Ein Healthcare-Startup rief mich Anfang 2023 an. Nette Gründer, anständiges Budget, klarer Brief: Patient-Intake-Formulare, Terminplanung, eventuell später ein Telehealth-Widget. „Wir nutzen WP Engine," sagte der CTO. Ich fragte, ob WP Engine ihre BAA unterzeichnet hat. Lange Pause. „Was ist eine BAA?"
Da sitzt das Problem — nicht im Code, nicht im Plugin-Stack, sondern in den Dokumenten, die die meisten Entwickler nie lesen und die die meisten Hosts stillschweigend meiden.
Hier ist die Sache: HIPAA-Compliance ist kein Feature, das man umschaltet. Es ist ein rechtlicher Rahmen, und die Business Associate Agreement ist der Vertrag, der deinen Hosting-Provider formal zu einem Teil dieses Rahmens macht. Ohne eine unterzeichnete BAA spielt es keine Rolle, ob dein Server TLS 1.3 lädt und du jedes Feld in der Datenbank verschlüsselt hast. Du bist immer noch exponiert. Genauso deine Clients.
Lass mich durchgehen, was ich tatsächlich über die Plattformen weiß, die 2026 unterzeichnen werden, und — noch wichtiger — welche die richtigen Dinge sagen, aber nicht unterschreiben.
---
Was ein BAA wirklich ist (und was nicht)
Eine Business Associate Agreement ist ein Vertrag gemäß der HIPAA Privacy Rule, der einen Anbieter an spezifische Pflichten bezüglich geschützter Gesundheitsinformationen (PHI) bindet. Wenn du eine Healthcare-Website hostest, berührt dein Hosting-Provider PHI — selbst wenn nur auf der Infrastruktur-Ebene. Das macht sie zu einem Business Associate. Punkt.Business Associate Agreementis a contract under the HIPAA Privacy Rule that binds a vendor to specific obligations around Protected Health Information (PHI). When you host a healthcare site, your hosting provider touches PHI — even if only at the infrastructure layer. That makes them a Business Associate. Full stop.
Was die BAA nicht tut, ist dich automatisch compliant zu machen. Ich sehe dieses Missverständnis ständig. Die BAA bedeutet, dass der Host ihren Anteil der Haftung akzeptiert und Schutzmaßnahmen vereinbart. Deine Application Layer, deine Formulare, deine WordPress Plugins, dein Logging — das liegt immer noch bei dir.theirshare of liability and agrees to safeguards. Your application layer, your forms, your WordPress plugins, your logging — that's still on you.
Seahawk hatte 2022 ein Projekt für eine US-amerikanische Physiotherapie-Gruppe, die eine WordPress-Website betrieb. Der Kunde hatte eine BAA mit ihrem Email-Provider (gut), ihrem EHR-Anbieter (selbstverständlich), aber nichts mit ihrem Web-Host. Ihre Website sammelte Symptom-Daten über Gravity Forms. Jede Einreichung wurde an ein Gmail-Konto versendet. Drei separate Verstöße in einem Workflow. Wir haben das über etwa sechs Wochen bereinigt.
---
Die Hosts, die 2026 tatsächlich unterzeichnen werden
AWS, GCP und Azure — Die seriösen Optionen
Wenn du eine BAA brauchst und Sicherheit benötigst, sind die Hyperscaler deine Antwort. Alle drei — Amazon Web Services, Google Cloud Platform und Microsoft Azure — bieten BAAs an und unterhalten Listen von HIPAA-geeigneten Services.Amazon Web Services, Google Cloud Platform, and Microsoft Azure — offer BAAs and maintain lists of HIPAA-eligible services.
AWS ist das, wonach ich am häufigsten greife. Die BAA deckt eine solide Palette von Services ab: EC2, RDS, S3, CloudFront, Lambda und mehr. Entscheidend ist: Nicht jeder AWS Service ist geeignet. DynamoDB ist auf der Liste; nicht alle experimentellen Services sind es. Du musst die aktuelle Seite der geeigneten Services prüfen, bevor du etwas architekturierst.
GCPs BAA deckt BigQuery, Cloud SQL, Compute Engine und Cloud Storage ab, unter anderem. Azure hat die breiteste Enterprise-Adoption speziell im Healthcare-Bereich — ihre BAA und Compliance-Dokumentation ist ausgereift, und wenn dein Kunde bereits im Microsoft-Ökosystem ist (was die meisten Enterprise-Healthcare-Organisationen sind), macht Azure oft organisatorisch Sinn.
Das Knifflige bei allen drei: Du bekommst hier kein verwaltetes WordPress. Du bekommst Infrastruktur. Jemand muss den Stack bauen und warten — OS-Patches, WAF-Konfiguration, Backups, Verschlüsselung im Ruhezustand und während der Übertragung. Bei Seahawk haben wir AWS mit einer gehärteten EC2-Instanz verwendet, auf der Nginx, PHP-FPM und MySQL für Healthcare-Clients laufen. Es funktioniert. Es ist aber auch deutlich mehr operativer Overhead als jemandem einen WP Engine-Login zu geben.
Kinsta — Situativ Ja
Kinsta läuft auf GCP. Sie bieten BAA-Unterzeichnung für Kunden in ihren höherstufigen Plänen an (Business 1 und höher, soweit ich zuletzt weiß). Das ist wichtig, weil Kinsta wirklich ausgezeichnetes verwaltetes WordPress-Hosting ist. Schnell. Zuverlässig. Gute Staging-Umgebungen.
Aber — und das ist der Betonung wert — Kinstas BAA-Abdeckung ist etwas enger als wenn Du direkt zu GCP gehst. Du verlässt Dich auf Kinstas interne Kontrollen und auch auf GCPs. Für viele Healthcare-WordPress-Projekte ist das in Ordnung. Für alles, das sehr sensible Daten in größeren Mengen berührt, würde ich mir genau anschauen, was ihre Sicherheitsdokumentation sagt, bevor ich mich festlege.
Cloudways — Nein
Cloudways ist in der Agenturwelt beliebt. Gutes Preis-Leistungs-Verhältnis. Wir haben es auf Dutzenden unkritischer Projekte eingesetzt. Aber soweit ich zuletzt geprüft habe, bietet Cloudways keinen HIPAA BAA an. Sie laufen sogar darunter auf AWS und GCP, was etwas ironisch ist. Die verwaltete Schicht führt Unsicherheit ein, die sie für HIPAA-Zwecke vertraglich nicht unterstützen werden.
Pantheon — Nein (für die meisten Pläne)
Pantheon ist ausgezeichnet für Drupal und WordPress Agenturen. HIPAA-Compliance ist nicht ihr Markt. Sie haben das klargemacht. Lass Dich vom Enterprise-Branding nicht täuschen.
WP Engine — Nein
Ich weiß. Sie haben Compliance-Dokumentation. Sie sprechen über Sicherheit. Sie werden keinen HIPAA BAA unterzeichnen. Ihre Nutzungsbedingungen verbieten explizit das Speichern von PHI auf ihrer Plattform. Das disqualifiziert sie für jeden echten Healthcare-Use-Case. Das Startup, das ich am Anfang dieses Beitrags erwähnt habe? Das ist genau, wo sie waren.
Liquid Web / Nexcess — Möglich, mit Einschränkungen
Liquid Web hat HIPAA-konformes verwaltetes Hosting mit BAA-Unterzeichnung angeboten, typischerweise bei ihren Dedicated-Server- oder VPS-Produkten statt bei Shared-Hosting-Plänen. Es lohnt sich, ein direktes Gespräch mit dem Vertriebsteam zu führen. Ihre Compliance-Position hat sich verbessert. Aber ich würde die BAA in der Hand haben wollen, bevor ich etwas baue.
---
Was Ihr WordPress-Stack über die BAA hinaus braucht
Die BAA ist das Fundament, nicht das Gebäude. Hier ist, was auf der Anwendungsebene für eine HIPAA-nahe WordPress-Website tatsächlich passieren muss.
Formulare und Datenerfassung
- Gravity Forms kann mit der richtigen Einrichtung verwendet werden, aber Gravity Forms speichert Einreichungen standardmäßig in der WordPress-Datenbank. Bei PHI müssen Sie entweder die Datenbankspeicherung deaktivieren und Daten sicher zu einem HIPAA-konformen Ziel leiten oder ihr Encrypted Fields Add-on sorgfältig verwenden.with the proper setup can be used, but native Gravity Forms stores submissions in the WordPress database by default. For PHI, you either need to disable database storage and pipe data securely to a HIPAA-compliant destination, or use their Encrypted Fields add-on carefully.
- Cognito Forms und FormAssembly bieten beide HIPAA-konforme Tiers mit BAAs an. Wenn das Formular der primäre Datenerfassungspunkt ist, sind diese oft sauberer als der Kampf mit GF.andFormAssemblyboth offer HIPAA-compliant tiers with BAAs. If the form is the primary data-collection point, these are often cleaner than wrestling with GF.
- Verwenden Sie niemals kostenlose Kontaktformular-Plugins, die Daten an Server von Drittanbietern senden, ohne deren Compliance-Position zu überprüfen.
Das ist tödlich. Deine WordPress-Site verschickt E-Mails wahrscheinlich über wp_mail(), was standardmäßig auf PHP mail oder ein verbundenes SMTP-Plugin läuft. Standard Gmail, standard Mailchimp, standard SendGrid — keines davon unterzeichnet eine HIPAA BAA in den Entry-Level-Tarifen.
Paubox ist derjenige, den ich konsistent für kleine bis mittlere Healthcare-Clients empfehle. HIPAA-konform, BAA inklusive, unkomplizierte Preisgestaltung. Google Workspace bietet auch eine BAA für ihre Healthcare-Clients an, aber es erfordert einen spezifischen Plan und einen formalen Anfrageprozess — das gilt nicht für ein Standard-Google-Konto.is the one I recommend consistently for small-to-mid healthcare clients. HIPAA-compliant email, BAA included, straightforward pricing. Google Workspace also offers a BAA for their healthcare clients, but it requires a specific plan and a formal request process — it doesn't apply to a standard Google account.
Plugins und Third-Party-Integrationen
Jedes Plugin, das nach Hause telefoniert, jedes Analytics-Skript, jedes Live-Chat-Widget — alles das könnte PHI berühren, je nachdem welche Daten auf der Seite sind. Führe ein ordentliches Audit durch. Ich nutze Query Monitor, um zu identifizieren, welche externen Anfragen gestellt werden, und gleiche das dann gegen die Compliance-Dokumentation jedes Vendors ab.Query Monitorto identify what's making external requests, then cross-reference against each vendor's compliance documentation.
HubSpot unterzeichnet eine BAA. Intercom nicht (in Standard-Tarifen). Hotjar sollte fast sicher nicht auf einer Healthcare-Site laufen, ohne eine sehr sorgfältige Scoping-Übung durchzuführen.
---
Wie man tatsächlich eine BAA unterzeichnet bekommt
Das ist eher prozessual als technisch, aber ich habe Projekte hier stecken sehen.
- Identifiziere jeden Vendor, der PHI berührt oder berühren könnte — Host, CDN, E-Mail, Formulare, Analytics, Support-Chat, Backup-Provider.that touches or could touch PHI — host, CDN, email, forms, analytics, support chat, backup provider.
- Fordere BAA-Dokumentation vom Sales- oder Compliance-Team jedes Vendors an. Nimm nichts an. Bekomme es schriftlich.from each vendor's sales or compliance team. Don't assume. Get it in writing.
- Überprüfen Sie den Umfang – eine BAA, die nur bestimmte Services oder bestimmte Datentypen abdeckt, muss vor der Unterzeichnung verstanden werden.— a BAA that only covers certain services or certain data types needs to be understood before you sign.
- Speichern Sie die unterzeichneten Vereinbarungen irgendwo, wo das Rechtsteam Ihres Kunden darauf zugreifen kann. Nicht nur in Ihrem Posteingang.somewhere your client's legal team can access. Not just in your inbox.
- Überprüfen Sie jährlich – Anbieter ändern ihre Richtlinien, Services werden eingestellt, und eine BAA, die Ihren Stack 2024 abdeckte, könnte 2026 Lücken haben.— vendors change their policies, services get deprecated, and a BAA that covered your stack in 2024 might have gaps in 2026.
Die HHS-Richtlinie zu Business Associates ist tatsächlich lesbar. Eine halbe Stunde wert, wenn Sie neu bei diesem Thema sind.HHS guidance on Business Associatesis actually readable. Worth thirty minutes of your time if you're new to this.
---
Das CDN-Problem, über das keiner spricht
Sie haben Ihren Host sortiert. Sie haben eine BAA. Sie haben die Anwendungsschicht gesperrt. Dann setzen Sie Cloudflare davor.
Cloudflare wird eine BAA unterzeichnen – aber nur im Enterprise-Plan, der bei einem Preis beginnt, der ihn für die meisten kleinen Healthcare-Kunden ausschließt. Die kostenlosen und Pro-Stufen? Keine BAA. Das bedeutet, dass Cloudflare technisch gesehen Ihren HTTPS-Traffic ohne BAA entschlüsselt und inspiziert, auf einer Website, die PHI in Transit enthalten kann.Enterprise plan, which starts at a price point that rules it out for most small healthcare clients. The free and Pro tiers? No BAA. Which means Cloudflare is technically decrypting and inspecting your HTTPS traffic without a BAA in place, on a site that may have PHI in transit.
Bei kleineren Projekten bin ich diesem Problem ausgewichen, indem ich AWS CloudFront (BAA-berechtigt) als CDN-Schicht verwendet habe, wenn die Website bereits auf EC2 oder hinter einem Application Load Balancer läuft. Es ist weniger glamourös als ein Cloudflare-Dashboard, aber es ist komplianzkonform sauber.
---
Was ich 2026 tatsächlich bauen würde
Wenn morgen ein Healthcare-Kunde mit einer WordPress-Anforderung zu mir käme, so würde ich es ungefähr architekturieren:
- Hosting: AWS EC2 (mit unterzeichneter BAA) mit gehärtetem LEMP-Stack, oder Kinsta Business mit ihrer BAA in der HandAWS EC2 (with a signed BAA) running a hardened LEMP stack, or Kinsta Business with their BAA in hand
- E-Mail: Paubox für transaktionale und anbietergerichtete E-MailsPaubox for transactional and provider-facing email
- Formulare: FormAssembly oder Gravity Forms mit deaktiviertem Datenbankspeicher und verschlüsseltem Submission-RoutingFormAssembly or Gravity Forms with database storage disabled and encrypted submission routing
- CDN: AWS CloudFront, nicht Cloudflare kostenlos/ProAWS CloudFront, not Cloudflare free/Pro
- Analytics: Self-hosted Matomo auf der gleichen BAA-abgedeckten Infrastruktur — kein Google Analytics für irgendetwas, das auch nur die Chance hat, PHI in der URL oder in Parametern zu enthaltenSelf-hosted Matomo on the same BAA-covered infrastructure — no Google Analytics for anything that has even a chance of PHI in the URL or parameters
- Backups: AWS S3 (BAA-berechtigt) mit serverseitiger VerschlüsselungAWS S3 (BAA-eligible) with server-side encryption
Ist es teurer als ein Standard-WordPress-Build? Ja. Ist es operativ komplexer? Auch ja. Aber die Alternative ist ein Kunde, der mit einem HIPAA-Benachrichtigungsprozess konfrontiert wird, potenzielle Geldstrafen ab 100 Dollar pro Verstoß pro Tag, und ein sehr unangenehmes Gespräch darüber, warum ihr Entwickler keines davon je erwähnt hat.HIPAA breach notificationprocess, potential fines starting at $100 per violation per day, and a very uncomfortable conversation about why their developer never mentioned any of this.
---
FAQ
Hat "HIPAA-konformes Hosting" eine rechtliche Bedeutung?
Nein. Es ist eine Marketing-Phrase. Rechtliche Bedeutung hat eine unterzeichnete BAA. Jeder Hosting-Anbieter kann sich selbst als HIPAA-ready, HIPAA-friendly oder HIPAA-irgendwas bezeichnen. Ohne BAA sind diese Wörter nur Dekoration. Frag immer konkret: „Werdet ihr eine Business Associate Agreement mit uns unterzeichnen?"
Braucht meine Website überhaupt eine BAA, wenn sie nur ein Kontaktformular hat?
Wenn das Kontaktformular Informationen erfasst, die PHI darstellen könnten — Symptome, Diagnosen, Gründe für Termine, alles das mit der Identität und dem Gesundheitsstatus eines Patienten verknüpft ist — dann ja, jeder Anbieter in dieser Datenkette sollte eine BAA haben. Ein allgemeines „Termin buchen"-Formular, das nur Name, Telefon und bevorzugte Zeit erfasst, ist schwächer dokumentiert, aber ich würde trotzdem empfehlen, die BAA zu sichern.
Kann ich WordPress.com für eine Healthcare-Website nutzen?
WordPress.com (die gehostete Plattform, nicht selbst gehostete WordPress-Software) bietet keine HIPAA BAA an. Punkt. Das ist anders als selbst gehostete WordPress auf einer konformen Infrastruktur. Die Software ist in Ordnung. Die gehostete Plattform ist nicht geeignet für PHI.
Was passiert, wenn ein Anbieter, den ich nutze, übernommen wird und der neue Eigentümer die BAA streicht?
Das ist ein echtes Risiko und ich habe es bei kleineren SaaS-Tools gesehen. Deine BAA sollte Kündigungsklauseln enthalten, die ausgelöst werden, wenn der Anbieter HIPAA-Anforderungen nicht mehr erfüllen kann. Wenn du eine Übernahme-Ankündigung per E-Mail erhältst, wirf sie nicht weg — prüf, ob die Compliance-Zusagen unter der neuen Entität erhalten bleiben.
Ist HIPAA nur ein US-Problem?
Ja, HIPAA ist ein US-Bundesgesetz. Aber wenn du für Gesundheitskunden im Vereinigten Königreich oder der EU entwickelst, haben die Entsprechungen — NHS Digital Standards, das Data Security and Protection Toolkit und GDPR auf Gesundheitsdaten angewendet — ähnliche Anforderungen zu Datenverarbeitungsverträgen. Das Framework unterscheidet sich, die Logik nicht.
---
Die meisten Entwickler denken, wenn sie ehrlich sind, erst an die BAA, wenn jemand danach fragt. Dann bist du entweder in Ordnung (Glück gehabt) oder du rüstest einen Stack unter Druck mit einem nervösen Kunden am Telefon nach.
Es ist besser, die Anforderungen zu kennen, bevor du das Projekt startest, als auf halbem Weg der Entwicklung zu merken, dass dein Host das eine Dokument nicht unterzeichnet, das tatsächlich zählt.