BSI TR-03161 für DiGA: Zertifizierung der Datensicherheit

Dezember 17, 2025
Ansprechpartner:
Malte Bucksch

von | Dez. 17, 2025 | diga-whitepaper

BSI TR-03161 für DiGA: Zertifizierung der Datensicherheit

Seit dem 01.01.2025 müssen Hersteller digitaler Gesundheitsanwendungen (DiGA) die Erfüllung der Datensicherheitsanforderungen durch ein offizielles Zertifikat nachweisen. Als Basis der Zertifizierung wird die BSI TR-03161 herangezogen, welche 2020 erstmals veröffentlicht wurde.

Für die Listung einer Anwendung im DiGA-Verzeichnis prüft das BfArM die Zertifizierung als feste Voraussetzung. Ohne gültiges Zertifikat werden keine neuen DiGA mehr aufgenommen. Und auch gelisteten DiGA droht ohne Zertifizierung eine Streichung aus dem Verzeichnis (der Stichtag für gelistete DiGA existiert allerdings aktuell nicht).

Viele Hersteller unterschätzen, wie umfangreich die Implikationen dieser Zertifizierung sind und wie aufwendig sich der Prüfprozess gestaltet.

Mit diesem Artikel möchten wir (angehenden) DiGA-Herstellern einen strukturierten Überblick geben:

  • Was fordert die TR-03161 konkret?
  • Wie läuft die Zertifizierung mit Prüfstelle und BSI ab?
  • Mit welchen Kostenblöcken ist das Ganze verbunden und wie lange dauert eine solche Zertifizierung?
  • Was sind die praktischen Implikationen der BSI TR-03161 auf DiGA?
  • Wie sieht die Zukunft der BSI-Zertifizierung aus? (Stichwort: BSI TR-03185)

Auf Basis unserer praktischen Erfahrungen aus mehreren durchgeführten TR-03161-Projekten schildern wir den aktuellen Stand der Zertifizierungsanforderungen.

Inhaltsverzeichnis

1. Für wen gilt die BSI TR-03161?

Die TR-03161 kann grundsätzlich für viele Anwendungen im deutschen Gesundheitswesen genutzt werden, die sensible Daten verarbeiten.

Gesetzlich verpflichtend ist sie jedoch vor allem für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V und digitale Pflegeanwendungen (DiPA) nach § 78a SGB XI. Für diese Produkte muss ab 1. Januar 2025 ein offizielles Zertifikat vorgelegt werden.

In diesem Artikel liegt der Fokus auf DiGA, da hier die Zertifizierungspflicht aktuell die größte praktische Relevanz hat.

Für die Zertifizierung nach BSI TR-03161 ist zu beachten:

  • Sie ist unabhängig von der Risikoklasse anwendbar
  • Sie umfasst sämtliche Komponenten der Anwendung (also App, Backend, Webportal sowie Patienten- und Behandlerzugänge)
  • Auch wenn Hosting oder Infrastruktur an externe Cloud-Anbieter ausgelagert werden, müssen diese Komponenten sich an die Anforderungen der BSI TR-03161 halten. Gleichzeitig müssen die Server-Anbieter ein C5-Testat vom Typ 2 vorweisen.
  • Neue DiGA benötigen für die Aufnahme in das DiGA-Verzeichnis bereits jetzt eine Zertifizierung nach BSI TR-03161.
  • Für zum aktuellen Zeitpunkt bereits gelistete DiGA wird es zurzeit vom BfArM noch geduldet, dass kein Zertifikat vorliegt, solange der Hersteller nachweisen kann, dass er sich im Zertifizierungsprozess befindet. Das kann sich allerdings jederzeit ändern.

Hinweis: Wir bezeichnen das Produkt eines (angehenden) DiGA-Herstellers in diesem Artikel einfachheitshalber immer als „DiGA“, unabhängig davon, ob diese bereits gelistet ist oder nicht. Natürlich ist aber nicht jede Anwendung bereits als DiGA gelistet, sobald sie den Zertifizierungsprozess nach BSI TR-03161 beginnt.

2. Anforderungen und Aufbau der BSI TR-03161

Die Technische Richtlinie TR-03161 definiert die Mindestanforderungen an Datensicherheit für digitale Gesundheits- und Pflegeanwendungen. Damit bildet sie die Grundlage für die gesetzlich geforderte Datensicherheitszertifizierung nach § 139e SGB V und § 78a SGB XI.

IT-Sicherheit im Allgemeinen und auch die BSI TR-03161 verfolgen im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. Die Norm legt durch konkrete Maßnahmen fest, wie Sie als Hersteller sicherstellen müssen, dass sensible Daten vertraulich, integer und verfügbar bleiben.

  • Vertraulichkeit bedeutet, dass nur berechtigte Personen oder Systeme auf sensible Daten zugreifen dürfen. Unbefugte dürfen Daten nicht einsehen oder mitlesen, weder in der App noch bei der Übertragung.
  • Integrität stellt sicher, dass Daten korrekt und unverändert bleiben. Manipulationen oder unbeabsichtigte Änderungen werden verhindert oder eindeutig erkennbar gemacht.
  • Verfügbarkeit bedeutet, dass Anwendung und Daten zuverlässig nutzbar sind. Ausfälle oder Unterbrechungen werden durch geeignete technische und organisatorische Maßnahmen minimiert.

2.1 Aufbau der BSI TR-03161

Die TR-03161 besteht aus drei Teilen, die zusammen alle sicherheitsrelevanten Komponenten einer digitalen Gesundheitsanwendung abdecken. Jeder Teil fokussiert sich auf eine bestimmte Systemebene und formuliert spezifische Anforderungen, die später im Zertifizierungsaudit einzeln geprüft werden. So entsteht ein vollständiges Sicherheitsmodell, das App, Web-Frontend und Backend gleichermaßen absichert.

Die drei Teile der Richtlinie decken alle technischen Komponenten einer DiGA ab. App, Web-Frontend und Backend werden jeweils separat geprüft und zertifiziert.

  • Teil 1: Mobile Anwendungen (Apps): Teil 1 beschreibt die Sicherheitsanforderungen an mobile Anwendungen (beispielsweise iOS und Android). Er legt fest, wie Apps sensible Daten verarbeiten dürfen, wie sie Gerätefunktionen nutzen und wie sie vor Manipulation geschützt werden müssen.
  • Teil 2: Web-Anwendungen: Teil 2 richtet sich an webbasierte Komponenten (z. B. eine Web-Oberfläche, die ein Behandler oder Patient im Browser aufrufen kann). Der Teil beschreibt, wie Webanwendungen im Browser sicher ausgeführt werden und wie typische Web-Schwachstellen verhindert werden müssen.
  • Teil 3: Hintergrundsysteme (Backend): Teil 3 definiert die Anforderungen an serverseitige Komponenten, unabhängig davon, ob diese On-Premise oder in der Cloud betrieben werden. Da sensible Gesundheitsdaten in der Regel zentral verarbeitet werden, enthält dieser Teil besonders umfangreiche Vorgaben zur Architektur und zum Betrieb.

Wichtig ist hier, dass für jede DiGA individuell entschieden wird, welche dieser 3 Teile für das Produkt zutreffen. Eine Web-Anwendung mit Backend-Server muss z. B. nur Teil 2 und 3 und nicht Teil 1 (für mobile Anwendungen) im Rahmen der Zertifizierung berücksichtigen.

2.2 Umfang: Sowohl Produkt als auch Prozesse

Der Aufbau der Richtlinie folgt einer klaren Systematik, die auf einer sogenannten Security Problem Definition basiert. Diese umfasst:

  • Annahmen über Browser, Endgerät und Backend-Infrastruktur
  • definierte Bedrohungsszenarien wie unbefugten Zugriff, Datenmanipulation, Ausnutzen von Debug-Funktionen oder Fehlkonfigurationen
  • organisatorische Sicherheitsrichtlinien, die der Hersteller umsetzen muss, zum Beispiel: Security-Lifecycle, Patch-Management, Offenlegung des Datenverarbeitungszwecks, Prozesse zur Meldung von Schwachstellen

Die TR-03161 betrachtet damit nicht nur die technische Umsetzung (Quellcode und Produkt), sondern auch Prozesse und Dokumentation. Ein produktbezogener Pen-Test reicht also nicht für eine Zertifizierung. Auch die Prozesse und die Dokumentation des Herstellers werden überprüft.

2.3 Prüfaspekte

Die Richtlinie strukturiert alle Anforderungen in Prüfaspekte. Jeder Prüfaspekt enthält konkrete Regeln, die mit MUSS, SOLL, KANN oder DARF NICHT versehen sind.

Jeder Teil der BSI TR-03161 enthält 11 (bei Teil 1 und 2) bzw. 10 (bei Teil 3) Prüfaspekte:

  1. Anwendungszweck
  2. Architektur
  3. Quellcode
  4. Drittanbieter-Software
  5. Kryptographische Umsetzung
  6. Authentisierung und Authentifizierung
  7. Datensicherheit
  8. Kostenpflichtige Ressourcen
  9. Netzwerkkommunikation
  10. Organisatorische Sicherheit (nur bei Teil 3 – Hintergrundsysteme)
  11. Plattformspezifische Interaktionen (nur bei Teil 1 und 2 – Mobile & Web)
  12. Resilienz (nur bei Teil 1 und 2 – Mobile & Web)

Tipp: Kopieren Sie sich eine Liste der einzelnen Prüfaspekte jedes Teils der TR-03161 in Ihre Unterlagen und haken Sie diese strukturiert nacheinander ab. Das ist ein hilfreiches Projektmanagementinstrument für Ihr Entwicklerteam.

3. Der Zertifizierungsprozess

Der gesamte Zertifizierungsprozess für eine DiGA verläuft über drei Phasen hinweg:

  1. Vorbereitungsphase: Sie als DiGA-Hersteller bereiten sich auf den Prüfprozess vor. Sie arbeiten sich in die Norm BSI TR-03161 ein und setzen die Vorgaben nach bestem Gewissen innerhalb Ihres Produkts und Ihrer Prozesse um. Sie suchen sich außerdem eine Prüfstelle für die Zertifizierung, schaffen die vertragliche Basis für die Zusammenarbeit mit dieser und reservieren sich einen Prüftermin.
  2. Prüfphase: Sobald Sie von Ihrer Seite mit der Umsetzung der TR-Vorgaben fertig sind, schicken Sie Ihre Unterlagen, Produktzugänge und Software-Quellcode an die Prüfstelle. Diese beginnt den Prüfprozess und schickt Ihnen nach Abschluss der Prüfung den Prüfbericht inklusive möglicher Abweichungen. Ob es auch zwischenzeitliches Feedback oder andere Kommunikation gibt, hängt dabei von der jeweiligen Prüfstelle ab. Falls die Prüfstelle in allen Punkten zufrieden ist, bereitet sie den Prüfbericht für die Versendung an das BSI vor.
  3. Zertifizierungsphase: Die Zertifizierungsstelle des BSI erhält den fertigen Prüfbericht von der Prüfstelle und evaluiert, ob sie die Zertifizierung auf dieser Basis positiv bewerten kann. Wenn ja, erhalten Sie vom BSI nun das Zertifikat inklusive Konformitätsreport. Wenn nicht, schickt das BSI eine kommentierte Liste des Prüfberichts an die Prüfstelle zurück. Diese evaluiert das Feedback und gibt die für Sie als Hersteller relevanten Abweichungen an den DiGA-Hersteller zur Umsetzung weiter.

Hinweis: Die Prüfstelle bezeichnet ein privates Unternehmen, das durch das BSI offiziell für die Prüfung dieser technischen Richtlinie akkreditiert wurde. Eine Liste der Prüfstellen finden Sie hier unten im Artikel. Mit Zertifizierungsstelle bezieht man sich hingegen auf die Abteilung beim BSI, die für die Zertifizierung zuständig ist und darüber in letzter Instanz entscheidet.

Den Ablauf des Zertifizierungsprozesses haben auch wir in vereinfachter Form in der folgenden Abbildung skizziert.

Ablauf des BSI-TR-03161-Zertifizierungsprozesses für DiGA-Hersteller mit Prüfstelle und Zertifizierungsstelle des BSIs

BSI-Zertifizierungsprozess für DiGA-Hersteller nach TR-03161

4. Kosten und Zeitrahmen des Zertifizierungsprozesses

4.1 Kosten des Zertifizierungsprozesses

Für die interne Budgetplanung sollten Sie mit folgenden Kostenpaketen rechnen:

  1. Die Kosten der Prüfstelle: Für die Arbeit der Prüfstelle zur Zertifizierung fallen natürlich Kosten an. Die Höhe dieser Kosten variiert zwischen den Prüfstellen und hängt außerdem von Ihrem Produkt und dem Umfang der Prüfung ab. Wir empfehlen Ihnen, mehrere Angebote einzuholen, um diese zu vergleichen.
  2. Die Kosten für das BSI: Gegebenenfalls weniger offensichtlich ist, dass auch das BSI nach Abschluss des Zertifizierungsprozesses eine Rechnung an Sie schicken wird. Das passiert übrigens unabhängig davon, ob die Prüfung erfolgreich war oder nicht. Die Gebührenordnung finden Sie hier.
  3. Entwicklungskosten: Für das Entwicklerteam werden signifikante Aufwände bei der Implementierung der TR-Anforderungen anfallen. Die damit zusammenhängenden Kosten sollten Sie natürlich auch einplanen.
  4. Beratungskosten: Es empfiehlt sich, mit einem Team zusammenzuarbeiten, das den BSI-Zertifizierungsprozess schon für andere DiGA bereits erfolgreich abgeschlossen hat. So können Sie sich durch praxisnahe Insights oft wochenlange Arbeit ersparen. Die Kosten hierfür sind verhältnismäßig überschaubar, sollten aber eingeplant werden.

Wir bei QuickBird Medical unterstützen Unternehmen in allen technischen und organisatorischen Aspekten der BSI-Zertifizierung. Wir haben u. a. mit der von uns entwickelten DiGA „Oriko®“ eines der ersten 3 BSI-Zertifikate überhaupt erhalten. Wir helfen Ihnen, effizient und sicher durch die Zertifizierung zu kommen. Kontaktieren Sie uns hierzu gern: Kontakt aufnehmen

4.2 Zeitrahmen für den Zertifizierungsprozesses

Der Zertifizierungsprozess und somit auch der Zeitplan können in die oben genannten drei Phasen gegliedert werden:

  1. Vorbereitungsphase: Hier implementiert Ihr Entwicklerteam die BSI-Vorgaben. Wie schnell Sie hierbei sind, kommt auf viele Faktoren an (Kompetenz der Entwickler, Zustand des aktuellen Systems in Bezug auf Security, Anzahl der Entwickler etc.)
  2. Prüfphase: Der Zeitrahmen hängt hier stark von der Prüfstelle und der Qualität Ihrer Dokumentation und Produktimplementierung ab. Sie sollten mit mindestens 4 bis 6 Wochen rechnen, bis Sie einen Prüfbericht erhalten.
  3. Zertifizierungsphase: Sobald die Prüfstelle den Prüfbericht für Ihr Produkt an das BSI geschickt hat, beginnt die Zertifizierungsphase. Auf offizieller Seite des BSI wird hier von 3 Wochen geredet. Unserer Erfahrung nach sollte man hier aktuell aber eher 6 Wochen ansetzen.

5. Gültigkeitsdauer & Rezertifizierung nach BSI TR-03161

Ein vom BSI erteiltes Zertifikat nach Technischen Richtlinien ist zeitlich befristet gültig. In der Regel beträgt die Gültigkeitsdauer eines Produktzertifikats fünf Jahre.

Abweichende Laufzeiten sind nur möglich, wenn dies im jeweiligen Zertifizierungsprogramm ausdrücklich festgelegt ist. Die Gültigkeit ist zudem immer auf die konkret geprüfte Produktversion sowie auf die zugrunde liegende Version der Technischen Richtlinie beschränkt.

Kann die Konformität eines Produkts nach Ablauf der Gültigkeit oder nach wesentlichen, sicherheitsrelevanten Änderungen nicht ohne erneute Prüfung bestätigt werden, ist eine Rezertifizierung erforderlich. Dabei wird erneut geprüft, ob das Produkt die Anforderungen der TR erfüllt. Der Prüfumfang kann sich auf die geänderten Teile beschränken, sofern frühere Prüfergebnisse weiterhin verwendbar sind. 

Laut offiziellem Zitat des BSI hier, sollte eine Rezertifizierung spätestens drei Monate nach Ablauf des bestehenden Zertifikats beantragt werden (ob das BfArM dem für DiGA auch so zustimmt, bleibt abzuwarten). Bei erfolgreichem Abschluss wird ein neues Zertifikat für die geänderte Produktversion ausgestellt.

6. BSI TR-03161-Zertifikat mit Auflagen

Ein Zertifikat nach BSI TR-03161 hat üblicherweise eine Gültigkeit von bis zu fünf Jahren. In Einzelfällen kann das BSI jedoch im Rahmen der Zertifizierungsentscheidung Nebenbestimmungen in Form von Auflagen festlegen, die vom Hersteller innerhalb eines definierten Zeitraums umzusetzen sind. 

In der Praxis bedeutet dies, dass ein Zertifikat bis zur Bearbeitung von bestimmten Auflagen mit einer Gültigkeit von wenigen Monaten erteilt werden kann. Der Hersteller erhält in diesem Fall zunächst einen gültigen Zertifizierungsnachweis (mit Auflagen), ist jedoch verpflichtet, die festgelegten Auflagen fristgerecht umzusetzen und nachzuweisen. Werden diese Auflagen nicht erfüllt, kann die Zertifizierung wieder aufgehoben werden. Bei nachweislicher Erfüllung der Auflagen innerhalb der Frist wird dann ein reguläres Zertifikat ohne Auflagen ausgestellt.

Dieses Vorgehen ermöglicht es, vereinzelte Abweichungen später nachzuziehen, um z. B. den DiGA-Antragsprozess nicht zu blockieren (bzw. vom BfArM abgelehnt zu werden). Ein BSI-Zertifikat mit Auflagen setzt aber eine umfassende Implementierung aller Anforderungen der BSI TR-03161 durch den DiGA-Hersteller voraus. Die Zertifizierung ist weiterhin enorm herausfordernd und sollte auf keinen Fall unterschätzt werden.   

7. Änderungen an zertifizierten Produkten – BSI TR-03185

Ein Zertifikat gilt ausschließlich für die im Rahmen der Konformitätsprüfung geprüfte Produktversion. Jede Änderung am Produkt, etwa durch Weiterentwicklung, Updates, Patches oder Hotfixes, führt zunächst zu einer neuen Version, für die das bestehende Zertifikat keine automatische Gültigkeit mehr besitzt. Ob und wie diese Änderungen zertifizierungsseitig behandelt werden, hängt von ihrer Auswirkung auf die TR-Konformität ab.

Können Auswirkungen auf die Konformität nicht ausgeschlossen werden, ist eine Re-Zertifizierung erforderlich. Handelt es sich hingegen um geringfügige Änderungen, bei denen eine Beeinträchtigung der Konformität eindeutig ausgeschlossen werden kann, kommt ein sogenanntes Maintenanceverfahren infrage. In diesem Fall wird das bestehende Zertifikat auf die neue Produktversion erweitert, ohne dass eine erneute vollständige Konformitätsprüfung notwendig ist. Die Entscheidung darüber trifft das BSI auf Basis einer vom Hersteller vorzulegenden Änderungsdokumentation und Auswirkungsanalyse. Die ursprüngliche Laufzeit des Zertifikats bleibt dabei unverändert.

Zukünftiger Umgang mit Produktänderungen – die neue BSI TR-03185

Jede kleinere Änderung durch das BSI absegnen zu lassen, macht den DiGA-Entwicklungsprozess natürlich deutlich ineffizienter. Gerade auch bei kritischen Fehlern einer DiGA ist es wichtig, Probleme durch Hotfixes schnell zu beheben. Der aktuelle Prozess mit BSI-Prüfungen jeder Änderung scheint hierfür nicht geeignet.

Aktuell arbeitet das BSI daher an einer grundlegenden Weiterentwicklung des Umgangs mit Produktänderungen bei DiGAs. Im Mittelpunkt steht dabei die geplante Einführung der BSI TR-03185 „Sicherer Software-Lebenszyklus“, die den Update- und Änderungsprozess von Softwareprodukten strukturiert adressieren soll. 

Mit der TR-03185 ist ein eigenständiges Zertifizierungsprogramm vorgesehen, bei dem Konformitätsprüfungen durch vom BSI akkreditierte IT-Grundschutz-Auditoren durchgeführt werden. 

Die Idee dahinter: DiGA-Hersteller mit einer zusätzlichen Zertifizierung nach BSI TR-03185 haben nachweislich einen sicheren Software-Entwicklungsprozess (bzw. Lebenszyklus). Daher soll es diesen Herstellern erlaubt sein, bestimmte Änderungen am Produkt auch ohne vorherige BSI-Prüfung zu veröffentlichen. 

Es ist vorgesehen, dass DiGA-Hersteller mit einer Zertifizierung nach BSI TR-03185 deutlich weniger Prüfverfahren für Folgeversionen ihrer nach BSI TR-03161 zertifizierten Produkte durchführen müssen. DiGA-Hersteller sind aber nicht explizit zur Zertifizierung nach BSI TR-03185 verpflichtet. Implizit wird der reibungslose Betrieb einer DiGA ohne die TR-03185-Zertifizierung aber vermutlich schwer möglich sein.

Die Inhalte der BSI TR-03185 können Sie hier einsehen: Link (BSI-Website) 

Aktuell sind noch keine Antragstellungen oder Zertifizierungen möglich. Nach aktuellem Stand werden erste Zertifizierungen frühestens ab Anfang 2026 erwartet. Die konkreten Rahmenbedingungen hierzu befinden sich jedoch noch in Abstimmung.

8. Praktische Implikationen für DiGA

Die Anforderungen der BSI TR-03161 wirken sich unmittelbar auf das Produkt sowie die Entwicklung, den Betrieb und die Weiterentwicklung von DiGAs aus. Wir bei QuickBird Medical haben die BSI-Anforderungen mittlerweile in mehreren DiGA vollständig implementiert und z. B. für die DiGA „Oriko®“ eins der ersten 3 BSI-Zertifikate erhalten.

Die BSI-Zertifizierung hatte auf unsere Kundenprojekte viele Auswirkungen. Einige fassen wir hier zusammen:

  • Änderungen nach der Zertifizierung: Anpassungen am Produkt sind später deutlich aufwendiger, da ein komplexer Änderungsprozess durchlaufen werden muss und Genehmigungen pro Release zusätzliche Zeit und Kosten verursachen.
  • Stark regulierte Zwei-Faktor-Authentifizierung: Es existieren sehr hohe Anforderungen an die Umsetzung von Zwei-Faktor-Authentifizierung in DiGA. Diese Anforderungen beeinträchtigen je nach Implementierung stark die Nutzerfreundlichkeit der DiGA. Es gibt hier bessere und schlechtere Varianten der Umsetzung im Sinne der Nutzerfreundlichkeit. (Kontaktieren Sie uns gern, falls Sie hierzu Input benötigen.)
  • Kurze Session-Laufzeiten und potenziell häufige Re-Logins: Die Anforderungen der BSI TR-03161 führen dazu, dass Anmelde- und Session-Zeiten stark begrenzt werden müssen. Je nach technischer Umsetzung kann dies dazu führen, dass Nutzer sich vergleichsweise häufig erneut anmelden müssen, was den Nutzungskomfort der DiGA spürbar beeinträchtigen kann. Auch hier gibt es Möglichkeiten, das Ganze so zu lösen, dass es den Nutzer weniger beeinträchtigt. (Kontaktieren Sie uns gern, falls Sie hierzu Input benötigen.)
  • Erhöhter Entwicklungsaufwand: Architektur, Implementierung, Tests und Dokumentation erfordern deutlich mehr Aufwand als bei nicht regulierten Anwendungen.
  • Datenverlust bei Geräteverlust: Es gibt verschiedene Wege, die TR-Anforderungen in einer DiGA umzusetzen. Jede davon hat Vor- und Nachteile. Bei bestimmten Varianten in Bezug auf Authentifizierung ist es nahezu unmöglich, die DiGA-Daten wiederherzustellen, wenn ein Nutzer z. B. sein Handy verliert.
  • Strenge Resilience-Anforderungen: Bestimmte Betriebssystemversionen und Gerätekonfigurationen sind ausgeschlossen, etwa ältere Android-Versionen oder aktivierter Developer Mode, obwohl diese bei einem relevanten Anteil der Nutzer noch verbreitet sind. Das ist auf der einen Seite aus Sicherheitssicht nachvollziehbar, aber führt dazu, dass z. B. bis zu 10% Ihrer Zielgruppe keinen Zugriff auf die DiGA erhalten können.
  • Eingeschränkte Hotfix-Fähigkeit: Kurzfristige Fehlerbehebungen sind offiziell nur mit Freigabe durch das BSI möglich, was schnelle Reaktionen erschwert. Dies soll sich perspektivisch durch die zusätzliche Zertifizierung nach TR-03185 verbessern, wodurch bestimmte Änderungen ggf. keine Freigabe mehr erfordern würden.

9. Verpflichtender Penetrationstest für DiGA

Die Pflicht zu einem Penetrationstest („Pen-Test“) ergibt sich nicht aus der BSI TR-03161. Sie stammt aus dem gesetzlichen Rahmen der DiGA-Verordnung (DiGAV). Dort wird festgelegt, dass jede DiGA einen aktuellen Penetrationstest nachweisen muss, um die Anforderungen an die Datensicherheit gemäß Anlage 1 DiGAV zu erfüllen. 

Mit dem neuen DiGA-Leitfaden vom 10.12.2025 bezieht das BfArM hierzu konkrete Stellung: Durch die Zertifizierung nach TR-03161 entfällt die Notwendigkeit eines zusätzlichen Pen-Tests für die Zulassung einer DiGA. 

10. BSI TR-03161 vs. ISO 27001

Für die Listung einer DiGA im Verzeichnis im BfArM muss der Hersteller sowohl eine ISO 27001-Zertifizierung als auch eine BSI TR-03161-Zertifizierung vorlegen. Bei beiden geht es um Informationssicherheit. Wieso also zwei Zertifizierungen?

Der Grund hierfür liegt im Fokus dieser beiden Normen.

Die ISO 27001 ist eine reine Managementnorm: Sie definiert, wie ein umfassendes Informationssicherheits-Managementsystem (ISMS) im Unternehmen aufgebaut, betrieben und kontinuierlich verbessert wird. Zertifiziert wird also das Unternehmen und seine Prozesse, nicht ein einzelnes Produkt. Es findet keine produktbezogene Prüfung, kein Architektur-Review und keine Analyse von Quellcode oder konkreten Sicherheitsmaßnahmen eines Produkts statt.

Die BSI TR-03161 hingegen ist eine technische Produktzertifizierung speziell für digitale Gesundheits- und Pflegeanwendungen. Sie legt sehr konkrete technische und organisatorische Sicherheitsanforderungen fest und prüft, ob das einzelne Produkt (inklusive App, Backend, Schnittstellen) diese erfüllt. Damit ist sie wesentlich spezifischer, strenger und produktnäher als ISO 27001 und dient in Deutschland als gesetzliche Grundlage für DiGA– und DiPA-Zulassungen.

Kategorie ISO 27001 BSI TR-03161
Art der Norm Managementnorm Technische Produktsicherheitsrichtlinie
Zertifizierungsobjekt Unternehmen bzw. ISMS Konkretes Produkt (App, Backend, Webportal) und speziell konkrete Produktversion
Fokus Prozesse, Governance, Risikomanagement Technische Sicherheitsanforderungen, Architektur, Implementierung
Reichweite Firmenweit, unabhängig von Produkten Produktbezogen und verpflichtend für DiGA/DiPA
Technische Tests Keine spezifischen Produktprüfungen Detaillierte technische Tests inkl. Kryptografie, APIs, Hosting
Quellcode-Analyse Nicht Bestandteil Fester Bestandteil der Prüfung
Anforderungen Abstrakt, prozessorientiert Konkrete, detaillierte Vorgaben für Produkt und Prozesse
Zielsetzung Etablierung eines ISMS Sicherer Betrieb und sichere Entwicklung einer Gesundheitsanwendung

11. Kritik am Prozess

Sowohl die Verpflichtung zur Zertifizierung nach BSI TR-03161 als auch die daraus resultierenden, sehr strikten Anforderungen werden von vielen Seiten stark kritisiert. Häufig genannte Punkte sind dabei:

  • Einschränkungen bei der Benutzerfreundlichkeit: Mehrstufige Sicherheitsmechanismen und strikte Vorgaben können die Usability spürbar beeinträchtigen. Es wird betont, dass Patienten dadurch einen erschwerten Zugang zu digitalen Gesundheitsangeboten haben.
  • Eingeschränkte Zugänglichkeit für relevante Zielgruppen: Durch die sehr restriktiven Geräte- und Systemanforderungen der BSI TR-03161 werden viele Endgeräte ausgeschlossen. Insbesondere ältere Menschen sowie Personen mit körperlichen oder kognitiven Einschränkungen nutzen häufig Geräte, die diese Anforderungen nicht erfüllen und somit nicht akzeptiert werden. Dadurch bleibt ein erheblicher Teil der eigentlich relevanten Zielgruppe von der Nutzung digitaler Gesundheitsanwendungen ausgeschlossen.
  • Hoher Aufwand in Umsetzung und Dokumentation: Die sehr detaillierten Sicherheits- und Prozessanforderungen führen nach Ansicht zahlreicher Hersteller zu erheblichen zusätzlichen Entwicklungs- und Dokumentationsarbeiten. Monatelange Zusatzarbeiten erschweren und verhindern derartige neue Innovationen.
  • Steigende Kosten für Anbieter: Sowohl die Zertifizierung selbst als auch der kontinuierliche Nachweis der Konformität verursachen enorme Kosten aufseiten der DiGA-Hersteller. Gerade für kleine Unternehmen sind diese Kosten schwer bis unmöglich zu finanzieren.
  • Unklarheit bei den Anforderungen: Bei vielen Punkten der TR-03161 ist nicht eindeutig, wie eine korrekte Umsetzung nach Ansicht des BSI auszusehen hat. Teilweise widersprechen sich einzelne Anforderungen auch gegenseitig. Somit stecken DiGA-Hersteller viel Zeit in eine Implementierung, die dann potenziell nach langen Wartezeiten durch das BSI abgewiesen wird.
  • Nationaler Alleingang: Kritiker bemängeln, dass die BSI TR-03161 einen rein deutschen Sicherheitsstandard darstellt, der nicht mit europäischen Vorgaben harmonisiert ist. Dies erschwert die internationale Skalierung und erhöht den regulatorischen Aufwand für Hersteller.

Mehrere Branchenvertretungen haben diese Punkte in ihren Stellungnahmen hervorgehoben und eine ausgewogenere Lösung zwischen Sicherheit, Praktikabilität und wirtschaftlicher Umsetzbarkeit gefordert (siehe z. B. hier, hier und hier).

Inwiefern auf diese Punkte in Zukunft eingegangen wird, bleibt abzuwarten. Hier ist vor allem das nächste Update zur BSI TR-03161 relevant, welches vermutlich im Jahr 2026 erscheinen soll.

12. Wichtige Links und Ressourcen

12.1 Allgemeine Informationen

Hier finden Sie wichtige Ressourcen in Bezug auf die BSI-Zertifizierung:

12.2 Liste der bereits nach TR-03161 zertifizierten Anwendungen

Hier finden Sie die Liste der digitalen Gesundheitsanwendungen, die bereits ein Zertifikat vom BSI erhalten haben: Liste der zertifizierten Anwendungen

12.3 Liste der Prüfstellen für die BSI TR-03161

Hier finden Sie eine Liste der vom BSI akkreditierten Prüfstellen: Liste der akkreditierten TR-Prüfstellen

Wenn Sie eine Textsuche auf der Seite nach „03161“ durchführen, finden Sie alle Stellen, welche Ihre Zertifizierung nach BSI TR-03161 begleiten können.

13. Zukunftsausblick für die BSI TR-03161 und DiGA-Datensicherheitszertifizierung

Die Anforderungen an Datensicherheit für DiGAs entwickeln sich aktuell weiter und werden in den kommenden Jahren weiter konkretisiert. Dabei zeichnen sich insbesondere drei relevante Entwicklungen ab, die von DiGA-Herstellern frühzeitig eingeplant werden sollten.

  • Aktualisierung der BSI TR-03161: Für das kommende Jahr ist eine Aktualisierung der TR-03161 angekündigt. Erwartet wird, dass dabei praktische Erfahrungen aus der bisherigen Anwendung einfließen und einzelne Anforderungen präzisiert oder angepasst werden.
  • Einführung der BSI TR-03185 zum sicheren Software-Lebenszyklus: Ergänzend zur TR-03161 ist mit der TR-03185 eine neue Zertifizierung für den gesamten Software-Lebenszyklus in Vorbereitung. Ziel ist es, Update- und Änderungsprozesse systematischer abzubilden und perspektivisch den Aufwand für wiederkehrende Re-Zertifizierungen bei Folgeversionen zu reduzieren.
  • Datenschutz-Zertifizierung: Neben Datensicherheit ist weiterhin eine Datenschutz-Zertifizierung für DiGA geplant (und bereits gesetzlich verankert). Sobald ein Prüfprozess und Prüfstellen hierfür etabliert wurden, wird das BfArM diese Zertifizierung von DiGA-Herstellern einfordern.

14. Fazit

Für DiGAs steigt die Zahl verpflichtender Zertifizierungen scheinbar kontinuierlich weiter: Medizinprodukt-Zulassung bzw. Zertifizierung, ISO 27001, BSI TR-03161 und zukünftige Zertifizierungen wie die BSI TR-03185 (nicht verpflichtend, aber scheinbar unumgänglich) und das Datenschutz-Zertifikat für DiGA.

Dies führt zu einer zunehmenden regulatorischen Komplexität, die insbesondere kleinere Hersteller stark belastet. Das notwendige Budget zur Vorbereitung, Umsetzung und kontinuierlichen Erhaltung dieser Zertifizierungen wächst aktuell stetig weiter. Aus unserer Sicht besteht die Gefahr, dass Innovationsgeschwindigkeit und Markteintritt neuer Lösungen dadurch gebremst oder sogar verhindert werden

Dennoch ist das Ganze mit der richtigen Strategie (und ausreichendem Budget) weiterhin machbar. Wir haben in unseren DiGA-Projekten gelernt, mit der Komplexität umzugehen, und viele Learnings gemacht, die wir gerne weitergeben. Gerade in Bezug auf die BSI TR-03161-Zertifizierung fehlen bei einigen Anforderungen klare Vorgaben zur Umsetzung von offizieller Seite. Damit nicht jeder Hersteller diese Learnings neu machen muss, beraten wir Hersteller bei der Umsetzung der BSI-Vorgaben.

Falls Sie einen Partner benötigen, der Ihre DiGA implementiert, die BSI-Anforderungen umsetzt und alle weiteren regulatorischen Pflichten für Sie übernimmt: Kontaktieren Sie uns gerne. Wir waren bereits in die Umsetzung von über 15 verschiedenen DiGA-Projekten involviert und besitzen die notwendigen Zertifikate, um Ihre DiGA sicher auf den Markt zu bringen. Mehr Infos dazu finden Sie hier.