Wo landen meine Gesundheitsdaten? Warum sie die EU verlassen und was die DSGVO dazu sagt
Die meisten Gesundheits- und Wellness-Apps speichern Daten auf Infrastruktur außerhalb des Europäischen Wirtschaftsraums. Nach DSGVO Kapitel V sind solche Transfers nur unter strikten Bedingungen rechtmäßig. Für Gesundheitsdaten - eine besondere Kategorie nach Artikel 9 - sind die Risiken deutlich höher.
Auf dieser Seite
Wenn du eine Gesundheits- oder Wellness-App installierst, interessierst du dich wahrscheinlich zuerst für die Funktionen, nicht für die Infrastruktur. Aber im Hintergrund ist bereits eine entscheidende Frage geklärt: Wo deine Daten leben und unter welchem Rechtsrahmen sie Grenzen überschreiten dürfen. Für Nutzer in der Europäischen Union wird diese Entscheidung von einigen der strengsten Datentransfer-Regeln der Welt bestimmt.
Warum Gesundheitsdaten von Wellness-Apps so oft außerhalb der EU landen
Die digitale Gesundheitsindustrie ist in den Vereinigten Staaten entstanden. Die Cloud-Infrastruktur, die das meiste Internet antreibt - Speicher, Rechenleistung, Machine-Learning-Pipelines - wurde dort zuerst gebaut und skaliert. Viele Gesundheits- und Wellness-Apps wurden von Unternehmen gegründet, deren gesamter Daten-Stack schon vor Inkrafttreten der DSGVO im Mai 2018 auf außereuropäischer Infrastruktur verankert war. Datenspeicherung zu migrieren ist teuer, technisch komplex und erfordert die Neuverhandlung von Lieferantenverträgen über den ganzen Stack hinweg. Für ein schnell wachsendes Team ist die Nutzung der nächstgelegenen verfügbaren Infrastruktur oft der Standard - keine bewusste Entscheidung gegen EU-Nutzer.
Von der Absicht her ist daran zunächst nichts auszusetzen. Aber es schafft ein strukturelles Muster: Ein europäischer Nutzer erzeugt Gesundheitsdaten auf seinem Gerät, eine App verarbeitet sie, und sie fließen in eine Infrastruktur, die sich außerhalb des Europäischen Wirtschaftsraums (EWR) befinden kann. Unter der DSGVO ist dieser Fluss ein Transfer - und er braucht eine separate Rechtsgrundlage, unabhängig von der Rechtsgrundlage für die Datenverarbeitung selbst.
Was die DSGVO über Datentransfers außerhalb des EWR sagt
Kapitel V der DSGVO (Artikel 44–49) regelt internationale Datentransfers. Das Kernprinzip steht in Artikel 44: Personenbezogene Daten dürfen den EWR nur verlassen, wenn das Schutzniveau der DSGVO dadurch nicht untergraben wird - einschließlich etwaiger Weiterübermittlungen, nachdem die Daten bereits außerhalb sind.
Es gibt drei legale Transferwege.
Angemessenheitsentscheidungen (Artikel 45). Die Europäische Kommission kann formal entscheiden, dass ein Drittland ein im Wesentlichen äquivalentes Datenschutzniveau zur EU bietet. Transfers in als "angemessen" eingestufte Länder können dann ohne zusätzliche Sicherheitsmaßnahmen erfolgen. Stand Mai 2026 umfasst die EDPB-Liste angemessener Länder Andorra, Argentinien, Kanada (Geschäftsorganisationen), Japan, Neuseeland, die Schweiz, das Vereinigte Königreich, die Vereinigten Staaten (Geschäftsorganisationen mit Zertifizierung unter dem EU-US-Datenschutzabkommen) und einige wenige andere. Angemessenheitsentscheidungen können widerrufen werden - und wurden es auch schon.
Angemessene Sicherheitsmaßnahmen (Artikel 46). Wenn es keine Angemessenheitsentscheidung gibt, können Organisationen Daten noch immer transferieren, wenn sie angemessene Sicherheitsmaßnahmen vorsehen und sicherstellen, dass Personen durchsetzbare Rechte und wirksame Rechtsmittel behalten. Das am weitesten verbreitete Sicherheitsinstrument sind Standardvertragsklauseln (SCC) - ein von der Kommission genehmigter Satz standardisierter Vertragsbedingungen. Andere sind Binding Corporate Rules, Verhaltenscodices und Zertifizierungsmechanismen.
Ausnahmeregelungen (Artikel 49). Unter außergewöhnlichen Umständen - etwa mit ausdrücklicher Einwilligung der Person oder wenn ein Transfer für einen Vertrag zwingend erforderlich ist - können Transfers ohne Angemessenheitsentscheidung oder Sicherheitsmaßnahmen erfolgen. Der EDPB hat klargestellt, dass Artikel-49-Ausnahmeregelungen echte Ausnahmen sind, nicht ein alltägliches Compliance-Werkzeug, und nicht wiederholt oder strukturell genutzt werden dürfen.
Was Standardvertragsklauseln wirklich erfordern
SCC sind häufig, aber keine Formalität. Seit dem Urteil des Europäischen Gerichtshofs im Schrems-II-Fall (Rechtssache C-311/18, 16. Juli 2020) verpflichtet die Nutzung von SCC die exportierende Organisation, eine Transfer Impact Assessment (TIA) durchzuführen - eine dokumentierte Bewertung, ob die Gesetze und Praktiken des Ziellands die von den SCCs gebotenen Garantien beeinträchtigen könnten. Wenn zum Beispiel das Überwachungsrecht eines Landes Behörden Zugriff auf Daten gestattet, der über das nach EU-Grundrechten Notwendige und Verhältnismäßige hinausgeht, müssen zusätzliche technische oder vertragliche Maßnahmen umgesetzt werden. Wenn keine ausreichenden Maßnahmen existieren, sollte der Transfer nicht stattfinden.
Die EDPB-Empfehlungen 01/2020 legen einen detaillierten sechsstufigen Bewertungsprozess dar. Diese Verpflichtung besteht unabhängig von der Größe der Organisation, die die SCCs nutzt, und unabhängig davon, ob Daten an einen Auftragsverarbeiter oder an eine Konzerngesellschaft gehen.
Warum Gesundheitsdaten höhere Einsätze bedeuten
Normale personenbezogene Daten - ein Name, eine E-Mail - lösen bereits die Transferanforderungen der DSGVO aus. Gesundheitsdaten fallen in eine völlig andere Kategorie.
Unter Artikel 9 DSGVO sind Gesundheitsdaten eine "besondere Kategorie" personenbezogener Daten. Ihre Verarbeitung braucht nicht nur eine allgemeine Rechtsgrundlage nach Artikel 6, sondern auch eine separate, spezifische Bedingung nach Artikel 9 - üblicherweise ausdrückliche Einwilligung (Artikel 9(2)(a)) oder eng definierte Grundlagen wie medizinische Behandlung, öffentliche Gesundheit oder wissenschaftliche Forschung. Das ist das "Doppelschloss."
Das Doppelschloss gilt genauso für Transfers. Eine Organisation, die Gesundheitsdaten außerhalb des EWR transferiert, muss sowohl einen gültigen Kapitel-V-Transfermechanismus als auch eine gültige Artikel-9-Verarbeitungsbedingung erfüllen. Einwilligung, die durch ein generisches Kästchen bei der Registrierung eingeholt wird - ohne klare Erklärung, wohin die Daten gehen und unter welchen Sicherheitsmaßnahmen - wird kaum als "ausdrückliche Einwilligung" gelten, die Artikel 9 braucht.
Für Nutzer bedeutet das: Wenn eine Wellness-App deine Herzfrequenz, Schlaf oder Aktivität verarbeitet, sind die Rechtsanforderungen deutlich strenger als bei den meisten anderen Consumer-Apps. Die Frage ist nicht nur, ob ein Transfer stattfindet, sondern ob jede Ebene des rechtlichen Rahmens korrekt erfüllt ist.
Der Transferrahmen wurde schon einmal zerstört
Das ist keine theoretische Sorge. Die Rechtsgrundlage für EU-zu-USA-Datentransfers wurde bereits zweimal vom Europäischen Gerichtshof für ungültig befunden.
Safe Harbor - das erste EU-USA-Datentransfer-Abkommen - wurde am 6. Oktober 2015 aufgehoben (Rechtssache C-362/14, Schrems I). Der Gerichtshof stellte fest, dass es nicht das erforderliche, gleichwertige Schutzniveau gewährleistete, weil US-Überwachungsgesetze US-Behörden Zugriff auf europäische personenbezogene Daten gaben, der über das Notwendige oder Verhältnismäßige hinausging.
Privacy Shield, Safe Harbors Nachfolger, wurde im Juli 2020 aufgehoben (Rechtssache C-311/18, Schrems II, 16. Juli 2020). Die gleiche Kernsorge - die Reichweite der US-Geheimdienstüberwachungsprogramme nach Gesetzen wie FISA Abschnitt 702 - führte zum gleichen Ergebnis. Organisationen, die sich ausschließlich auf Privacy Shield verlassen hatten, standen über Nacht rechtswidrig da.
Das EU-US-Datenschutzabkommen (DPF) wurde als die aktuelle Angemessenheitslösung von der Europäischen Kommission am 10. Juli 2023 angenommen (Commission Implementing Decision (EU) 2023/1795, CELEX: 32023D1795). Eine erste Anfechtung - eingebracht vom französischen Abgeordneten Philippe Latombe - wurde vom Europäischen Gericht am 3. September 2025 abgewiesen; ein Berufungsverfahren zum Gerichtshof läuft Berichten zufolge. Die Datenschutzorganisation NOYB hat öffentlich erklärt, dass sie den Latombe-Fall als "zu eng" betrachtet und Optionen für eine breitere Anfechtung prüft, und Max Schrems hat zu verstehen gegeben, dass umfassendere Argumente - einschließlich der Auswirkungen jüngster US-Exekutivverordnungen und Veränderungen bei unabhängigen Aufsichtsstellen - zu einem anderen Ergebnis führen sollten. Strukturelle Veränderungen bei den US-Aufsichtsstellen in den Jahren 2025 und 2026 haben zudem Fragen aufgeworfen, ob die Rechtsmittelmechanismen, die die DPF-Angemessenheitsfeststellung rechtfertigten, noch intakt sind.
Das Muster - Rahmen angenommen, Rahmen angefochten, Rahmen aufgehoben - hat sich zweimal wiederholt. Organisationen, die sich für Gesundheitsdaten-Transfers auf das DPF stützen, sollten seinen Rechtsstand aktiv überwachen und Ausweichoptionen bereithalten.
Was das für die Nutzung einer Gesundheits-App bedeutet
Wenn du in der EU ansässig bist und eine Gesundheits- oder Wellness-App nutzt, die deine Daten außerhalb des EWR verarbeitet, hast du folgende Rechte nach der DSGVO:
Auskunftsrecht (Artikel 15). Du kannst anfragen, ob deine Gesundheitsdaten in ein Drittland transferiert werden, welche Länder betroffen sind und welche Sicherheitsmaßnahmen für den Transfer gelten.
Recht auf Datenportabilität (Artikel 20). Du kannst eine maschinenlesbare Kopie deiner Daten anfragen, um sie woanders zu transferieren.
Recht, Einwilligung zu widerrufen. Wo die Verarbeitung auf Einwilligung basiert - was Artikel 9 üblicherweise für Gesundheitsdaten in Verbraucherkontexten verlangt - kannst du die Einwilligung jederzeit widerrufen und die Organisation muss die Verarbeitung einstellen.
Bevor du eine Gesundheits-App installierst, ist es am praktischsten, die Datenschutzerklärung auf drei Punkte hin zu prüfen: wo Daten gespeichert und verarbeitet werden; welcher Transfermechanismus für Transfers außerhalb des EWR genutzt wird; und ob die App Gesundheitsdaten gesondert als besondere Kategorie behandelt oder alle personenbezogenen Daten gleich behandelt. Der dritte Punkt ist oft am aufschlussreichsten.
Wo Sam passt
Sam speichert und verarbeitet deine Apple-Watch-Gesundheitsdaten auf Google-Cloud-Infrastruktur innerhalb des Europäischen Wirtschaftsraums. Die Kapitel-V-Anforderungen für Drittland-Transfers - Angemessenheitsentscheidungen, Standardvertragsklauseln, Transfer Impact Assessments - gelten nicht für diese grundlegende Verarbeitung, weil deine Daten den EWR nicht verlassen.
Sam ist eine Wellness-App, kein Medizinprodukt. Sie stellt keine Diagnosen, behandelt nicht und führt kein Screening auf irgendwelche Erkrankungen durch. Für alle Gesundheitsbelange konsultiere einen qualifizierten Gesundheitsfachmann.
Sam kostenlos ausprobierenQuellen
- Regulation (EU) 2016/679 (DSGVO), einschließlich Kapitel V (Artikel 44–49) und Artikel 9. EUR-Lex. Regulation (EU) 2016/679 (DSGVO). Abgerufen 16. Mai 2026.
- International data transfers - EDPB Data Protection Guide for SMEs. European Data Protection Board. International data transfers - EDPB Data Protection Guide for SMEs. Abgerufen 16. Mai 2026.
- EDPB Recommendations 01/2020 on measures that supplement transfer tools, Version 2.0. European Data Protection Board. EDPB Recommendations 01/2020 on measures that supplement transfer tools. Abgerufen 16. Mai 2026.
- Judgment of the Court of Justice (Grand Chamber), Case C-311/18 (Schrems II), 16 July 2020. CURIA. Case C-311/18 (Schrems II), CJEU judgment of 16 July 2020. Abgerufen 16. Mai 2026.
- Commission Implementing Decision (EU) 2023/1795 on the EU–US Data Privacy Framework, 10 July 2023. CELEX: 32023D1795. EUR-Lex. Commission Implementing Decision (EU) 2023/1795 on the EU–US Data Privacy Framework. Abgerufen 16. Mai 2026.
- EU–US Data Privacy Framework adequacy decisions list. European Commission. European Commission adequacy decisions list. Abgerufen 16. Mai 2026.
Häufige Fragen
Ist es erlaubt, meine Gesundheitsdaten außerhalb der EU zu speichern?+
Ja, aber nur unter den spezifischen Bedingungen von Kapitel V der DSGVO. Das Unternehmen braucht einen Transfermechanismus wie eine Angemessenheitsentscheidung, Standardvertragsklauseln (SCC), Binding Corporate Rules oder eine andere aufgelistete Sicherheitsmaßnahme. Ohne einen dieser Mechanismen ist der Transfer rechtswidrig - unabhängig davon, was die Datenschutzerklärung verspricht.
Was ist das EU-US-Datenschutzabkommen und ist es noch gültig?+
Das EU-US-Datenschutzabkommen (DPF) ist eine Angemessenheitsentscheidung, die die Europäische Kommission im Juli 2023 getroffen hat. Es ermöglicht es Organisationen, die sich unter dem DPF zertifizieren lassen, personenbezogene Daten aus der EU ohne zusätzliche Transfermaßnahmen zu erhalten. Stand Mai 2026 ist es in Kraft. Der Europäische Gerichtshof wies eine erste Anfechtung im September 2025 ab, doch ein Berufungsverfahren läuft Berichten zufolge, und es werden weitere Anfechtungen erwartet.
Warum sind Gesundheitsdaten anders als andere Daten unter der DSGVO?+
Gesundheitsdaten gelten als 'besondere Kategorie' personenbezogener Daten nach Artikel 9 DSGVO und unterliegen einem höheren Schutzstandard als normale personenbezogene Daten. Ihre Verarbeitung braucht nicht nur eine Rechtsgrundlage nach Artikel 6, sondern zusätzlich eine spezifische Bedingung nach Artikel 9 - üblicherweise ausdrückliche Einwilligung. Dieses 'Doppelschloss' gilt genauso für Transfers: Sowohl der Kapitel-V-Transfermechanismus als auch die Artikel-9-Bedingung müssen erfüllt sein.
Was sind Standardvertragsklauseln (SCC)?+
SCC sind standardisierte Vertragsbedingungen, die von der Europäischen Kommission genehmigt wurden. Organisationen können sie nutzen, um Transfers personenbezogener Daten in Länder außerhalb des EWR zu rechtfertigen, wenn es dort keine Angemessenheitsentscheidung gibt. Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs (Rechtssache C-311/18, Juli 2020) brauchen SCCs zusätzlich eine Transfer Impact Assessment (TIA) - eine dokumentierte Bewertung, ob die Gesetze des Ziellands die SCC-Schutzmaßnahmen untergraben.
Kann ich herausfinden, wo meine Gesundheitsdaten gespeichert sind?+
Ja. Nach Artikel 15 DSGVO hast du das Recht, Informationen anzufordern, ob deine personenbezogenen Daten in Drittländer transferiert werden, welche Länder betroffen sind und welche Sicherheitsmaßnahmen gelten. Nach Artikel 20 kannst du auch den Export deiner Daten verlangen. Die Datenschutzerklärung einer App sollte Transferziele und Mechanismen offenlegen, auch wenn diese Infos oft in Juristensprache versteckt sind.
Heißt Datenspeicherung in Europa automatisch DSGVO-konform?+
Nicht automatisch. DSGVO-Konformität hängt von der kompletten Verarbeitungskette ab - Rechtsgrundlage, Datensparsamkeit, Aufbewahrungsgrenzen, Sicherheitsmaßnahmen und Nutzerrechte. Aber: Wenn Daten im EWR bleiben, entfällt ein großes Risiko. Die Kapitel-V-Anforderungen für Drittland-Transfers gelten dann nicht.
Was passierte mit den älteren EU-US-Datentransfer-Rahmen?+
Zwei Vorgänger-Rahmen wurden vom Europäischen Gerichtshof für ungültig befunden. Safe Harbor wurde Oktober 2015 aufgehoben (Rechtssache C-362/14, Schrems I). Privacy Shield wurde Juli 2020 aufgehoben (Rechtssache C-311/18, Schrems II). In beiden Fällen stellte der Gerichtshof fest, dass US-Überwachungsgesetze US-Behörden Zugriff auf europäische Daten gaben, der über das Notwendige und Verhältnismäßige nach EU-Grundrechten hinausging. Jede Aufhebung ließ Organisationen ohne gültige Transferbasis zurück, bis ein neuer Rahmen ausgehandelt war.
