Update der HIPAA Security Rule 2026: Alles, was Ihre Organisation wissen muss
Die umfassendste Überarbeitung der HIPAA Security Rule seit über zwei Jahrzehnten steht kurz vor dem Abschluss. Das HHS hat im Januar 2025 seine Notice of Proposed Rulemaking veröffentlicht, und die Aufsichtsbehörden streben an, die Aktualisierungen bis Mai 2026 zu finalisieren. Neue verpflichtende Anforderungen an Verschlüsselung, Multi-Faktor-Authentifizierung, Risikobeurteilungen und eine Meldepflicht für Vorfälle innerhalb von 72 Stunden werden jede betroffene Einrichtung und jeden Geschäftspartner betreffen.
Da die Compliance-Fristen möglicherweise bereits vor Ende 2026 ablaufen, drohen Organisationen, die mit der Vorbereitung bis zur endgültigen Regelung warten, einen gefährlich engen Zeitplan. Diese Seite ist Ihr umfassender, umsetzbarer Leitfaden dazu, was sich ändert und welche konkreten Schritte Sie schon heute unternehmen können.
Kostenlose Vorbereitungs-Checkliste 2026 herunterladen275 Mio.+
Im Jahr 2024 kompromittierte Gesundheitsdatensätze
HHS OCR Breach Portal, HIPAA Journal Report 2024
9 Mrd. USD
Geschätzte Compliance-Kosten im ersten Jahr für alle regulierten Einrichtungen
OCR-Schätzung, zitiert von Alston & Bird, November 2025
240 Tage
Vorgeschlagenes Compliance-Zeitfenster nach Veröffentlichung der endgültigen Regelung
HHS NPRM, Federal Register, Januar 2025
4'745
Eingegangene öffentliche Stellungnahmen zur vorgeschlagenen Regelung
OCR Deputy Director Tim Noonan, HIPAA Summit 2025
Sechs Anforderungen, die Ihr Compliance-Programm grundlegend verändern
Das vorgeschlagene Update der HIPAA Security Rule führt konkrete, präskriptive Vorgaben ein, die jahrelange flexible Leitlinien ersetzen. Jede der nachstehenden Änderungen hat unmittelbare operative Auswirkungen für betroffene Einrichtungen und Geschäftspartner.
Strukturelle Änderung
Keine Unterscheidung mehr zwischen «addressable» und «required»
Der Vorschlag beseitigt die seit Langem bestehende Unterscheidung zwischen «required» und «addressable» Implementierungsvorgaben. Mit dem Update müssen Organisationen sowohl die Standards als auch die Vorgaben erfüllen; die einzige Flexibilität besteht darin, wie Sie Massnahmen umsetzen, nicht ob Sie sie umsetzen.
Das bedeutet, dass Sicherheitsmassnahmen, die viele Organisationen als «nicht anwendbar» dokumentiert oder durch alternative Massnahmen ersetzt haben, nun zu verpflichtenden, prüfbaren Nachweisen werden.
Quelle: HHS NPRM, veröffentlicht im Federal Register, 06.01.2025
Technische Schutzmassnahme
Verpflichtende Verschlüsselung aller ePHI
Die Verschlüsselung elektronisch geschützter Gesundheitsdaten (ePHI) wird zur universellen Anforderung, sowohl im Ruhezustand als auch bei der Übertragung. Die bisherige «addressable»-Ausnahme, die es Organisationen erlaubte, alternative Massnahmen zu dokumentieren, entfällt vollständig.
Organisationen, die unverschlüsselte ePHI noch auf Altsystemen betreiben, sehen sich einer harten Frist gegenüber, um diese Systeme zu verschlüsseln oder zu ersetzen. Jede Datei mit Patientendaten muss durchgängig verschlüsselt sein, ob auf Servern, in der Cloud oder bei der Übertragung.
Quelle: HHS Office for Civil Rights NPRM, 45 CFR 164.312
Zugriffskontrolle
Multi-Faktor-Authentifizierung erforderlich
MFA wird für jeden Zugriff auf ePHI und auf Systeme mit ePHI verpflichtend. Das betrifft klinische Arbeitsabläufe, den Zugriff durch Anbieter, Remote-Arbeitsumgebungen und den Zugang zu Altanwendungen bei jeder betroffenen Einrichtung und jedem Geschäftspartner.
Die Bedeutung ist klar: 2024 waren 81 % der Datenschutzverletzungen im Gesundheitswesen mit kompromittierten Zugangsdaten verbunden. Die Durchsetzung von MFA ist eine der wirkungsvollsten Massnahmen, die eine Gesundheitsorganisation heute umsetzen kann.
Statistik zu Zugangsdaten: HIPAA Journal, 2024 Healthcare Data Breach Report
Risikomanagement
Präskriptive, schriftliche Risikobeurteilungen
Risikobeurteilungen müssen einem vorgeschriebenen Format folgen: Inventar der Technologie-Assets, Netzwerkkarte zur Darstellung der ePHI-Bewegungen, Bedrohungsidentifikation für jedes Asset, Schwachstellenbeurteilung und dokumentierte Methodik zur Risikobewertung.
Aus dem vagen Standard «eine Risikobeurteilung durchführen» wird ein detaillierter, prüfbarer Nachweis. Organisationen benötigen einen systematischen, wiederholbaren Prozess, keine einmalige Tabellenkalkulation. Auch jährliche Compliance-Audits sind als eigenständige Anforderung vorgesehen.
Quelle: HHS NPRM, vorgeschlagene Änderungen zu 45 CFR 164.308
Schwachstellenmanagement
Halbjährliche Scans und jährliche Penetrationstests
Betroffene Einrichtungen müssen ihre Systeme mindestens zweimal jährlich auf Sicherheitslücken scannen und jährlich Penetrationstests durchführen. Vorgeschlagen wird zudem eine Netzwerksegmentierung, um Systeme mit ePHI von Allzwecknetzwerken zu isolieren.
Diese Anforderungen kodifizieren, was viele Sicherheits-Frameworks bereits empfehlen, und bringen HIPAA stärker in Einklang mit den Standards des NIST Cybersecurity Framework sowie den eigenen Cybersecurity Performance Goals des HHS.
Quelle: HHS NPRM, vorgeschlagene Anforderungen an technische Schutzmassnahmen
Reaktion auf Vorfälle
Wiederherstellung innerhalb von 72 Stunden und schnellere Benachrichtigung
Notfallpläne müssen die Fähigkeit nachweisen, kritische Systeme innerhalb von 72 Stunden nach einem Ransomware-Angriff oder einer anderen Störung wiederherzustellen. Geschäftspartner müssen betroffene Einrichtungen innerhalb von 24 Stunden nach Aktivierung ihres Plans zur Reaktion auf Vorfälle benachrichtigen.
2024 wurden dem HHS 725 grosse Datenschutzverletzungen im Gesundheitswesen gemeldet, das dritte Jahr in Folge mit über 700 Verletzungen. Allein der Ransomware-Angriff auf Change Healthcare betraf schätzungsweise 192,7 Millionen Personen.
Verletzungsstatistiken: HIPAA Journal, 2024 Healthcare Data Breach Report (HHS-OCR-Daten)
Unsicher, wo Ihre Organisation bei diesen sechs Anforderungen steht?
Unsere kostenlose Checkliste ordnet jeder vorgeschlagenen Änderung konkrete Massnahmen zu, die Sie schon heute ergreifen können, noch bevor die Compliance-Fristen final feststehen.
Kostenlose Vorbereitungs-Checkliste 2026 herunterladenBelege statt Versprechen
Echte Ergebnisse von echten Compliance-Teams
200+
Eingesparte Stunden bei der ISO-27001-Vorbereitung
Medtec nutzte Priverion, um die Dokumentation, Nachweissammlung und Richtlinienvorbereitung zu bewältigen, die Organisationen manuell üblicherweise 6 bis 12 Monate kostet.
Ergebnis des Kunden Medtec. Branchenüblicher ISO-27001-Zeitrahmen: 3 bis 12 Monate (Vanta, 2025).
60%
Geringere Kosten als bei Enterprise-Plattformen
Vorhersehbare Preise auf Basis der Anzahl und Grösse der Unternehmen, nicht pro Nutzer oder pro Modul. Keine Erweiterungsfallen, keine sechsstelligen Überraschungen bei der Verlängerung.
Verglichen mit medianen Enterprise-OneTrust-Implementierungen im mittleren bis hohen sechsstelligen Bereich pro Jahr (Vendr, Februar 2026).
3 Mt.
Vorsprung bei der ISO-27001-Bereitschaft
Die auditfertigen Nachweispakete und Richtlinienvorlagen von Priverion verkürzen monatelange Vorbereitung. Medtec erreichte die Bereitschaft in einem Bruchteil des üblichen Zeitrahmens.
Ergebnis des Kunden Medtec. Typische Zertifizierung: 6 bis 9 Monate für die meisten Organisationen (ISMS.online, 2026).
Gebaut für die Realität des Mittelstands, nicht für Enterprise-Komplexität
Mit DSGVO-Bussgeldern von über 7,1 Milliarden Euro und zunehmender Durchsetzung brauchen Sie eine Plattform, die Sie schnell compliant macht. Nicht eine, deren Konfiguration Monate dauert.
Priverion
Eigens für Datenschutzprogramme über mehrere Einheiten entwickelt
-
Schweizer Datensouveränität, garantiert
In der Schweiz entwickelt und in der Schweiz gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur. Die Schweiz verfügt über den EU-Angemessenheitsstatus, sodass Ihre grenzüberschreitenden Übermittlungen schon vom Design her rechtlich belastbar sind.
-
Einsatzbereit in Wochen, nicht in Monaten
Klare, intuitive Benutzerführung, konzipiert für Datenschutzbeauftragte und Compliance-Verantwortliche. Kein dediziertes Implementierungsteam erforderlich. Ein Flugzeughersteller verzeichnete innerhalb von sechs Monaten eine Reduktion des administrativen Compliance-Aufwands um 60 %.
Flugzeughersteller, erste 6 Monate
-
Vorhersehbare, transparente Preise
Bepreist nach Anzahl der Unternehmen und organisatorischer Grösse. Nicht pro Nutzer, nicht pro Modul. Keine Erweiterungsfallen, keine überraschenden Erhöhungen bei der Verlängerung.
-
All-in-one-Datenschutzplattform
Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Vorfallmanagement, Bearbeitung von Betroffenenanfragen, Data Mapping und KI-Register für die Bereitschaft zum EU AI Act. Eine Plattform, ein Preis.
-
KI-gestützt, menschlich gesteuert
Die KI unterstützt beim Entwerfen von DSFA, beim Bewerten von Risiken und beim Mapping von Vorschriften. Jedes Ergebnis wird geprüft, bevor es zu einem Compliance-Nachweis wird. Es werden niemals Kundendaten für das Modelltraining verwendet.
OneTrust
Gebaut für den Massstab und die Komplexität der Fortune 500
-
US-Hauptsitz, Hosting in mehreren Regionen
OneTrust ist ein US-amerikanisches Unternehmen. Zwar bestehen EU-Hosting-Optionen, doch die Konzernstruktur bedeutet, dass Ihre Daten der US-Rechtsprechung unterliegen können, einschliesslich möglicher Anfragen nach dem CLOUD Act.
-
Steile Lernkurve, lange Einrichtung
Rezensenten aus dem Mittelstand nennen durchgängig wochenlange Konfigurationszeiten und eine überladene Oberfläche. Implementierungsdienste verursachen zusätzliche Kosten zur Lizenzierung.
Verifizierte Rezensionen auf G2 und Capterra, 2025–2026
-
Intransparente, modulare Preise
Keine veröffentlichten Preise. Jedes Modul wird nach einer eigenen Kennzahl abgerechnet, und die Kosten können steigen, wenn Ihr Team oder Ihr Datenbestand wächst. OneTrust veröffentlicht keine Listenpreise; Käufer sollten vorab ein mehrjähriges Angebot anfordern, das alle Module und Lizenzen abdeckt.
Vendr-Marktdaten, Februar 2026
-
Modular: Bezahlung pro Funktion
Fünf separate Produktlinien, jede mit eigener Preisstufe. Mittelständische Organisationen landen häufig im unteren bis mittleren sechsstelligen Bereich pro Jahr, sobald sie die tatsächlich benötigten Module hinzufügen.
Vendr-Preisanalyse, Februar 2026
-
Breiter Funktionsumfang, breite Komplexität
OneTrust deckt ESG, Ethik, Cookie-Einwilligung und über 300 Rechtsordnungen ab. Wenn Sie all das benötigen, ist es eine starke Wahl. Wenn Ihre Priorität jedoch das Management von Datenschutzprogrammen über mehrere Einheiten ist, wird ein Grossteil dieses Umfangs zum Overhead.
Eine Anmerkung zur Fairness: OneTrust ist eine leistungsfähige Plattform für global tätige Unternehmen, die über 300 regulatorische Vorlagen, ESG-Module und Cookie-Einwilligungsmanagement benötigen. Diese Bereiche decken wir nicht ab. Priverion ist eigens für Organisationen entwickelt, die Datenschutzprogramme über mehrere Tochtergesellschaften hinweg verwalten, und genau darauf konzentrieren wir unsere gesamte Produktinvestition.
Acht Schritte zur Vorbereitung, bevor die endgültige Regelung kommt
Sie müssen nicht auf die endgültige Regelung warten, um Lücken zu schliessen. Diese acht Massnahmen lassen sich direkt den vorgeschlagenen Anforderungen zuordnen und verschaffen Ihrer Organisation einen Vorsprung innerhalb des 240-tägigen Compliance-Zeitfensters.
01
Ein Inventar der Technologie-Assets erstellen
- Identifizieren Sie jedes System, jede Anwendung und jedes Gerät, das ePHI erstellt, empfängt, speichert oder übermittelt
- Dokumentieren Sie den Netzwerkstandort und die Datenflüsse für jedes Asset
- Kennzeichnen Sie Altsysteme, die keine Verschlüsselungs- oder MFA-Fähigkeit besitzen
02
ePHI-Datenflüsse über alle Einheiten hinweg abbilden
- Erstellen Sie ein Netzwerkdiagramm, das zeigt, wie ePHI zwischen Systemen, Abteilungen und Dritten fliesst
- Beziehen Sie Cloud-Dienste, Remote-Zugriffspfade und Verbindungen zu Geschäftspartnern ein
- Identifizieren Sie unverschlüsselte Übertragungswege
03
Verschlüsselung auf alle ePHI ausweiten
- Verschlüsseln Sie alle ePHI im Ruhezustand und bei der Übertragung, unter der vorgeschlagenen Regelung ausnahmslos
- Priorisieren Sie Altsysteme, bei denen die Verschlüsselung bislang als «addressable» eingestuft war
- Dokumentieren Sie Verschlüsselungsstandards und Verfahren zur Schlüsselverwaltung
04
Multi-Faktor-Authentifizierung überall ausrollen
- Aktivieren Sie MFA auf allen Systemen mit ePHI, einschliesslich EHR, E-Mail, VPN und Cloud-Anwendungen
- Beziehen Sie Zugangspunkte von Anbietern und Dritten in Ihren MFA-Rollout ein
- Planen Sie Anpassungen der klinischen Arbeitsabläufe, um Störungen zu minimieren
05
Eine präskriptive Risikobeurteilung durchführen
- Folgen Sie dem vorgeschlagenen Format: Asset-Inventar, Netzwerkkarte, Bedrohungsidentifikation, Schwachstellenbeurteilung und Risikobewertungen
- Gehen Sie über einmalige Tabellen hinaus zu einer wiederholbaren, dokumentierten Methodik
- Planen Sie jährliche Risikobeurteilungen und Compliance-Audits proaktiv ein
06
Schwachstellen-Scans und Penetrationstests einplanen
- Planen Sie mindestens halbjährliche Schwachstellen-Scans über alle mit ePHI verbundenen Systeme
- Beauftragen Sie ein qualifiziertes Unternehmen mit jährlichen Penetrationstests
- Prüfen Sie eine Netzwerksegmentierung, um ePHI von Allzwecknetzwerken zu isolieren
07
Ihren Plan zur Reaktion auf Vorfälle und zur Wiederherstellung aktualisieren
- Stellen Sie sicher, dass Ihr Notfallplan kritische Systeme innerhalb von 72 Stunden wiederherstellen kann
- Sorgen Sie dafür, dass Verträge mit Geschäftspartnern die vorgeschlagene 24-Stunden-Meldepflicht enthalten
- Führen Sie Tabletop-Übungen durch, die Ransomware-Szenarien mit realistischen Zeitvorgaben simulieren
08
Alle «addressable» Massnahmen auf verpflichtende Compliance prüfen
- Prüfen Sie jede Massnahme, die in Ihrer Compliance-Dokumentation derzeit als «addressable» eingestuft ist
- Identifizieren Sie Massnahmen, die als «nicht anwendbar» gekennzeichnet oder durch alternative Massnahmen ersetzt wurden
- Erstellen Sie einen Implementierungsplan, um alle Vorgaben zur vollständigen Compliance zu bringen
Erhalten Sie die vollständige Checkliste als herunterladbares PDF
Enthält detaillierte Massnahmen, Verantwortliche und Prioritätseinstufungen für jede Anforderung. Entwickelt für Compliance-Verantwortliche in Gesundheitsorganisationen mit mehreren Einheiten.
Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihren Posteingang.
Der Leitfaden für Compliance-Verantwortliche zum Update der HIPAA Security Rule 2026
Die vorgeschlagene Überarbeitung der HIPAA Security Rule ist das bedeutendste Update seit über zwei Jahrzehnten, mit einer Finalisierung auf der regulatorischen Agenda des HHS für Mai 2026. Dieser Leitfaden zeigt genau auf, was Compliance-Teams wissen und tun müssen, bevor die Fristen ablaufen.
Im Leitfaden erfahren Sie:
- 1. Was der Wegfall der «addressable» Schutzmassnahmen für Ihre Massnahmen bedeutet: Alle Implementierungsvorgaben werden verpflichtend, mit nur eng begrenzten Ausnahmen
- 2. Neue technische Vorgaben im Überblick, darunter verpflichtende Verschlüsselung, MFA, Netzwerksegmentierung, jährliche Penetrationstests und Anforderungen zur Systemwiederherstellung innerhalb von 72 Stunden
- 3. Wie Sie sich auf die prognostizierten Compliance-Kosten von 9 Milliarden USD im ersten Jahr für die Branche vorbereiten, mit einem priorisierten Massnahmenplan für Gesundheitsorganisationen mit mehreren Einheiten
- 4. Zeitplanszenarien und Compliance-Fristen, einschliesslich des vorgeschlagenen 240-tägigen Implementierungsfensters und wie es sich vor Veröffentlichung der endgültigen Regelung noch verschieben könnte
Zu den Quellen gehören die am 27.12.2024 veröffentlichte HHS HIPAA Security Rule NPRM, OCR-Durchsetzungsdaten sowie die Analyse von über 4'700 während des Rechtsetzungsverfahrens eingegangenen öffentlichen Stellungnahmen.
Kostenloses PDF herunterladen
Erhalten Sie eine klare, umsetzbare Aufschlüsselung jeder vorgeschlagenen Änderung, nach Priorität geordnet für Compliance-Teams in Gesundheitsorganisationen mit mehreren Einheiten.
Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihren Posteingang.
Warum das jetzt wichtig ist:
Das OCR schätzte die Compliance-Kosten im ersten Jahr auf 9 Milliarden USD für alle regulierten Einrichtungen.
OCR-Schätzung gemäss Analyse von Alston und Bird zur vorgeschlagenen HIPAA Security Rule NPRM, 2025
Würde die Regelung wie vorgeschlagen finalisiert, hätten Einrichtungen ab dem Veröffentlichungsdatum nur 240 Tage Zeit zur Umsetzung.
Basierend auf dem Zeitplan der vorgeschlagenen Regelung, regulatorische Agenda des HHS OCR, Mai 2026
Die regulatorische Uhr tickt
Schluss mit Compliance in Tabellen. Beginnen Sie, sie wirklich zu steuern.
DSGVO-Bussgelder übersteigen inzwischen 7,1 Milliarden Euro, davon allein 1,2 Milliarden im Jahr 2025. Europäische Datenschutzbehörden erhalten 443 Meldungen von Datenschutzverletzungen pro Tag. Die Durchsetzung ist für Rechtsteams längst kein Hintergrundrisiko mehr, das man still beobachtet.
Quelle: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026
Priverion bietet Organisationen mit mehreren Einheiten eine einzige Plattform für die Verwaltung des Verarbeitungsverzeichnisses, die DSFA-Automatisierung, Lieferantenrisikobeurteilungen, die Reaktion auf Vorfälle und auditfertige Berichterstattung über jede Tochtergesellschaft und Rechtsordnung hinweg. In der Schweiz entwickelt, in der Schweiz gehostet, mit einer KI, die Ihre Entscheidungen unterstützt und niemals ersetzt. Ein Flugzeughersteller senkte den administrativen Compliance-Aufwand in den ersten sechs Monaten um 60 %. Ihr Team könnte das Nächste sein.
60%
Weniger administrativer Compliance-Aufwand
Flugzeughersteller, erste 6 Monate
200+
Eingesparte Stunden bei der Audit-Vorbereitung
Medtec, ISO 27001
100%
Rezertifizierungsrate des Verarbeitungsverzeichnisses
AXA, vollständig automatisiert
Keine Preise pro Nutzer. Keine Erweiterung pro Modul. Einsatzbereit in Wochen, nicht in Monaten.
The Privacy Compliance Briefing
Monatliche Einblicke zur DSGVO-Durchsetzung, zu Aktualisierungen des revDSG und zu Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.


