Gesundheitsdaten sind besonders sensibel. Sie sagen viel über uns aus – manchmal mehr als wir selbst zugeben würden. Umso wichtiger ist es, dass genau diese Daten besonders geschützt werden – gerade dann, wenn du digitale Gesundheitsanwendungen (DiGA) nutzt. Doch wie steht es wirklich um den Datenschutz bei DiGA? Was unterscheidet ihn von den allgemeinen Vorgaben der Datenschutz-Grundverordnung (DSGVO)? Und wie kannst du sicher sein, dass deine Daten dort bleiben, wo sie hingehören: bei dir?
In diesem Artikel klären wir die Unterschiede – verständlich, praxisnah und auf den Punkt gebracht.
DSGVO – die Basis für Datenschutz in Europa
Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 das zentrale Regelwerk für den Umgang mit personenbezogenen Daten in Europa. Sie schützt Informationen wie Namen, Adressen, Gesundheitsdaten – aber auch scheinbar technische Daten wie IP-Adressen, Zeitstempel oder Standortinformationen.
Warum das wichtig ist? Weil auch diese Daten genutzt werden können, um Personen zu identifizieren oder Bewegungsmuster zu erkennen. Deshalb müssen sie besonders sensibel behandelt werden.
Zugleich zeigt sich hier die andere Seite der Medaille: Diese sogenannten Metadaten – also z. B. Uhrzeit und IP-Adresse deines Webseitenbesuchs – sind auch sicherheitsrelevant. Sie werden unter anderem benötigt,
- um Angriffe auf Systeme frühzeitig zu erkennen,
- um Missbrauch zu verhindern,
- oder – auf staatlicher Ebene – um Terrorismus und organisierte Kriminalität zu bekämpfen.
Deshalb fordert die DSGVO nicht nur Schutz, sondern auch eine klare Abwägung: Welche Daten müssen gespeichert werden – und warum? Und wie lange? Das Ziel ist immer: So wenig wie möglich, aber so viel wie nötig.
Zusammengefasst regelt die DSGVO:
- Daten dürfen nur mit Einwilligung oder rechtlicher Grundlage verarbeitet werden
- Betroffene haben das Recht auf Auskunft, Berichtigung und Löschung
- Es gilt das Prinzip der Datensparsamkeit – also: nur erheben, was wirklich notwendig ist
- Unternehmen müssen technische und organisatorische Maßnahmen zum Schutz der Daten umsetzen
Diese Regeln gelten für jede App, jede Website – und natürlich auch für digitale Gesundheitsanwendungen. Aber genau dort setzt DiGA an – mit noch höheren Standards.
DiGA – Datenschutz auf einem höheren Level
Digitale Gesundheitsanwendungen sind mehr als nur clevere Programme auf dem Handy. Sie begleiten Menschen mit chronischen Erkrankungen, psychischen Belastungen oder alltäglichen Beschwerden – und das oft über Wochen, Monate oder sogar Jahre hinweg. Dabei erfassen sie intime Daten: Symptome, Tagesverläufe, Medikationen, Stimmungen, Bewegungsprofile.
Umso entscheidender ist die Frage: Wie sicher sind diese Daten wirklich?
Die Antwort: sehr. Denn DiGA sind nicht einfach nur Apps – sie sind zertifizierte Medizinprodukte. Und das bedeutet: Sie durchlaufen ein umfangreiches Prüfverfahren durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Dabei geht es nicht nur um die medizinische Wirksamkeit – sondern auch um den Datenschutz auf höchstem Niveau.
Was das konkret heißt?
- Verschlüsselung ist Pflicht – alle Daten müssen sicher gespeichert und übertragen werden, sodass selbst im Falle eines Angriffs kein Zugriff auf persönliche Inhalte möglich ist.
- Zugangsschutz ist Standard – viele DiGA arbeiten mit Zwei-Faktor-Authentifizierung oder anderen sicheren Login-Verfahren.
- Nur das Nötigste – DiGA dürfen ausschließlich Daten verarbeiten, die für die Funktion medizinisch notwendig sind. Alles andere ist tabu.
- Keine Werbung, kein Tracking, keine Datenweitergabe – außer, du gibst ganz bewusst dein Einverständnis. Ohne dein Okay geht nichts.
- Aktualität ist Pflicht – Sicherheitsmaßnahmen müssen dem aktuellen Stand der Technik entsprechen. Und das wird regelmäßig geprüft.
- Risikoanalyse vorab – Bevor eine DiGA überhaupt an den Start geht, muss sie eine umfassende Datenschutz-Folgenabschätzung (DSFA) durchlaufen – also eine strukturierte Bewertung aller Risiken für dich als Nutzer.
Kurz gesagt: DiGA versprechen nicht nur Datenschutz – sie müssen ihn beweisen. Schwarz auf weiß. Vor der Zulassung. Und immer wieder.
Gegenüberstellung der DSGVO und der Anforderungen an DIGA
| Thema | DSGVO (allgemein) | DiGA (zusätzlich zur DSGVO) |
| Grundschutz | Schutz aller personenbezogenen Daten | Gilt ebenfalls – besonders für Gesundheitsdaten mit hohem Schutzbedarf |
| Rechtsgrundlage der Datenverarbeitung | Verarbeitung nur mit Einwilligung oder rechtlicher Grundlage | Strengere Nachweispflicht: DiGA muss genaue Zwecke und Notwendigkeit belegen |
| Transparenzpflichten | Nutzer müssen verständlich über die Datenverarbeitung informiert werden | DiGA muss zusätzlich klar machen, wie und warum medizinische Daten genutzt werden |
| Datensparsamkeit | Nur so viele Daten wie nötig verarbeiten | DiGA muss besonders genau prüfen: Was ist medizinisch notwendig? Alles andere ist tabu |
| Datensicherheit (Art. 32 DSGVO) | „Geeignete technische und organisatorische Maßnahmen“ zum Schutz der Daten | DiGA muss nachweisen, dass sie dem Stand der Technik entspricht (z. B. Verschlüsselung) |
| Besondere Kategorien von Daten | Gesundheitsdaten gelten als „sensibel“ – besondere Schutzmaßnahmen nötig | DiGA verarbeitet immer solche Daten – deshalb: besonders hohe Anforderungen und Prüfungen |
| Datenschutz-Folgenabschätzung (DSFA) | Nur bei hohem Risiko für die Rechte der Nutzer verpflichtend | Bei DiGA in der Regel immer Pflicht, da Gesundheitsdaten betroffen sind |
| Zugriffsrechte & Löschung | Nutzer dürfen ihre Daten einsehen, berichtigen oder löschen lassen | Gilt auch bei DiGA – zusätzlich müssen Prozesse dazu leicht zugänglich und verständlich sein |
| Weitergabe an Dritte | Nur mit ausdrücklicher Einwilligung oder rechtlicher Grundlage | DiGA darf Daten nicht ohne Zustimmung weitergeben – auch nicht zu Werbezwecken |
| Kontrolle & Aufsicht | Datenschutzbehörden der Länder überwachen die Einhaltung | Zusätzlich prüft das BfArM vor der Zulassung alle Datenschutzmaßnahmen |
Was bedeutet das für dich als Nutzer?
Vertrauen entsteht durch Transparenz – und genau die ist bei DiGA Standard. Wenn du eine solche App nutzt, kannst du sicher sein: Deine sensibelsten Gesundheitsdaten werden mit maximaler Sorgfalt behandelt.
Nicht, weil das nett wäre – sondern weil es Pflicht ist. Und weil jede DiGA nur dann zugelassen wird, wenn sie in Sachen Datenschutz höchsten Maßstäben genügt.
Das bedeutet für dich:
- Du weißt, welche Daten erhoben werden – und warum.
- Du weißt, wofür sie genutzt werden – und kannst das jederzeit nachvollziehen.
- Du behältst die Kontrolle: Du kannst deine Zustimmung verweigern oder widerrufen – und deine Daten löschen lassen.
- Du wirst nicht getrackt, nicht analysiert, nicht vermarktet.
Und: Keine DiGA darf mehr wissen, als medizinisch notwendig ist. Punkt.
Diese Klarheit, diese Kontrolle, dieses Sicherheitsniveau – das ist es, was DiGA von herkömmlichen Gesundheits-Apps unterscheidet.
Fazit: Digitale Sicherheit, die du fühlen kannst
Datenschutz ist Vertrauenssache – besonders, wenn es um deine Gesundheit geht. Und hier ist Klartext gefragt:
Wenn du eine DiGA nutzt, liegen deine Daten auf einem Sicherheitsniveau, das mit dem von Arztpraxen und Krankenhäusern vergleichbar ist. Denn wie dort gelten auch bei DiGA die strengen Anforderungen der DSGVO – plus die erweiterten Prüfungen des BfArM.
Deine Gesundheitsdaten werden nicht nur gespeichert – sie werden geschützt. Verschlüsselt, dokumentiert, begrenzt. Und niemand außer dir entscheidet, was damit passiert.
Das ist kein Versprechen. Das ist Gesetz. Und es ist der Grund, warum du DiGA vertrauen kannst.
Denn digitale Gesundheit kann nur funktionieren, wenn du dich sicher fühlst.
Nächste Schritte
Finde Schritt für Schritt die passende digitale Gesundheitsanwendung – sicher, einfach und datenschutzkonform.
Zum DiGA-Kompass
Den DiGA Coach nutzen
Hol dir persönliche Unterstützung für deinen Start: Motivation, Tipps und Begleitung – direkt in deinem Alltag.
Jetzt den goDiGA Coach starten
Mehr erfahren im goDiGA Ratgeber
Alles, was du über digitale Gesundheitsanwendungen wissen musst – verständlich und praxisnah erklärt.
Zum goDiGA Ratgeber
