Braucht eine DiGA mit ihrem Monitoring-Tool einen AVV?

In der Regel ja. Sobald das Monitoring-Tool personenbezogene Daten im Auftrag des DiGA-Herstellers verarbeitet, verlangt Art. 28 DSGVO einen schriftlichen Auftragsverarbeitungsvertrag (AVV), bevor die Verarbeitung beginnt. Auch ein Tool, das nur Endpunkte, Antwortzeiten und Status-Codes prüft, verarbeitet typischerweise einige personenbezogene Daten — etwa IP-Adressen in Logs. Damit ist es Auftragsverarbeiter, und der AVV ist Pflicht, kein Nice-to-have. Ob im konkreten Fall personenbezogene Daten anfallen, ist im Einzelfall rechtlich zu prüfen; fehlt der AVV bei tatsächlicher Verarbeitung, liegt der Verstoß beim DiGA-Hersteller als Verantwortlichem.

Was ist ein Sub-Processor / Unterauftragsverarbeiter?

Ein Sub-Processor (Unterauftragsverarbeiter) ist ein Dienstleister, den dein eigener Auftragsverarbeiter einschaltet, um die Daten weiterzuverarbeiten — etwa Hosting, E-Mail-Versand oder eben Monitoring. In der DiGA-Kette ist der Hersteller Verantwortlicher (oder selbst Auftragsverarbeiter für die Krankenkasse), das Monitoring-Tool ist sein Auftragsverarbeiter, und dessen Hoster ist wiederum ein Sub-Processor. Art. 28 Abs. 2 und 4 DSGVO verlangt, dass jeder Auftragsverarbeiter seine Sub-Processor offenlegt und dir bei Änderungen ein Widerspruchsrecht einräumt. Der Verantwortliche bleibt für die gesamte Kette rechenschaftspflichtig.

Muss der Serverstandort jedes Sub-Processors in der EU liegen?

Für DiGA gilt eine strenge Standortregel, die jedes Glied der Kette betrifft. § 4 Abs. 3 DiGAV beschränkt die Verarbeitung auf Deutschland, die EU, dem EWR gleichgestellte Staaten oder Drittländer mit einem Angemessenheitsbeschluss nach Art. 45 DSGVO. Diese Regel gilt nicht nur für den DiGA-Hersteller selbst, sondern für jeden Auftragsverarbeiter und jeden Sub-Processor in der Kette. Die BfArM-Datenschutz-Prüfkriterien (Kriterium AV_1.3) verlangen zusätzlich besondere Garantien, wenn der Mutterkonzern eines Verarbeiters in einem nicht-konformen Drittland sitzt — etwa eine US-Mutter im Sinne von Schrems II. Die genaue Einordnung ist im Einzelfall rechtlich zu prüfen.

Wie schnell bekomme ich den AVV von FoundersDeck?

Sofort. FoundersDeck stellt einen Sofort-AVV nach Art. 28 DSGVO bereit, den du ohne Vertriebsgespräch herunterladen und gegenzeichnen kannst. Dazu gibt es eine öffentliche, datierte Sub-Processor-Liste: einziger Daten-Sub-Processor der Monitoring-Verarbeitung ist die Netcup GmbH in Nürnberg; das Billing läuft separat über Polar.sh (USA) als Merchant of Record, ohne Monitoring- oder Patientendaten; Cloudflare wird ausschließlich für DNS genutzt und verarbeitet keine Kundendaten; transaktionale E-Mails laufen über Scaleway in Paris. Damit ersetzt der Self-Service zwei der drei Artefakte, die du für die DiGA-Verarbeitungskette dokumentieren musst, in Minuten statt in einer mehrtägigen Procurement-Schleife.

Sub-Processor & AVV für DiGA: Monitoring sauber in die Verarbeitungskette einbinden

Wer eine Digitale Gesundheitsanwendung (DiGA) baut, trägt die Verantwortung nicht nur für die eigene Software, sondern für die gesamte Verarbeitungskette dahinter — inklusive jedes Tools, das im Hintergrund mitläuft. Monitoring gehört dazu. Sobald ein Uptime- oder Heartbeat-Monitor personenbezogene Daten in deinem Auftrag verarbeitet, wird er zum Auftragsverarbeiter, und du musst ihn sauber einbinden: mit Vertrag, mit Standort-Nachweis, mit einer lückenlosen Liste.

Dieser Artikel zeigt, wie diese Kette für eine DiGA aussieht, welche drei Artefakte du brauchst und warum genau diese Artefakte bei den meisten Tools schwer zu bekommen sind. Er ersetzt keine Rechtsberatung — die individuelle Einordnung ist im Einzelfall rechtlich zu prüfen. Den breiteren Kontext zur DiGA-Datenhoheit findest du auf unserer Seite zu DiGA-Monitoring.

Verarbeitet ein Monitoring-Tool überhaupt personenbezogene Daten?

Kurz: meistens ja — auch wenn es nur Erreichbarkeit misst. Ein Monitor, der ausschließlich Endpunkte, Antwortzeiten und Status-Codes beobachtet, sieht keine Patientendaten. Trotzdem fallen in aller Regel einige personenbezogene Daten an, etwa IP-Adressen in Server-Logs. Nach der Rechtsprechung gelten IP-Adressen als personenbezogen, sobald sie sich einer Person zuordnen lassen.

Damit greift Art. 28 DSGVO: Wer personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, ist Auftragsverarbeiter, und es braucht vor Beginn der Verarbeitung einen schriftlichen Auftragsverarbeitungsvertrag (AVV, englisch DPA). Art. 28 DSGVO verlangt außerdem, dass der Auftragsverarbeiter seine Unterauftragsverarbeiter offenlegt und dir bei Änderungen ein Widerspruchsrecht einräumt (Art. 28 Abs. 2 und 4).

Wichtig zur Einordnung: Ob in deinem konkreten Setup personenbezogene Daten anfallen, hängt vom Tool und seiner Konfiguration ab und ist im Einzelfall rechtlich zu prüfen. Die sichere Annahme für eine DiGA lautet aber: Behandle das Monitoring als Auftragsverarbeiter und schließe einen AVV.

Wie sieht die AVV-Kette für eine DiGA konkret aus?

Die Kette hat mehrere Glieder, und du als Hersteller bist für jedes davon rechenschaftspflichtig. Hier das durchgespielte Beispiel:

Rolle	Wer	Funktion in der Kette
Betroffene Person	Patient / Versicherter	Liefert die personenbezogenen Daten
Verantwortlicher (oder Auftragsverarbeiter für die Krankenkasse)	DiGA-Hersteller	Bestimmt Zweck und Mittel, schließt AVV mit jedem Dienstleister
Auftragsverarbeiter	Monitoring-Anbieter	Verarbeitet z. B. IP-Logs im Auftrag, legt eigene Sub-Processor offen
Sub-Processor (Unterauftragsverarbeiter)	Hoster des Monitoring-Anbieters	Verarbeitet die Daten weiter, muss dieselbe Standortregel erfüllen

Die Rollenverteilung kann variieren: Je nach Vertragslage mit der Krankenkasse ist der DiGA-Hersteller selbst Verantwortlicher oder seinerseits Auftragsverarbeiter. In beiden Fällen gilt: Was er an einen Monitoring-Anbieter weiterreicht, macht diesen zum (Unter-)Auftragsverarbeiter, und dessen Hoster zum nächsten Glied. Die genaue rollenrechtliche Einordnung ist im Einzelfall zu prüfen.

Daraus ergeben sich drei Pflichten, die du für jeden Auftragsverarbeiter und jeden Sub-Processor erfüllen musst:

Ein AVV mit jedem Dienstleister — schriftlich, nach Art. 28 DSGVO, vor Verarbeitungsbeginn.
Einhaltung der DiGA-Standortregel durch jedes Glied — dazu gleich mehr.
Eine gepflegte Sub-Processor-Liste — damit die Kette jederzeit nachvollziehbar bleibt und du dein Widerspruchsrecht bei Änderungen wahrnehmen kannst.

Muss jeder Sub-Processor die DiGA-Standortregel erfüllen?

Ja — und das ist der Punkt, an dem DiGA strenger ist als die DSGVO allein. § 4 Abs. 3 DiGAV beschränkt die Verarbeitung personenbezogener Daten auf:

Deutschland,
die übrigen EU-Mitgliedstaaten,
dem EWR gleichgestellte Staaten,
oder Drittländer mit einem Angemessenheitsbeschluss nach Art. 45 DSGVO.

Diese Regel gilt für jedes Glied der Sub-Processor-Kette, nicht nur für den Hersteller. Reicht dein Monitoring-Anbieter Daten an einen Hoster außerhalb dieses Rahmens weiter, ist die Kette gebrochen — auch wenn der Anbieter selbst in der EU sitzt.

Die BfArM-Datenschutz-Prüfkriterien (V1.0, 24.04.2024) machen das explizit. Kriterium AV_1.1 fixiert die Standortregel. Kriterium AV_1.3 geht weiter: Ein Auftragsverarbeiter, dessen Mutterkonzern in einem nicht-konformen Drittland sitzt, braucht zusätzliche Garantien — die Prüfkriterien nennen hier ausdrücklich Schrems II im Zusammenhang mit US-Tochtergesellschaften. Ein DiGA-Hersteller ist für seine gesamte Sub-Processor-Kette verantwortlich. Wie sich diese Standortfrage in der Praxis auswirkt, vertieft unser Beitrag zu DiGA-Datenverarbeitung außerhalb Deutschlands.

Für die Tool-Auswahl heißt das doppelt hinschauen: Der Serverstandort allein genügt nicht — auch der Rechtssitz des Anbieters und seiner Mutter zählt. Ein US-eingetragenes Unternehmen mit EU-Region bleibt im Sinne von AV_1.3 ein dokumentationspflichtiges Thema. Diese beiden Fragen — Standort und Jurisdiktion — sind getrennt zu prüfen; mehr dazu in der EU Jurisdiction Database.

Warum ist genau das bei den meisten Tools so mühsam?

Weil die drei Artefakte, die du brauchst — AVV, Standort-Nachweis, Sub-Processor-Liste — bei den wenigsten Anbietern öffentlich auffindbar sind. Das ist keine Vermutung, sondern messbar.

In unserer EU Jurisdiction Database (zuletzt verifiziert am 9. Juni 2026) haben wir 57 Entwickler-Tools darauf geprüft, ob sich AVV, Hosting und Jurisdiktion über öffentliche Seiten verifizieren lassen. Die Befunde:

Befund	Anzahl	Anteil
Tools mit Self-Service-AVV (ohne Sales-Kontakt)	7 von 57	12 %
Tools, bei denen sich öffentlich nicht einmal verifizieren lässt, ob ein AVV existiert	49 von 57	86 %
US-eingetragene Tools	29 von 57	51 %

Für eine DiGA ist das fatal, weil jede dieser 49 Lücken eine Procurement-Schleife auslöst: Du fragst den Vertrieb, der Vertrieb fragt Legal, Legal schickt nach Tagen ein PDF, dein Datenschutzbeauftragter hat Rückfragen. Für ein einzelnes Hintergrund-Tool kann so leicht eine Woche vergehen — multipliziert mit jedem Dienstleister in der Kette. Eine generische Schritt-für-Schritt-Anleitung dafür liefert unser AVV-Check in 5 Minuten.

Wie verkürzt ein Self-Service-AVV diese Schleife?

Indem die Artefakte schon da sind, bevor du fragst. Genau dafür haben wir FoundersDeck so aufgesetzt:

Sofort-AVV nach Art. 28 DSGVO — herunterladbar und gegenzeichenbar ohne Vertriebsgespräch, direkt auf unserer AVV-Seite. Das ist das seltenste grüne Häkchen in unserer gesamten Datenbank — 7 von 57.
Öffentliche, datierte Sub-Processor-Liste — der einzige Daten-Sub-Processor der Monitoring-Verarbeitung ist die Netcup GmbH in Nürnberg. Cloudflare wird ausschließlich für DNS genutzt und verarbeitet keine Kundendaten. Transaktionale E-Mails laufen über Scaleway in Paris. Alle drei liegen innerhalb des von § 4 Abs. 3 DiGAV gezogenen Rahmens. Sauber davon zu trennen — und genau die Vollständigkeit, die ein gründlicher DSB prüft — ist das Billing: Es läuft über Polar.sh (USA) als Merchant of Record; dort fallen Zahlungsdaten, aber keine Monitoring- oder Patientendaten an, und ein Wechsel zu einem EU-Anbieter ist geplant.
Klarer Rechtssitz und Standort — FoundersDeck ist ein inhabergeführtes deutsches Unternehmen, das ausschließlich bei der Netcup GmbH in Nürnberg hostet. Keine Daten verlassen die EU; das Unternehmen unterliegt nicht dem US CLOUD Act oder FISA 702.

Für die DiGA-Kette bedeutet das konkret: Zwei der drei Pflicht-Artefakte — AVV und Sub-Processor-Liste — ziehst du dir in Minuten selbst, das dritte (Standort) ist über Rechtssitz und Hoster sofort belegbar. Die mehrtägige Beschaffungsschleife schrumpft auf die Zeit, die dein Datenschutzbeauftragter zum Lesen braucht.

Ein ehrlicher Hinweis zur Einordnung: FoundersDeck macht deine DiGA nicht compliant. DiGA-Konformität ist eine Gesamtleistung deines Unternehmens und Gegenstand der BfArM-Prüfung. Was ein gut gewähltes Monitoring-Tool leistet, ist enger: Es lässt sich sauber in die Verarbeitungskette einbinden und liefert die Artefakte — AVV, Sub-Processor-Liste, Standort-Nachweis — die du gegenüber dem BfArM und in deinem Verarbeitungsverzeichnis ohnehin dokumentieren musst. Die organisatorische Umsetzung bleibt bei dir, und der Einzelfall ist rechtlich zu prüfen.

Die Checkliste für dein Monitoring in der DiGA-Kette

Bevor du ein Monitoring-Tool in eine DiGA einbindest, gehe diese vier Punkte durch:

AVV vorhanden und beschaffbar? Idealerweise als Self-Service-Download oder Gegenzeichnungs-Flow. Muss vor Verarbeitungsbeginn unterschrieben sein.
Standort der gesamten Kette geklärt? Anbieter und alle Sub-Processor innerhalb Deutschland / EU / EWR-gleichgestellt / Art.-45-Drittland (§ 4 Abs. 3 DiGAV).
Rechtssitz inklusive Mutterkonzern geprüft? Keine nicht-konforme Drittland-Mutter ohne zusätzliche Garantien (BfArM-Kriterium AV_1.3).
Sub-Processor-Liste öffentlich, datiert und mit Sitzländern? Damit du Änderungen mitbekommst und dein Widerspruchsrecht wahren kannst.

Erfüllt ein Tool alle vier Punkte über öffentliche Seiten, hast du es in Minuten in deine Verarbeitungskette eingebunden statt in Tagen. Erfüllt es sie nicht, ist das selbst eine Information — und bei einer DiGA, deren ganze Kette das BfArM prüfen kann, eine teure.

Wie deutsche Infrastruktur, Sofort-AVV und cookie-freie Status-Seiten speziell für DiGA-Hersteller und das Gesundheitswesen zusammenkommen, fasst unsere Seite zu Monitoring für das Gesundheitswesen zusammen.

Dieser Artikel gibt den Rechtsstand zum Juni 2026 wieder und dient der Orientierung, nicht der Rechtsberatung. Die individuelle Einordnung ist im Einzelfall rechtlich zu prüfen. Quellen: Art. 28 DSGVO, § 4 DiGAV, BfArM-Datenschutz-Prüfkriterien (V1.0, 24.04.2024), EU Jurisdiction Database (57 Tools, zuletzt verifiziert am 9. Juni 2026). Stand: Juni 2026.