Darf eine DiGA Daten außerhalb Deutschlands verarbeiten?

Nur sehr eingeschränkt. § 4 Abs. 3 DiGAV erlaubt die Verarbeitung personenbezogener Daten für DiGA-Zwecke ausschließlich in Deutschland, einem EU-Mitgliedstaat, einem nach § 35 Abs. 7 SGB I gleichgestellten EWR-Staat oder einem Drittland mit einem Angemessenheitsbeschluss nach Art. 45 DSGVO. Das gilt für die DiGA selbst und für jeden Auftragsverarbeiter in der Kette. Standardvertragsklauseln (Art. 46) und Einwilligungen (Art. 49) sind hierfür nach der BfArM-Handreichung gerade nicht ausreichend.

Reicht eine „EU-Region" eines US-Anbieters für eine DiGA?

Nein, allein nicht. Eine EU-Region ändert nur den Serverstandort, nicht die Jurisdiktion der betreibenden Rechtsperson. Ist diese ein US-Unternehmen oder eine EU-Tochter eines nicht-DPF-zertifizierten US-Mutterkonzerns, folgt die CLOUD-Act-Reichweite dem Unternehmen, nicht dem Server. Die BfArM-Datenschutz-Prüfkriterien greifen das in Kriterium AV_1.3 ausdrücklich auf und verweisen auf das Schrems-II-Urteil. FoundersDeck ist demgegenüber ein inhabergeführtes deutsches Unternehmen mit Verarbeitung ausschließlich im Inland.

Ist FoundersDeck ein zulässig einbindbarer Sub-Processor für eine DiGA?

Ja. FoundersDeck verarbeitet ausschließlich in Nürnberg (Netcup) — also im Inland im Sinne von § 4 Abs. 3 DiGAV. Keine Daten verlassen die EU, und es besteht keine Exposition gegenüber dem US CLOUD Act oder FISA 702. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO steht zum sofortigen Download bereit, dazu eine öffentliche Sub-Processor-Liste. Wichtig: FoundersDeck verarbeitet keine Patientendaten, sondern überwacht Endpunkte, Antwortzeiten und Statuscodes.

Macht FoundersDeck meine DiGA BfArM-konform?

Nein. DiGA-Konformität ist eine Gesamtleistung deines Unternehmens und Gegenstand des BfArM-Prüfverfahrens nach § 139e SGB V. FoundersDeck unterstützt deine Pflichten und liefert die technischen Nachweise — kontinuierliche Verfügbarkeitsüberwachung, klassifizierte Incident-Historie und einen sauber einbindbaren Sub-Processor mit Sofort-AVV. Eigenständige Herstellerpflichten wie das ISMS (Anlage 1 DiGAV) und das BSI-TR-03161-Zertifikat ersetzt es ausdrücklich nicht.

Wo werden die Monitoring-Daten gespeichert?

Ausschließlich in Nürnberg, Deutschland, auf Infrastruktur der Netcup GmbH. Keine Monitoring-Daten verlassen die EU. FoundersDeck ist ein inhabergeführtes deutsches Unternehmen und unterliegt nicht dem US CLOUD Act oder FISA 702. Die öffentlichen Status-Seiten sind cookie-frei.

FoundersDeck für DiGA-Hersteller

DSGVO-konformes Monitoring & Verfügbarkeitsnachweise für deine DiGA

Uptime-Monitoring, Heartbeat-Checks und cookie-freie Status-Seiten — Verarbeitung ausschließlich in Deutschland nach § 4 Abs. 3 DiGAV (Netcup, Nürnberg), Sofort-AVV nach Art. 28 DSGVO, kein US CLOUD Act. Sauber als Sub-Processor in deine DiGA-Verarbeitungskette einbindbar. Unterstützt deine DiGA- und NIS2-Nachweispflichten.

Demo anfragen Sofort-AVV ansehen

Stand: Juni 2026 · Erstellt von Engin Yildirim, Gründer von FoundersDeck

Ehrlicher Scope: FoundersDeck macht deine DiGA nicht „BfArM-konform" oder „NIS2-konform". Es unterstützt deine Nachweispflichten und liefert die technischen Artefakte (Verfügbarkeitsnachweise, Incident-Historie, AVV, deutsche Rechtshoheit). Konformität bleibt die Aufgabe deines Unternehmens.

Was § 4 Abs. 3 DiGAV beim Verarbeitungsort verlangt

Die DiGAV zieht eine harte geografische Grenze. Personenbezogene Daten dürfen für die Zwecke einer Digitalen Gesundheitsanwendung nach § 4 Abs. 3 DiGAV ausschließlich verarbeitet werden:

im Inland (Deutschland),
in einem EU-Mitgliedstaat,
in einem nach § 35 Abs. 7 SGB I gleichgestellten EWR-Staat,
oder in einem Drittland mit Angemessenheitsbeschluss nach Art. 45 DSGVO.

Entscheidend: Die Regel gilt für die DiGA selbst und für jeden Auftragsverarbeiter in der Kette. Standardvertragsklauseln (Art. 46 DSGVO) und Einwilligungen (Art. 49) sind nach der BfArM-Handreichung „Datenverarbeitung außerhalb Deutschlands" (Stand 11.10.2023) für DiGA ausdrücklich nicht ausreichend — anders als im allgemeinen DSGVO-Kontext. FoundersDeck verarbeitet ausschließlich in Nürnberg und liegt damit auf dem engsten zulässigen Pfad: Inland.

Rechtsgrundlagen: § 4 DiGAV, § 139e SGB V. Hinweis: Die Verarbeitungsort-Regel steht in § 4 Abs. 3 (ältere BfArM-Materialien aus 2024 verweisen teils noch auf die veraltete Nummerierung „Abs. 5").

Warum das BfArM bei US-nahen Anbietern genau hinschaut

Die BfArM-Datenschutz-Prüfkriterien (Version 1.0, 24.04.2024) operationalisieren die Verarbeitungsort-Regel als Kriterium AV_1.1. Kriterium AV_1.3 geht weiter: Hat ein Auftragsverarbeiter einen Mutterkonzern in einem nicht-konformen Drittland, sind zusätzliche Garantien nötig — und die Prüfkriterien nennen Schrems II ausdrücklich:

„Töchter US-amerikanischer Unternehmen sind faktisch nicht ohne Weiteres in der Lage, die gegebenen Zusagen … einzuhalten (siehe … Schrems-II-Urteil)."

Für die USA gibt es keinen länderweiten Angemessenheitsbeschluss — abgedeckt sind sie nur über das EU-US Data Privacy Framework, und nur, wenn die konkrete US-Stelle selbst DPF-zertifiziert ist. Eine EU-Tochter eines nicht zertifizierten US-Mutterkonzerns genügt damit allein nicht. Der Merksatz: Serverstandort ≠ Jurisdiktion. FoundersDeck ist ein inhabergeführtes deutsches Unternehmen — die Jurisdiktion folgt dem Inland, nicht einem Drittland.

Sofort-AVV statt Procurement-Schleife

Jedes Tool, das in deinem Auftrag personenbezogene Daten verarbeitet — auch ein Monitor, der nur Endpunkte und Status-Codes prüft, aber z. B. IP-Adressen in Logs sieht — braucht nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag. In unserer EU Jurisdiction Database (57 geprüfte Tools) bieten nur 7 von 57 einen Self-Service-AVV — bei 49 von 57 lässt sich nicht einmal öffentlich verifizieren, ob ein AVV existiert. Jede dieser Lücken kostet eine mehrtägige Beschaffungsschleife.

FoundersDeck liefert die drei Artefakte, die du für die DiGA-Verarbeitungskette dokumentieren musst, sofort: einen Sofort-AVV nach Art. 28 DSGVO zum direkten Download, eine öffentliche, datierte Sub-Processor-Liste (einziger Daten-Sub-Processor der Monitoring-Kette: Netcup GmbH, Nürnberg; Cloudflare nur DNS; transaktionale E-Mail über Scaleway, Paris) und einen klaren deutschen Rechtssitz.

Verfügbarkeitsnachweis: was DiGA, NIS2 und gematik erwarten

GRC- und ISMS-Tools dokumentieren, dass du Verfügbarkeit sicherstellen willst. Monitoring misst und belegt, ob dein Dienst tatsächlich erreichbar war. Diesen zeitgestempelten Nachweis verlangen gleich mehrere Stellen:

NIS2 / § 30 Abs. 1 BSIG

Das BSIG (in Kraft seit 06.12.2025) nennt Verfügbarkeit ausdrücklich als Schutzziel (§ 30 Abs. 1). Die meisten DiGA-Hersteller trifft NIS2 über die Lieferkette ihrer Klinik- und Kassen-Kunden (§ 30 Abs. 2 Nr. 4).

gematik / TI

Die gematik definiert verbindliche Service-Level mit Verfügbarkeitszielen, misst sie monatlich und belegt Unterschreitungen mit Pönale. Über die Lieferkette setzt sich dieser Druck bis zur zuliefernden Software fort.

DiGAV / BfArM

ISMS-Pflicht nach ISO 27001 oder BSI-Grundschutz (Anlage 1 DiGAV) und ein BSI-TR-03161-Zertifikat (seit 01.01.2025) sind eigenständige Herstellerpflichten — die ein Monitoring ergänzt, aber nicht ersetzt.

FoundersDeck vs. US-Monitoring-Tools für DiGA-Hersteller

Für eine DiGA ist die entscheidende Achse nicht der Funktionsumfang, sondern die Rechtshoheit über die Verarbeitung:

Kriterium	FoundersDeck	UptimeRobot · Pingdom · BetterStack
Verarbeitungsort (§ 4 Abs. 3 DiGAV)	Inland (Nürnberg) — zulässig	außerhalb EU / Drittland
Betreiber-Jurisdiktion	inhabergeführtes deutsches Unternehmen	US-eingetragen bzw. US-Infrastruktur
CLOUD-Act- / FISA-702-Exposition	keine	gegeben — auch bei „EU-Region“
BfArM-Kriterium AV_1.3 (US-Mutter)	nicht betroffen	zusätzliche Garantien nötig
Sofort-AVV (Art. 28 DSGVO)	ja, Self-Service	teils — oft mit Drittland-Transfer

Vollständige Jurisdiktions-Analyse von 57 Tools: EU Jurisdiction Database.

Compliance-Tarif für DiGA

Für Hersteller mit echten Nachweispflichten. Preis nach Bedarf und Audit-Readiness, nicht nach Monitor-Anzahl.

Compliance / DiGA

Preis auf Anfrage

Alles aus den FoundersDeck-Tarifen
Auftragsverarbeitungsvertrag (AVV) inklusive
Verfügbarkeits- & Incident-Nachweise als Report
Unterstützung beim NIS2-Incident-Reporting
BSI-Grundschutz-Mapping
Sub-Processor-Liste & garantierte deutsche Rechtshoheit
Direkter Founder-Support

Angebot anfragen

Reports, NIS2-Incident-Support und BSI-Mapping werden im Rahmen der Zusammenarbeit bereitgestellt — kein Self-Service-Modul.

Weiterführende Ressourcen

Vertiefende Analysen zu den rechtlichen und technischen Fragen, die ein DiGA-CTO oder Datenschutzbeauftragter prüft:

Häufige Fragen

Darf eine DiGA Daten außerhalb Deutschlands verarbeiten?: Nur sehr eingeschränkt. § 4 Abs. 3 DiGAV erlaubt die Verarbeitung personenbezogener Daten für DiGA-Zwecke ausschließlich in Deutschland, einem EU-Mitgliedstaat, einem nach § 35 Abs. 7 SGB I gleichgestellten EWR-Staat oder einem Drittland mit einem Angemessenheitsbeschluss nach Art. 45 DSGVO. Das gilt für die DiGA selbst und für jeden Auftragsverarbeiter in der Kette. Standardvertragsklauseln (Art. 46) und Einwilligungen (Art. 49) sind hierfür nach der BfArM-Handreichung gerade nicht ausreichend.
Reicht eine „EU-Region" eines US-Anbieters für eine DiGA?: Nein, allein nicht. Eine EU-Region ändert nur den Serverstandort, nicht die Jurisdiktion der betreibenden Rechtsperson. Ist diese ein US-Unternehmen oder eine EU-Tochter eines nicht-DPF-zertifizierten US-Mutterkonzerns, folgt die CLOUD-Act-Reichweite dem Unternehmen, nicht dem Server. Die BfArM-Datenschutz-Prüfkriterien greifen das in Kriterium AV_1.3 ausdrücklich auf und verweisen auf das Schrems-II-Urteil. FoundersDeck ist demgegenüber ein inhabergeführtes deutsches Unternehmen mit Verarbeitung ausschließlich im Inland.
Ist FoundersDeck ein zulässig einbindbarer Sub-Processor für eine DiGA?: Ja. FoundersDeck verarbeitet ausschließlich in Nürnberg (Netcup) — also im Inland im Sinne von § 4 Abs. 3 DiGAV. Keine Daten verlassen die EU, und es besteht keine Exposition gegenüber dem US CLOUD Act oder FISA 702. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO steht zum sofortigen Download bereit, dazu eine öffentliche Sub-Processor-Liste. Wichtig: FoundersDeck verarbeitet keine Patientendaten, sondern überwacht Endpunkte, Antwortzeiten und Statuscodes.
Macht FoundersDeck meine DiGA BfArM-konform?: Nein. DiGA-Konformität ist eine Gesamtleistung deines Unternehmens und Gegenstand des BfArM-Prüfverfahrens nach § 139e SGB V. FoundersDeck unterstützt deine Pflichten und liefert die technischen Nachweise — kontinuierliche Verfügbarkeitsüberwachung, klassifizierte Incident-Historie und einen sauber einbindbaren Sub-Processor mit Sofort-AVV. Eigenständige Herstellerpflichten wie das ISMS (Anlage 1 DiGAV) und das BSI-TR-03161-Zertifikat ersetzt es ausdrücklich nicht.
Wo werden die Monitoring-Daten gespeichert?: Ausschließlich in Nürnberg, Deutschland, auf Infrastruktur der Netcup GmbH. Keine Monitoring-Daten verlassen die EU. FoundersDeck ist ein inhabergeführtes deutsches Unternehmen und unterliegt nicht dem US CLOUD Act oder FISA 702. Die öffentlichen Status-Seiten sind cookie-frei.