Ist Zoom HIPAA-konform? Was Gesundheitsteams wissen müssen

Dies ist ein unabhängiger Leitfaden. Er ist weder mit Zoom Communications, Inc. verbunden noch von diesem Unternehmen unterstützt.

Dein Compliance-Beauftragter hat gerade die Therapiesitzungen bemängelt, die dein Team über Zoom durchführt. Ein Patient hat sich beschwert. Jetzt brauchst du schnell Antworten: Ist Zoom HIPAA-konform, und was muss sich bis Montag ändern?

Die kurze Antwort lautet: Ja, Zoom kann HIPAA-konform sein – aber nur, wenn du den richtigen Tarif wählst, ein Business Associate Agreement (BAA) unterzeichnest und rund ein Dutzend Einstellungen korrekt konfigurierst. Der kostenlose Tarif und die meisten Standardkonfigurationen erfüllen die Anforderungen nicht.

Dieser Leitfaden zeigt dir genau, welche Zoom-Tarife HIPAA-Compliance unterstützen (Stand März 2026), was ein BAA abdeckt, wie du deine Einstellungen absicherst und wo Zoom Grenzen hat. Du findest außerdem eine Checkliste für dein IT-Team und Antworten auf die häufigsten Fragen von Administratoren im Gesundheitswesen.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechts- oder medizinische Beratung dar. Wende dich an einen qualifizierten HIPAA-Compliance-Experten für organisationsspezifische Empfehlungen.

Ist Zoom HIPAA-konform?

Zoom kann HIPAA-konform sein, ist es aber nicht standardmäßig. Kein Videokonferenztool ist das. HIPAA-Compliance ist keine Funktion, die man einfach aktiviert – sie ergibt sich aus der Kombination des richtigen Softwaretarifs, eines unterzeichneten rechtlichen Abkommens, korrekter Konfiguration und organisatorischer Richtlinien.

Konkret bedeutet das: Wenn du Zoom letzte Woche heruntergeladen und Telemedizin-Sitzungen mit dem kostenlosen Tarif gestartet hast, bist du nicht HIPAA-konform. Selbst mit einem bezahlten Tarif erreichst du keine Konformität, solange du kein BAA mit Zoom unterzeichnet und die Kontoeinstellungen angepasst hast.

Ein Beispiel: Dr. Rivera betreibt eine kleine Praxis für psychische Gesundheit mit vier Therapeuten. Sie nutzten Zoom Basic zwei Jahre lang und gingen davon aus, dass die Verschlüsselung ausreicht. Nach einem Compliance-Audit stellte sich heraus, dass ohne BAA jede aufgezeichnete Sitzung einen potenziellen HIPAA-Verstoß darstellte. Die Behebung dauerte drei Tage. Der Stress hielt monatelang an.

Stand März 2026 bietet Zoom über sein Angebot Zoom for Healthcare HIPAA-konforme Konfigurationen in bestimmten bezahlten Tarifen an. Zoom unterzeichnet BAAs für berechtigte Konten, die Zoom Meetings, Zoom Phone, Zoom Team Chat und Zoom Rooms abdecken, wenn sie innerhalb der Vertragsbedingungen genutzt werden.

Welche Zoom-Tarife unterstützen HIPAA-Compliance?

Nicht jeder Zoom-Tarif qualifiziert sich für ein BAA. Stand März 2026 bietet Zoom HIPAA-fähige Konfigurationen in folgenden Tarifen an:

• Zoom Workplace Pro (kostenpflichtig) mit Healthcare-Zusatzmodul
• Zoom Workplace Business und höher
• Zoom Workplace Enterprise (mit dedizierten Healthcare-Funktionen)
• Zoom for Healthcare (speziell für das Gesundheitswesen mit EHR-Integrationen)

Der kostenlose Zoom-Basic-Tarif qualifiziert sich nicht für ein BAA. Persönliche Pro-Konten ohne Healthcare-Zusatzmodul ebenfalls nicht.

Tarifnamen, BAA-Berechtigung und Preise ändern sich regelmäßig. Besuche zoom.us/pricing oder kontaktiere den Zoom-Vertrieb, um aktuelle Optionen zu bestätigen, bevor du Compliance-Entscheidungen triffst.

Der entscheidende Unterschied zwischen den Tarifen ist nicht nur das BAA. Höhere Tarife beinhalten Funktionen, die Gesundheitseinrichtungen tatsächlich benötigen: individuell gestaltbare Warteräume mit dem Namen deiner Praxis, Integration mit EHR-Systemen wie Epic und Cerner sowie detaillierte Administratorkontrollen zur Verwaltung von Aufzeichnungsberechtigungen.

Wenn du Optionen vergleichst, zeigt unser Leitfaden zu Microsoft-Teams-Alternativen, wie andere Plattformen mit Compliance umgehen.

Was ist ein BAA und warum ist es wichtig?

Ein Business Associate Agreement (BAA) ist ein rechtsverbindlicher Vertrag zwischen einem Gesundheitsdienstleister (oder einer anderen betroffenen Einrichtung) und einem Anbieter, der geschützte Gesundheitsinformationen verarbeitet. Gemäß HIPAA musst du mit jedem Drittanbieter-Dienst, der auf PHI zugreifen, diese speichern oder übertragen kann, ein unterschriebenes BAA haben.

Ohne BAA spielt es keine Rolle, wie sicher die Verschlüsselung von Zoom ist. Du verstößt gegen HIPAA.

Das BAA von Zoom deckt bei korrekter Konfiguration folgende Produkte ab:

• Zoom Meetings (Video und Audio)
• Zoom Phone
• Zoom Team Chat
• Zoom Rooms
• Zoom Webinars (mit Einschränkungen)
• Cloud-Aufzeichnungen (wenn gemäß BAA-Bedingungen aktiviert)

Produkte, die nicht durch das Standard-BAA von Zoom abgedeckt sind:

• Zoom Apps (Drittanbieter-Marketplace-Apps)
• Zoom Whiteboard (aktuellen Status bei Zoom prüfen)
• Zoom Mail und Calendar
• Alle Funktionen des kostenlosen Tarifs

Um ein BAA von Zoom anzufordern, benötigst du in der Regel:

1. Einen berechtigten bezahlten Tarif (Business oder höher, oder Pro mit Healthcare-Zusatzmodul)
2. Kontaktaufnahme mit dem Zoom-Vertrieb oder deinem Ansprechpartner
3. Prüfung und Gegenzeichnung des BAA-Dokuments
4. Konfiguration deines Kontos gemäß dem HIPAA-Implementierungsleitfaden von Zoom

Der BAA-Unterzeichnungsprozess dauert bei Standardtarifen normalerweise 1 bis 5 Werktage. Enterprise-Konten können individuelle BAA-Bedingungen aushandeln, was 2 bis 4 Wochen dauern kann.

Stell dir das BAA wie einen Sicherheitsgurt vor. Das Auto (Zoom) mag sicher sein, aber ohne Gurt (BAA) bist du bei einem Unfall (Audit oder Datenschutzverletzung) trotzdem gefährdet.

So machst du Zoom HIPAA-konform: Konfigurationscheckliste

Das BAA zu unterzeichnen ist der erste Schritt. Der zweite besteht darin, dein Zoom-Konto so zu konfigurieren, dass es die HIPAA-Anforderungen tatsächlich erfüllt. Zoom stellt BAA-Unterzeichnern einen HIPAA-Implementierungsleitfaden zur Verfügung, aber hier sind die wichtigsten Einstellungen, die dein IT-Team vornehmen muss.

Verschlüsselungseinstellungen

• Aktiviere Ende-zu-Ende-Verschlüsselung (E2EE) für Meetings mit PHI. Zoom bietet E2EE als Option an, aber sie ist nicht standardmäßig aktiviert. Hinweis: E2EE deaktiviert einige Funktionen wie Cloud-Aufzeichnung, Breakout-Räume und Live-Transkription.
• Fordere Verschlüsselung für Drittanbieter-Endpunkte (H.323/SIP), wenn du Konferenzraum-Hardware nutzt.
• Aktiviere AES-256-Bit-GCM-Verschlüsselung (seit 2020 standardmäßig für alle Zoom-Meetings aktiviert).

Meetingsicherheit

• Aktiviere Warteräume, damit Patienten nicht in Sitzungen mit anderen Patienten landen.
• Fordere Meetingpasswörter für jede Sitzung.
• Deaktiviere die Option Vor dem Host beitreten, um zu verhindern, dass Patienten einen unbeaufsichtigten Raum betreten.
• Sperre das Meeting, nachdem alle erwarteten Teilnehmer beigetreten sind.
• Deaktiviere den Dateitransfer im Chat während Meetings (verhindert versehentliches Teilen von PHI über den Chat).
• Deaktiviere die Cloud-Aufzeichnung standardmäßig und aktiviere sie nur für Sitzungen, in denen die Aufzeichnung klinisch notwendig ist und der Patient zugestimmt hat.

Kontoverwaltung

• Beschränke die Bildschirmfreigabe auf den Host (verhindert, dass Patienten versehentlich ihren Bildschirm teilen).
• Deaktiviere Zoom-AI-Companion-Funktionen für Meetings mit PHI, sofern sie nicht ausdrücklich durch dein BAA abgedeckt sind.
• Deaktiviere die Meetingtranskription, sofern nicht erforderlich und genehmigt.
• Verwende verwaltete Domains, damit nur autorisierte E-Mail-Adressen auf deine Zoom-Organisation zugreifen können.
• Aktiviere Zwei-Faktor-Authentifizierung (2FA) für alle Benutzerkonten.
• Konfiguriere automatische Sitzungszeitlimits für inaktive Konten.

Aufzeichnung und Speicherung

• Wenn du Cloud-Aufzeichnung nutzen musst, stelle sicher, dass dein BAA sie ausdrücklich abdeckt und der Zugriff auf autorisiertes Personal beschränkt ist.
• Lokale Aufzeichnungen speichern Daten auf deiner eigenen Infrastruktur, erfordern aber eigene Verschlüsselung und Zugriffskontrollen.
• Lösche Aufzeichnungen, wenn sie klinisch nicht mehr benötigt werden (lege eine Aufbewahrungsrichtlinie fest).

Für Organisationen, die Hilfe beim Einrichten sicherer virtueller Meetings benötigen, haben wir eine separate Schritt-für-Schritt-Anleitung.

Ist Zoom HIPAA-konform für Telemedizin und Psychotherapie?

Das ist die häufigste Frage von Gesundheitsdienstleistern – und die Antwort erfordert Differenzierung.

Für Telemedizin allgemein funktionieren die HIPAA-konformen Zoom-Tarife gut. Die Plattform unterstützt Einzelvideokonsultationen, Gruppentherapiesitzungen und sogar Check-ins im Rahmen der Fernpatientenüberwachung. Stand März 2026 enthält Zoom for Healthcare speziell für die Telemedizin entwickelte Funktionen: virtuelle Warteräume, EHR-Integrationen mit Epic und Cerner sowie klinische Workflow-Tools.

Für Psychotherapie und psychische Gesundheit ist zusätzliche Vorsicht geboten. Therapeuten verarbeiten besonders sensible PHI (Suchtunterlagen, psychiatrische Diagnosen, Sitzungsnotizen). Berücksichtige diese zusätzlichen Maßnahmen:

• Verwende niemals den Zoom AI Companion oder die Transkription während Therapiesitzungen. Selbst wenn sie vom BAA abgedeckt sind, schafft automatische Transkription von Therapie unnötiges Risiko.
• Deaktiviere alle Aufzeichnungen, sofern der Patient nicht schriftlich zugestimmt hat und das Landesrecht es erlaubt.
• Nutze die Warteraumfunktion, damit sich Patienten aus Gruppensitzungen nicht vor der Zulassung durch den Host sehen.
• Schule das Personal, was im Zoom-Chat während Sitzungen gesagt werden darf und was nicht (Chat-Protokolle können gespeichert werden).

Eine Gruppentherapiepraxis führt vier gleichzeitige Abendsitzungen durch. Ohne korrekte Warteraumkonfiguration gelangt Patient A aus der Angstgruppe versehentlich in die Sitzung zur Suchttherapie. Die auf dem Bildschirm sichtbaren Patientennamen stellen einen HIPAA-Verstoß dar. Eine korrekte Warteraum- und Passwortkonfiguration verhindert dies vollständig.

Was ist mit den HIPAA-Ausnahmen aus der COVID-Zeit? Von 2020 bis 2023 gewährte das US-Gesundheitsministerium (HHS) einen Ermessensspielraum bei der Durchsetzung für Telemedizin-Anbieter, die Verbraucher-Videotools nutzten. Diese Ausnahmen sind ausgelaufen. Stand März 2026 gelten die regulären HIPAA-Durchsetzungsregeln vollständig. Zoom ohne BAA für Telemedizin zu nutzen ist ein Verstoß – ohne Ausnahme.

Wenn du erfahren möchtest, wie du Breakout-Räume erstellst für Gruppentherapie, findest du in unserem Leitfaden den Einrichtungsprozess.

Ist Zoom HIPAA-konform im Vergleich zu Google Meet und Microsoft Teams?

Entscheider im Gesundheitswesen vergleichen Zoom häufig mit Google Meet und Microsoft Teams. So schneiden sie bei der HIPAA-Compliance im März 2026 ab:

Zoom bietet einen dedizierten Bereich für das Gesundheitswesen mit speziell entwickelten Funktionen. Das BAA deckt Meetings, Phone, Chat und Rooms ab. Der Zoom-for-Healthcare-Tarif umfasst EHR-Integrationen und klinische Workflow-Tools. Zooms Vorteil liegt im telemedizinspezifischen Funktionsumfang und darin, dass die meisten Patienten bereits wissen, wie es funktioniert.

Google Meet (über Google Workspace) kann HIPAA-konform sein. Google unterzeichnet BAAs für die Tarife Workspace Business, Enterprise und Education Plus. Das BAA deckt Meet, Gmail, Drive, Calendar und andere Workspace-Kern-Apps ab. Google Meet bietet nicht die gesundheitsspezifischen Funktionen von Zoom (keine EHR-Integrationen, keine klinischen Warteräume), lässt sich aber gut integrieren, wenn deine Organisation bereits Google Workspace nutzt.

Microsoft Teams (über Microsoft 365) unterstützt ebenfalls HIPAA-Compliance. Microsoft unterzeichnet BAAs für die Tarife Business, Enterprise und Education. Teams integriert sich tief in Microsofts Healthcare-Tools, darunter die Plattform Microsoft Cloud for Healthcare und Azure Health Data Services. Teams ist am stärksten für Organisationen, die bereits im Microsoft-Ökosystem verankert sind.

Alle drei Plattformen können HIPAA-konform sein. Die Wahl hängt von deiner bestehenden Infrastruktur, dem Budget und dem verwendeten EHR-System ab.

Für Teams, die Alternativen jenseits traditioneller Videoanrufe erkunden, bieten Online-Meeting-Plattformen andere Ansätze für virtuelle Zusammenarbeit.

Was passiert, wenn du Zoom ohne HIPAA-Compliance nutzt?

Zoom (oder ein anderes Videotool) ohne angemessene Compliance für die Verarbeitung von PHI zu nutzen, ist nicht nur ein Richtlinienproblem. Es zieht reale finanzielle und rechtliche Konsequenzen nach sich.

HIPAA-Strafen gliedern sich in vier Stufen, je nach Grad der Fahrlässigkeit:

Strafbeträge inflationsangepasst für 2026. Quelle: HHS Office for Civil Rights.

Über Geldstrafen hinaus kann ein HIPAA-Verstoß Folgendes auslösen:

• Ermittlungen durch Generalstaatsanwälte der Bundesstaaten (viele Staaten haben eigene Datenschutzgesetze im Gesundheitsbereich mit separaten Strafen)
• Klagen von Patienten wegen Fahrlässigkeit oder Verletzung der Vertraulichkeit
• Verlust der Berufslizenz für einzelne Leistungserbringer
• Reputationsschäden, die Patienten dazu bringen, die Praxis zu wechseln
• Pflicht zur Benachrichtigung jedes betroffenen Patienten, des HHS und (bei Verstößen mit über 500 Datensätzen) der lokalen Medien

Die häufigsten Zoom-bezogenen HIPAA-Verstöße sind keine spektakulären Hacks. Es sind alltägliche Fehler: ein Therapeut, der Zoom Basic ohne BAA nutzt, eine Klinik, die nie die Cloud-Aufzeichnung deaktiviert hat, ein Administrator, der einen Meeting-Link mit dem Patientennamen in der URL geteilt hat. Jeder dieser Fälle ist ein meldepflichtiger Vorfall.

Tipps für bessere virtuelle Meetings mit angemessenen Sicherheitspraktiken findest du in unserem Leitfaden zu ansprechenden Online-Meetings.

Zoom und HIPAA: Die wichtigsten Erkenntnisse

Zoom ist HIPAA-konform, wenn du es richtig einrichtest. Das solltest du diese Woche tun:

1. Überprüfe deinen Tarif. Du brauchst Zoom Workplace Business oder höher, oder Zoom Pro mit dem Healthcare-Zusatzmodul. Der kostenlose Tarif qualifiziert sich nicht.
2. Unterzeichne ein BAA. Kontaktiere den Zoom-Vertrieb. Plane keine weiteren Patientensitzungen, bis das BAA gegengezeichnet ist.
3. Arbeite die Konfigurationscheckliste ab. Aktiviere Warteräume, fordere Passwörter, aktiviere E2EE für PHI-Sitzungen, deaktiviere KI-Funktionen und beschränke die Aufzeichnung.
4. Schule dein Personal. HIPAA-Compliance scheitert häufiger am menschlichen Faktor als an der Technologie. Jeder Kliniker und Administrator, der Zoom nutzt, muss verstehen, was erlaubt ist und was nicht.
5. Dokumentiere alles. Bewahre BAA, Konfigurationsscreenshots, Schulungsnachweise und den Notfallplan an einem Ort auf. Auditoren werden danach fragen.

Zoom ist eine solide Wahl für Telemedizin und Kommunikation im Gesundheitswesen, wenn es korrekt konfiguriert ist. Die Bekanntheit bei Patienten, EHR-Integrationen und gesundheitsspezifische Funktionen machen es zu einer der stärksten Optionen auf dem Markt. Aber die Verantwortung für die Compliance liegt bei dir, nicht bei Zoom.

Für nichtklinische Teamtreffen wie Vollversammlungen, Social Events oder Networking bietet Flat.social einen räumlichen Ansatz, bei dem sich Teilnehmer frei bewegen und natürlich unterhalten können.

Zoom ist eine Marke von Zoom Communications, Inc. HIPAA ist ein US-Bundesgesetz. Diese Seite ist weder mit Zoom Communications, Inc. verbunden noch wird sie von diesem Unternehmen unterstützt oder gesponsert.