Die DiGA und die DSGVO – ein Überblick für die Praxis

veröffentlicht am 30. Oktober 2025

Digitale Gesundheitsanwendungen (DiGA) gewinnen im deutschen Gesundheitswesen zunehmend an Bedeutung. Sie bieten innovative Möglichkeiten zur Unterstützung von Diagnostik, Therapie und Prävention – etwa durch Apps auf Rezept oder digitale Tagebücher. Mit der Nutzung dieser Anwendungen gehen jedoch erhebliche datenschutzrechtliche Anforderungen einher, insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO). Dieser Artikel gibt einen praxisnahen Überblick über die wichtigsten Aspekte, die bei der Entwicklung, dem Einsatz und der Nutzung von DiGA im Zusammenhang mit der DSGVO zu beachten sind und sensibilisiert für zentrale Problemfelder.

Die DSGVO ist das zentrale Regelwerk für den Umgang mit personenbezogenen Daten in Europa. Für DiGA ist sie besonders relevant, da hier regelmäßig sogenannte Gesundheitsdaten verarbeitet werden – eine besonders schützenswerte Kategorie personenbezogener Daten. Die Verarbeitung solcher Daten ist grundsätzlich verboten, es sei denn, es greift eine ausdrückliche Ausnahme nach Art. 9 Abs. 2 DSGVO.

Doch welche zentralen Anforderungen müssen dabei erfüllt werden?

Rechtsgrundlagen der Datenverarbeitung
Die Verarbeitung von Gesundheitsdaten durch DiGA-Anbieter erfordert eine klare Rechtsgrundlage. In der Praxis kommt häufig die ausdrückliche Einwilligung der Nutzerinnen und Nutzer gemäß Art. 9 Abs. 2 lit. a DSGVO in Betracht. Diese Einwilligung muss freiwillig, informiert und eindeutig erfolgen sowie jederzeit widerrufbar sein.
Informationspflichten
DiGA-Anbieter müssen umfassende Informationspflichten erfüllen (Art. 13, 14 DSGVO). Nutzerinnen und Nutzer sind transparent über Art, Umfang, Zweck und Empfänger der Datenverarbeitung zu informieren – idealerweise bereits beim ersten Kontakt mit der Anwendung.
Datenschutz durch Technikgestaltung („Privacy by Design“)
Bereits bei Entwicklung und Gestaltung einer DiGA müssen technische und organisatorische Maßnahmen getroffen werden, um den Schutz personenbezogener Daten sicherzustellen (Art. 25 DSGVO). Dazu zählen etwa Verschlüsselungstechnologien oder datensparsame Voreinstellungen.
Auftragsverarbeitung und Drittlandübermittlungen
Werden externe Dienstleister eingebunden (z. B. Cloud-Anbieter), ist regelmäßig ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Bei Übermittlung von Daten in Drittländer außerhalb des EWR sind zusätzliche Schutzmaßnahmen notwendig.

Diese zentralen Anforderungen müssen zwingend erfüllt werden, um die Gefahr von Bußgeldern zu verringern.

Es empfiehlt sich in jedem Fall ein Projektplan inklusive Prozessen für das Einwilligungsmanagement zu erstellen.

Angesichts des hohen Schutzbedarfs von Gesundheitsdaten müssen DiGA-Anbieter besonders hohe technische Sicherheitsstandards gewährleisten (z. B. Verschlüsselung, Zugriffsbeschränkungen).

Die Anbindung an andere Systeme (z. B. elektronische Patientenakte) kann zu Zielkonflikten zwischen Interoperabilität und Datenschutz führen – hier ist eine sorgfältige Abwägung erforderlich.

Nutzerinnen und Nutzer haben umfangreiche Rechte (z. B. Auskunfts-, Löschungs- oder Widerspruchsrechte). Die Umsetzung dieser Rechte muss technisch wie organisatorisch durch sogenannte TOMs sichergestellt sein.

Fazit

Digitale Gesundheitsanwendungen bieten große Chancen für Patientinnen und Patienten sowie das Gesundheitssystem insgesamt – sie bringen aber auch erhebliche datenschutzrechtliche Herausforderungen mit sich. Für Anbieter ist es unerlässlich, die Vorgaben der DSGVO konsequent umzusetzen und sich frühzeitig mit den spezifischen Problemfeldern auseinanderzusetzen. Nur so kann das Vertrauen der Nutzer gewonnen und langfristig gesichert werden.

Dieser Artikel bietet einen ersten Überblick; für konkrete Projekte empfiehlt sich stets eine individuelle rechtliche Beratung unter Berücksichtigung des jeweiligen Anwendungsfalls sowie aktueller Entwicklungen im Datenschutzrecht. Kontaktieren Sie uns hierzu jederzeit gerne!