Die Datenschutz-Grundverordnung (DSGVO, englisch: GDPR) ist seit 2018 die zentrale EU-Verordnung für den Schutz personenbezogener Daten. Sie gilt unmittelbar in allen EU-Mitgliedstaaten und setzt hohe Standards für die Erhebung, Verarbeitung und Speicherung von Daten.

Zentrale Prinzipien der DSGVO sind: Rechtmäßigkeit und Transparenz der Verarbeitung, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Unternehmen müssen nachweisen können, dass sie diese Prinzipien einhalten.

Für Gesundheitsdaten gelten verschärfte Anforderungen. Art. 9 DSGVO verbietet grundsätzlich die Verarbeitung von Gesundheitsdaten – mit Ausnahmen wie ausdrücklicher Einwilligung, arbeitsrechtlichen Verpflichtungen oder erheblichem öffentlichen Interesse an der Volksgesundheit.

Bei der Auswahl von Gesundheitsprogrammen und -anbietern sollte DSGVO-Konformität ein zentrales Kriterium sein. Dazu gehören: datenschutzkonforme Einwilligung, angemessene technische Sicherheitsmaßnahmen, Hosting in der EU, Auftragsverarbeitungsvertrag und Transparenz über die Datenverarbeitung.