Datensicherheits- & Datenschutz-Zertifikate für DiGA

Digitale Gesundheitsanwendungen (DiGA) benötigen für die Listung im Verzeichnis des BfArM (neben vielen weiteren Anforderungen) folgende Zertifikate im Bereich Datenschutz und Datensicherheit:

1. Datensicherheits-Zertifikat nach BSI TR-03161
2. Datenschutz-Zertifikat nach DSGVO

Hinzu kommt das Vorhalten eines nach ISO/IEC 27001 zertifizierten Informationssicherheitsmanagementsystems, welches jedoch nicht im Fokus dieses Artikels steht.

Wir erklären, was es mit dem Datenschutz- und Datensicherheits-Zertifikat auf sich hat, ab wann die Zertifizierungen verpflichtend sind und wie Sie diese als Hersteller erhalten können.

Inhaltsverzeichnis

• 1. Ab wann gilt die Pflicht zur Zertifizierung
• 2. Wie bekomme ich das DiGA-Zertifikat für Datensicherheit?
• 3. Wie bekomme ich das DiGA-Zertifikat für Datenschutz
• 4. Fazit
• 5. Vorbereitung auf die Zertifizierung

1. Ab wann gilt die Pflicht zur Zertifizierung?

Die aktuellen Fristen für die Zertifizierung von DiGA nach Datenschutz und Datensicherheit lauten wie folgt:

Datensicherheitszertifikat nach BSI TR-03161: 01.01.2025

Seit dem 1. Januar 2025 sind Hersteller digitaler Gesundheitsanwendungen (DiGA) verpflichtet, die Einhaltung der Anforderungen an die Datensicherheit durch ein offizielles Zertifikat zu belegen.

• Neue DiGA-Anträge: Für neue DiGA-Anträge gab es zwischenzeitlich eine Übergangsregelung, die nun aber nicht mehr relevant ist. Um in das DiGA-Verzeichnis aufgenommen zu werden, benötigen Sie aktuell zwingend eine Datensicherheitszertifizierung nach BSI TR-03161.
• Gelistete DiGA: Für bereits gelistete DiGA duldet das BfArM aktuell noch fehlende Zertifikate. Voraussetzung ist, dass der Hersteller nachweisen kann, dass er sich im laufenden Zertifizierungsprozess befindet. Diese Praxis kann sich jederzeit ändern. Hersteller gelisteter DiGA sollten sicherstellen, dass sie das Zertifikat des BSI sehr zeitnah erhalten.

Datenschutzzertifikat nach DSGVO: weiterhin unklar

Aktuell besteht für DiGA noch keine Pflicht zur Vorlage eines formalen Datenschutzzertifikats. Der Grund dafür ist, dass es zum jetzigen Zeitpunkt noch keine akkreditierten Zertifizierungsstellen für eine Zertifizierung nach den Datenschutzkriterien gemäß § 139e Absatz 11 SGB V und § 78a Absatz 8 SGB XI gibt.

Das BfArM arbeitet derzeit gemeinsam mit dem BfDI und dem BSI an der Umsetzung der gesetzlichen Vorgaben. Die zugrunde liegenden Datenschutzkriterien wurden bereits aktualisiert und veröffentlicht. Sie bilden künftig die Basis für ein offizielles Datenschutzzertifikat, das sowohl die Anforderungen der DSGVO als auch zusätzliche DiGA- und DiPA-spezifische Vorgaben abdeckt. Das Zertifikat befindet sich aber weiterhin in der Entwicklung. Änderungen an Prüfkriterien und Prüfmethoden sind daher möglich.

Solange eine Zertifizierung technisch und organisatorisch noch nicht möglich ist, gelten weiterhin die Datenschutzanforderungen der DiGAV.

Sobald Zertifizierungsstellen akkreditiert sind, wird das BfArM die Vorlage eines Datenschutzzertifikats mit ausreichendem zeitlichem Vorlauf einfordern. Konkrete Zeiträume werden auf der Webseite des BfArM veröffentlicht. Hersteller bereits gelisteter DiGA werden dann individuell zur Vorlage des Zertifikats aufgefordert.

2. Wie bekomme ich das DiGA-Zertifikat für Datensicherheit?

Das Datensicherheitszertifikat für DiGA basiert auf der BSI TR-03161 und wird über ein mehrstufiges Verfahren vergeben. Voraussetzung ist eine vollständige technische und organisatorische Umsetzung der Anforderungen.

Der Weg zum Zertifikat in Kurzform:

• Vorbereitung: Umsetzung der technischen und organisatorischen Anforderungen der BSI TR-03161 im Produkt und in den Prozessen des Herstellers.
• Prüfung durch eine akkreditierte Prüfstelle: Eine vom BSI zugelassene Prüfstelle prüft Produkt, Architektur, Quellcode, Dokumentation und Sicherheitsprozesse und erstellt einen Prüfbericht.
• Zertifizierungsentscheidung durch das BSI: Auf Basis des Prüfberichts entscheidet das BSI über die Erteilung des Zertifikats und stellt dieses bei positiver Bewertung aus.

Wir haben einen detaillierten Leitfaden geschrieben, der Ihnen einen Überblick über den gesamten Prozess der Datensicherheitszertifizierung nach BSI TR-03161 gibt. Wir befassen uns in diesem Rahmen damit:

• Was fordert die TR-03161 konkret?
• Wie läuft die Zertifizierung mit Prüfstelle und BSI ab?
• Mit welchen Kostenblöcken ist das Ganze verbunden und wie lange dauert eine solche Zertifizierung?
• Was sind die praktischen Implikationen der BSI TR-03161 auf DiGA?
• Wie sieht die Zukunft der BSI-Zertifizierung aus? (Stichwort: BSI TR-03185)

Hier finden Sie unseren Leitfaden zur BSI TR-03161-Zertifizierung: Zum Fachartikel

3. Wie bekomme ich das DiGA-Zertifikat für Datenschutz?

Das Datenschutz-Zertifikat ist eine Zertifizierung nach Artikel 42 DSGVO. Die zugrundeliegende Prüfung soll anhand von Prüfkriterien erfolgen, die vor einigen Monaten vom BfArM veröffentlicht wurden: DiGA und DiPA Datenschutzkriterien

Entsprechende Zertifikate können laut DSGVO von den Aufsichtsbehörden selbst, oder aber von akkreditierten Stellen ausgestellt werden. In der Praxis zeigt sich hier aber noch ein anderes Bild.

Das Bayerische Bundesamt für Datenschutzaufsicht (BayLDA) zum Beispiel führt “mangels personeller Ressourcen” keine Zertifizierungen selbst durch. Stattdessen wird auf die bei der DAkkS (Deutsche Akkreditierungsstelle) akkreditierten Organisationen verwiesen, welche es aktuell aber auch noch nicht zu geben scheint (Quelle: BayLDA – Zertifizierung). (Stand vom 15.03.2024)

Viele Fragen, die DiGA-Hersteller beschäftigen, können heute leider noch nicht geklärt werden. Dazu zählen unter anderem:

• Wer kann entsprechende Prüfungen durchführen, die für die Zertifizierung benötigt werden?
• Wie lange dauern die Zertifizierungsverfahren?
• Wie viel kosten die Zertifizierungen?
• etc.

Die zentralen Informationen fehlen also noch, mit denen DiGA-Hersteller die gesetzlichen Vorgaben erfüllen können. Aktuell ist somit noch keine Datenschutzzertifizierung möglich.

Sobald sich dies ändert oder Neuigkeiten bekannt werden, benachrichtigen wir alle Abonnenten unseres DiGA-Newsletters. Wenn Sie hierzu auf dem neusten Stand bleiben möchten, abonnieren Sie unseren Newsletter für DiGA-Hersteller hier.

4. Fazit

Wir beobachten die Situation mit der Datenschutzzertifizierung für alle unsere DiGA-Kunden aktiv und sind gespannt, wann es hierzu Neuigkeiten geben wird. Fakt ist: Die Datenschutzzertifizierung wird kommen. Es ist nur eine Frage der Zeit, wann dies so weit ist.

In Bezug auf die Datensicherheitszertifizierung existiert bereits ein Prüfprozess und über 10 DiGA sind bereits nach BSI TR-03161 zertifiziert (Stand Januar 2026). Der Prüfprozess hat an vielen Stellen Verbesserungspotenzial und daher ist auch hier zeitnah mit Updates zu rechnen. Mehr dazu finden Sie in unserem Fachartikel zur BSI-Zertifizierung von DiGA.

5. Vorbereitung auf die Zertifizierung

Die Fragen zu den bald verpflichtenden Zertifikaten sind leider noch nicht alle abschließend geklärt. Was aber schon heute gesagt werden kann: Die TR-03161zur Umsetzung von Datensicherheitsstandards und die Prüfkriterien zum Datenschutz des BfArM sind bereits verfügbar. Dabei gibt es speziell bei der technischen Umsetzung einige Stolpersteine, welche DiGA-Herstellern die Zertifizierung kosten können. Falls Sie die Entwicklung einer DiGA oder Medical App planen, treten Sie gern mit uns in Kontakt. Wir entwickeln Ihre Software und setzen dabei alle relevanten regulatorischen Anforderungen um.

Wenn Sie die Umsetzung einer DiGA planen, könnten auch folgende Artikel hilfreich sein:

• Ist Ihre App eine DiGA? Definition & Kriterien digitaler Gesundheitsanwendungen
• Interoperabilität für digitale Gesundheitsanwendungen (DiGA)
• DiGA-Preisverhandlung mit dem GKV-Spitzenverband
• DiGAV und DVG: wichtige Links
• Leitfaden zur DiGAV: Digitale-Gesundheitsanwendungen-Verordnung