Datenschutz: Neue Hürden für Gesundheits-Apps mit Kinderdaten

Die Digitalisierung des Gesundheitswesens steht vor neuen Compliance-Herausforderungen. Nach einem wegweisenden Beschluss der Datenschutzkonferenz (DSK) vom 20. November müssen Krankenhäuser, Pflegeeinrichtungen und Entwickler medizinischer Apps ihre Datenschutz-Folgenabschätzungen (DSFA) grundlegend überarbeiten – ausgerechnet jetzt, wo die Kassenärztliche Vereinigung (KV) Sachsen-Anhalt mehr Tempo bei der Digitalisierung fordert.

Die Kassenärztliche Bundesvereinigung drängt heute auf schnellere digitale Modernisierung im stationären Sektor. Doch wer jetzt nachrüstet, muss höhere regulatorische Hürden überwinden.

Am 20. November 2025 veröffentlichte die Datenschutzkonferenz einen umfassenden Beschluss mit dem Titel “Zehn Vorschläge zur Verbesserung des Datenschutzes von Kindern”. Der Vorschlag 10 verpflichtet alle Verantwortlichen, bei Datenschutz-Folgenabschätzungen künftig die „besonderen Risiken und Schutzbedarfe von Kindern” explizit zu berücksichtigen.

Passend zum Thema: Krankenhäuser und App-Anbieter müssen ihre DSFAs jetzt kindgerechter gestalten – wer das übersieht, riskiert Bußgelder und teure Nachbesserungen. Ein kostenloses E‑Book liefert praxisnahe Muster‑Vorlagen, Word- und Excel-Checklisten sowie eine Schritt‑für‑Schritt-Anleitung, um DSFAs mit pädiatrischen Daten rechtskonform und prüfungssicher zu dokumentieren. Ideal für Datenschutzbeauftragte und IT-Verantwortliche, die rasch handeln müssen. Jetzt DSFA‑Muster & Checkliste sichern

Was bedeutet das konkret? Bisherige DSFAs behandelten „Patientendaten” oft als einheitliche Hochrisikokategorie. Diese pauschale Bewertung reicht nicht mehr aus. Krankenhäuser und App-Betreiber müssen nun eine granulare Analyse für minderjährige Nutzer vorlegen – unter Berücksichtigung ihrer eingeschränkten Fähigkeit, Datenverarbeitungsfolgen zu verstehen.

„Eine allgemeine Risikoeinstufung genügt nicht mehr, wenn Kinder betroffen sind”, betont die DSK. „Verantwortliche müssen nachweisen, wie sie entwicklungsbedingte Risiken junger Patienten konkret mindern.”

Vertraulichkeit für Jugendliche: Technisches Dilemma

Besonders heikel wird es beim Vorschlag 4 der DSK: „Kinder sollten ab einem bestimmten Alter Beratungs- und Gesundheitsangebote vertraulich nutzen können, ohne dass ihre Eltern automatisch informiert werden.”

Diese Forderung stellt Krankenhaus-IT-Systeme vor massive Herausforderungen. Die meisten digitalen Aufnahmesysteme und Patientenportale gewähren Eltern standardmäßig vollständigen Zugriff auf die Gesundheitsdaten ihrer minderjährigen Kinder. Die Implementierung einer „Vertraulichkeitsschaltung” für Jugendliche innerhalb der elektronischen Patientenakte (ePA) oder eines Klinikportals erfordert komplexe Architekturänderungen.

Können bestehende Systeme das überhaupt leisten? Die technische Umsetzung muss durch eine rigorose DSFA validiert werden – ein Zeit- und Kostenfaktor, den viele Einrichtungen bei ihrer Digitalisierungsplanung nicht einkalkuliert haben.

KV-Appell trifft auf verschärfte Regulierung

Ausgerechnet heute, am 27. November 2025, forderte die KV Sachsen-Anhalt öffentlich, dass „andere Akteure” im Gesundheitssystem bei der Digitalisierung nachziehen müssen. Während Vertragsärzte und Psychotherapeuten die Anbindung an die Telematikinfrastruktur (TI) und die seit Januar 2025 verpflichtende ePA erfolgreich gemeistert hätten, hinkten Kliniken und Pflegeheime hinterher.

„Vertragsärzte haben geliefert; jetzt müssen Krankenhäuser und Pflegeeinrichtungen folgen, um Informationsbrüche zu verhindern”, argumentierten KV-Vertreter.

Doch dieser „Aufholprozess” muss nun eine höhere regulatorische Messlatte überwinden. Kliniken, die ihre digitalen Systeme aufrüsten oder neue Patientenportale implementieren, müssen ihre DSFAs sofort an die Vorgaben vom 20. November anpassen.

Profiling-Verbot bedroht Gesundheits-Apps

Der DSK-Beschluss zielt auch auf den boomenden Markt digitaler Gesundheitsanwendungen (DiGA) und KI-gestützte Diagnosetools. Vorschlag 2 fordert ein striktes Verbot von Profiling und Werbung auf Basis personenbezogener Kinderdaten.

Für Gesundheits-Apps, die KI zur Symptomanalyse oder Überwachung chronischer Erkrankungen bei Kindern nutzen – etwa Diabetes-Tracker –, sind die Konsequenzen erheblich. Entwickler müssen sicherstellen, dass ihre Algorithmen nicht versehentlich Persönlichkeitsprofile erstellen, die monetarisiert oder für Verhaltens-Targeting genutzt werden könnten. Die DSK betrachtet solche Praktiken als unvereinbar mit dem DSGVO-Schutz für Minderjährige.

Verschärfend kommt hinzu: Mit dem seit März 2025 vollständig wirksamen Europäischen Gesundheitsdatenraum (EHDS) steigt der grenzübersreitende Gesundheitsdatenfluss. Die DSK signalisiert europäischen Partnern damit, dass deutsche Aufsichtsbehörden die „Hochrisiko”-Definition bei Minderjährigen rigoros anwenden werden.

Branche unter Zeitdruck

Rechtsexperten werten den DSK-Beschluss als Vorbote strengerer Durchsetzungsmaßnahmen. „Die Schonfrist für die flächendeckende ePA ist vorbei”, erklärt Dr. Lena Weber, Berliner IT-Rechtsexpertin. „Bei der 110. DSK-Konferenz im Dezember erwarten wir die Operationalisierung dieser Vorschläge in eine neue ‚Muss-Liste’ für DSFAs.”

Die 110. Datenschutzkonferenz findet vom 10. bis 12. Dezember 2025 in Berlin statt. Dort dürften weitere Leitlinien zur technischen Umsetzung der Kinderschutzmechanismen in der Telematikinfrastruktur veröffentlicht werden.

Sofortige Handlungsempfehlungen

Datenschutzbeauftragte im Gesundheitssektor sollten umgehend:

1. Bestehende DSFAs auditieren: Alle Prozesse mit pädiatrischen Daten identifizieren
2. Risikomodelle aktualisieren: „Entwicklungsrisiken” für Minderjährige explizit dokumentieren (fehlende Einwilligungsfähigkeit, Manipulationsrisiken)
3. Portal-Architekturen prüfen: Können Systeme die Vertraulichkeitsanforderung für Jugendliche gemäß DSK-Vorschlag 4 technisch umsetzen?

Während die KV Sachsen-Anhalt auf Tempo bei der Digitalisierung drängt, stellt die DSK klar: Geschwindigkeit darf nicht auf Kosten der Privatsphäre der vulnerabelsten Patientengruppe gehen.

PS: Wenn Ihre Einrichtung jetzt DSFAs anpassen muss, hilft ein praxisorientierter Gratis‑Guide beim schnellen Umsetzen: Er erklärt, wie Sie Entwicklungsrisiken dokumentieren, Vertraulichkeitsfunktionen technisch bewerten und Maßnahmen prüfungssicher nachweisen. Enthalten sind sofort nutzbare Word- und Excel‑Vorlagen sowie eine Checkliste für Aufsichtsbehörden. Kostenloses DSFA‑E‑Book herunterladen