10 verschlüsselte E-Mail-Lösungen für Gesundheitsdienstleister im Jahr 2026

Angesichts der sich weiterentwickelnden HIPAA-Richtlinien und der zunehmenden Kontrolle durch die Aufsichtsbehörden ist die Verschlüsselung von E-Mails nicht mehr optional. 

Aber nicht alle Lösungen sind gleich.

Viele Gesundheitsorganisationen haben Schwierigkeiten, Tools zu finden, die Compliance und Benutzerfreundlichkeit in Einklang bringen. Portale werden nicht genutzt, Integrationen sind umständlich und Mitarbeiter umgehen häufig die Verschlüsselung komplett. Die besten Plattformen lösen dieses Problem, indem sie nahtlos mit Ihrem bestehenden E-Mail-System zusammenarbeiten und gleichzeitig ein reibungsloses Patientenerlebnis gewährleisten.

In diesem Leitfaden vergleichen wir 10 führende verschlüsselte E-Mail-Lösungen für das Gesundheitswesen , die speziell für das Gesundheitswesen entwickelt wurden. Von Einzelpraxen bis hin zu großen Gesundheitssystemen – diese Tools sorgen dafür, dass Ihre E-Mails sicher, konform und benutzerfreundlich bleiben, und zwar auf beiden Seiten.

Was Sie bei verschlüsselten E-Mails im Gesundheitswesen beachten sollten

Bei der Bewertung verschlüsselter E-Mail-Lösungen für das Gesundheitswesen sollten Sie Plattformen den Vorzug geben, die ein ausgewogenes Verhältnis zwischen Sicherheit, Benutzerfreundlichkeit und Compliance bieten. Hier sind die wichtigsten Funktionen und Überlegungen:

E-Mail-Authentifizierung und -Verschlüsselung

Wirksame Lösungen sollten sowohl vor Abfangen als auch vor Identitätsdiebstahl schützen. Verschlüsselung schützt den Inhalt von E-Mails, während Authentifizierungsprotokolle wie SPF, DKIM und DMARC verhindern, dass Angreifer Ihre Domain missbrauchen, was eine gängige Taktik bei Phishing-Angriffen im Gesundheitswesen ist Phishing-Angriffenverwendet wird.

Verschlüsselung standardmäßig

Die Plattform sollte jede ausgehende Nachricht automatisch verschlüsseln, ohne dass die Benutzer diese Funktion aktivieren müssen. Dadurch werden menschliche Fehler vermieden, die für über 70 % der Datenschutzverletzungen im Gesundheitswesen verantwortlich sind.

Keine Patientenportale

Um die Patientenbindung und die Antwortraten zu maximieren, sollten Sie Tools wählen, die verschlüsselte Nachrichten direkt an den Posteingang des Empfängers senden, ohne dass dieser sich bei einem Portal anmelden oder ein Konto erstellen muss.

Nahtlose Integration

Die Lösung sollte nativ mit bestehenden E-Mail-Systemen wie Microsoft 365 oder Google Workspace kompatibel sein, sodass die Mitarbeiter ihre aktuellen E-Mail-Adressen und Arbeitsabläufe weiterhin nutzen können.

BAA enthalten

Anbieter sollten im Rahmen ihrer Dienstleistungen eine Geschäftspartnervereinbarung (Business Associate Agreement, BAA) anbieten. Dies ist eine nicht verhandelbare Anforderung gemäß HIPAA für alle Anbieter, die mit geschützten Gesundheitsdaten umgehen.

Einfache Einrichtung

Suchen Sie nach Tools, deren Bereitstellung nur minimalen IT-Aufwand erfordert. Die Einrichtung sollte schnell gehen, und die Mitarbeiter sollten die Plattform mit wenig oder gar keiner Schulung nutzen können.

Compliance-Dokumentation

Stellen Sie sicher, dass die Plattform Zugriff auf Audit-Protokolle, Verschlüsselungszertifikate und Compliance-Berichte bietet, um interne Audits und die Dokumentationsanforderungen gemäß HIPAA zu unterstützen.

Erschwingliche Preise

Die Preise pro Benutzer sollten sich nach der Größe Ihrer Organisation richten, sodass die Lösung sowohl für Einzelpraktiker als auch für kleine Kliniken und große Gesundheitssysteme geeignet ist.

Patientenerfahrung

Die Plattform sollte Patienten eine einfache, intuitive Benutzererfahrung bieten, ohne dass Downloads oder spezielle Software zum Lesen verschlüsselter Nachrichten erforderlich sind.

Supportqualität

Priorisieren Sie Anbieter mit Support-Teams, die sich mit Compliance im Gesundheitswesen und HIPAA auskennen, nicht nur mit allgemeiner IT-Fehlerbehebung.

Regulatorische Angleichung

Ihre Lösung sollte mit aktuellen und künftigen Vorschriften im Einklang stehen, darunter auch mit dem Vorschlag des US-Gesundheitsministeriums (HHS) für 2025, der Verschlüsselung als erforderliche Sicherheitsmaßnahme gemäß der HIPAA-Sicherheitsvorschrift vorschreibt.

Mehrkanal-Sicherheit

Wenn Ihre Organisation mehrere Kommunikationsmethoden wie SMS, Fax oder Patientenportale nutzt, wählen Sie Anbieter, die eine sichere, HIPAA-konforme Nachrichtenübermittlung über alle Kanäle hinweg unterstützen. Eine einheitliche Plattform kann Abläufe optimieren, Risiken reduzieren und die Patientenbindung über alle Medien hinweg verbessern.

KI-gestützte Erkennung von Bedrohungen

Fortschrittliche Lösungen integrieren nun KI, um Phishing, Spoofingund Versuche der Datenexfiltration in Echtzeit zu erkennen und zu blockieren. Für Umgebungen mit hohem Risiko bieten Plattformen mit integrierter maschineller Lernfähigkeit, DLP (Data Loss Prevention) und Anomalieerkennung eine proaktive Verteidigungsebene, die über die grundlegende Verschlüsselung hinausgeht.

Als erste Lösung in unserer Liste spielt PowerDMARC eine grundlegende Rolle für die E-Mail-Sicherheit im Gesundheitswesen, indem es Authentifizierungslücken schließt, die bei reinen Verschlüsselungsplattformen oft übersehen werden.

1. PowerDMARC: E-Mail-Authentifizierung 

PowerDMARC ist eine Sicherheitsplattform für die E-Mail-Authentifizierung, die Spoofing und Identitätsdiebstahl durch den Einsatz von DMARC, SPF, DKIM und MTA-STS einsetzt, um Ihren E-Mail-Kanal zu sichern. Sie ergänzt verschlüsselte E-Mail-Dienste, indem sie sicherstellt, dass jede ausgehende Nachricht von Ihrer Domain authentifiziert und über eine erzwungene TLS-Verschlüsselung zugestellt wird, wodurch die HIPAA-E-Mail-Sicherheit verbessert wird.

Wichtige Fähigkeiten

• Liefert detaillierte Berichte zu Sicherheit und Zustellbarkeit, die IT-Teams im Gesundheitswesen dabei helfen, E-Mail-Abläufe zu überprüfen und technische Sicherheitsvorkehrungen wie Authentifizierung, erzwungene Transportverschlüsselung und Protokollierung zu dokumentieren.
  
• Implementiert DMARC mit SPF/DKIM, um betrügerische E-Mails zu blockieren und Patientendaten vor Phishing zu schützen. Enthält gehostete BIMI und KI-gestützte Bedrohungsinformationen für Echtzeit-Spoofing-Warnungen.
  
• Erzwingt TLS 1.2+ für alle E-Mails während der Übertragung (MTA-STS), verhindert Downgrade-Angriffe und stellt sicher, dass PHI nicht über unverschlüsselte Kanäle gesendet wird. Bietet TLS-RPT-Berichte für Transparenz bei der sicheren E-Mail-Zustellung.
  
• Liefert detaillierte Compliance- und Zustellbarkeitsberichte , um die Sicherheitsstandards im Gesundheitswesen zu erfüllen. Unterstützt die IT-Abteilung im Gesundheitswesen bei der Prüfung von E-Mail-Abläufen und beim Nachweis, dass technische HIPAA-Sicherheitsvorkehrungen (Authentifizierung, Verschlüsselung, Protokollierung) vorhanden sind.
  
• Einfache Integration in Ihre bestehenden E-Mail-Anbieter, die mit Office 365, G Suite, EHR-Systemen usw. kompatibel sind, dank geführter Onboarding-Prozedur. Ein zentrales Dashboard überwacht alle Domänen rund um die Uhr und gibt sofortige Warnmeldungen bei verdächtigen E-Mail-Aktivitäten aus.

Profis

• Blockiert nicht autorisierte Absender und gefälschte E-Mails und stellt sicher, dass Angreifer sich nicht als Domain Ihrer Klinik ausgeben können.
  
• Authentifiziert alle ausgehenden E-Mails, sodass legitime Nachrichten nicht markiert oder gelöscht werden. Dies führt zu einer zuverlässigen Zustellung sensibler E-Mails und einem geringeren Betrugsrisiko.
  
• Geführte Einrichtung veröffentlicht DNS-Einträge (SPF/DKIM/DMARC) in wenigen Minuten. Das Cloud-Portal bietet kontinuierliche Überwachung, Richtlinienänderungen mit einem Klick und aggregierte Berichte bei minimalem IT-Aufwand zur Aufrechterhaltung der Compliance.
  
• Erweitert jeden verschlüsselten E-Mail-Dienst durch Hinzufügen einer Authentifizierungsebene. Die Berichte und Warnmeldungen von PowerDMARC liefern zusätzliche Nachweise zur E-Mail-Integrität und Transportsicherheit (nützlich für die HIPAA-Dokumentation).

Nachteile

• PowerDMARC selbst verschlüsselt keine E-Mail-Inhalte, sondern konzentriert sich auf Identität und Transport. Für die Vertraulichkeit Ihrer Nachrichten benötigen Sie weiterhin einen eigentlichen verschlüsselten E-Mail-Dienst, während PowerDMARC sicherstellt, dass diese verschlüsselten E-Mails nicht gefälscht oder unbemerkt über SMTP abgefangen werden können.
  
• Im Gegensatz zu anderen hier vorgestellten Lösungen bietet PowerDMARC kein E-Mail-Portal für Patienten und keine Verschlüsselung des Posteingangs, da es sich ausschließlich um Backend-E-Mail-Sicherheit handelt. Es erfüllt die HIPAA-Transportschutzmaßnahmen, jedoch nicht die Anforderungen an die Endbenutzer-Verschlüsselung UX.

Am besten geeignet für

Gesundheitsorganisationen, die bereits über eine E-Mail-Verschlüsselungslösung verfügen und die Sicherheit durch E-Mail-Authentifizierung erhöhen möchten. PowerDMARC ist ideal für Krankenhäuser, Kliniken und Unternehmensgesundheitssysteme, die Domain-Spoofing verhindern, sicherstellen müssen, dass PHI-E-Mails vertrauenswürdig und TLS-verschlüsselt sind, und über auditfähige Berichte für die Compliance verfügen müssen. 

Preisgestaltung

• Kostenlos: 0 $ (persönliche/nicht-kommerzielle Nutzung; eingeschränkte Funktionen)
• Starter: 8 $/Benutzer/Monat (volumenbasiert; umfasst mehrere Domains)
• Unternehmen/MSP: Individuelle Preisgestaltung (einschließlich Bedrohungsinformationen, SIEM/API-Integrationen)
• Kostenlose Testversion: 15 Tage

Benutzerbewertung

4,9 / 5 (G2)

1. Paubox: Nahtlose HIPAA-E-Mail-Verschlüsselungssuite

Paubox bietet eine HIPAA-konforme E-Mail-Lösung, die standardmäßig jede ausgehende E-Mail automatisch verschlüsselt, ohne dass Portale oder zusätzliche Schritte erforderlich sind. Sie lässt sich direkt in Ihre bestehende E-Mail-Plattform integrieren, sodass Gesundheitsdienstleister PHI-Daten so einfach wie normale E-Mails versenden können und dabei alle Vorschriften einhalten. 

Wichtige Fähigkeiten

• Paubox verschlüsselt jede ausgehende E-Mail automatisch, ohne dass ein Eingreifen des Benutzers oder spezielle Schlüsselwörter erforderlich sind. Die Verschlüsselung wird im Hintergrund auf alle Nachrichten angewendet, die PHI enthalten, wodurch die Gefahr menschlicher Fehler ausgeschlossen wird.
  
• Verschlüsselte E-Mails werden direkt an den normalen Posteingang des Empfängers zugestellt und können wie jede andere Nachricht gelesen werden, sodass keine separate Anmeldung, kein Link und kein Portal erforderlich sind. Paubox verwendet TLS 1.2+ Verschlüsselung und seine proprietäre Verarbeitung, um eine sichere Zustellung an externe Empfänger zu gewährleisten, ohne dass diese ein Portal besuchen oder zusätzliche Passwörter eingeben müssen.
  
• Paubox wird als sicheres E-Mail-Gateway für Google Workspace und Microsoft 365 (unter anderem) implementiert, sodass Benutzer Gmail, Outlook und mobile E-Mail-Apps genau wie bisher weiterverwenden können.
  
• Bietet KI-gestützte Inbound- E-Mail-Sicherheit (verfügbar in höheren Stufen), um Phishing, Spam und Malware zu stoppen, bevor sie den Posteingang erreichen. Dazu gehört eine erweiterte Bedrohungserkennung zum Schutz von Patientendaten vor eingehenden Angriffen, die die Verschlüsselung durch eine robuste E-Mail-Filterung ergänzt.
  
• Bietet allen Kunden eine unterzeichnete Geschäftspartnervereinbarung (BAA). Paubox ist HITRUST CSF-zertifiziert und umfasst Compliance-orientierte Funktionen wie Audit-Protokolle und E-Mail-Archivierung.

Profis

• Paubox verhindert, dass jemand versehentlich unverschlüsselte PHI versendet. Dieser standardmäßig aktivierte Ansatz übertrifft die „adressierbaren“ Verschlüsselungsanforderungen der HIPAA und gibt Ihnen die Gewissheit, dass alle ePHI-E-Mails geschützt sind.
  
• Die höherwertigen Tarife von Paubox bieten Schutz vor eingehenden Bedrohungen wie beispielsweise KI, die E-Mail-Inhalte auf Phishing und Identitätsdiebstahl analysiert, um Sicherheitsverletzungen zu verhindern. Die Plattform bietet außerdem sichere Patientenformulare und E-Mail-API-Funktionen für Entwickler. Dieser All-in-One-Ansatz kann die Notwendigkeit mehrerer Anbieter reduzieren.

Nachteile

• Die Implementierung von Paubox umfasst in der Regel die Umleitung Ihres E-Mail-Flusses über deren Server (durch Aktualisierung der DNS-MX-Einträge). Dies ist unkompliziert und muss nur einmalig durchgeführt werden, jedoch besteht eine Abhängigkeit von einem Cloud-Dienst eines Drittanbieters. Ausfälle oder Internetprobleme könnten theoretisch die E-Mail-Zustellung beeinträchtigen, obwohl Paubox eine hohe Verfügbarkeit aufweist.
  
• Paubox liefert an Standard-E-Mail-Postfächer, was praktisch ist, aber es gibt keine spezielle App oder kein Portal für Patienten. Patienten, die ein sicheres Nachrichtenportal oder eine App mit Nachrichtenrückruf oder Lesebestätigung bevorzugen, finden diese Funktionen hier möglicherweise nicht. 

Am besten geeignet für

Gesundheitsdienstleister und Unternehmen, die die einfachste und nahtloseste verschlüsselte E-Mail-Lösung für das Gesundheitswesen wünschen.

Preisgestaltung

• Standard: 29 $/Monat (bis zu 5 Benutzer; verschlüsselte E-Mails, BAA, grundlegende Sicherheit für eingehende Nachrichten)
• Plus: 59 $/Monat (zusätzlich Spam-, Viren- und ExecProtect-Phishing-Schutz)
• Premium: 69 $/Monat (zusätzlich E-Mail-Archivierung und DLP)

Benutzerbewertung

4,9 / 5 (G2)

1. Virtru: E-Mail- und Dateiverschlüsselung mit Zugriffskontrolle

Virtru ist eine benutzerfreundliche Plattform für E-Mail-Verschlüsselung und Datenschutz, die sich direkt in Gmail- und Outlook-Clients integrieren lässt. Sie ermöglicht eine End-to-End-Verschlüsselung von E-Mails und Anhängen sowie detaillierte Kontrollfunktionen wie das Widerrufen von Nachrichten, das Festlegen von Ablaufdaten und das Verhindern von Weiterleitungen. Die Lösung von Virtru konzentriert sich darauf, Unternehmen auch nach dem Versand eine dauerhafte Kontrolle über sensible Daten zu ermöglichen, während sie sich nahtlos in die bestehenden E-Mail-Workflows der Benutzer einfügt.

Wichtige Fähigkeiten

• Virtru verwendet eine starke AES-256-Verschlüsselung und das offene Trusted Data Format (TDF), um E-Mail-Inhalte und Dateien zu verschlüsseln, sodass nur die vorgesehenen Empfänger sie entschlüsseln können. Die Verschlüsselung wird beim Senden (über ein Plugin oder Add-in) angewendet und kann sowohl für gespeicherte als auch für übertragene Nachrichten durchgesetzt werden.
  
• Es lässt sich in gängige E-Mail-Clients integrieren, sodass Benutzer einfach einen Virtru-Schalter in Gmail oder Outlook umlegen können, um eine E-Mail zu verschlüsseln. Administratoren können auch Regeln festlegen, damit bestimmte E-Mails automatisch verschlüsselt werden.
  
• Virtru bietet Kontrollen nach dem Versand, mit denen Sie E-Mails verwalten können, nachdem sie Ihren Postausgang verlassen haben. Absender können den Zugriff auf eine E-Mail jederzeit widerrufen, sodass sie für Empfänger unlesbar wird, Ablaufdaten für das automatische Ablaufen von E-Mails/Inhalten festlegen, das Weiterleiten oder Herunterladen bestimmter Nachrichten deaktivieren und sehen, ob auf eine Nachricht zugegriffen wurde. Dies ist besonders nützlich im Rahmen des HIPAA: Wenn eine E-Mail versehentlich versendet wurde, können Sie sie sofort widerrufen.
  
• Virtru umfasst Verwaltungsfunktionen wie E-Mail-DLP-Regeln zur automatischen Verschlüsselung oder Blockierung von Nachrichten, die PHI enthalten, Benutzerverwaltung und Audit-Protokolle sowie Integrationen mit SIEM-Systemen. Es bietet auch eine Customer Key Server-Option für Unternehmen, die ihre eigenen Verschlüsselungsschlüssel für Compliance-Zwecke hosten möchten.

Profis

• Mitarbeiter können mit einem Klick in Gmail/Outlook verschlüsseln, sodass kaum Unterbrechungen auftreten. Diese hohe Benutzerfreundlichkeit fördert die Akzeptanz, da Ärzte und Administratoren die Verschlüsselung eher nutzen, wenn sie in die ihnen vertrauten Tools integriert ist.
  
• Virtru basiert auf dem offenen Trusted Data Format (TDF) und nicht auf proprietären Formaten. Das bedeutet, dass verschlüsselte Daten systemübergreifend ausgetauscht werden können und dabei geschützt bleiben.
  
• Virtru lässt sich auch in Regeln zur Verhinderung von Datenverlusten integrieren, beispielsweise durch die automatische Verschlüsselung aller E-Mails, die eine neunstellige Nummer (SSN) oder das Wort „PHI“ enthalten. Diese Funktionen tragen dazu bei, die Einhaltung der HIPAA-Vorschriften nachzuweisen und das Risiko menschlicher Fehler zu verringern.

Nachteile

• Einige der erweiterten Funktionen von Virtru sind nur in höherwertigen Tarifen verfügbar. Die genauen Funktionen können je nach Produkt und Tarif variieren, daher ist es wichtig, bei der Bewertung den Umfang zu prüfen. Kleinere Unternehmen mit Basistarifen erhalten möglicherweise nicht alle Funktionen, daher ist es wichtig, den richtigen Tarif auszuwählen.
  
• Empfänger ohne Virtru müssen auf einen Link klicken und das sichere Webportal nutzen, um die Nachricht zu lesen. Das ist zwar relativ einfach, aber dennoch ein zusätzlicher Schritt, der weniger technikaffine Patienten zunächst verwirren könnte. Es ist ratsam, den externen Workflow mit Beispielpatienten zu testen, um sicherzustellen, dass er zu Ihrem Anwendungsfall passt.
  
• Die Bereitstellung von Virtru in Outlook-Desktopumgebungen erfordert in der Regel die Installation einer clientseitigen Erweiterung oder die Verwaltung über Endpunkt-Tools. Microsoft 365-Benutzer können ein zentral bereitgestelltes Add-in mit weniger Aufwand verwenden. Die Einrichtung ist zwar nicht komplex, aber dennoch aufwändiger als bei reinen Cloud-Lösungen, insbesondere wenn kundengehostete Schlüssel oder erweiterte Verschlüsselungsrichtlinien verwendet werden.

Am besten geeignet für

Ideal für Teams, die PHI über Gmail oder Outlook austauschen, wie Krankenhäuser, die Patientenakten versenden, oder Abrechnungsunternehmen, die mit sensiblen Tabellenkalkulationen arbeiten, insbesondere wenn Funktionen wie das Widerrufen von Nachrichten oder detaillierte Prüfpfade erforderlich sind. 

Preisgestaltung

• Starter: 119 $/Monat (5 Benutzer, 24 $/Benutzer)
• Business: 219 $/Monat (5 Benutzer)
• Reguliert: 399 $/Monat (5 Benutzer)
• Unternehmen: Individuelle Preisgestaltung (10–15 $/Benutzer bei größeren Mengen)

Benutzerbewertung

4,4 / 5 (G2)

1. LuxSci: SecureLine E-Mail mit flexibler Zustellung

LuxSci ist ein langjähriger Anbieter von sicheren E-Mail-Diensten, der HIPAA-konforme verschlüsselte E-Mail- und Webdienste anbietet. Mit der LuxSci SecureLine-Technologie können Sie verschlüsselte E-Mails an beliebige Empfänger senden, ohne dass diese ein LuxSci-Konto oder spezielle Software benötigen, um Ihre Nachrichten zu lesen. LuxSci ist bekannt für seine robusten Verwaltungskontrollen und zusätzlichen Funktionen wie sichere Formulare und Hosting. Es handelt sich um einen voll ausgestatteten E-Mail-Hosting-Dienst, der von Grund auf für die Einhaltung der Vorschriften im Gesundheitswesen entwickelt wurde.

Wichtige Fähigkeiten

• LuxSci kann E-Mails über SMTP TLS, ein sicheres Webportal (Escrow Message Pickup), S/MIME oder PGP verschlüsseln und wählt zum Zeitpunkt des Versands dynamisch die beste Methode für jeden Empfänger aus, basierend auf den Richtlinien und den Fähigkeiten des Empfängers.
  Wenn Sie beispielsweise eine E-Mail an einen Patienten senden, dessen Mailserver TLS unterstützt, versendet LuxSci diese verschlüsselt über TLS. Ist dies nicht der Fall, wird eine Benachrichtigung gesendet und die Nachricht an ein sicheres Portal weitergeleitet. So wird sichergestellt, dass jede Nachricht auf dem Weg zum Empfänger auf die eine oder andere Weise verschlüsselt wird.
  
• LuxSci bietet eine sichere Webmail-Oberfläche und kann als Ihr E-Mail-Anbieter mit Optionen für Ihre eigene Domain dienen. Es bietet E-Mail-Hosting auf Unternehmensniveau mit IMAP/POP-Unterstützung, mobilem Zugriff auf LuxSci und Kompatibilität mit Clients wie Outlook und Apple Mail. Sie können die E-Mails Ihrer gesamten Praxis zu LuxSci migrieren oder es als Smart-Host für bestehende Systeme verwenden.
  
• Wenn das System eines Empfängers nicht mit der direkten Verschlüsselung kompatibel ist, verwendet LuxSci ein Secure Message Pickup-Portal (Escrow). Der Empfänger erhält eine E-Mail mit einem Link zu einer sicheren Website, auf der er sich authentifizieren und die verschlüsselte Nachricht lesen kann. Über das Portal kann er auch eine sichere Antwort senden.
  
• Über E-Mails hinaus bietet LuxSci HIPAA-konforme Webformular-Dienste und Unterstützung für elektronische Signaturen, beispielsweise für Aufnahmeformulare und Patienten-Einverständniserklärungen in bestimmten Plänen. Diese können in Ihre Website integriert oder als Links versendet werden, wobei die übermittelten Daten verschlüsselt und sicher an Sie übermittelt werden (oft per E-Mail).
  
• LuxSci verfügt über Admin-Kontrollen wie erzwungene Zwei-Faktor-Authentifizierung, IP-Beschränkungen, automatische E-Mail-Sicherung, 6-jährige Aufbewahrung zur Einhaltung von Vorschriften und detaillierte Audit-Protokolle. Ein integriertes Archiv speichert Kopien aller gesendeten/empfangenen E-Mails für HIPAA- oder gesetzliche Aufbewahrungsanforderungen. Ein BAA wird bereitgestellt, und die Systeme von LuxSci sind HITRUST-zertifiziert. Im Wesentlichen verfügt es über ein starkes Compliance-Framework, das sofort einsatzbereit ist.

Profis

• Sie haben viel Kontrolle darüber, wie E-Mails verschlüsselt werden. LuxSci kann opportunistisches TLS verwenden, die Abholung über das Portal erzwingen oder sogar S/MIME-Schlüssel integrieren, wenn einige Partner diese verwenden. Das bedeutet, dass Sie die Verschlüsselung individuell anpassen können, um Sicherheit und Komfort für jeden Empfänger oder jede Nachricht optimal aufeinander abzustimmen.
  
• Obwohl LuxSci ein sicheres Portal bereitstellt, haben die Empfänger keine LuxSci-Benutzer sein LuxSci-Benutzer sein. Sie können eine verschlüsselte E-Mail empfangen und über einen einfachen Weblink und eine einfache Verifizierung darauf zugreifen. Sie können auch sicher über dasselbe Portal antworten. Ihre Patienten oder externe Ärzte müssen nichts installieren.
  
• LuxSci kann Ihre E-Mail-Infrastruktur vollständig ersetzen, wenn Sie dies wünschen. Es handelt sich um einen ausgereiften E-Mail-Hosting-Dienst mit Funktionen wie 30-GB-Postfächern, IMAP/SMTP-Kompatibilität und Kompatibilität mit Outlook/Thunderbird. Dieser „One-Stop-Shop“-Aspekt ist praktisch, denn Sie erhalten verschlüsselte E-Mails, normale E-Mails, Webmail, Spam-Filterung und sogar Webhosting in einem Paket. 

Nachteile

• Das Portal ist zwar markenbezogen und benutzerfreundlich, stellt jedoch einen zusätzlichen Schritt dar, den manche Patienten als weniger praktisch empfinden könnten. Daher kann die Benutzererfahrung weniger nahtlos als bei Lösungen, die direkt an den Posteingang liefern.
  
• Die Flexibilität von LuxSci geht mit Komplexität einher. Administratoren müssen Verschlüsselungseinstellungen und Benutzerkonten konfigurieren und möglicherweise Domain-MX-Einträge koordinieren, wenn sie LuxSci für das Hosting verwenden. Für Unternehmen ohne IT-Support könnte die Ersteinrichtung im Vergleich zu Plug-and-Play-Diensten etwas aufwendig sein.
  
• Möglicherweise benötigen Sie dennoch einen separaten Spam-/Virenfilter, da LuxSci nur einen grundlegenden Spamschutz bietet.

Am besten geeignet für

Gesundheitsorganisationen, die eine hochgradig konfigurierbare, sichere E-Mail-Lösung wünschen, einschließlich solcher, die es vorziehen, alle E-Mails bei einem HIPAA-Spezialisten zu hosten. LuxSci eignet sich gut für größere Kliniken, Krankenhäuser oder IT-Abteilungen im Gesundheitswesen, die benutzerdefinierte E-Mail-Konfigurationen, langfristige Archivierung und möglicherweise die Integration mit anderen Systemen benötigen. 

Preisgestaltung

• Basic: 11,99 $/Benutzer/Monat (1 verschlüsseltes Konto, 15 GB, HIPAA-konform)
• Grundausstattung: ~15 $/Benutzer/Monat (mit Formularen, Vorlagen, elektronischen Signaturen)
• Wachstum: ~20 $+/Benutzer/Monat (mit benutzerdefiniertem Branding, erzwungener 2FA)
• Alle Tarife umfassen SecureLine-Verschlüsselung, E-Mail-Archivierung und eine BAA.
• 14-tägige kostenlose Testversion und Mengen-/Unternehmenspreise verfügbar.

Benutzerbewertung

4,7 / 5 (G2)

1. MailHippo: Kostengünstige sichere E-Mail für das Gesundheitswesen

MailHippo ist ein cloudbasierter Dienst, mit dem Sie auf einfache Weise verschlüsselte E-Mails über Ihre bestehende E-Mail-Adresse senden und empfangen können, ohne dass eine Konfiguration oder Installation erforderlich ist. MailHippo sorgt dafür, dass alle E-Mails mit einer 256-Bit-AES-Verschlüsselung gesichert sind, und bietet eine einzigartige SendSafe-Funktion, mit der Sie eine dedizierte sichere E-Mail-Adresse erhalten, über die Sie verschlüsselte E-Mails von beliebigen Absendern empfangen können. 

Wichtige Fähigkeiten

• Sie können sich innerhalb weniger Minuten anmelden und verschlüsselte E-Mails versenden, die HIPAA-konform sind, ohne Software installieren oder spezielle Konfigurationen vornehmen zu müssen. MailHippo funktioniert mit jedem E-Mail-Anbieter, sodass Sie Ihren gewohnten E-Mail-Client weiterverwenden oder die Weboberfläche von MailHippo nutzen können. Dies ist ideal für kleine Praxen, die schnell konform werden möchten.
  
• Jeder Benutzer erhält eine personalisierte SendSafe-E-Mail-Adresse, über die jeder Ihnen verschlüsselte Nachrichten senden kann. Im Wesentlichen handelt es sich dabei um einen sicheren E-Mail-Link, zum Beispiel [email protected]. Wenn ein Patient oder externer Partner eine E-Mail an diese Adresse sendet, wird die Nachricht verschlüsselt und an Ihren MailHippo-Posteingang zugestellt. Sie erhalten eine Benachrichtigung an Ihre normale E-Mail-Adresse, wenn eine sichere Nachricht eintrifft. Diese Eingangs-Funktion löst das oft knifflige Problem, wie Patienten eine sichere E-Mail an Sie senden können.
  
• MailHippo verwendet eine 256-Bit-AES-Verschlüsselung für alle gespeicherten und übertragenen Daten. E-Mails und Anhänge werden auf den Servern verschlüsselt gespeichert und über TLS versendet. Für Pro-Benutzer gibt es außerdem ein Outlook-Plugin („Outlook Button“), das sich in Outlook 2016/2019/2022 unter Windows integrieren lässt und das Versenden per MailHippo mit einem Klick ermöglicht.
  
• Höherwertige Tarife umfassen Funktionen wie „Message Recall“ (die Möglichkeit, eine gesendete Nachricht zurückzurufen) und „Message Expiration“ (automatisches Löschen einer Nachricht nach einer festgelegten Zeit). Sie können auch das Branding Ihrer Praxis auf E-Mails und Portalseiten anwenden (Logo usw.). Diese Funktionen bieten Ihnen eine gewisse Kontrolle nach dem Versand und Professionalität, ähnlich wie bei Unternehmenslösungen, jedoch zu einem viel günstigeren Preis.

Profis

• MailHippo erfordert keine IT-Kenntnisse. Melden Sie sich einfach auf der Website an und schon können Sie loslegen. Die Benutzeroberfläche ist für nicht-technische Anwender im Gesundheitswesen konzipiert. Sie müssen sich nicht um Verschlüsselungsschlüssel oder E-Mail-Konfigurationen kümmern, da dies alles von der Plattform übernommen wird.
  
• MailHippo ist eine der günstigsten HIPAA-E-Mail-Optionen und deutlich günstiger als viele Mitbewerber. Selbst der Basisplan umfasst wichtige Funktionen wie 5.000 verschlüsselte Nachrichten pro Monat, 5 GB Speicherplatz, die BAA und eine SendSafe-Adresse.
  
• Mit der SendSafe-Eingangsadresse können Patienten Ihnen ganz einfach verschlüsselte E-Mails senden. Sie müssen lediglich eine E-Mail an eine spezielle Adresse senden (oder auf einen von Ihnen bereitgestellten Link klicken). Sie müssen sich nicht in ein Portal einloggen oder komplizierte Anweisungen befolgen. 
• Wenn Sie Outlook unter Windows verwenden, können Sie einfach eine E-Mail verfassen, auf die Schaltfläche „Sicher senden“ klicken und MailHippo übernimmt die Verschlüsselung und Zustellung. So bleibt der normale Arbeitsablauf erhalten und Sie erhöhen die Sicherheit mit nur einem Klick.

Nachteile

• Der Ansatz von MailHippo ist, wie viele andere auch, ein ein sicheres Portal für die eigentliche Entschlüsselung von Nachrichten. Empfänger Ihrer E-Mails, die keine MailHippo-Nutzer sind, müssen auf einen Link klicken und die Nachricht in einer sicheren Browsersitzung anzeigen (oder den Einmalcode verwenden). Sie lesen den E-Mail-Inhalt nicht direkt in ihrem üblichen Posteingang.
  
• Die Outlook-Schaltfläche wird nur unter Windows Outlook (2016, 2019, 2021) unterstützt. Mac Outlook-Benutzer oder Benutzer anderer E-Mail-Clients können diese praktische Ein-Klick-Funktion nicht nutzen. Als Workaround können sie die MailHippo-Weboberfläche verwenden oder einfach eine E-Mail über ihren normalen Client an ihre eigene SendSafe-Adresse senden.
  
• MailHippo ist auf die Anforderungen der US-amerikanischen HIPAA ausgerichtet. Wenn Sie Daten in mehreren Regionen speichern müssen oder andere internationale Compliance-Anforderungen erfüllen müssen, ist unklar, ob dies angeboten wird. Für die meisten HIPAA-Anwendungsfälle ist dies kein Problem, aber globale Nutzer verfügen möglicherweise nicht über lokalisierte Server.
  

Am besten geeignet für

Kleine Arztpraxen, selbstständige Ärzte und Geschäftspartner, die eine supereinfache, kostengünstige HIPAA-konforme E-Mail-Lösung benötigen. MailHippo ist praktisch maßgeschneidert für Einzelärzte, Therapeuten, Berater oder kleine Kliniken, die kein IT-Personal haben und nicht viel ausgeben möchten. 

Preisgestaltung

• Basic: 4,95 $/Benutzer/Monat (5.000 sichere Nachrichten, 5 GB, SendSafe-Adresse, Branding, E-Mail-Support)
• Pro: 7,95 $/Benutzer/Monat (10.000 Nachrichten, 10 GB, mit Rückruf, Ablauf, Outlook-Integration)
• 30-tägige kostenlose Testversion verfügbar. Alle Tarife beinhalten eine BAA und sind monatlich kündbar.

Benutzerbewertung

Es gibt keine Nutzerbewertungen für MailHippo.

1. Hushmail: Verschlüsselte E-Mails und Formulare für Arztpraxen

Hushmail ist ein erfahrener Anbieter sicherer E-Mail-Dienste, der HIPAA-konforme verschlüsselte E-Mails und elektronisch signierbare Webformulare anbietet, die speziell auf medizinisches Fachpersonal zugeschnitten sind. Er stellt Nutzern ein Hushmail-E-Mail-Konto zur Verfügung, in dem alle E-Mails automatisch verschlüsselt werden und ein sicheres Webportal für die externe Kommunikation genutzt wird. 

Wichtige Fähigkeiten

• E-Mails, die zwischen Hushmail-Nutzern ausgetauscht werden, sind durchgehend verschlüsselt. E-Mails, die an Außenstehende gesendet werden, werden über ein sicheres Nachrichtenportal im Internet zugestellt (der Empfänger erhält einen Link, über den er die Nachricht sicher anzeigen kann). Die gesamte Ver- und Entschlüsselung erfolgt nahtlos, der Absender nutzt einfach die Hushmail-Website oder die mobile App wie jede andere E-Mail-Anwendung auch.
  
• Hushmail umfasst einen sicheren Webformular-Generator als Teil bestimmter Gesundheitspläne. Damit können Sie Aufnahmeformulare, Kontaktformulare, Fragebögen usw. erstellen, die Kunden sicher online ausfüllen können. Die Formulare können sogar Felder für elektronische Signaturen enthalten, um Einverständniserklärungen oder Vereinbarungen zu unterzeichnen.
  
• Alle Hushmail-Tarife für das Gesundheitswesen umfassen eine unterzeichnete BAA und ein integriertes E-Mail-Archiv zur Einhaltung gesetzlicher Vorschriften. Die Nachrichten werden auf den Servern von Hushmail (mit Standort in Kanada) unter Einhaltung strenger Sicherheitsvorkehrungen gespeichert. Administratoren können zu Prüfungs- oder rechtlichen Zwecken auf das Archiv zugreifen.
  
• Hushmail verfügt über Funktionen wie E-Mail-Vorlagen (damit Sie häufig verwendete Nachrichtentexte, wie z. B. eine E-Mail mit Folgeanweisungen, speichern können) und den geplanten Versand von E-Mails (in höheren Tarifen).
  
• Der Dienst bietet außerdem einen Kundenservice, der sich mit Anwendungsfällen im Gesundheitswesen auskennt, sowie Empfehlungsprogramme für Kollegen. Es gibt eine Webmail-Oberfläche sowie mobile Apps für das iPhone (und eine Web-App, die auf Android-Geräten genutzt werden kann), sodass der Dienst auf verschiedenen Geräten zugänglich ist.

Profis

• Das sichere Nachrichtenportal von Hushmail ist sehr benutzerfreundlich. Kunden klicken einfach auf den Link und beantworten Ihre voreingestellte Sicherheitsfrage (z. B. „Wie lautet Ihre Patienten-ID?“), um die Nachricht freizuschalten. Anschließend können sie eine sichere Antwort senden, ohne sich irgendwo anmelden zu müssen.
  
• Mit den HIPAA-konformen Formularen von Hushmail können Sie auf Papierformulare verzichten. Kunden füllen diese online aus und ihre Daten werden verschlüsselt direkt an Sie übermittelt. Dies schützt nicht nur die PHI, sondern spart auch Zeit bei der Dateneingabe.
  
• Hushmail ist seit über 20 Jahren im Bereich verschlüsselter E-Mails tätig. Das Unternehmen genießt einen soliden Ruf und verfügt laut seiner Website über eine große Nutzerbasis mit mehr als 47.000 Fachkräften aus dem Gesundheitswesen. Zu den Sicherheitsfunktionen gehören OpenPGP-Verschlüsselung, Unterstützung für die Zwei-Faktor-Authentifizierung und sogar Optionen zur Beschränkung der Anmeldung auf bestimmte Länder. 

Nachteile

• Die Nutzung von Hushmail bedeutet, dass Sie deren E-Mail-Plattform zum Senden und Empfangen Ihrer sicheren E-Mails verwenden. Dies ist ein anderer Arbeitsablauf, wenn Sie beispielsweise Outlook oder Standard-Gmail gewohnt sind.
  
• Wie die meisten verschlüsselten E-Mail-Lösungen verwendet Hushmail ein Portal für externe Empfänger. Das bedeutet, dass Empfänger einen zusätzlichen Schritt unternehmen müssen, um Nachrichten abzurufen.

Am besten geeignet für

Einzelpraktiker und kleine Gesundheitsteams, die eine vertrauenswürdige, sofort einsatzbereite Lösung für verschlüsselte E-Mails und Formulare suchen. Hushmail ist sehr beliebt bei Therapeuten, Beratern, kleinen Arzt- oder Zahnarztpraxen und Wellness-Fachleuten.

Preisgestaltung

• Basis: 11 $/Benutzer/Monat (jährliche Abrechnung: verschlüsselte E-Mails, benutzerdefinierte Domain, Archivierung, BAA)
• Essentials: 13,75 $/Benutzer/Monat (mit Formularen, Vorlagen und elektronischen Signaturen)
• Wachstum: 19,99 $/Benutzer/Monat (zusätzliche Formulare, Branding und erzwungene 2FA)
• Alle Tarife beinhalten eine BAA und eine 14-tägige kostenlose Testphase.

Benutzerbewertung

3,7 / 5 (G2)

1. Aspida Mail: Einfache verschlüsselte E-Mails für kleine Büros

Mit Aspida Mail können Arztpraxen entweder eine neue sichere E-Mail-Adresse erstellen oder ihre eigene Domain für E-Mails weiterverwenden, wobei Aspida für die Verschlüsselung sorgt. Die Einrichtung ist nahtlos. Aspida Mail funktioniert mit jedem Gerät oder E-Mail-Client, der IMAP unterstützt, sodass Sie weiterhin vertraute Programme wie Outlook, Apple Mail oder E-Mail-Apps für Smartphones verwenden können. Es handelt sich im Wesentlichen um eine sichere E-Mail-Hosting-Lösung, die Kompatibilität und einfache Integration für kleine Praxen in den Vordergrund stellt.

Wichtige Fähigkeiten

• Aspida Mail verwendet eine starke AES-256-Verschlüsselung für Nachrichten und stellt so sicher, dass alle per E-Mail versendeten PHI-Daten sowohl während der Übertragung als auch auf den Servern verschlüsselt sind. Es erfüllt die HIPAA-Anforderungen, indem es den Inhalt von E-Mails und Anhängen schützt.
  
• Der Service umfasst Echtzeit-Spamfilterung und Virenscans für eingehende E-Mails. Dies schützt Ihren Posteingang vor Bedrohungen und ist ein wichtiger Bestandteil der Integritätssicherung von HIPAA. Die gesamte Verarbeitung erfolgt auf Serverseite, wodurch der Bedarf an zusätzlicher E-Mail-Sicherheits .
  
• Es funktioniert mit jedem IMAP-fähigen Gerät oder jeder IMAP-fähigen Software. Sie können Aspida Mail-Konten in Outlook, Thunderbird, Apple Mail oder in der nativen E-Mail-App Ihres iPhone/Android-Geräts einrichten.
  
• Aspida Mail bietet eine automatische E-Mail-Sicherung und -Aufbewahrung für 6 Jahre ohne Größenbeschränkung. Dies ist ein großer Vorteil für die Einhaltung von Vorschriften, da alle E-Mails sicher archiviert werden, um die Empfehlungen der HIPAA zur Aufbewahrung von Unterlagen zu erfüllen oder zu übertreffen. Wenn Sie versehentlich etwas löschen, kann es wiederhergestellt werden, und wenn Sie geprüft werden oder E-Mail-Unterlagen vorlegen müssen.

Profis

• Da es mit Standard-E-Mail-Clients funktioniert, können Ihre Mitarbeiter weiterhin Outlook oder die E-Mail-App ihres Telefons verwenden, sie haben jetzt lediglich den Service von Aspida im Hintergrund. Dies minimiert den Schulungsaufwand und Unterbrechungen.
  
• Aspida bietet eine Geschäftspartnervereinbarung und sogar eine „E-Mail-Richtlinie für Ihr HIPAA-Handbuch”. Dies zeigt, dass sie die Bedürfnisse kleiner Büros verstehen, die möglicherweise keine Compliance-Berater haben. 

Nachteile

• Die Verschlüsselung ausgehender Nachrichten durch Aspida Mail wird in der Regel durch eine Benutzeraktion ausgelöst, beispielsweise durch die Angabe eines bestimmten Wortes („verschlüsseln“) im Betreff oder durch Klicken auf die Schaltfläche „Senden“ im Portal. Wenn Mitarbeiter dies bei einer E-Mail mit PHI vergessen, wird diese E-Mail möglicherweise unverschlüsselt versendet.
  
• Aspida Mail ist im Vergleich zu Diensten wie Hushmail oder Paubox etwas spartanischer, was zusätzliche Funktionen angeht. So gibt es beispielsweise keine benutzerdefinierte Oberfläche (abgesehen von der Verwendung Ihrer Domain), keinen integrierten Formular-Generator oder E-Signatur und keine mobile App. 

Am besten geeignet für

Zahnarztpraxen und Arztpraxen (insbesondere kleine), die eine unkomplizierte, wartungsarme und verschlüsselte E-Mail-Lösung suchen, die sich in ihre täglichen Arbeitsabläufe integrieren lässt. 

Preisgestaltung

• Aspida Mail: 10 $ pro Benutzer und Monat (mit @aspidamail.net-Adresse)
• Aspida Mail+: 15 $ für die erste benutzerdefinierte Domain-Adresse, 10 $ für jede weitere
• Beinhaltet Verschlüsselung, 30 GB Speicherplatz, 6 Jahre Backup, sPAM-Filterung, BAA und Support.

Benutzerbewertung

Es gibt keine Nutzerbewertungen für Aspida Mail.

1. Microsoft 365 + Purview Message Encryption: E-Mail-Verschlüsselung auf Unternehmensniveau

Microsoft 365 bietet integrierte E-Mail-Verschlüsselungsfunktionen über Microsoft Purview Message Encryption für Unternehmen mit geeigneten Plänen wie Enterprise E3/E5 oder Business Premium. Mit dieser Lösung können Sie verschlüsselte E-Mails direkt aus Outlook oder Outlook Web versenden, Nachrichten mit Richtlinien wie „Nicht weiterleiten“ schützen und sicherstellen, dass nur die vorgesehenen Empfänger auf den Inhalt zugreifen können.

Für Gesundheitsdienstleister, die bereits Microsoft 365 verwenden, kann dies eine zuverlässige Möglichkeit sein, HIPAA-konforme E-Mails zu ermöglichen, ohne Dienste von Drittanbietern hinzuzufügen, vorausgesetzt, es ist korrekt konfiguriert und es besteht eine BAA mit Microsoft.

Wichtige Fähigkeiten

• Administratoren können in Exchange Online Regeln für den E-Mail-Fluss oder Richtlinien zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) festlegen, um die Verschlüsselung automatisch durchzusetzen. Wenn eine E-Mail beispielsweise bestimmte Schlüsselwörter wie „Patient:“ oder eine Krankenaktennummer enthält oder an eine externe Domäne gesendet wird, kann eine Regel diese automatisch verschlüsseln.
  
• Mit Microsoft Purview verschlüsselte E-Mails können von anderen M365- oder Outlook-Benutzern nahtlos geöffnet werden. Sie öffnen sie einfach direkt in ihrem Client (Authentifizierung über ihr Office-Konto).
  
• Microsoft wird für Kunden aus dem Gesundheitswesen eine HIPAA-Geschäftspartnervereinbarung (über die Online Services DPA) unterzeichnen. Die Sicherheit von Microsoft 365 erfüllt oder übertrifft die HIPAA-Anforderungen: Daten werden standardmäßig in Exchange Online sowohl im Ruhezustand als auch während der Übertragung verschlüsselt, und es stehen umfangreiche Audit-Protokolle zur Verfügung.
  
• Da dies Teil von Microsoft 365 ist, lässt es sich in Ihren bestehenden Outlook/Exchange-Workflow und alle anderen M365-Apps integrieren. Benutzer behalten ihre bisherigen E-Mail-Adressen. Verschlüsselte Nachrichten können an Ort und Stelle archiviert werden.

Profis

• Microsoft 365 bietet sehr detaillierte Kontrollmöglichkeiten: Sie können bestimmte Arten von E-Mails automatisch verschlüsseln, Sensitivitätskennzeichnungen integrieren (eine E-Mail als „Vertraulich/PHI“ klassifizieren und die Verschlüsselung anwenden) und in bestimmten Szenarien sogar eine obligatorische Verschlüsselung festlegen.
  
• Wenn Sie bereits einen Plan wie Office 365 E3 oder E5 oder Microsoft 365 Business Premium nutzen, ist die Verschlüsselungsfunktion bereits enthalten, sodass Sie für die E-Mail-Verschlüsselung möglicherweise keine zusätzlichen Kosten über Ihr bestehendes Abonnement hinaus haben. Mit anderen Worten: Sie können HIPAA-konforme E-Mails ohne neue Anbieter oder Verträge realisieren.
  
• Microsoft verfügt über langjährige Erfahrung mit der Einhaltung der HIPAA-Vorschriften und bietet die erforderlichen vertraglichen Zusicherungen (BAA). Das Unternehmen erfüllt auch andere Standards wie HITRUST und FedRAMP, was beruhigend sein kann, wenn Sie umfassendere Compliance-Anforderungen haben. 

Nachteile

• Es ist wichtig zu wissen, dass Sie nicht allein durch den Besitz von Office 365 HIPAA-konform sind. Sie müssen die BAA von Microsoft in Ihrem Admin-Portal unterzeichnen und die Funktionen ordnungsgemäß konfigurieren. Standardmäßig sind Benutzer nicht verpflichtet, E-Mails zu verschlüsseln. Sie müssen die DLP-Regeln implementieren oder die Benutzer darin schulen, auf „Verschlüsseln“ zu klicken.
  
• Wenn Sie Nachrichten an Patienten oder andere Personen außerhalb Ihrer Organisation senden, werden diese mit dem Verschlüsselungsportal von Microsoft interagieren (oder benötigen ein Microsoft-/Google-Konto). Dies ist ein zusätzlicher Schritt für die Empfänger. 

Am besten geeignet für

Unternehmen, die bereits Microsoft 365 nutzen und dessen integrierte Sicherheitsfunktionen für die HIPAA-Konformität nutzen möchten. Dies ist ideal für mittlere bis große Gesundheitsdienstleister, die Verschlüsselung und DLP zentral aktivieren und allen Mitarbeitern in Outlook nahtlos zur Verfügung stellen können. 

Preisgestaltung

• Die E-Mail-Verschlüsselung ist in Microsoft 365 Business Premium (~22 $/Benutzer/Monat), Office 365 E3 (20 $) und E5-Plänen enthalten.
• Benutzer von Business Standard (12,50 $) oder E1 benötigen für die Verschlüsselung den Azure Information Protection Plan 1 (2 $/Benutzer/Monat).
• Compliance-Pakete (wie E5 Compliance) bieten erweiterte Funktionen, sind jedoch für die grundlegende Verschlüsselung nicht erforderlich.

Benutzerbewertung

4,3 / 5 (G2)

1. Google Workspace mit Add-ons: Verschlüsseltes Gmail für HIPAA

Google Workspace kann in Verbindung mit geeigneten Konfigurationen und/oder Verschlüsselungs-Add-ons von Drittanbietern HIPAA-konform verwendet werden. Google unterzeichnet eine BAA für Workspace, und obwohl Gmail Daten standardmäßig im Ruhezustand und während der Übertragung verschlüsselt, werden E-Mail-Inhalte nicht automatisch durchgehend verschlüsselt. Das Ziel besteht darin, die Vertrautheit mit Gmail zu nutzen und gleichzeitig die erforderlichen Ebenen zum Schutz von PHI in E-Mails hinzuzufügen.

Wichtige Fähigkeiten

• Google Workspace-E-Mails werden standardmäßig während der Übertragung mit TLS verschlüsselt, sofern der Empfänger dies unterstützt, und die Daten werden auf den Servern von Google im Ruhezustand verschlüsselt. Sobald Sie die BAA von Google unterzeichnet haben, deckt dies die konforme Nutzung von Gmail für PHI ab, vorausgesetzt, Sie verwenden zusätzliche Sicherheitsvorkehrungen für externe E-Mails. Die Admin-Konsole von Google ermöglicht die Durchsetzung von reinen TLS-Verbindungen über Richtlinien wie „TLS erforderlich“ für bestimmte Domänen.
  
• Der vertrauliche Modus von Gmail ermöglicht es Nutzern, E-Mails zu versenden, die nach einer bestimmten Zeit verfallen und mit einem SMS-Passwort geschützt werden können. Der Inhalt der E-Mail wird nicht im Posteingang des Empfängers gespeichert. Dieser erhält einen Link, über den er die E-Mail nach Eingabe des Passworts auf dem sicheren Server von Google anzeigen kann. Der vertrauliche Modus verhindert das Weiterleiten, Herunterladen oder Drucken der E-Mail.
  
• Mit der S/MIME-Verschlüsselung können Nutzer Zertifikate mit externen Partnern austauschen. Gmail verschlüsselt ausgehende Nachrichten automatisch mit dem öffentlichen Schlüssel des Empfängers und entschlüsselt eingehende Nachrichten mit dem privaten Schlüssel des Nutzers. Dies ermöglicht eine echte End-to-End-Verschlüsselung auf Nachrichtenebene.

Profis

• Mitarbeiter im Gesundheitswesen sind oft mit der Benutzeroberfläche von Gmail vertraut. Indem Sie Gmail selbst HIPAA-konform machen, vermeiden Sie die Migration zu einem neuen System. Der Lernaufwand ist minimal.
  
• Wenn Ihre Praxis Google Workspace für Drive und Kalender verwendet, bedeutet die Speicherung von E-Mails in Workspace unter Einhaltung der HIPAA-Vorschriften, dass alle Ihre Daten unter einem Dach und einer BAA zusammengefasst sind.
  
• Die Cloud-Infrastruktur von Google ist sehr sicher und verfügt über zahlreiche Zertifizierungen. Durch die Unterzeichnung der BAA erhalten Sie eine vertragliche Verpflichtung von Google zur Einhaltung der HIPAA-Vorschriften. Daten in Gmail werden standardmäßig auf den Servern von Google und während der Übertragung verschlüsselt, der Zugriff wird kontrolliert und Google stellt Audit-Protokolle für Administratoraktionen zur Verfügung. 

Nachteile

• Standardmäßig reicht Gmail allein für HIPAA-E-Mails nicht aus. Sie müssen Maßnahmen ergreifen, wie z. B. die Unterzeichnung der BAA, die Deaktivierung von Funktionen, die nicht unter die BAA fallen, und die Schulung der Mitarbeiter in der Verwendung des vertraulichen Modus oder eines Verschlüsselungs-Plugins.
  
• If using Confidential Mode for patient emails, the patient will receive a message saying “<Doctor> has sent you an email in confidential mode” and a link where they either enter an SMS code or just click (if no SMS required). This is simpler than some portals, but it still might confuse some patients, and some might ignore the email, thinking it’s suspicious since it looks a bit different.
  
• Es ist anzumerken, dass die BAA von Google Daten in Gmail abdeckt, aber wenn Nutzer fälschlicherweise das Gmail-Ökosystem verlassen, könnte dies zu einem Problem werden. Wenn beispielsweise jemand IMAP aktiviert und E-Mails in eine E-Mail-App herunterlädt, die nicht sicher ist, oder eine Gmail-Nachricht an eine persönliche E-Mail-Adresse weiterleitet, stellt dies ein Compliance-Risiko dar. 

Am besten geeignet für

Gesundheitsteams, die Google Workspace nutzen und E-Mail-Verschlüsselung in ihren bestehenden Arbeitsablauf integrieren möchten. Diese Lösung eignet sich am besten für Organisationen, die bereits mit Gmail arbeiten. Sie kann für kleine Praxen eingesetzt werden. Sie eignet sich auch für mittelgroße Kliniken oder Geschäftspartner, die Google nutzen und über einen gewissen IT-Support verfügen, um DLP einzurichten und eine Verschlüsselungsmethode auszuwählen. 

Preisgestaltung

• Business Plus: 18 $/Benutzer/Monat (beinhaltet Vault und erweiterte Sicherheitsfunktionen; geeignet für HIPAA)
• Enterprise Standard/Plus: Individuelle Preisgestaltung (mit S/MIME, clientseitiger Verschlüsselung)
• Business Starter (6 $) oder Standard (12 $) können mit Verschlüsselungen von Drittanbietern verwendet werden, jedoch mit eingeschränkten Administratorrechten.
• BAA ist für HIPAA-Kunden ohne zusätzliche Kosten enthalten.

Benutzerbewertung

4,6 / 5 (G2)

1. Geschützte Vertrauensverbindung (Send It Secure): HIPAA-konforme E-Mail-Verschlüsselung für das Gesundheitswesen

Protected Trust ist eine cloudbasierte sichere Messaging-Plattform, die für HIPAA-konforme Kommunikation entwickelt wurde. Sie ermöglicht es Organisationen im Gesundheitswesen, verschlüsselte E-Mails und Dateien zu senden und zu empfangen, ohne ihre bestehende E-Mail-Infrastruktur zu ändern. Protected Trust legt Wert auf Benutzerfreundlichkeit und die Einhaltung gesetzlicher Vorschriften: Nachrichten werden verschlüsselt und auf sicheren Servern gespeichert, und der Dienst umfasst eine Business Associate Agreement (BAA), um die HIPAA-Anforderungen für verschlüsselte E-Mails zu erfüllen. 

Wichtige Fähigkeiten

• Bietet ein Microsoft Outlook-Add-in, ein Webportal und einen Windows-Client, damit Benutzer von überall aus verschlüsselte E-Mails verfassen und lesen können. Es gibt auch eine iOS-App für den mobilen Zugriff. Für die System-zu-System-Kommunikation bietet Send It Secure einen SMTP-Dienst, sodass jede Anwendung sichere E-Mails über TLS versenden kann.
  
• Patienten und Partner erhalten eine normal aussehende E-Mail oder einen Link. Auf Seiten des Empfängers ist keine vorherige Einrichtung erforderlich. Er kann eine geschützte Nachricht öffnen, indem er einen gemeinsamen Passcode eingibt oder einen per SMS/Spracheingabe gesendeten Code eingibt. Das System versendet Benachrichtigungen an den Empfänger und Lesebestätigungen, sodass der Absender weiß, wann eine Nachricht geöffnet wurde.
  
• Zu den patientenorientierten Kontrollfunktionen gehören die Möglichkeit, eine Nachricht nach dem Senden (auch nach der Zustellung) zu widerrufen und Richtlinien für das Ablaufen oder Aufbewahren von Nachrichten festzulegen (z. B. automatisches Ablaufen nach X Tagen). Diese Funktionen tragen dazu bei, Patienten einzubinden, indem sie einen zeitnahen Zugriff gewährleisten und verhindern, dass veraltete PHI-Daten gespeichert bleiben.
  
• Neben der HIPAA/BAA-Unterstützung bietet es eine langfristige Archivierung: Bezahlte Tarife umfassen eine Nachrichtenaufbewahrung von 1 bis 7 Jahren (kostenlose Konten nur 30 Tage). Protected Trust übernimmt die Compliance-Automatisierung Automatisierung durch DLP-Kompatibilität, Active Directory-Synchronisierung und Single Sign-On auf höheren Ebenen sowie die Überwachung und Protokollierung von Nachrichten.
  
• Die Plattform konzentriert sich zwar auf E-Mails, fördert jedoch durch Branding und Komfort die Patientenbindung. Praxen können individuelle Logos und Anmeldeseiten hinzufügen, damit sichere Nachrichten zum Erscheinungsbild der Klinik passen. 

Profis

• Funktioniert mit bestehenden E-Mail-Adressen, sodass Mitarbeiter und Patienten ihre gewohnten Adressen behalten können.
  
• Mit der Ein-Klick-Verschlüsselung über das Outlook-Add-in oder das Portal dauert die Einrichtung nur wenige Minuten. Empfänger benötigen kein Konto (sie erhalten Einmalcodes oder eine Telefonverifizierung).
  
• Die zertifizierte Dentrix-Integration und zahlreiche Praxis-/EHR-Anbindungen optimieren den Versand von PHI mit Überweisungen und Röntgenbildern direkt aus klinischen Systemen.

Nachteile

• Patienten müssen ein Webportal öffnen, um Nachrichten zu lesen (geschützte E-Mails werden nicht direkt in ihren Posteingang zugestellt. Möglicherweise müssen sie einen Code oder Passcode erhalten, um sie zu öffnen, was sicher ist, aber einen zusätzlichen Schritt erfordert.
  
• Da verschlüsselte Nachrichten auf Protected Trust-Servern gespeichert werden, hängt der Zugriff von deren Verfügbarkeit ab.

Am besten geeignet für

Send It Secure ist ideal für Anbieter jeder Größe, die E-Mails im Gesundheitswesen sichern müssen. Dazu gehören Arztpraxen, Zahnarztpraxen, Krankenhäuser, Labore und Fachärzte, die HIPAA-konforme Nachrichtenübermittlung benötigen. Es eignet sich auch für Geschäftspartner und Finanz-/Rechtsunternehmen, die mit PHI oder anderen sensiblen Daten umgehen.

Preisgestaltung

• Gast: Kostenlos (nur Empfang, 30 Tage Aufbewahrungsfrist, 25 MB Dateigröße)
• Essentials: 15 $/Benutzer/Monat (unbegrenzte sichere Nachrichtenübermittlung, 1 Jahr Aufbewahrung, 50 MB Anhänge)
• Professional: 29 $/Monat für 2 Benutzer, +10 $ für jeden weiteren Benutzer (7 Jahre Aufbewahrungsdauer, 1 GB Anhänge, Branding, Integrationen, DLP-Unterstützung)
• SMTP/API: Angebotsbasiert; Preis pro Nachrichtenvolumen, einschließlich Admin-Postfächer
• Alle kostenpflichtigen Tarife umfassen Unterstützung bei der Einhaltung der HIPAA-Vorschriften.

Benutzerbewertung

5,0 / 5 (G2)

Welches Tool sollten Sie wählen?

Beginnen Sie mit Ihren Prioritäten: Benötigen Sie Einfachheit, umfassende Kontrolle oder Komfort für den Patienten?

• Wenn die einfache Verwendung mit Gmail oder Outlook entscheidend ist, konzentrieren Sie sich auf Tools, die standardmäßig verschlüsseln, und vermeiden Sie Portale, um Schulungsaufwand und Reibungsverluste zu reduzieren.
  
• Wenn Sie bereits Microsoft 365 oder Google Workspace verwenden, prüfen Sie, ob Sie die Verschlüsselung nativ aktivieren können. Stellen Sie dabei sicher, dass Sie auch die Authentifizierung (über PowerDMARC) abdecken und über eine unterzeichnete BAA verfügen.
  
• Für kleinere Praxen sind oft der Preis und die Einrichtungszeit wichtiger. In diesem Fall sollten Sie prüfen, wie schnell eine Plattform HIPAA-konform ist, welche Art von sicherem Inbound-Messaging sie ermöglicht und ob sie wichtige Funktionen wie Archivierung und Marken-Messaging ohne Upselling umfasst.
  
• Größere Unternehmen sollten Skalierbarkeit, DLP, Administratorkontrolle und Multi-Domain-Management berücksichtigen. Fragen Sie, ob die Plattform 2FA-Durchsetzung und langfristige Aufbewahrung unterstützt oder sich in Ihr EHR integrieren lässt. Einige Tools bieten erweiterte Kontrollen nach dem Versand (wie das Zurückrufen oder Löschen von Nachrichten), die für risikoreiche Umgebungen nützlich sind.

Letztendlich hängt die richtige Lösung davon ab, ob Sie eine Lösung für Compliance, Workflow oder Vertrauen suchen. 

Erfassen Sie Ihre E-Mail-Risiken und Patientenkontaktpunkte und wählen Sie dann einen Anbieter, der die Kommunikation Ihres Teams verbessert (ohne sie zu verkomplizieren).

Die strategische Rolle von PowerDMARC für die E-Mail-Sicherheit im Gesundheitswesen

Während sich die meisten Lösungen auf die Verschlüsselung zum Schutz von PHI während der Übertragung konzentrieren, tragen sie kaum dazu bei, Identitätsdiebstahl-Angriffe zu verhindern, bei denen Kriminelle eine Gesundheitsdomain vortäuschen, um Patienten dazu zu verleiten, sensible Daten preiszugeben oder auf bösartige Links zu klicken. 

PowerDMARC schließt diese Lücke, indem es alle sechs wichtigen E-Mail-Authentifizierungsprotokolle (SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT) und sicherstellt, dass nur autorisierte Absender Ihre Domain verwenden können.

Die Plattform ist auf Skalierbarkeit ausgelegt und eignet sich daher ideal für Gesundheitssysteme, die Dutzende von Domänen in Krankenhäusern, Kliniken und Tochtergesellschaften verwalten. 

Im Gegensatz zu Sicherheitsplattformen für Unternehmen, die jährlich über 10.000 US-Dollar kosten, bietet PowerDMARC eine Authentifizierung auf Unternehmensniveau ab etwa 8 US-Dollar pro Benutzer/Monat und unterstützt eine unbegrenzte Anzahl von Domains mit zentraler Verwaltung. MSPs können die Plattform auch als White-Label-Lösung anbieten, wodurch sie sich besonders für IT-Anbieter im Gesundheitswesen eignet.

Bitte beachten Sie, dass PowerDMARC kein Ersatz für Verschlüsselung ist, sondern eine wichtige Ergänzung. Die Verschlüsselung schützt den Inhalt der Nachricht, während die Authentifizierung sicherstellt, dass die Nachricht tatsächlich von Ihnen stammt. 

Die Kombination von PowerDMARC mit einem HIPAA-konformen Verschlüsselungsanbieter wie Paubox oder Virtru schafft eine mehrschichtige, tiefgreifende Verteidigungsstrategie, die den HHS-Anforderungen für 2025 und der den Best Practices

Es wird ein schrittweiser Ansatz empfohlen: Beginnen Sie mit der Implementierung der Domänenauthentifizierung, um Spoofing zu blockieren, fügen Sie dann Verschlüsselung zum Schutz der übertragenen Daten hinzu und ergänzen Sie schließlich DLP- und Bedrohungserkennungstools für umfassende Sicherheit. Auf diese Weise können Gesundheitsorganisationen die größten Risiken zuerst angehen und gleichzeitig ihr Budget einhalten.

FAQs

1. Ist Google Workspace oder Microsoft 365 eine verschlüsselte E-Mail-Plattform für das Gesundheitswesen?

Nicht standardmäßig. Beide werden von Fachkräften im Gesundheitswesen häufig verwendet, aber die HIPAA-Konformität erfordert bestimmte Konfigurationen. Microsoft 365 muss mindestens E3 sein, mit aktivierter Verschlüsselung und Zugriffskontrollen. Google Workspace benötigt mindestens die Business Standard-Stufe. In beiden Fällen ist eine unterzeichnete Business Associate Agreement (BAA) erforderlich, um die HIPAA-Konformitätsstandards für E-Mails zu erfüllen.

2. Benötigen Patienten spezielle Software, um auf sichere E-Mail-Nachrichten zugreifen zu können?

Nein, wenn Sie die richtige verschlüsselte E-Mail für das Gesundheitswesen verwenden. Führende HIPAA-konforme E-Mail-Anbieter wie Paubox ermöglichen es Patienten, verschlüsselte Nachrichten direkt in ihrem Posteingang zu empfangen, ohne Software herunterladen, sich bei Portalen anmelden oder Passwörter erstellen zu müssen. Dies verbessert die Zugänglichkeit und die Patientenzufriedenheit.

3. Was ist der Unterschied zwischen E-Mail-Verschlüsselung während der Übertragung und im Ruhezustand?

Die Verschlüsselung während der Übertragung schützt E-Mails während ihrer Übertragung über das Internet, während die Verschlüsselung im Ruhezustand sie bei der Speicherung auf Servern schützt. Die HIPAA-Vorschriften verlangen beides für den vollständigen Schutz elektronisch geschützter Gesundheitsdaten (ePHI) gemäß dem Health Insurance Portability and Accountability Act.

4. Wie viel kosten E-Mail-Sicherheitsverletzungen Gesundheitsorganisationen?

Die durchschnittlichen Kosten einer E-Mail-Sicherheitsverletzung im Gesundheitswesen belaufen sich auf 9,8 Millionen US-Dollar und sind damit höher als in jeder anderen Branche. HIPAA-konforme E-Mail-Anbieter tragen dazu bei, solche Vorfälle zu verhindern, indem sie die E-Mail-Kommunikation durch Verschlüsselung und Authentifizierung sichern. Dies ist eine kostengünstige Maßnahme zum Schutz vor Bußgeldern, rechtlichen Schritten und Reputationsverlusten.

5. Kann ich normales Gmail oder Outlook für HIPAA-konforme E-Mails verwenden?

Nein. Die Consumer-Versionen von Gmail und Outlook erfüllen nicht die HIPAA-Konformitätsanforderungen. Um Gesundheitsdaten zu schützen, müssen Gesundheitsorganisationen Enterprise-Versionen mit Zugriffskontrollen, Verschlüsselung und einer HIPAA-konformen E-Mail-Plattform verwenden, die eine unterzeichnete BAA umfasst.

6. Was ist eine Geschäftspartnervereinbarung und warum ist sie wichtig?

Ein Business Associate Agreement (BAA) ist eine gesetzliche Anforderung gemäß den HIPAA-Vorschriften. Es handelt sich um einen Vertrag zwischen Gesundheitsorganisationen und Anbietern (z. B. E-Mail-Anbietern), die geschützte Gesundheitsdaten verarbeiten. Ein BAA stellt sicher, dass Anbieter die HIPAA-Vorschriften für sichere E-Mail-Praktiken einhalten und für den Schutz der Daten verantwortlich sind.

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• IP-Reputation vs. Domain-Reputation: Was sorgt dafür, dass Ihre E-Mails im Posteingang landen? – 1. April 2026
• Versicherungsbetrug beginnt im Posteingang: Wie gefälschte E-Mails routinemäßige Versicherungsabläufe in Auszahlungsbetrug verwandeln – 25. März 2026
• FTC-Sicherheitsvorschrift: Benötigt Ihr Finanzunternehmen DMARC? – 23. März 2026