Datensicherheit von DiGA: DSGVO und DiGAV

Datensicherheit von DiGA: Anforderungen nach DSGVO und DiGAV verständlich erklärt

Warum Datensicherheit bei DiGA entscheidend ist

Für Ärzte spielt die Datensicherheit eine zentrale Rolle bei der Bewertung von DiGA. Aktuelle Befragungen der Stiftung Gesundheit zeigen, dass der Einsatz digitaler Anwendungen weiter zunimmt, während Datenschutz und Kosten weiterhin zu den wichtigsten Einflussgrößen gehören.1

Rechtsgrundlagen: DSGVO und DiGAV

Die Datenschutz‑Grundverordnung (DSGVO) bildet die rechtliche Basis für den Umgang mit personenbezogenen Daten. Sie definiert Grundsätze wie:

  • Zweckbindung
  • Datenminimierung
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit2,3,4

Für DiGA konkretisiert die Digitale Gesundheitsanwendungen‑Verordnung (DiGAV) die Anforderungen an Datenschutz und Datensicherheit. Besonders relevant ist § 4 DiGAV, der regelt:

  • welche Daten verarbeitet werden dürfen
  • zu welchen Zwecken dies zulässig ist
  • welche Sicherheitsmaßnahmen verpflichtend sind5,6,7

Zweckgebundene Datenverarbeitung

Nach § 4 DiGAV dürfen personenbezogene Daten nur auf Basis einer Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO und ausschließlich zu definierten Zwecken verarbeitet werden, u.a.:

  • bestimmungsgemäßer Gebrauch
  • Nachweis positiver Versorgungseffekte / Erprobung
  • anwendungsbegleitende Erfolgsmessung
  • Sicherstellung und Weiterentwicklung der technischen Funktionalität

Eine kommerzielle Nutzung von Gesundheitsdaten ist nicht zulässig.6

Prüfung und Nachweise: Rolle des BfArM

Das BfArM beschreibt Anforderungen und Bewertungsmaßstäbe im DiGA‑Leitfaden (aktuell Version 3.6).7 Die Datenschutzkriterien wurden in Abstimmung mit BfDI und BSI konkretisiert; perspektivisch ist eine Zertifizierung vorgesehen.8,9

Datenschutzzertifizierung (Art. 42 DSGVO)

Art. 42 DSGVO ermöglicht freiwillige Datenschutzzertifizierungen, die als Nachweisfaktor dienen, dass die DSGVO eingehalten wird, ohne die Verantwortung der Verantwortlichen zu ersetzen.10,11,12

Praktische Implikationen

Für Hersteller und Verordner sind u. a. wichtig:

  • Risikoanalysen und technische/organisatorische Maßnahmen nach Stand der Technik2,4
  • klare Lösch- und Aufbewahrungskonzepte2,4,13
  • transparente Einwilligungsführung6
  • dokumentierte Nachweisführung gemäß BfArM‑Leitfaden7

Häufige Fragen

Welche gesetzlichen Grundlagen regeln die Datensicherheit von DiGA?

Die Datensicherheit bei DiGA beruht vor allem auf zwei Säulen:

  • DSGVO, insbesondere Art. 5, der Grundsätze wie Zweckbindung, Datenminimierung und Speicherbegrenzung festlegt.
  • DiGAV, insbesondere § 4, der die zulässigen Zwecke der Datenverarbeitung bei DiGA sowie zwingende Sicherheitsanforderungen definiert.

Quellen:

Welche Daten dürfen DiGA verarbeiten?

DiGA dürfen personenbezogene Daten ausschließlich zweckgebunden verarbeiten, u.a.:

  • für die bestimmungsgemäße Nutzung der Anwendung
  • zur Erprobung bzw. zum Nachweis positiver Versorgungseffekte
  • zur anwendungsbegleitenden Erfolgsmessung
  • zur Sicherstellung und Weiterentwicklung der technischen Funktionalität
    Diese Zwecke sind in § 4 DiGAV eng definiert. Eine kommerzielle Nutzung von Gesundheitsdaten ist ausgeschlossen.

Quellen:

Welche Rolle spielt das BfArM bei der Bewertung der Datensicherheit?

Das BfArM prüft im Rahmen des Fast‑Track‑Verfahrens die Sicherheits- und Datenschutzangaben der Hersteller, einschließlich technischer Schutzmaßnahmen, Datenflüsse und Einwilligungsprozesse. Der DiGA‑Leitfaden Version 3.6 erläutert die Anforderungen im Detail.
Zudem veröffentlicht das BfArM spezifische Datenschutzkriterien, entwickelt gemeinsam mit BfDI und BSI, die künftig Grundlage für Zertifizierungen sein sollen.

Quellen:

Wie funktioniert die Datenschutzzertifizierung nach Art. 42 DSGVO?

Art. 42 DSGVO ermöglicht freiwillige Zertifizierungen (z. B. Datenschutzsiegel), um die Einhaltung der DSGVO nachzuweisen. Eine solche Zertifizierung ersetzt jedoch nicht die Verantwortung des Herstellers. Der Zertifizierungsprozess orientiert sich an klar definierten Prüfkriterien, die durch die zuständige Aufsichtsbehörde oder Zertifizierungsstellen nach Art. 43 DSGVO genehmigt werden.

Quellen:

Welche technischen und organisatorischen Maßnahmen müssen Hersteller umsetzen?

Hersteller müssen wirksame technische und organisatorische Maßnahmen (TOM) nach Stand der Technik einführen, darunter:

  • Risikoanalysen und Schutzmechanismen gegen unbefugte Zugriffe (Art. 5 Abs. 1 Buchst. f. Integrität und Vertraulichkeit und Art. 32 DSGVO)
  • klare Lösch- und Aufbewahrungskonzepte gemäß Speicherbegrenzung (Best Practices u. a. nach heyData)
  • transparente und getrennte Einwilligungen (z. B. für Weiterentwicklungszwecke laut DiGAV § 4)
  • dokumentierte Nachweisprozesse nach BfArM‑Vorgaben (DiGA‑Leitfaden)

Quellen:

 

Referenzen 

  1. Stiftung Gesundheit. Digitale Gesundheitsanwendungen gehören in der Patientenversorgung dazu. Ad‑hoc‑Befragung „Im Fokus“ Q4/2023. Verfügbar unter: https://www.gesundheit-digital-forum.de/de/themen/allgemein/diga-report-2024-im-ueberblick (Zugriff: 28. Mai 2026)
  2. DSGVO – Art. 5: Grundsätze für die Verarbeitung personenbezogener Daten. Verfügbar unter: Art. 5 DSGVO - Grundsätze für die Verarbeitung personenbezogener Daten - dejure.org (Zugriff: 28. Mai 2026)
  3.  Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) – Betroffenenrechte: Löschung („Recht auf Vergessenwerden“). Verfügbar unter: https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Betroffenenrechte/Betroffenenrechte_Löschung_Vergessenwerden.html (Zugriff: 28. Mai 2026)
  4. EU‑DSGVO‑Portal – Art. 5 DSGVO, Grundsätze. Verfügbar unter: trusted privacy – ePrivacy (Zugriff: 28. Mai 2026)
  5. DiGAV – Gesetze im Internet (BMJ). Verfügbar unter: DiGA-Anforderungen: BfArM-Kriterien für Listung im DiGA-Verzeichnis (Zugriff: 28. Mai 2026)
  6. § 4 DiGAV – Anforderungen an Datenschutz und Datensicherheit (buzer.de). Verfügbar unter: DiGAV (Digitale Gesundheitsanwendungen-Verordnung) - Bundesrecht Deutschland | gesetze.legal (Zugriff: 28. Mai 2026)
  7. BfArM – DiGA‑Leitfaden, Version 3.6 (10.12.2025). Verfügbar unter: BfArM aktualisiert DiGA-Leitfaden auf Version 3.2 (Zugriff: 28. Mai 2026)
  8. BfArM – Datenschutzkriterien für DiGA/DiPA. Verfügbar unter: § 4 DiGAV Anforderungen an Datenschutz und Datensicherheit Digitale Gesundheitsanwendungen-Verordnung (Zugriff: 28. Mai 2026)
  9. BVMed – BfArM veröffentlicht neue Datenschutz‑Prüfkriterien (09.09.2022). Verfügbar unter: Whitepaper_HowTo_Diga.pdf (Zugriff: 28. Mai 2026)
  10. DSGVO – Art. 42: Zertifizierung (Konsolidierung). Verfügbar unter: Art. 42 DSGVO - Zertifizierung - dejure.org (Zugriff: 28. Mai 2026)
  11. DSK – Kurzpapier Nr. 9: Zertifizierung nach Art. 42 DSGVO (17.04.2023). Verfügbar unter: Artikel 42 – Zertifizierung - GDPR (Zugriff: 28. Mai 2026)
  12. Dejure.org – DSGVO Art. 42. Verfügbar unter: DSGVO Artikel 42: Zertifizierung (Zugriff: 28. Mai 2026)
  13. heyData – Löschfristen nach DSGVO: Pflichten & Best Practices (07.01.2026). Verfügbar unter: Art. 42 DSGVO – Zertifizierung (Zugriff: 28. Mai 2026)

NON-2023-0590