Datensicherheit von DiGA: DSGVO und DiGAV
Datensicherheit von DiGA: Anforderungen nach DSGVO und DiGAV verständlich erklärt
Warum Datensicherheit bei DiGA entscheidend ist
Für Ärzte spielt die Datensicherheit eine zentrale Rolle bei der Bewertung von DiGA. Aktuelle Befragungen der Stiftung Gesundheit zeigen, dass der Einsatz digitaler Anwendungen weiter zunimmt, während Datenschutz und Kosten weiterhin zu den wichtigsten Einflussgrößen gehören.1
Rechtsgrundlagen: DSGVO und DiGAV
Die Datenschutz‑Grundverordnung (DSGVO) bildet die rechtliche Basis für den Umgang mit personenbezogenen Daten. Sie definiert Grundsätze wie:
- Zweckbindung
- Datenminimierung
- Speicherbegrenzung
- Integrität und Vertraulichkeit2,3,4
Für DiGA konkretisiert die Digitale Gesundheitsanwendungen‑Verordnung (DiGAV) die Anforderungen an Datenschutz und Datensicherheit. Besonders relevant ist § 4 DiGAV, der regelt:
- welche Daten verarbeitet werden dürfen
- zu welchen Zwecken dies zulässig ist
- welche Sicherheitsmaßnahmen verpflichtend sind5,6,7
Zweckgebundene Datenverarbeitung
Nach § 4 DiGAV dürfen personenbezogene Daten nur auf Basis einer Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO und ausschließlich zu definierten Zwecken verarbeitet werden, u.a.:
- bestimmungsgemäßer Gebrauch
- Nachweis positiver Versorgungseffekte / Erprobung
- anwendungsbegleitende Erfolgsmessung
- Sicherstellung und Weiterentwicklung der technischen Funktionalität
Eine kommerzielle Nutzung von Gesundheitsdaten ist nicht zulässig.6
Prüfung und Nachweise: Rolle des BfArM
Das BfArM beschreibt Anforderungen und Bewertungsmaßstäbe im DiGA‑Leitfaden (aktuell Version 3.6).7 Die Datenschutzkriterien wurden in Abstimmung mit BfDI und BSI konkretisiert; perspektivisch ist eine Zertifizierung vorgesehen.8,9
Datenschutzzertifizierung (Art. 42 DSGVO)
Art. 42 DSGVO ermöglicht freiwillige Datenschutzzertifizierungen, die als Nachweisfaktor dienen, dass die DSGVO eingehalten wird, ohne die Verantwortung der Verantwortlichen zu ersetzen.10,11,12
Praktische Implikationen
Für Hersteller und Verordner sind u. a. wichtig:
- Risikoanalysen und technische/organisatorische Maßnahmen nach Stand der Technik2,4
- klare Lösch- und Aufbewahrungskonzepte2,4,13
- transparente Einwilligungsführung6
- dokumentierte Nachweisführung gemäß BfArM‑Leitfaden7
Häufige Fragen
Welche gesetzlichen Grundlagen regeln die Datensicherheit von DiGA?
Die Datensicherheit bei DiGA beruht vor allem auf zwei Säulen:
- DSGVO, insbesondere Art. 5, der Grundsätze wie Zweckbindung, Datenminimierung und Speicherbegrenzung festlegt.
- DiGAV, insbesondere § 4, der die zulässigen Zwecke der Datenverarbeitung bei DiGA sowie zwingende Sicherheitsanforderungen definiert.
Quellen:
- Bundesdatenschutzgesetz (BDSG) (Zugriff: 28.Mai 2026)
- DiGAV / § 4 DiGAV – Anforderungen an Datenschutz & Datensicherheit (Zugriff: 28. Mai 2026)
Welche Daten dürfen DiGA verarbeiten?
DiGA dürfen personenbezogene Daten ausschließlich zweckgebunden verarbeiten, u.a.:
- für die bestimmungsgemäße Nutzung der Anwendung
- zur Erprobung bzw. zum Nachweis positiver Versorgungseffekte
- zur anwendungsbegleitenden Erfolgsmessung
- zur Sicherstellung und Weiterentwicklung der technischen Funktionalität
Diese Zwecke sind in § 4 DiGAV eng definiert. Eine kommerzielle Nutzung von Gesundheitsdaten ist ausgeschlossen.
Quellen:
- § 4 DiGAV – zulässige Verarbeitungszwecke (Zugriff: 28. Mai 2026)
Welche Rolle spielt das BfArM bei der Bewertung der Datensicherheit?
Das BfArM prüft im Rahmen des Fast‑Track‑Verfahrens die Sicherheits- und Datenschutzangaben der Hersteller, einschließlich technischer Schutzmaßnahmen, Datenflüsse und Einwilligungsprozesse. Der DiGA‑Leitfaden Version 3.6 erläutert die Anforderungen im Detail.
Zudem veröffentlicht das BfArM spezifische Datenschutzkriterien, entwickelt gemeinsam mit BfDI und BSI, die künftig Grundlage für Zertifizierungen sein sollen.
Quellen:
- BfArM – DiGA Leitfaden v3.6 (Zugriff: 28. Mai 2026)
- BfArM – Datenschutzkriterien für DiGA/DiPA (Zugriff: 28. Mai 2026)
Wie funktioniert die Datenschutzzertifizierung nach Art. 42 DSGVO?
Art. 42 DSGVO ermöglicht freiwillige Zertifizierungen (z. B. Datenschutzsiegel), um die Einhaltung der DSGVO nachzuweisen. Eine solche Zertifizierung ersetzt jedoch nicht die Verantwortung des Herstellers. Der Zertifizierungsprozess orientiert sich an klar definierten Prüfkriterien, die durch die zuständige Aufsichtsbehörde oder Zertifizierungsstellen nach Art. 43 DSGVO genehmigt werden.
Quellen:
Welche technischen und organisatorischen Maßnahmen müssen Hersteller umsetzen?
Hersteller müssen wirksame technische und organisatorische Maßnahmen (TOM) nach Stand der Technik einführen, darunter:
- Risikoanalysen und Schutzmechanismen gegen unbefugte Zugriffe (Art. 5 Abs. 1 Buchst. f. Integrität und Vertraulichkeit und Art. 32 DSGVO)
- klare Lösch- und Aufbewahrungskonzepte gemäß Speicherbegrenzung (Best Practices u. a. nach heyData)
- transparente und getrennte Einwilligungen (z. B. für Weiterentwicklungszwecke laut DiGAV § 4)
- dokumentierte Nachweisprozesse nach BfArM‑Vorgaben (DiGA‑Leitfaden)
Quellen:
- DSGVO – Art. 5 Grundsätze (Zugriff: 28. Mai 2026)
- BfDI- Betroffenenrechte (Zugriff: 28. Mai 2026)
- § 4 DiGAV – Einwilligungsanforderungen (Zugriff: 28 Mai 2026)
- BfArM – DiGA‑Leitfaden v3.6 (Zugriff: 28. Mai 2026)
Referenzen
- Stiftung Gesundheit. Digitale Gesundheitsanwendungen gehören in der Patientenversorgung dazu. Ad‑hoc‑Befragung „Im Fokus“ Q4/2023. Verfügbar unter: https://www.gesundheit-digital-forum.de/de/themen/allgemein/diga-report-2024-im-ueberblick (Zugriff: 28. Mai 2026)
- DSGVO – Art. 5: Grundsätze für die Verarbeitung personenbezogener Daten. Verfügbar unter: Art. 5 DSGVO - Grundsätze für die Verarbeitung personenbezogener Daten - dejure.org (Zugriff: 28. Mai 2026)
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) – Betroffenenrechte: Löschung („Recht auf Vergessenwerden“). Verfügbar unter: https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Betroffenenrechte/Betroffenenrechte_Löschung_Vergessenwerden.html (Zugriff: 28. Mai 2026)
- EU‑DSGVO‑Portal – Art. 5 DSGVO, Grundsätze. Verfügbar unter: trusted privacy – ePrivacy (Zugriff: 28. Mai 2026)
- DiGAV – Gesetze im Internet (BMJ). Verfügbar unter: DiGA-Anforderungen: BfArM-Kriterien für Listung im DiGA-Verzeichnis (Zugriff: 28. Mai 2026)
- § 4 DiGAV – Anforderungen an Datenschutz und Datensicherheit (buzer.de). Verfügbar unter: DiGAV (Digitale Gesundheitsanwendungen-Verordnung) - Bundesrecht Deutschland | gesetze.legal (Zugriff: 28. Mai 2026)
- BfArM – DiGA‑Leitfaden, Version 3.6 (10.12.2025). Verfügbar unter: BfArM aktualisiert DiGA-Leitfaden auf Version 3.2 (Zugriff: 28. Mai 2026)
- BfArM – Datenschutzkriterien für DiGA/DiPA. Verfügbar unter: § 4 DiGAV Anforderungen an Datenschutz und Datensicherheit Digitale Gesundheitsanwendungen-Verordnung (Zugriff: 28. Mai 2026)
- BVMed – BfArM veröffentlicht neue Datenschutz‑Prüfkriterien (09.09.2022). Verfügbar unter: Whitepaper_HowTo_Diga.pdf (Zugriff: 28. Mai 2026)
- DSGVO – Art. 42: Zertifizierung (Konsolidierung). Verfügbar unter: Art. 42 DSGVO - Zertifizierung - dejure.org (Zugriff: 28. Mai 2026)
- DSK – Kurzpapier Nr. 9: Zertifizierung nach Art. 42 DSGVO (17.04.2023). Verfügbar unter: Artikel 42 – Zertifizierung - GDPR (Zugriff: 28. Mai 2026)
- Dejure.org – DSGVO Art. 42. Verfügbar unter: DSGVO Artikel 42: Zertifizierung (Zugriff: 28. Mai 2026)
- heyData – Löschfristen nach DSGVO: Pflichten & Best Practices (07.01.2026). Verfügbar unter: Art. 42 DSGVO – Zertifizierung (Zugriff: 28. Mai 2026)