Umgang mit Gesundheitsdaten in Adobe-Produkten und -Services.

[Zuletzt aktualisiert: März 2025]

Adobe erweitert Healthcare Shield um sogenannte Health Data-bereite Services. Diese sind dafür ausgelegt, Gesundheitsdaten von Verbraucherinnen und Verbrauchern zu verarbeiten, die unter geltende Datenschutzgesetze und -vorschriften im Gesundheitswesen fallen können. Mit Health Data-bereiten Produkten und -Services von Adobe können Kundinnen und Kunden nun weitere Kategorien von Gesundheitsdaten übermitteln, ergänzend zur aktuellen Verarbeitung von Protected Health Information („PHI“), wie sie im Health Insurance Portability and Accountability Act von 1995 („HIPAA“) definiert ist.

Adobe empfiehlt seinen Kundinnen und Kunden, ihre Anforderungen sorgfältig zu prüfen, um das passende Produkt für den jeweiligen Anwendungsfall auszuwählen. Weitere Informationen zu HIPAA-bereiten Services von Adobe

Umgang mit gesundheitsbezogenen Daten

Mit der Erweiterung von Healthcare Shield haben Kundinnen und Kunden die Möglichkeit, auch Gesundheitsdaten von Verbraucherinnen und Verbrauchern zu übermitteln, die nicht zwingend als PHI definiert sind.

Für Kundinnen und Kunden, die zwar Gesundheitsdaten von Verbraucherinnen und Verbrauchern verarbeiten, jedoch nicht zur Gesundheitsbranche zählen, stellt Adobe Health Data-bereite Services bereit. Diese Services unterstützen die Einhaltung von Datenschutz- und Sicherheitsvorgaben – auch für Organisationen, die nicht als Covered Entities oder Business Associates im Sinne von HIPAA gelten. Die Nutzung von Health Data-bereiten Services kann mit zusätzlichen Lizenz- oder Abonnementgebühren verbunden sein.

Die Erstellung, Verarbeitung, Verwaltung oder Übermittlung von Gesundheitsdaten von Verbraucherinnen und Verbrauchern über Adobe-Produkte und -Services, die nicht ausdrücklich als Health Data-bereite Services gekennzeichnet sind, ist nicht zulässig. Diese Produkte und Services sind nicht darauf ausgelegt, die Einhaltung der Vorschriften für den Umgang mit Gesundheitsdaten durch Kundinnen und Kunden oder Adobe sicherzustellen.

Derzeit sind Health Data-bereite Services nur für Kundinnen und Kunden mit Sitz in den USA verfügbar.

Die aktuelle Liste der Health Data-bereiten Services umfasst:

Adobe Customer Journey Analytics (CJA) ¹
Adobe Journey Optimizer (AJO) ²
Adobe Real-Time Customer Data Platform (RTCDP) B2P (Consumer Audiences) Prime and Ultimate Editions ³
Adobe Real-Time Customer Data Platform (RTCDP) B2C Prime and Ultimate Editions ³

Weitere Informationen dazu, wie sich Adobe Experience Cloud-Lösungen im Gesundheitswesen und im Bereich Health & Wellness einsetzen lassen, findet ihr in unserem Whitepaper Adobe Experience Cloud for Healthcare Solutions Overview im Adobe Trust Center.

¹Ausgenommen CJA Labs. CJA Labs ist kein HIPAA-bereiter oder Health Data-bereiter CJA-Service. Weitere Informationen findet ihr hier.
²Ausgenommen Federated Audience Composition. Federated Audience Composition ist kein HIPAA-bereiter oder Health-Data bereiter AJO-Service.
³Ausgenommen Ereignisweiterleitung und Komposition föderierter Zielgruppen. Diese Services sind keine HIPAA-bereiten oder Health Data-bereiten RTCDP-Services.

Geteilte Sicherheitsverantwortung

Die Health Data-bereiten Services von Adobe basieren auf einem Sicherheitsmodell mit geteilter Verantwortung. Sowohl Adobe als auch die Kundinnen und Kunden sind mit dafür verantwortlich, den Schutz von Gesundheitsdaten zu gewährleisten. Innerhalb dieses Modells ist es Aufgabe der Kundinnen und Kunden, bestimmte Konfigurationen vorzunehmen, die in ihrem Einflussbereich liegen, damit Adobe die Anforderungen in Bezug auf die Verarbeitung von Gesundheitsdaten einhalten kann. Adobe stellt darüber hinaus Konfigurationsempfehlungen bereit, die Kundinnen und Kunden dabei unterstützen, ihre eigenen Compliance-Pflichten bei der Nutzung von Health Data-bereiten Services zu erfüllen.

Sicherheit durch geteilte Verantwortung

Im Folgenden wird beschrieben, wie Adobe bestimmte Kernstandards in Bezug auf den Umgang mit Gesundheitsdaten umgesetzt hat. Außerdem geben wir einige Empfehlungen, die Kundinnen und Kunden bei der Einhaltung der Compliance im Umgang mit Health Data-bereiten Services unterstützen.

Standards

Technische Schutzmaßnahmen

Zugriffskontrolle

Adobe hat Richtlinien, Verfahren und technische Kontrollen eingeführt, um allen Benutzerinnen und Benutzern eine eindeutige Kennung zuzuweisen und Mehrfachnutzungen derselben Kennung auszuschließen. Der Zugriff auf Gesundheitsdaten ist ausschließlich autorisierten Adobe-Benutzerinnen und -Benutzern gestattet und wird beendet, sobald er nicht mehr erforderlich ist. In Notfällen können Gesundheitsdaten offengelegt werden. Darüber hinaus stellt Adobe Kundinnen und Kunden Werkzeuge bereit, mit denen sie selbst den Zugriff ihrer Benutzerinnen und Benutzer auf Gesundheitsdaten steuern können.

Verschlüsselung und Entschlüsselung

Adobe verschlüsselt Gesundheitsdaten sowohl während der Übertragung über öffentliche Netzwerke als auch im Ruhezustand. Wenn Kundinnen oder Kunden Health Data-bereite Services ohne Verschlüsselung für die Übertragung oder Speicherung verwenden, sollten sie dokumentieren, warum in diesem Fall keine Verschlüsselung notwendig oder angemessen ist.

Audit-Kontrollen

Adobe hat Kontrollen eingerichtet, um den Zugriff auf Real-Time Customer Data Platform zu überwachen und die Nutzeraktivitäten zu protokollieren.

Sitzungs-Timeout

Adobe-Systeme sind so konfiguriert, dass sie inaktive Sitzungen autorisierter Mitarbeitender und Benutzerinnen bzw. Benutzer automatisch beenden, wenn sie auf Gesundheitsdaten zugreifen oder diese übermitteln. Dies geschieht nach einer vordefinierten Zeitspanne oder wenn die Person die Sitzung selbst beendet.

Integritätskontrollen

Adobe hat technische Sicherheitsmaßnahmen implementiert, um sicherzustellen, dass Gesundheitsdaten nicht unzulässig verändert oder gelöscht werden. Weitere Informationen findet ihr unter www.adobe.com.

Standards

Administrative Schutzmaßnahmen

Risikoanalyse und -Management

Adobe hat Maßnahmen ergriffen, um mögliche Risiken auf ein angemessenes Maß zu reduzieren. Dazu gehören die Durchführung einer eigenen Risikoanalyse und die Implementierung eines Risiko-Management-Plans in Bezug auf die von Adobe verwalteten Gesundheitsdaten. Adobe empfiehlt seinen Kundinnen und Kunden, eigene Risikoanalysen bezüglich ihrer Nutzung von Health Data-bereiten Services durchzuführen, und die Sicherheitsfunktionen dieser Services zu nutzen, um mögliche Risiken zu reduzieren.

Überwachung der Systemaktivitäten

Adobe überprüft regelmäßig die Zugriffsberechtigungen von Benutzerinnen und Benutzern. Wir empfehlen Kundinnen und Kunden, den Zugriff ihrer Benutzerinnen und Benutzer auf Gesundheitsdaten über die Health Data-bereiten Services ebenfalls anhand der verfügbaren Prüfprotokolle regelmäßig zu kontrollieren.

Sicherheitsschulung für Mitarbeitende

Adobe hat ein umfassendes Schulungsprogramm zur Sensibilisierung in Bezug auf das Thema Sicherheit eingeführt, mit dem wir unsere Teams regelmäßig über die aktuellen Richtlinien und Verfahren zum Schutz von Gesundheitsdaten informieren. Dazu gehören auch entsprechende Maßnahmen bei Verstößen sowie die Beendigung des Systemzugriffs für Mitarbeitende, die Gesundheitsdaten speichern, verarbeiten oder übertragen. Wir empfehlen unseren Kundinnen und Kunden, ihre Benutzerinnen und Benutzer ebenfalls im sicheren und korrekten Umgang mit Gesundheitsdaten in Health Data-bereiten Services zu schulen.

Notfallplanung

Adobe verfügt über einen Notfallplan, der regelmäßig getestet wird und der im Falle eines Notfalls, einer Katastrophe oder eines Ausfalls die Wiederherstellung von Gesundheitsdaten ermöglicht. Wir empfehlen unseren Kundinnen und Kunden, eigene Notfallpläne vorzuhalten, die auch regeln, ob in Health Data-bereiten Services gespeicherte Gesundheitsdaten im Notfall verfügbar sein müssen.

Standards

Physische Schutzmaßnahmen

Zugang zu und Kontrolle von Einrichtungen

Adobe kontrolliert streng den physischen Zugang zu Bereichen, in denen Gesundheitsdaten empfangen, verwaltet oder übertragen werden. Dies betrifft unter anderem Mitarbeitende der IT-Abteilung und der Einrichtung selbst. Wir haben Richtlinien und Verfahren implementiert, um unbefugten Zugang, Manipulation und Diebstahl zu verhindern. Wir empfehlen unseren Kundinnen und Kunden, ebenfalls den Zugang zu Einrichtungen zu regeln, in denen ihre Benutzerinnen und Benutzer auf Health Data-bereite Services zugreifen.

Verwaltung von Arbeitsplätzen und Geräten

Adobe hat strenge Richtlinien und Standards eingeführt, was die Genehmigung von Mitarbeiterzugriffen auf Gesundheitsdaten betrifft. Dies umfasst den physischen Zugang zu Sicherheitsbereichen, die Arbeitsplätze in diesen Bereichen sowie Arbeitsplätze und Monitore mit Sichtschutzfiltern, die nur für die jeweilige Person einsehbar sind. Wir empfehlen unseren Kundinnen und Kunden, ebenfalls für die Sicherheit der Arbeitsplätze Sorge zu tragen, die für den Zugriff auf Health Data-bereite Services genutzt werden.

Verwaltung des Hardware- und Infrastrukturinventars

Adobe führt ein vollständiges Inventar der Hardware und Infrastruktur von Mitarbeitenden, die zur Handhabung von Gesundheitsdaten berechtigt sind. Dazu gehören Wartungsprotokolle sowie Nachweise über Standortwechsel jedes einzelnen Geräts.

Entsorgung

Adobe setzt bewährte Verfahren ein, um Gesundheitsdaten vor einem Gerätewechsel sicher zu löschen und vollständig zu entfernen. Kundinnen und Kunden wird empfohlen, die für den Download von Gesundheitsdaten über Health Data-bereite Services verwendeten Geräte eindeutig zu identifizieren und bei Nichtgebrauch ordnungsgemäß zu entsorgen.

Sicherung und Wiederherstellung

Adobe hat technische Sicherheitsmaßnahmen implementiert, um sicherzustellen, dass Gesundheitsdaten weder unzulässig verändert noch gelöscht werden. Wir empfehlen unseren Kundinnen und Kunden, zu prüfen, in welchem Umfang sie eigene Backups von Gesundheitsdaten benötigen und wie diese im Notfall aus Health Data-bereiten Services wiederhergestellt werden können.

Weitere Informationen

Informationen zur Konfiguration der HIPAA-bereiten Services findet ihr in der Produktdokumentation auf Experience League.

BAA von Adobe für HIPAA-bereite Services

Bitte wendet euch an eure Ansprechperson im Adobe-Vertrieb oder Customer-Success-Management, um die BAA von Adobe für HIPAA-bereite Services abzuschließen.

Haftungsausschluss

Diese Informationen beschreiben, wie Adobe als Business Associate bestimmte zentrale Standards der HIPAA Security Rule umgesetzt hat. Sie stellen keine Rechtsberatung dar und sollten auch nicht als solche verstanden werden. Jede Kundin und jeder Kunde ist für die Nutzung von HIPAA-bereiten Services selbst verantwortlich und muss sicherstellen, dass die HIPAA-bereiten Services von Adobe ihren bzw. seinen Compliance-Anforderungen entsprechen.