Gesundheitspolitik
Der Veradigm-Fall zeigt die regulatorischen Risiken für den Datenschutz digitaler Gesundheitsdaten auf.
Analyse des Falls, in dem Veradigm aufgrund von Datenverfolgung im Patientenportal verklagt wurde, sowie Untersuchung der Herausforderungen für Medizintechnologieunternehmen im Bereich Datenaustausch und Datenschutzkonformität und der Auswirkungen auf die Branche.
Patientenportal-Datentracking-Klage: Warnsignal für die digitale Gesundheitsbranche im Fall Veradigm
Einleitung
Datenschutzfragen im Bereich der digitalen Gesundheit rücken erneut in den Fokus. Im April 2025 scheiterte die US-amerikanische Gesundheitstechnologiefirma Veradigm (ehemals Allscripts) mit einem Antrag auf Abweisung einer Sammelklage – die Kläger werfen dem Unternehmen vor, über das Patientenportal ohne Genehmigung personenbezogene Gesundheitsdaten an Dritte (einschließlich Facebook-Mutterkonzern Meta) weitergeleitet zu haben, was gegen Bundes- und Landesdatenschutzgesetze verstoße. Dieses Urteil setzt Veradigm nicht nur potenziellen Schadensersatzforderungen aus, sondern sendet ein starkes Signal an die gesamte Medizintechnikbranche: Die Praktiken der Weitergabe von Patientendaten unterliegen einer immer strengeren gerichtlichen und aufsichtsrechtlichen Prüfung.
Branchenkontext
Patientenportale sind zu einem zentralen Bestandteil der digitalen Gesundheitsinfrastruktur geworden. Laut Daten der American Hospital Association stellen über 90 % der Krankenhäuser ihren Patienten Online-Portale zur Verfügung, um Krankenakten einzusehen, Termine zu buchen, Rechnungen zu bezahlen und mit Ärzten zu kommunizieren. Allerdings sind in diese Plattformen häufig Tracking-Technologien Dritter wie Meta Pixel oder Google Analytics eingebettet, die das Nutzerverhalten analysieren oder für zielgerichtete Werbung nutzen. Medizintechnikunternehmen verwischen dabei zunehmend die Grenze zwischen "Betriebsverbesserung" und "kommerzieller Nutzung".
Der US-amerikanische Health Insurance Portability and Accountability Act (HIPAA) legt strenge Regeln für die Offenlegung von geschützten Gesundheitsinformationen (PHI) fest, doch die weit verbreiteten Tracking-Codes Dritter werfen Compliance-Fragen auf. Bereits 2022 veröffentlichte das US-Gesundheitsministerium (HHS) Leitlinien, die klarstellen, dass PHI ohne Einwilligung des Patienten nicht über Tracking-Technologien weitergegeben werden darf. Branchengewohnheiten führten jedoch dazu, dass viele Anbieter erst nach Ausbruch von Klagen ihre Datenketten neu bewerteten.
Wichtige Entwicklungen
Der Kern des Rechtsstreits um Veradigm liegt darin, ob die in das Patientenportal eingebetteten Tracking-Codes ohne Wissen der Nutzer gesundheitsbezogene Browseraktivitäten (wie Ärztenamen, Grund des Termins) an Dritte wie Meta gesendet haben. Die Klägerseite behauptet, das Verhalten von Veradigm stelle eine "vorsätzliche oder rücksichtslose Verletzung von HIPAA" dar und verstoße gegen staatliche Wettbewerbsgesetze.
Obwohl Veradigm argumentierte, dass die Datenweitergabe unter die Ausnahme "Betriebszwecke" falle und die Nutzer der Cookie-Richtlinie zugestimmt hätten, entschied das Bundesgericht in Illinois im April 2025, dass die Vorwürfe der Kläger "ausreichen, um in die Phase der Beweisaufnahme überzugehen". Dies bedeutet, dass das Gericht die Diskrepanz zwischen den Datenweitergabevereinbarungen von Veradigm und dem tatsächlichen Code-Verhalten eingehend prüfen wird.
Ausblick
Ähnliche Fälle haben sich bereits im Bereich der Medizintechnik ausgebreitet.Ähnliche Fälle haben sich bereits im Bereich der Medizintechnologie ausgebreitet. Im Jahr 2023 sah sich Meta mehreren Klagen gegenüber, weil es Patientendaten über Krankenhaus-Websites verfolgte. Im Jahr 2024 erzielte die Telemedizin-Plattform BetterHelp eine Einigung mit der FTC in Höhe von 7,8 Millionen US-Dollar, weil sie ohne Zustimmung Nutzerdaten weitergab. Die anhaltende Entwicklung des Falls Veradigm zeigt, dass Regulierungsbehörden und das Bewusstsein der Patienten für ihre Rechte zusammenwirken.
Market Implications
Für Anbieter von Patientenportalen und digitale Gesundheitsunternehmen im weiteren Sinne sind die potenziellen Folgen des Veradigm-Verfahrens nicht zu unterschätzen:
- Steigende Compliance-Kosten: Unternehmen müssen möglicherweise sämtliche Tracking-Codes Dritter neu bewerten oder sogar unnötige Datenweitergabemodule vollständig entfernen. Ein Partner der Anwaltskanzlei Foley & Lardner weist darauf hin, dass der Fall einen „Impf-Effekt“ auslösen könnte, der Gesundheits-IT-Unternehmen dazu veranlasst, proaktiv Datenschutz-Folgenabschätzungen durchzuführen.
- Beeinträchtigung von Geschäftsmodellen: Viele Medizintechnik-Unternehmen stützen ihr Gewinnmodell auf Erkenntnisse aus der Aggregation anonymisierter Daten. Wenn die Wege der Datenweitergabe blockiert werden, sind Werbeeinnahmen auf Basis des Surfverhaltens von Patienten oder Datenpools für maschinelles Lernen gefährdet.
- Beschleunigte Marktdifferenzierung: Unternehmen mit transparenten Datenschutzrichtlinien und technischer Compliance-Kompetenz könnten Wettbewerbsvorteile erlangen. Beispielsweise sind Portal-Anbieter wie Epic Systems, die eigene Analyseplattformen betreiben, besser in der Lage, Risiken zu vermeiden als kleine Start-ups, die auf Tracking Dritter angewiesen sind.
Gleichzeitig werden auch Krankenversicherungen, medizinische Einrichtungen und Pharmaunternehmen als nachgelagerte Verbraucher von Patientendaten mit höheren Sorgfaltspflichten konfrontiert – sie müssen sicherstellen, dass ihre kooperierenden Technologieanbieter alle nicht autorisierten Tracking-Codes entfernt haben.
Challenges And Risks
Die aktuellen regulatorischen Herausforderungen im Datenschutz des digitalen Gesundheitswesens sind von drei strukturellen Widersprüchen geprägt:
1. Rechtlicher Rahmen hinkt technologischer Entwicklung hinterher: HIPAA zielt hauptsächlich auf den traditionellen Austausch von Krankenakten ab, aber ob Verhaltensdaten in Patientenportalen (wie Klickpfade, Suchbegriffe) als PHI gelten, liegt in einer Grauzone. Der Fall Veradigm könnte Gerichte dazu bewegen, klarzustellen, ob „Browser-Level-Gesundheitssignale“ durch HIPAA geschützt sind. 2. Diskrepanz zwischen Nutzererwartungen und kommerzieller Realität: Patienten gehen in der Regel davon aus, dass Portale nur der Gesundheitsverwaltung dienen, während Unternehmen sie als Kanalerweiterung betrachten. Umfragen zeigen, dass 87% der Patienten nicht wünschen, dass ihr Surfverhalten auf Portalen für Werbung genutzt wird, aber über 40% der Krankenhaus-Websites sind dennoch mit Tracking-Tools ausgestattet. 3. Fragmentierte globale Regulierung: Den USA fehlt ein einheitlicher Datenschutzrahmen wie die EU-DSGVO; landesrechtliche Vorschriften (z. B. CCPA in Kalifornien, BIPA in Illinois) überschneiden sich mit HIPAA, was die Compliance landesweit tätiger Unternehmen regionalen Risiken aussetzt.
Future Outlook
- In den nächsten 3-5 Jahren werden sich im Bereich des Austauschs digitaler Gesundheitsdaten drei signifikante Trends abzeichnen:- Regulierungsstandards werden weiter verfeinert: Das HHS könnte die HIPAA-Regeln überarbeiten und klarstellen, dass Patientendaten aus Portalen ohne ausdrückliche Zustimmung nicht für nicht-therapeutische Zwecke verwendet werden dürfen. Auch die US-amerikanische Federal Trade Commission (FTC) hat für 2024 angekündigt, ihre Durchsetzungsmaßnahmen gegen den Missbrauch von Gesundheitsdaten zu verstärken.
- Technische Lösungen entstehen: Unternehmensinterne "datenschutzorientierte" Patientenportale werden aufkommen, die Technologien wie lokale Analysen und differenzielle Privatsphäre einsetzen, um die Betriebseffizienz zu erhalten und gleichzeitig die Weitergabe von Rohdaten an Dritte zu unterbinden.
- Versicherungs- und Vertragsklauseln entwickeln sich weiter: Datenschutzverstöße von Medizintechnikunternehmen werden neue Versicherungsprodukte auslösen (z. B. Cyberversicherungen mit ergänzender Haftpflicht für Datenschutz), während in Verträgen zwischen Krankenhäusern und Anbietern zunehmend obligatorische Prüfungsklauseln für die Datenweitergabe enthalten sein werden.
Leserprüfung · medtechdaily
medtechdaily stellt diesen Hinweis in MedTech Daily veroeffentlicht mehrsprachige Analysen und Briefings. - die Quellenlinks sollten vor jeder Wiederverwendung der Zusammenfassung geöffnet werden. Daten, Namen und Statuswechsel bleiben zu prüfen; Digitale Gesundheit / KI im Gesundheitswesen / Medizinprodukte erklärt den lokalen redaktionellen Blick.