Datenschutz

DSGVO und Reizdarm-Daten — was jede App beantworten muss

Veröffentlicht 2026-04-23 · 9 Min. Lesezeit · Medizinisch geprüft 2026-04-23 · clearTime Medical Advisory

Reizdarm-Daten sind besondere Daten. Bristol-Typ, Schmerz- Skala, Stuhlfrequenz und Trigger-Notizen sind nach Art. 9 DSGVO Gesundheitsdaten — eine Kategorie mit strengeren Regeln als Adresse oder Geburtsdatum. Wer eine Reizdarm-App installiert, lädt freiwillig eine besonders schutzwürdige Datenkategorie in fremde Infrastruktur. Dieser Beitrag zeigt, welche Fragen du vor der Installation stellen solltest — und warum die meisten Apps sie nicht sauber beantworten.

DATENFLUSS EINER REIZDARM-APPJede App sendet Daten irgendwohin. Frage ist nur: wohin, verschlüsselt, mit oder ohne Tracker.Dein GerätEingabe(Bristol, Schmerz)App-ServerSpeicherung(wo genau?)EU-ServerDSGVO-konformUS-CloudDrittland-TransferDrei Fragen an jede App: wo liegt der Server, wer hat Zugriff, welche Tracker laufen mit?Antwort muss aus der Datenschutzerklärung ablesbar sein. Ist sie es nicht → Risiko.
Wer die drei Fragen beantworten kann, kennt 80 % des Datenschutz-Risikos einer Reizdarm-App.

Warum Reizdarm-Einträge unter Art. 9 DSGVO fallen

Art. 9 Abs. 1 DSGVO verbietet die Verarbeitung „besonderer Kategorien personenbezogener Daten" — darunter ausdrücklich Gesundheitsdaten. Art. 4 Nr. 15 DSGVO definiert Gesundheitsdaten als Daten, „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen". Ein Bristol-Typ-6-Eintrag am Dienstagabend fällt darunter, ein IBS-SSS-Score von 280 auch, ein Eintrag „Blähungen 7/10 nach Zwiebel" ebenfalls.

Die Folge: eine Reizdarm-App darf diese Daten nur mit einer besonderen Rechtsgrundlage verarbeiten — in der Praxis meist Art. 9 Abs. 2 lit. a (ausdrückliche Einwilligung) oder, bei Medizinprodukten, lit. h (Gesundheitsvorsorge). „Hab ich den AGB zugestimmt, reicht" reicht nicht. Die Einwilligung muss explizit, informiert und jederzeit widerrufbar sein. Wer nicht wegklärt, was mit den Daten passiert, verstößt strukturell gegen DSGVO.

Zehn Fragen, die du jeder Reizdarm-App stellen solltest

Die folgenden zehn Fragen lassen sich meist in 5 Minuten aus einer guten Datenschutzerklärung beantworten. Wenn eine App mehr als drei davon unbeantwortet lässt, ist das kein gutes Zeichen.

  1. Wer ist der Verantwortliche? Firmenname, Rechtsform, Sitz, Registergericht, Handelsregisternummer, USt-IdNr. — muss nach Art. 13 DSGVO genannt sein.
  2. Wo stehen die Server? EU, EWR, USA, weltweit? Welches Land konkret (nicht nur „in der Cloud")?
  3. Welche Auftragsverarbeiter werden eingesetzt? Hosting, Datenbank, Analytics, Push-Notifications, E-Mail- Versand — jede Kategorie mit Firma, Standort, Rechtsgrundlage für Drittlandtransfer.
  4. Welche Rechtsgrundlage gilt für welche Daten? Art. 6 (allgemein) vs. Art. 9 (Gesundheitsdaten) — müssen getrennt aufgeführt sein.
  5. Welche Tracker / SDKs laufen mit? Google Analytics, Facebook SDK, Firebase Crashlytics, Hotjar, Mixpanel, Braze, Adjust, AppsFlyer — besonders bei mobilen Apps verbreitet.
  6. Werden Daten an Dritte weitergegeben? Werbezwecke, Forschungspartner, Verkauf an Datenbroker — und wenn ja, welche Einwilligung dafür erforderlich ist.
  7. Wird KI mit deinen Daten trainiert? Reizdarm-Einträge eignen sich formal für medizinische KI-Modelle. Die App muss klar ausweisen, ob deine Daten dafür genutzt werden dürfen.
  8. Wie lange werden die Daten gespeichert? Konkrete Fristen, nicht „so lange wie erforderlich". Auch was bei Account-Löschung passiert und wann.
  9. Wie kannst du deine Rechte ausüben? Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) — mit konkreter E-Mail- Adresse oder Self-Service in der App.
  10. Wer ist deine Aufsichtsbehörde? Bei Privatpersonen in Deutschland die Datenschutzaufsicht des jeweiligen Bundeslandes oder, bei Bundesbehörden, der BfDI.

Fünf häufige Datenschutz-Fallen bei Health-Apps

EU-Hosting vs. US-Cloud: warum es einen Unterschied macht

DSGVO-konforme Drittlandtransfers (USA) laufen seit 2023 über das EU-US Data Privacy Framework (EU-US DPF) und, bei DPF- unzertifizierten Anbietern, über Standardvertragsklauseln (SCC) nach Art. 46 DSGVO. Beides ist rechtlich erlaubt, aber mit höherem Risiko und Aufwand verbunden — und Schrems II (EuGH 2020, Schrems III potenziell vor der Tür) macht klar, dass US-Behörden-Zugriff nach FISA 702 ein ungelöstes Problem bleibt.

Für Gesundheitsdaten heißt das praktisch: wenn du die Wahl hast zwischen einer App mit EU-Hosting (Deutschland, Irland, Niederlande — z. B. auf Hetzner, IONOS, Scaleway, OVH, Supabase EU) und einer mit US-Hosting (AWS us-east-1, Google Cloud us-central1), ist die EU-Variante strukturell das geringere Risiko. Weder „wir nutzen SCC" noch „unsere Daten sind verschlüsselt" macht US-Hosting datenschutz-äquivalent — Verschlüsselung schützt gegen den Cloud-Anbieter, nicht gegen Behörden-Requests.

Cookie-Banner und TTDSG §25 — wann brauchst du einen?

Seit TTDSG § 25 (2022) ist Zustimmung erforderlich für alle nicht-technisch-notwendigen Informationen, die auf dem Endgerät gespeichert werden. Konsequenz für Reizdarm-Apps:

Eine Reizdarm-App, die komplett ohne Tracker und Werbung arbeitet, braucht kein Cookie-Banner — nur einen Datenschutzhinweis, der die technisch notwendigen Cookies nennt. Mehr dazu in unserer Datenschutzerklärung, die explizit auf § 25 Abs. 2 Nr. 2 abstellt.

Wie DarmKompass mit deinen Daten umgeht

Transparenz-Klarstellung, damit du uns an den gleichen Fragen misst:

Diese Praxis ist nicht Selbstlob — sie ist das Minimum, das sich aus den Regeln ableitet. Jede App, die ähnliche Antworten geben kann, ist eine valide Wahl. Der Artikel vergleicht uns offen mit fünf anderen Apps unter Reizdarm-Apps im Vergleich.

Quellen

  1. [1] Layer P, Andresen V, Allescher H, et al. (2021). Update S3-Leitlinie Reizdarmsyndrom: Definition, Pathophysiologie, Diagnostik und Therapie. Z Gastroenterol (AWMF 021/016). PMID: 34891206 DOI: 10.1055/a-1591-4794

Redaktionell geprüfte Inhalte nach Quellenlage DGVS S3, AWMF 021/016 und peer-reviewed PubMed-Literatur.

Häufige Fragen

Muss ich mir bei einer deutschen App keine Sorgen um Datenschutz machen?
Doch. Deutsche Rechtsgrundlage ist Voraussetzung, aber kein Garant. Auch deutsche Apps können US-Cloud, Tracker oder KI-Training nutzen. Die 10 Fragen gelten für jede App — deutsch, europäisch, global.
Ist EU-US Data Privacy Framework sicher genug?
Rechtlich zulässig, aber strukturell riskanter. FISA 702 erlaubt US-Behörden weiterhin Zugriff auf Daten in US-Cloud. Für Gesundheitsdaten gilt deshalb: wenn EU-Hosting möglich, ist es die kleinere Angriffsfläche.
Was ist, wenn eine App keine Datenschutzerklärung hat?
Dann ist sie vermutlich nicht DSGVO-konform — installier sie nicht. Eine fehlende oder versteckte Datenschutzerklärung ist ein struktureller Verstoß gegen Art. 12–14 DSGVO und gilt als Warnsignal für Aufsichtsbehörden.
Darf meine Krankenkasse meine DiGA-App-Daten sehen?
Nur die Abrechnungsdaten (Rezept-Einlösung, Nutzungsnachweis) — nicht die Therapieinhalte. Die DiGA-Spezifikation trennt Abrechnung von Gesundheitsdaten strikt. Im Zweifel: DSE der konkreten DiGA prüfen.
Was tun, wenn ich vermute, dass eine App meine Daten missbraucht?
Beschwerde bei deiner Landes-Datenschutzaufsicht (in Bayern BayLDA Ansbach, NRW LDI Düsseldorf, BaWü LfDI Stuttgart etc.). Nach Art. 77 DSGVO kostenlos. Vorher: Datenauskunft nach Art. 15 DSGVO anfordern, damit du weißt, was die App gespeichert hat.
Brauche ich einen Cookie-Banner auf meiner eigenen Website, wenn ich eine Reizdarm-Community betreibe?
Nur wenn du Analytics, Werbe-Cookies oder Marketing-Tools einsetzt. Rein funktionale Cookies (Auth, Sprache) sind nach TTDSG § 25 Abs. 2 Nr. 2 einwilligungsfrei. Für Gesundheits-Communities empfiehlt sich eine besonders sparsame Technik-Setup.
Wie lange sollte eine App meine gelöschten Daten behalten?
Nach Account-Löschung: 0 Tage für Tracking-Daten, bis zu 6 Monate für Backup-Rollback (technisch oft unvermeidbar), ggf. länger für gesetzliche Aufbewahrungspflichten (Rechnungen: 10 Jahre nach HGB). Alles andere ist problematisch.

Eigenes Muster finden, statt nur lesen?

darmkompass ist das private Reizdarm-Tagebuch: 30 Sekunden Eintrag, Wochen-Muster sichtbar, Arzt-PDF auf Knopfdruck. Keine Tracker, keine Werbung.

Jetzt kostenlos starten →

Weitere Beiträge