Frist für HIPAA Teil 2 verpasst: Was passiert jetzt mit Ihren SUD-Aufzeichnungen?

Die Uhr tickt: HIPAA Teil 2-Frist verstrichen – Handeln Sie jetzt in Bezug auf SUD-Aufzeichnungen

Wenn Ihre Gesundheitseinrichtung die Frist am 16. Februar 2026 zur Aktualisierung ihrer Datenschutzerklärung (Notice of Privacy Practices, NPP) für Aufzeichnungen über Substanzgebrauchsstörungen (Substance Use Disorder, SUD) verpasst hat, sind Sie nicht allein – aber Sie sind auch nicht aus dem Schneider. Das US-Gesundheitsministerium (HHS) hat 2024 Änderungen an 42 CFR Teil 2 finalisiert, um die Vertraulichkeitsregeln für SUD-Aufzeichnungen enger an HIPAA anzupassen und gleichzeitig einen verstärkten Schutz für diese sensiblen Aufzeichnungen beizubehalten.^{1 2 3} Ab heute, dem 20. Februar 2026, akzeptiert das Büro für Zivilrechte (Office for Civil Rights, OCR) des HHS Beschwerden und setzt Verstöße unter einem einheitlichen HIPAA-ähnlichen Rahmen durch, einschließlich zivilrechtlicher Geldstrafen, Korrekturmaßnahmen und sogar strafrechtlicher Verfolgung in schweren Fällen.^{4 5} Dieser Beitrag erläutert die unmittelbaren Risiken für Ihre SUD-Aufzeichnungen, schrittweise Sanierungsmaßnahmen und Strategien zur Minimierung des Risikos.

Verständnis der verpassten Frist und ihres Umfangs

Die Compliance-Frist am 16. Februar 2026 erforderte von allen HIPAA-betroffenen Einrichtungen – einschließlich Anbietern, Gesundheitsplänen und Teil-2-Programmen (SUD-Behandlungseinrichtungen) –, den Schutz nach Teil 2 in ihre NPPs zu integrieren, wenn sie SUD-Aufzeichnungen erstellen, empfangen, aufbewahren oder übermitteln.^{1 6 3} Selbst Einrichtungen, die keine SUD-Programme betreiben, müssen sich daran halten, wenn sie Aufzeichnungen von Patienten mit SUD-Daten handhaben.^{2 4}

Diese Änderungen gehen auf HHS-Regeln von 2024 zurück, die von der Substance Abuse and Mental Health Services Administration (SAMHSA) und OCR herausgegeben wurden und Teil 2 mit der HIPAA-Datenschutzregel (45 CFR § 164) im Rahmen des CARES Act harmonisieren.^{2 3} Zu den wichtigsten Änderungen gehören die Erlaubnis einer einzigen Patienten-Einwilligung für Behandlungs-, Zahlungs- und Gesundheitsoperationszwecke (TPO) – wodurch das frühere Zwei-Einwilligungs-Modell von Teil 2 ersetzt wird –, während die Weitergabe ohne spezifische Erlaubnis verboten bleibt.^{6 3}

Wer ist betroffen?

• Teil-2-Programme: SUD-Behandlungsanbieter, die direkt mit Aufzeichnungen umgehen.
• Betroffene Einrichtungen: Jede HIPAA-regulierte Organisation, die SUD-Daten erhält, auch indirekt.
• Geschäftspartner: Anbieter, die diese Aufzeichnungen verarbeiten und möglicherweise aktualisierte Vereinbarungen benötigen.²

Das Verpassen der Frist macht Ihre bestehende NPP nicht ungültig, setzt Sie aber der Durchsetzung aus. OCR untersucht nun Teil-2-Beschwerden zusammen mit HIPAA-Beschwerden, wobei Verstöße gegen ungesicherte SUD-Aufzeichnungen obligatorische Benachrichtigungen auslösen.^{1 4 5}

Unmittelbare Risiken für Ihre SUD-Aufzeichnungen

Nichteinhaltung setzt SUD-Aufzeichnungen Missbrauch und regulatorischer Prüfung aus. Hier ist, was jetzt passiert:

• Durchsetzungs-Intensivierung: Ab dem 16. Februar 2026 kann jeder Teil-2-Beschwerden bei OCR einreichen und dabei die unangemessene Weitergabe von SUD-Aufzeichnungen geltend machen.^{4 5} HHS kündigte ein "aggressives" zivilrechtliches Durchsetzungsprogramm an, einschließlich Audits, Untersuchungen und Strafen, die an die HIPAA-Stufen angeglichen sind (bis zu 1,5 Millionen USD pro Verstoßtyp jährlich, zuzüglich Korrekturpläne).^{1 4}

• Strafbarkeitsrisiken:

  Verstoßtyp	Mögliche Konsequenzen	Beispiele aus dem Teil-2-Kontext
  Zivilrechtliche Geldstrafen	100–50.000 USD pro Verstoß; jährlich auf 1,5 Mio. USD pro Typ begrenzt	Unterlassung der NPP-Aktualisierung oder unangemessene TPO-Offenlegung ohne Zustimmung.1 4
  Strafrechtliche Verfolgung	Geldstrafen bis zu 250.000 USD; Freiheitsstrafe bis zu 10 Jahren	Vorsätzliche Offenlegung, obwohl dies verboten ist (z.B. in Gerichtsverfahren ohne Gerichtsbeschluss).3 4
  Verstoßbenachrichtigungen	60-Tage-Frist zur Benachrichtigung betroffener Personen und HHS; potenzielle Sammelklagen	Verstöße gegen ungesicherte SUD-Aufzeichnungen ohne Patientenbenachrichtigung.1 2

• Betriebliche Schwachstellen: Veraltete NPPs führen Patienten in die Irre bezüglich ihrer Rechte und riskieren Klagen. SUD-Aufzeichnungen dürfen ohne schriftliche Zustimmung oder Gerichtsbeschluss (mit Vorladung und Benachrichtigung des Patienten) nicht in zivil-, straf-, verwaltungs- oder gesetzgebungsrechtlichen Verfahren verwendet werden.^{6 3} Die Weitergabe für Nicht-TPO-Zwecke bleibt eingeschränkt.

• Erosion des Patientenvertrauens: Patienten erwarten klare NPP-Sprache bezüglich SUD-Schutz, einschließlich des Rechts, sich gegen Fundraising zu entscheiden und Aufzeichnungen einzusehen. Nichteinhaltung signalisiert schlechte Datenschutzpraxis.²

Aktuelle HHS-Aktionen bestätigen die Prüfung: OCR begann am Stichtag mit der Annahme von Beschwerden und priorisierte SUD-Verstöße mit hohem Risiko.^{4 5}

Schrittweise Sanierung: Was sofort zu tun ist

Keine Panik – die Sanierung ist unkompliziert und kann Regulierungsgremien gegenüber guten Willen demonstrieren. Priorisieren Sie diese Maßnahmen innerhalb der nächsten 30 Tage, um die Haftung zu begrenzen.

1. Bewertung Ihres aktuellen Compliance-Status

• Inventarisieren Sie alle Systeme, Datenbanken und Anbieter, die SUD-Aufzeichnungen handhaben (z.B. EHRs, Verhaltensgesundheitsmodule).³
• Prüfen Sie NPPs: Überprüfen Sie, ob sie Teil-2-Pflichten beschreiben, wie z.B. einzelne TPO-Zustimmungen, Anforderungen an Gerichtsbeschlüsse und keine Weitergabe ohne Erlaubnis.^{2 6}
• Überprüfen Sie Zustimmungen, Richtlinien und Schulungen auf Übereinstimmung.¹

2. Aktualisierung Ihrer Datenschutzerklärung (NPP)

Überarbeiten Sie gemäß 45 CFR § 164.520 und Teil-2-Anforderungen. Wesentliche Ergänzungen umfassen:^{2 6 3}

• Erklärung, dass SUD-Aufzeichnungen (Teil-2-Aufzeichnungen) einem verstärkten Vertraulichkeitsschutz unterliegen, der für TPO mit einer einzigen Zustimmung verwendet/weitergegeben werden kann (außer Beratungsnotizen).
• Verbot der Verwendung/Weitergabe in Gerichtsverfahren ohne schriftliche Zustimmung oder qualifizierenden Gerichtsbeschluss (muss Vorladung und Patientenbenachrichtigung enthalten).
• Pflichten von Teil-2-Programmen: Datenschutzpraktiken für SUD-Aufzeichnungen, Verstoßbenachrichtigungen, Recht zur Überarbeitung der NPP und Einhaltung der aktuellen Bedingungen.
• Patientenrechte: Zugang, Änderung, Aufzeichnung von Offenlegungen, Opt-out bei Fundraising.

Verteilen Sie aktualisierte NPPs an Patienten bei der nächsten Interaktion; veröffentlichen Sie sie auf Websites und stellen Sie sie elektronisch zur Verfügung, wo dies machbar ist.^{1 7}

3. Überarbeitung von Richtlinien, Zustimmungen und Vereinbarungen

• Zustimmungsformulare: Implementieren Sie einzelne TPO-Zustimmungsformulare; erstellen Sie separate Formulare für SUD-Beratungsnotizen.⁴
• Interne Richtlinien: Aktualisieren Sie Offenlegungsprotokolle – keine Trennung für TPO-Aufzeichnungen erforderlich, aber einschränken Sie die Weitergabe für Nicht-TPO-Zwecke.³
• Geschäftspartnervereinbarungen (BAAs): Ändern Sie diese, um Teil-2-Schutz abzudecken, wenn SUD-Daten an Anbieter fließen.²
• Schulung: Schulen Sie Mitarbeiter erneut in den neuen Regeln und betonen Sie die Änderungen bei der Durchsetzung.^{1 4}

Schnellstart-Checkliste:

• Bestätigen Sie den Umgang mit SUD-Aufzeichnungen in Ihrer Organisation.
• Entwerfen Sie eine überarbeitete NPP mit rechtlicher/Compliance-Überprüfung.
• Führen Sie Schulungen durch (Ziel: 100 % der Belegschaft bis zum 20. März 2026).
• Testen Sie Prozesse zur Weitergabe.
• Benachrichtigen Sie Patienten über Aktualisierungen bei der nächsten Visite oder über das Portal.

4. Operationalisierung von Patientenrechten und Verstoßreaktion

Erweitern Sie HIPAA-Rechte auf Teil-2-Aufzeichnungen: Gewähren Sie Zugangsanfragen, Einschränkungen und 6-Jahres-Aufzeichnungen von Offenlegungen.¹ Bei Verstößen folgen Sie den Benachrichtigungen gemäß 45 CFR § 164.400-Serie und geben Sie den SUD-Status an.²

5. Vorbereitung auf Audits und Beschwerden

Dokumentieren Sie alle Sanierungsschritte mit Zeitstempeln – dies schafft eine Verteidigung, falls untersucht wird. Führen Sie ein Mock-OCR-Audit durch, das sich auf SUD-Workflows konzentriert.⁴

Langfristige Strategien zur Stärkung der Compliance

Über die Korrekturen hinaus bauen Sie Resilienz auf:

• Integrieren Sie Teil 2 in jährliche HIPAA-Risikobewertungen.
• Überwachen Sie HHS-Leitlinien; OCR könnte FAQs nach der Frist herausgeben.⁵
• Nutzen Sie Technologie: Verwenden Sie EHR-Flags für SUD-Aufzeichnungen und automatisierte Zustimmungsverfolgung.
• Fördern Sie eine Compliance-Kultur: Vierteljährliche Auffrischungen reduzieren menschliche Fehler.

Organisationen, die nach Fristablauf schnell handeln, haben in vergangenen HIPAA-Fällen Strafen gemildert, indem sie proaktive Korrekturen zeigten.

Wesentliche Erkenntnisse

• Sofortiges Handeln erforderlich: Aktualisieren Sie NPPs und Richtlinien jetzt – OCR-Durchsetzung ist live, mit echten Risiken für SUD-Aufzeichnungen.^{4 5}
• Fokus auf Wesentliches: Einzelne TPO-Zustimmungen, Einschränkungen bei Gerichtsverfahren und klare Patientenbenachrichtigungen sind unverzichtbar.^{6 3}
• Risiko vs. Nutzen: Sanierungskosten sind im Vergleich zu Strafen von 1,5 Millionen USD gering; Bemühungen in gutem Glauben können zu Milde führen.
• Breitere Lektion: Teil-2-HIPAA-Alignment erleichtert die Koordination, erfordert aber Wachsamkeit hinsichtlich SUD-Sensibilitäten.¹

Das Vertrauen Ihrer Patienten – und die Zukunft Ihrer Organisation – hängen von schneller Compliance ab. Beginnen Sie heute.

(Wortzahl: 1.128)

Sources

Footnotes

1. myhrconcierge.com

2. butzel.com

3. swlaw.com

4. quarles.com

5. hhs.gov

6. healthlawdiagnosis.com

7. benefitslawadvisor.com