SYLO
Zurück zum Blog
DSGVO-konforme Wellness-Apps: Ein Leitfaden für HR
5 Min

DSGVO-konforme Wellness-Apps: Ein Leitfaden für HR

DSGVO Gesundheits-App für Mitarbeitende? Checkliste für HR: Gesundheitsdaten, EU-Hosting, Auftragsverarbeitung und Betriebsrat vor dem Rollout.

Max Reck

Geschrieben von

Max Reck

Du hast eine Wellness-App gefunden, die Deine Mitarbeitenden tatsächlich nutzen würden. Dann beginnen die Fragen. Dein Datenschutzbeauftragter fragt, wo die Daten gehostet werden. Der Betriebsrat fragt, ob Du sehen kannst, wer gestresst ist. Legal will den Auftragsverarbeitungsvertrag. Der Einkauf fragt, warum dieser Anbieter mehr kostet als ein US-Wettbewerber. Und plötzlich ist aus einem „netten Benefit" ein sechswöchiges Compliance-Review geworden.

Dieser Leitfaden ist die Checkliste, die Dich da durchbringt. Wenn Du eine DSGVO Gesundheits-App für Beschäftigte beschaffst, sind das die Fragen, die entscheiden, ob ein Rollout sauber ist oder zur Haftung wird.

Warum Mental-Health-Apps ein Sonderfall sind

Die meiste SaaS-Beschaffung behandelt personenbezogene Daten als eine ununterschiedene Kategorie. Die DSGVO nicht. Informationen über die psychische oder körperliche Gesundheit einer Person liegen in einer geschützten Stufe: Artikel 9 DSGVO stuft Gesundheitsdaten als besondere Kategorie ein, die nur unter engen Bedingungen und mit erhöhten Garantien verarbeitet werden darf.

Eine Meditations- oder Reflexions-App liegt mitten in diesem Gebiet. Was jemand vor einer Session eintippt — kann nicht schlafen, fürchte das Mitarbeitergespräch, die Ehe knirscht — gehört zum Sensibelsten, dem ein Arbeitgeber je nahekommen könnte. Das ist kein Grund, auf ein Angebot zu verzichten. Es ist ein Grund, präzise zu sein, wie damit umgegangen wird. Machst Du es richtig, hast Du einen echt geschätzten Benefit; machst Du es falsch, hast Du einen meldepflichtigen Vorfall in Wartestellung.

Die gute Nachricht: Dieselbe Evidenz, die solche Apps anbietenswert macht, belohnt auch, es richtig zu tun. Wir haben das in unserem Leitfaden zu evidenzbasierter Unterstützung der psychischen Gesundheit von Mitarbeitenden zusammengefasst.

Die fünf Fragen, die über eine DSGVO Gesundheits-App entscheiden

Spar Dir die Marketing-Seite. Diese fünf entscheiden über Compliance.

1. Wo werden die Daten gehostet — physisch?

Die DSGVO verbietet Transfers außerhalb der EU nicht rundheraus, aber Übermittlungen in die USA und ähnliche Jurisdiktionen erfordern zusätzliche Garantien und bergen gut dokumentierte rechtliche Unsicherheit, die Dein DSB nicht bewerten will. Die saubere Antwort ist ein Anbieter, der personenbezogene Daten in der EU hostet — idealerweise in Deutschland. EU-Hosting löscht eine ganze Risikokategorie aus Deiner Prüfung, bevor sie beginnt.

Frag nach der konkreten Rechenzentrumsregion, schriftlich. „Wir sind DSGVO-konform" ist eine Behauptung; „personenbezogene Daten liegen in Frankfurt" ist eine Tatsache.

2. Gibt es einen ordentlichen Auftragsverarbeitungsvertrag?

Wenn ein Anbieter personenbezogene Daten in Deinem Auftrag verarbeitet, verlangt Artikel 28 DSGVO einen schriftlichen Auftragsverarbeitungsvertrag (AVV), der Umfang, Zweck, Unterauftragsverarbeiter und Löschung festlegt. Kein AVV, kein Deal — Punkt. Prüf auch die Liste der Unterauftragsverarbeiter: Ein Anbieter, der in Deutschland hostet, die Analytics aber über drei US-Dienste leitet, hat das Problem nur verschoben.

3. Was genau kann der Arbeitgeber sehen?

Das ist die Frage, die Deinen Betriebsrat am meisten interessiert — und die, vor der Beschäftigte still Angst haben. Die ehrliche Antwort sollte bei den meisten Apps lauten: nichts Individuelles. Als Arbeitgeber solltest Du nur aggregierte, anonymisierte Nutzungszahlen erhalten — niemals wer es genutzt hat, wann oder was geschrieben wurde.

Die stärkste Variante davon ist architektonisch, nicht vertraglich. Ein Versprechen, nicht hinzuschauen, ist schwächer als ein System, in dem es nichts zum Hinschauen gibt. Bevorzuge Anbieter, deren Produkt strukturell verhindert, dass der Arbeitgeber auf individuelle Nutzungs- oder Reflexionsinhalte zugreift.

4. Hast Du den Betriebsrat früh eingebunden?

In Deutschland hat der Betriebsrat Mitbestimmungsrechte bei Tools, die Verhalten oder Leistung überwachen könnten. Selbst eine freiwillige, gut gemeinte Wellness-App braucht meist eine Betriebsvereinbarung, die bestätigt, dass die Teilnahme privat, für den Arbeitgeber anonym ist und niemals in die Leistungsbewertung einfließt. Hol ihn ins Boot, bevor Du unterschreibst, nicht nachdem Du gelauncht hast — Vertrauen nachzurüsten ist teuer.

5. Ist die Einwilligung freiwillig — und echt?

Wegen des Machtgefälles im Arbeitsverhältnis ist Einwilligung im Arbeitskontext rechtlich fragil. Die Teilnahme muss wirklich freiwillig sein, ohne Nachteil beim Verzicht. In der Praxis heißt das: Die App wird angeboten, nie zugewiesen, und die Nutzungsquote ist niemals eine auf Einzelebene gesteuerte Kennzahl.

Eine einfache Scorecard

Bewerte jeden Anbieter mit Ja/Nein bei:

  • Personenbezogene Daten in der EU gehostet (idealerweise Deutschland), schriftlich bestätigt
  • AVV nach Art. 28 vorhanden, Unterauftragsverarbeiter offengelegt
  • Arbeitgeber erhält nur aggregierte, anonymisierte Daten — by design
  • Keine Werbe-SDKs oder Datenweiterverkauf in der Datenschutzerklärung
  • Klare, verständliche In-App-Transparenz für die Beschäftigten
  • Dokumentierter Lösch- und Datenexport-Prozess

Jedes „Nein" in den ersten drei Zeilen sollte die Beschaffung stoppen, bis es geklärt ist. Dieselbe Sorgfalt gilt, ob Du für zehn oder zehntausend Menschen einkaufst. Die endkundenseitige Version dieser Prüfungen — hilfreich zum Teilen mit Beschäftigten, damit sie Apps selbst bewerten — findest Du in unserem Datenschutz-Leitfaden für Nutzer.

Lass Compliance nicht die Wirksamkeit töten

Hier die Falle auf der anderen Seite: Man kann so vorsichtig sein, dass man ein Tool wählt, das niemand nutzt. Eine perfekt konforme App mit 3 % Retention liefert nichts. Compliance ist der Boden, nicht das Ziel.

Wäge also Datenschutz und die Frage ab, ob das Ding funktioniert. Der stärkste Prädiktor realer Wirkung ist Engagement, und eine Meta-Analyse von 92 randomisierten Studien fand Personalisierung als zentralen Treiber von Engagement und Wirksamkeit bei Mental-Health-Apps. Ein datenschutzfreundliches Tool, zu dem Beschäftigte wirklich zurückkehren, schlägt ein „sicheres", das sie in Woche zwei aufgeben. Wie wir über Wirkung am Arbeitsplatz denken, liest Du auf unserer Workplace-Health-Seite.

Wo SYLO steht

Volle Transparenz, da dies unser Produkt ist: SYLO wird von der Seelenfreund GmbH in Deutschland gebaut und hostet Reflexions- und Kontodaten auf Servern in Deutschland nach DSGVO. Es ist so konzipiert, dass der Arbeitgeber niemals individuelle Nutzungs- oder Reflexionsdaten erhält — nur aggregierte Zahlen. Wir stellen einen AVV nach Art. 28 bereit, und das Personalisierungsmodell ist dasselbe, das in der oben zitierten Forschung das Engagement treibt. Die Details für HR und Einkauf stehen auf unserer Business-Seite.

Wir sind nicht die einzige konforme Option, und Du solltest die Scorecard auf uns genauso anwenden wie auf jeden anderen. Aber wenn Deine Shortlist einen US-gehosteten und einen EU-gehosteten Anbieter mit vergleichbarer Evidenz enthält, nimmt der EU-gehostete Arbeit von Deinem DSB — und das ist echtes Geld wert in einer Benefit-Entscheidung, die Legal, Betriebsrat und Einkauf passieren muss, bevor überhaupt jemand meditiert.

FAQ

Unterliegt eine Wellness-App der DSGVO?
Fast immer. Jede App, die Daten über den psychischen oder körperlichen Zustand einer identifizierbaren Person verarbeitet, verarbeitet personenbezogene Daten, und Daten zur psychischen Gesundheit sind nach Art. 9 DSGVO eine besondere Kategorie. Als anbietender Arbeitgeber brauchst Du in der Regel eine Rechtsgrundlage, einen AVV und eine klare Position zum Datenstandort.

Muss eine Corporate-Wellness-App Daten in der EU hosten?
Die DSGVO verbietet nicht jeden Nicht-EU-Transfer, aber US-Transfers erfordern zusätzliche Garantien und bergen rechtliche Unsicherheit. Der sauberste Weg — und der, den die meisten deutschen DSB und Betriebsräte bevorzugen — ist ein Anbieter, der personenbezogene Daten in der EU hostet, idealerweise in Deutschland.

Was muss der Betriebsrat genehmigen?
In Deutschland hat der Betriebsrat Mitbestimmungsrechte bei Tools, die Verhalten überwachen könnten. Selbst eine freiwillige Wellness-App braucht meist eine Betriebsvereinbarung, die bestätigt, dass die Nutzung privat, für den Arbeitgeber anonym und nicht zur Leistungsbewertung verwendet wird.

Wie können Mitarbeitende vertrauen, dass der Arbeitgeber ihre Daten nicht sieht?
Die stärkste Garantie ist architektonisch: Wähle einen Anbieter, dessen Produkt nur aggregierte, anonymisierte Zahlen zurückgibt, nie individuelle Inhalte. Kombiniert mit AVV, EU-Hosting und In-App-Transparenz.

Max Reck
Von Max Reck

Ähnliche Artikel

Nachts um 3 nicht abschalten können: Der Reset, der wirklich hilft

Nachts um 3 nicht abschalten können: Der Reset, der wirklich hilft

Nachts nicht abschalten können? Warum der Kopf um 3 Uhr kreist – und ein praktischer Reset, der ihn leise genug für den Schlaf macht.

02.06.2026·6 Min
SYLO vs Headspace: Der ehrliche Vergleich (2026)

SYLO vs Headspace: Der ehrliche Vergleich (2026)

Headspace Alternative gesucht? Wir vergleichen SYLO und Headspace ehrlich — Bibliothek vs. Echtzeit-Personalisierung, KI, Preise und Server in Deutschland.

02.06.2026·5 Min
Balloon Meditation Kosten: Was Du wirklich zahlen musst

Balloon Meditation Kosten: Was Du wirklich zahlen musst

Balloon Meditation Kosten im Überblick: Von kostenlos bis Premium. Praktische Alternativen, die ohne Abo funktionieren und wirklich helfen.

30.05.2026·5 Min