
hat seinen Sitz in New York und kontrolliert die Verarbeitung regulierter Gesundheitsdaten.

Die Ausnahmen auf Unternehmensebene sind im Vergleich zu anderen Verbraucherdatenschutzgesetzen begrenzt. Unternehmen, die unter HIPAA fallen, sind ausgenommen, jedoch nur insofern, als das Unternehmen Patienteninformationen auf die gleiche Weise wie HIPAA-geschützte Gesundheitsinformationen verwaltet. Obwohl traditionelle Krankenakten, die von unter HIPAA fallenden Unternehmen geführt werden, wahrscheinlich ausgenommen sind, unterliegen personenbezogene Daten, die zu Beginn des Benutzer-Workflows erfasst werden, wahrscheinlich dem NYHIPA und den unten beschriebenen strengen Genehmigungsanforderungen, bevor sie von einem regulierten Unternehmen verarbeitet werden – es sei denn, das Unternehmen ist ein unter HIPAA fallendes Unternehmen und behandelt diese Daten als HIPAA-geschützte Gesundheitsdaten.

Welche Informationen sind reguliert?

NYHIPA strebt die Regulierung aller Informationen an, die mit Gesundheit oder Wohlbefinden in Verbindung gebracht werden können, einschließlich Gerätedaten. Die regulierten Informationen sind alle Informationen, die in angemessener Weise mit einer Person oder einem Gerät in Verbindung gebracht werden können und im Zusammenhang mit der körperlichen oder geistigen Gesundheit einer Person erfasst oder verarbeitet werden, einschließlich Standort- oder Zahlungsinformationen, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen, oder alle Rückschlüsse, die auf die körperliche oder geistige Gesundheit einer Person gezogen oder abgeleitet werden und in angemessener Weise mit einer Person oder einem Gerät in Verbindung gebracht werden können. Durch HIPAA geschützte Gesundheitsdaten und anonymisierte Informationen wären von der Regulierung ausgenommen.

Was sind die Verarbeitungsbeschränkungen?

Die „Verarbeitung“ müsste genau auf das von einer Person angeforderte spezifische Produkt oder die angeforderte Dienstleistung zugeschnitten sein, es sei denn, es liegt eine ausdrückliche Genehmigung vor. Unter Verarbeitung versteht man gemäß der Definition im NYHIPA im Allgemeinen jeden Vorgang, der mit Gesundheitsdaten durchgeführt wird, einschließlich der Erhebung, Nutzung, Offenlegung, des Zugriffs, des Verkaufs, der Weitergabe, der Erstellung, der Generierung oder der Anonymisierung von Gesundheitsdaten.

Regulierte Unternehmen dürfen Gesundheitsdaten nur verarbeiten, wenn:

die Person eine Genehmigung erteilt hat; oder
die Verarbeitung für bestimmte, aufgeführte Zwecke unbedingt erforderlich ist, darunter die Bereitstellung oder Aufrechterhaltung eines bestimmten Produkts oder einer bestimmten Dienstleistung, die von dieser Person angefordert wurde, oder die Durchführung der internen Geschäftsabläufe des regulierten Unternehmens.

Am wichtigsten ist jedoch, dass interne Geschäftsabläufe ausdrücklich alle Aktivitäten im Zusammenhang mit Marketing, Werbung, Forschung und Entwicklung oder der Bereitstellung von Produkten oder Dienstleistungen für Dritte ausschließen, sofern keine ausdrückliche Genehmigung der Person vorliegt, die solche Aktivitäten genehmigt. Dies wird sicherlich für Unruhe innerhalb der Digital-Health-Community sorgen.

Wann kann eine Genehmigung eingeholt werden und was muss die Genehmigung beinhalten?

NYHIPA wird es verbieten, innerhalb von 24 Stunden nach der Kontoerstellung oder der ersten Nutzung des Produkts oder der Dienstleistung eine Einwilligung von einer Person einzuholen. Eine Opt-in-Einwilligung reicht nicht aus, da Einzelpersonen für jede Aktivität, die nicht als unbedingt notwendig für die von ihnen angeforderten Produkte oder Dienstleistungen erachtet wird, eine ausdrückliche Genehmigung einholen müssen.

Die Genehmigung muss

separat von jedem Teil einer Transaktion durchgeführt werden;
(ii) mindestens 24 Stunden nach der Erstellung eines Kontos durch die Person oder der ersten Nutzung des angeforderten Produkts oder der angeforderten Dienstleistung erfolgen; und
dem Einzelnen unter anderem die Möglichkeit geben, für jede Kategorie von Verarbeitungsaktivitäten separat eine Einwilligung zu erteilen oder zu verweigern.

Für Personen, die ein Online-Konto bei dem Unternehmen haben – was bei den meisten digitalen Gesundheitsunternehmen der Fall sein wird –, muss das regulierte Unternehmen „an einer gut sichtbaren und leicht zugänglichen Stelle innerhalb der Kontoeinstellungen“ eine Liste aller Verarbeitungsaktivitäten bereitstellen, für die die Person ihre Zustimmung erteilt hat, und der Person für jede Verarbeitungsaktivität die Möglichkeit geben, ihre Zustimmung an derselben Stelle „mit einer einzigen Bewegung oder Aktion“ zu widerrufen. Unternehmen dürfen ein Produkt oder eine Dienstleistung nicht von der Erteilung einer Genehmigung abhängig machen und dürfen eine Person nicht wegen der Verweigerung einer Genehmigung diskriminieren, beispielsweise durch die Berechnung unterschiedlicher Preise für Produkte oder Dienstleistungen, einschließlich durch die Gewährung von Rabatten oder anderen Vorteilen.

Ist eine Datenschutzerklärung erforderlich?

NYHIPA würde eine Datenschutzerklärung verlangen, wenn ein reguliertes Unternehmen Gesundheitsdaten für einen zulässigen Zweck ohne Genehmigung verarbeitet. Die Erklärung müsste die verarbeiteten Daten, die Art der Verarbeitung, die „spezifischen Zwecke” dieser Verarbeitung, die Namen oder Kategorien der Dienstleister und Dritten, an die die Daten weitergegeben werden, sowie den Zweck der Weitergabe und den Mechanismus enthalten, mit dem die betroffene Person Zugang zu ihren Gesundheitsdaten und deren Löschung beantragen kann. Insbesondere wenn das regulierte Unternehmen seine Verarbeitungstätigkeiten wesentlich ändert, müsste es eine klare und auffällige Erklärung bereitstellen, die sich von der Datenschutzerklärung, den Nutzungsbedingungen oder ähnlichen Dokumenten, die alle wesentlichen Änderungen der Verarbeitungstätigkeiten beschreibt und der betroffenen Person die Möglichkeit gibt, die Löschung ihrer Gesundheitsdaten zu beantragen. Es ist zu beachten, dass im Gegensatz zu anderen Verbraucherdatenschutzgesetzen die einzige Ausnahme von der Löschungsverpflichtung gemäß NYHIPA in der vorgeschlagenen Fassung die Aufbewahrung „soweit dies zur Erfüllung der gesetzlichen Verpflichtungen des regulierten Unternehmens erforderlich ist“ zulässt.

Was sind weitere wichtige Anforderungen, die Unternehmen im Bereich digitale Gesundheit beachten sollten?

NYHIPA verpflichtet Dienstleister dazu, Gesundheitsdaten nach regulierten Unternehmen zu trennen. Regulierte Unternehmen müssen eine schriftliche Vereinbarung mit Dienstleistern abschließen. Die erforderlichen Bedingungen für diese Vereinbarungen ähneln im Allgemeinen anderen Verbraucherdatenschutzgesetzen. NYHIPA verlangt jedoch zusätzlich, dass der Dienstleister:

die Gesundheitsdaten, die der Dienstleister von oder im Namen des regulierten Unternehmens erhält, nicht mit anderen personenbezogenen Daten zu kombinieren, die der Dienstleister von oder im Namen einer anderen Partei erhält oder aus seiner eigenen Beziehung zu Einzelpersonen sammelt; und
(ii) das regulierte Unternehmen „rechtzeitig im Voraus“ benachrichtigen, bevor Gesundheitsdaten an weitere Dienstleister weitergegeben werden.

Alle Websites und Mitteilungen müssen für Menschen mit Behinderungen in angemessener Weise zugänglich sein und in den Sprachen verfügbar sein, in denen das regulierte Unternehmen Informationen über seine Website und Dienste bereitstellt.

Wann könnte dieses Gesetz in Kraft treten und welche Strafen sind möglich?

NYHIPA würde ein Jahr nach Unterzeichnung des Gesetzes in Kraft treten.

Der Generalstaatsanwalt von New York wäre befugt, das Gesetz durchzusetzen, einschließlich zivilrechtlicher Strafen in Höhe von 50.000 US-Dollar pro Verstoß oder 20 % der im letzten Geschäftsjahr mit Verbrauchern aus New York erzielten Einnahmen, je nachdem, welcher Betrag höher ist, sowie weiterer Rechtsbehelfe. Der Generalstaatsanwalt ist außerdem befugt, Durchführungsbestimmungen und Vorschriften zu erlassen.

Was sind die praktischen Auswirkungen des NYHIPA?

NYHIPA wird digitale Gesundheitsunternehmen vor erhebliche finanzielle und betriebliche Hürden stellen. Regulierte Unternehmen müssten ihre Websites und Benutzerabläufe für jede Verarbeitungsaktivität, für die sie die Genehmigung einer Person einholen, aktualisieren und alle notwendigen Upgrades vornehmen, um die neuen Anforderungen an die Barrierefreiheit zu erfüllen. Die 24-stündige Sperrfrist für die Einholung von Genehmigungen wird effektiv ein Hindernis für Aktivitäten darstellen, die die Patientenerfahrung, -bindung und -aufklärung verbessern. Dienstleister werden finanzielle Auswirkungen spüren, wenn sie die Anforderungen zur Trennung der Gesundheitsdaten jedes regulierten Unternehmens umsetzen. Schließlich wird das NYHIPA von digitalen Gesundheitsunternehmen verlangen, ein weiteres staatliches Verbraucherschutzgesetz einzuhalten, das sich wesentlich von anderen staatlichen Datenschutzgesetzen unterscheidet.

Was sollten digitale Gesundheitsunternehmen als Nächstes tun?

NYHIPA wurde von beiden Kammern des Parlaments verabschiedet und wartet nur noch auf die Unterschrift des Gouverneurs, um in Kraft zu treten. Wie oben erwähnt, würde das Gesetz ein Jahr nach der Unterzeichnung durch den Gouverneur in Kraft treten. Dieser Zeitraum von einem Jahr ist für digitale Gesundheitsunternehmen eine unglaublich kurze Zeit, um die Änderungen umzusetzen, die zur Einhaltung von NYHIPA erforderlich wären. Daher sollten digitale Gesundheitsunternehmen mit Patienten oder Kunden in New York, falls das Gesetz in Kraft tritt, unverzüglich mit der Planung zur Einhaltung von NYHIPA beginnen.

Der Datenschutz im Gesundheitswesen entwickelt sich weiterhin rasant. Daher sollten Unternehmen im Bereich der digitalen Gesundheit alle neuen Entwicklungen genau beobachten und weiterhin die notwendigen Schritte zur Einhaltung der Vorschriften unternehmen. Wenn Sie Fragen zur Einhaltung der Datenschutzgesetze für Verbraucher im Gesundheitswesen oder zu anderen aktuellen Änderungen der Datenschutzgesetze im Gesundheitswesen haben, wenden Sie sich bitte an einen der Autoren oder einen der Partner oder Senior Counselder Cybersecurity and Data Privacy Groupoderder Health Care Practice Group von Foley.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

Madison 608.250.7420

Ein Mann in dunklem Anzug und roter Krawatte steht lächelnd in einem hell erleuchteten, modernen Büroflur, der die Professionalität der Top-Anwälte in Chicago widerspiegelt.

[email protected]

Tampa 813.225.4129

New Yorks vorgeschlagenes Gesetz zum Schutz von Gesundheitsdaten zielt auf digitale Gesundheitsunternehmen ab

Wer unterliegt der Regulierung?

Welche Informationen sind reguliert?

Was sind die Verarbeitungsbeschränkungen?

Wann kann eine Genehmigung eingeholt werden und was muss die Genehmigung beinhalten?

Ist eine Datenschutzerklärung erforderlich?

Was sind weitere wichtige Anforderungen, die Unternehmen im Bereich digitale Gesundheit beachten sollten?

Wann könnte dieses Gesetz in Kraft treten und welche Strafen sind möglich?

Was sind die praktischen Auswirkungen des NYHIPA?

Was sollten digitale Gesundheitsunternehmen als Nächstes tun?

Autor(en)

Jennifer J. Hennessy

Aaron T. Maguregui

Verwandte Einblicke

How Following “Doctors’ Orders” Provided a Defense in a First Circuit FCA Case

Einsatz digitaler Gesundheitstechnologien in klinischen Studien: Unterstützung durch MAHA und definierte Erwartungen aus der endgültigen Leitlinie der FDA

Fusionen und Übernahmen in der GLP-1-Technologie: Praktische Empfehlungen und Best Practices