Zuletzt aktualisiert am 7. April 2026

Die Digitalisierung macht auch vor dem Bereich Gesundheit und Pflege nicht halt. Möglicherweise können digitale Gesundheits- und Pflegeanwendungen die Lösung für die Herausforderungen sein, denen sich das deutsche Gesundheits- und Pflegewesen stellen muss. Doch diese Anwendungen werfen auch eine Menge datenschutzrechtlicher Frage auf.

Welche datenschutzrechtlichen Anforderungen an digitale Gesundheits- und Pflegeanwendungen zu stellen sind, erfahren Sie hier.

Was sind digitale Gesundheits- und Pflegeanwendungen?

Im Bereich der Anwendungen für Gesundheit und Pflege kann man die digitalen Gesundheitsanwendungen (DiGA) und die digitalen Pflegeanwendungen (DiPA) unterscheiden.

Digitale Gesundheitsanwendungen sind online verfügbare Anwendungen wie Apps, die die Diagnose und Therapie von Krankheiten unterstützen sollen. Damit sollen diese Anwendungen dazu beitragen, dass der Patient sein Leben gesundheitsfördernd und selbstbestimmt führen kann. Es steht damit ein medizinischer Zweck im Vordergrund und Nutzer sind nicht nur Patienten, sondern auch behandelnde Ärzte. Apps dieser Art gelten nach der EU-Medizinprodukteverordnung (MDR) als Medizinprodukt der Risikoklasse I oder IIa und müssen damit zugelassen sein. Sie müssen von einem Arzt verschrieben werden.

Digitale Pflegeanwendungen sind dagegen online verfügbare Anwendungen, die in der Pflege ihren Einsatz finden. Sie dienen der ergänzenden Unterstützung für pflegende Angehörige. Damit die Anwendungen die Bezeichnung tragen dürfen, müssen sie einen pflegerischen Nutzen haben und ebenfalls vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassen werden. Im Vordergrund steht die Verbesserung der häuslichen Pflege. Eine DiPA kann ohne Verschreibung genutzt werden. Dabei können den Nutzern bis zu 50 Euro pro Monat zur Nutzung für die Pflege erstattet werden.

Zulassung als digitale Gesundheits- oder Pflegeanwendung

Sowohl digitale Gesundheits- als auch Pflegeanwendungen durchlaufen zur Zulassung ein Prüfverfahren des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM). Verläuft dieses erfolgreich, finden die Anwendungen einen Platz in einem entsprechenden Verzeichnis aller zugelassenen digitalen Gesundheits- oder Pflegeanwendungen. Dieses Verzeichnis soll Vertrauen und Transparenz schaffen und enthält je nach Anwendung bestimmte vollständige Informationen wie Datum der Aufnahme, nachgewiesener Effekt, vorgelegte Studien, Preise und Mehrkosten sowie notwendige ärztliche Leistungen.

In diesem Verzeichnis können Patienten oder pflegende Angehörige nach passenden Anwendungen suchen und filtern.

Datenschutzrechtliche Vorgaben

Zunächst einmal gelten sowohl für digitale Gesundheits- als auch Pflegeanwendungen die Schutzstandards der DSGVO. Verschärfende Ergänzungen finden sich allerdings für die digitalen Gesundheitsanwendungen in der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) und für digitale Pflegeanwendungen in der Digitale-Pflegeanwendungen-Verordnung (DiPAV).

Daneben sind natürlich auch immer die erhöhten Anforderungen der Informationssicherheit zu berücksichtigen.

Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)

Die DiGAV begrenzt den Kreis der möglichen Zwecke der Datenverarbeitung auf folgende Zwecke: den bestimmungsgemäßen Gebrauch der Anwendung durch den Nutzer, die Führung von Nachweisen nach dem Sozialgesetzbuch und die dauerhafte Gewährleistung der technischen Funktionsfähigkeit, Nutzerfreundlichkeit und Weiterentwicklung der Anwendung.

Die Einwilligung des Nutzers muss zudem besonders vor dem Hintergrund der Abrechnung mit der Krankenkasse immer ausdrücklich erfolgen.

Die DiGAV legt die erlaubten Standorte der Datenverarbeitung fest auf die gesamte EU, den europäischen Wirtschaftsraum, die Schweiz und alle Staaten mit Angemessenheitsbeschluss nach der DSGVO. Damit ist die DiGAV strenger als die DSGVO.

Digitale-Pflegeanwendungen-Verordnung (DiPAV)

Die DiPAV begrenzt den Kreis der möglichen Zwecke der Datenverarbeitung auf folgende Zwecke: die Gewährung der Erbringung der ergänzenden Unterstützungsleistungen und der bestimmungsgemäßen Vorsorge nach dem Sozialgesetzbuch, sowie die dauerhafte Gewährleistung der Sicherheit, Funktionstauglichkeit, altersgerechten Nutzbarkeit und qualitätsorientierter Weiterentwicklung. Dient die Verarbeitung beiden Zwecken, müssen dafür getrennte ausdrückliche Einwilligungen eingeholt werden.

Auch die DiPAV legt die Speicherorte genauso strenger als die DSGVO aus wie die DiGAV.

Fazit

Sowohl digitale Gesundheits- als auch Pflegeanwendungen haben das Potential, das Gesundheits- und Pflegesystem zu entlasten. Zum nennenswerten Einsatz der Pflegeanwendungen kam es allerdings noch nicht.

Für Hersteller beider Anwendungen gilt es, sich in jedem Fall mit den strengeren datenschutzrechtlichen Vorgaben auseinander zu setzen. In den entsprechenden Verordnungen finden sich in den Anlagen zudem hilfreiche Checklisten. Neben dem Datenschutz darf auch die Informationssicherheit nicht aus den Augen verloren werden. Hilfreich können hierbei auch die Normen ISO 27001 und ISO 27701 sein.

Besondere Datenschutzrisiken bei Gesundheits-Apps

Gesundheits-Apps verarbeiten regelmäßig besonders sensible personenbezogene Daten im Sinne von Art. 9 DSGVO. Dazu gehören Gesundheitsdaten wie Blutzuckerwerte, Blutdruck, Schlafmuster, Menstruationszyklen oder psychische Befindlichkeiten. Die Verarbeitung solcher Daten ist nur unter den strengen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig, wobei in der Praxis fast immer eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO eingeholt werden muss.

Ein besonderes Risiko stellt die Weitergabe von Gesundheitsdaten an Dritte dar. Viele kostenlose Gesundheits-Apps finanzieren sich über den Verkauf von Nutzerdaten an Werbetreibende oder Versicherungen. Studien haben gezeigt, dass zahlreiche populäre Gesundheits-Apps Daten an Facebook, Google und andere Drittanbieter übertragen, oft ohne ausreichende Transparenz gegenüber den Nutzern. Der Hamburger Datenschutzbeauftragte hat in mehreren Fällen entsprechende Verstöße festgestellt und Bußgelder verhängt.

Anforderungen an die Einwilligung bei Gesundheits-Apps

Die Einwilligung in die Verarbeitung von Gesundheitsdaten muss besonders hohen Anforderungen genügen. Sie muss ausdrücklich, informiert, freiwillig und für den bestimmten Fall erklärt werden. In der Praxis bedeutet dies, dass pauschale Einwilligungen in den Allgemeinen Geschäftsbedingungen oder durch das bloße Herunterladen der App nicht ausreichen.

Nutzer müssen vor der Einwilligung klar und verständlich darüber informiert werden, welche Daten zu welchen Zwecken verarbeitet werden und an welche Empfänger sie übermittelt werden. Die Einwilligung muss getrennt von anderen Erklärungen eingeholt werden und jederzeit widerrufbar sein. Der Widerruf muss ebenso einfach sein wie die Erteilung der Einwilligung. Ein DSGVO-konformes Einwilligungsmanagement ist dabei wichtig.

Datenschutzprüfung vor dem Einsatz von Gesundheits-Apps

Bevor Unternehmen, Ärzte oder Pflegeeinrichtungen eine Gesundheits-App einsetzen oder empfehlen, sollten sie eine sorgfältige datenschutzrechtliche Prüfung durchführen. Folgende Punkte sind dabei besonders relevant:

• Wo werden die Daten gespeichert und verarbeitet? Findet ein Drittlandtransfer statt?
• Welche Datenschutzerklärung liegt vor und ist diese DSGVO-konform?
• Werden Daten an Dritte weitergegeben und wenn ja, auf welcher Rechtsgrundlage?
• Gibt es einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO?
• Wie ist die Datensicherheit gewährleistet, insbesondere die Verschlüsselung?
• Ist die App als DiGA zugelassen und unterliegt damit den strengeren Vorgaben der DiGAV?

Wearables und Fitness-Tracker: Besondere Herausforderungen

Eine besondere Kategorie stellen Wearables und Fitness-Tracker dar, die kontinuierlich Gesundheitsdaten erfassen. Geräte wie Smartwatches messen Herzfrequenz, Bewegungsmuster, Schlafqualität und teilweise sogar Blutsauerstoffwerte. Diese Daten werden in der Regel mit einer Cloud-Plattform synchronisiert, die häufig in den USA gehostet wird.

Für Arbeitgeber, die ihren Mitarbeitern im Rahmen betrieblicher Gesundheitsförderung Fitness-Tracker zur Verfügung stellen, gelten besonders strenge Anforderungen. Die Nutzung muss freiwillig sein und darf keinen Einfluss auf das Arbeitsverhältnis haben. Arbeitgeber dürfen keinen Zugriff auf die individuellen Gesundheitsdaten der Mitarbeiter erhalten. Bei der Auswahl der Geräte und Apps sollten europäische Anbieter mit DSGVO-konformer Datenverarbeitung bevorzugt werden.

Die Nutzung von Gesundheits-Apps im professionellen Umfeld erfordert eine sorgfältige Abwägung zwischen dem Nutzen für die Gesundheitsversorgung und dem Schutz sensibler personenbezogener Daten. Ein externer Datenschutzbeauftragter kann Sie bei der Auswahl und datenschutzkonformen Implementierung von Gesundheitsanwendungen unterstützen.

Das DiGA-Verzeichnis: Orientierung bei zugelassenen Gesundheits-Apps

Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) führt ein öffentliches Verzeichnis aller zugelassenen digitalen Gesundheitsanwendungen. Dieses DiGA-Verzeichnis ist unter diga.bfarm.de abrufbar und bietet Patienten, Ärzten und Pflegekräften eine verlässliche Orientierung. Aktuell sind über 60 digitale Gesundheitsanwendungen im Verzeichnis gelistet, die Bereiche wie Diabetes-Management, Rückenschmerzen, Depressionen, Tinnitus und Schlafstörungen abdecken.

Für jede gelistete App enthält das Verzeichnis detaillierte Informationen zum Datenschutz, darunter die Orte der Datenverarbeitung, die genutzten Drittanbieter und die Ergebnisse der Datenschutzprüfung des BfArM. Ärzte und Pflegekräfte sollten sich bei der Empfehlung von Gesundheits-Apps vorrangig an den im Verzeichnis gelisteten Anwendungen orientieren. Diese haben einen strengen Prüfprozess durchlaufen und erfüllen die erhöhten datenschutzrechtlichen Anforderungen der DiGAV.

Nicht im Verzeichnis gelistete Gesundheits-Apps unterliegen lediglich den allgemeinen Bestimmungen der DSGVO und den Anforderungen der App-Store-Betreiber. Die datenschutzrechtliche Qualität dieser Apps variiert erheblich. Vor dem Einsatz solcher Apps sollte daher immer eine gründliche Prüfung der Datenschutzerklärung, der Datenflüsse und der technischen Sicherheitsmaßnahmen erfolgen. Ein Datenschutz-Audit kann hier Klarheit schaffen und Risiken identifizieren.

Gesundheits-Apps für Kinder und Jugendliche

Ein besonders sensibles Thema sind Gesundheits-Apps, die sich an Kinder und Jugendliche richten. Hier kommen neben den allgemeinen Datenschutzanforderungen zusätzliche Schutzpflichten zum Tragen. Die Einwilligung in die Datenverarbeitung muss bei Minderjährigen unter 16 Jahren von den Erziehungsberechtigten erteilt werden. Die Informationspflichten müssen in einer für Kinder verständlichen Sprache erfüllt werden, wie es Erwägungsgrund 58 der DSGVO vorsieht.

Schulen und Bildungseinrichtungen, die Gesundheits-Apps im Rahmen von Projekten zur Gesundheitsförderung einsetzen möchten, müssen besonders strenge Maßstäbe anlegen. Die Freiwilligkeit der Nutzung muss gewährleistet sein und es darf kein Gruppendruck auf Schüler ausgeübt werden, die die App nicht nutzen möchten. Die Datenschutzaufsichtsbehörden mehrerer Bundesländer haben hierzu Handreichungen veröffentlicht, die bei der datenschutzkonformen Gestaltung unterstützen.

Insgesamt zeigt sich, dass der Einsatz von Gesundheits-Apps ein Bereich ist, in dem Datenschutz und Gesundheitsschutz eng zusammenwirken müssen. Eine sorgfältige Abwägung zwischen den Vorteilen digitaler Gesundheitsanwendungen und dem Schutz der hochsensiblen Gesundheitsdaten ist in jedem Einzelfall erforderlich. Unternehmen und Einrichtungen, die Gesundheits-Apps einsetzen oder entwickeln, sollten sich frühzeitig kompetente Beratung holen und den Datenschutz nicht als Hindernis, sondern als Qualitätsmerkmal verstehen.

Die Entwicklung im Bereich digitaler Gesundheitsanwendungen schreitet rasant voran. Mit der zunehmenden Integration von Künstlicher Intelligenz in Gesundheits-Apps ergeben sich weitere datenschutzrechtliche Fragen, etwa zur automatisierten Entscheidungsfindung nach Art. 22 DSGVO, wenn eine App eigenständig Diagnosevorschläge oder Therapieempfehlungen generiert.

Sie benötigen Unterstützung im Bereich Datenschutz und/oder Informationssicherheit? Unser Team an Experten hilft Ihnen gerne weiter. Kontaktieren Sie uns hier.