Digitale Gesundheitsanwendungen (DiGA) benötigen Zertifikate für die Datensicherheit und den Datenschutz.
Nachdem es in der Vergangenheit immer wieder Probleme im Umgang mit personenbezogenen Daten bei einigen DiGA gekommen war, müssen Hersteller ihre Anwendungen künftig genauer prüfen lassen, um entsprechende Zertifikate zu erhalten.
Ab wann gilt die Pflicht zur Zertifizierung?
Die neuen Zertifizierungs-Fristen für DiGA lauten wie folgt:
- Datenschutzzertifikat (DSGVO): 01.08.2024
- Datensicherheitszertifikat (BSI TR-03161): 01.01.2025, im Moment gelten folgende Übergangsregelungen:
- Grundsätzlich muss für bereits gelistete DiGA seit 01.01.25 ein Zertifikat vorliegen. Wenn das nicht möglich war, muss zumindest eine Kontaktaufnahme mit der Prüforganisation stattgefunden haben (muss im Einzelfall mit dem BfArM besprochen werden).
- Das Zertifikat für DiGA in der Antragsprüfung ist seit dem 01.01.25 die Voraussetzung für die formelle Vollständigkeit des Antrags.
- Für alle DiGA, die am 01.01.25 bereits in der inhaltlichen Prüfung (nach formeller Vollständigkeit des Antrags) waren, kann das Zertifikat während des Prüfverfahrens nachgereicht werden bis 30.06.25.
(Stand vom 31.01.2025)
Das bedeutet, dass bereits gelistete DiGA entsprechende Zertifikate erwerben müssen, um auch weiterhin im DiGA-Verzeichnis des BfArM zu bleiben. Für neu entwickelte DiGA gelten die Zertifikate als Aufnahmekriterium. So steht es im Gesetz (§ 139e Absatz 10 SGB V und § 139e Absatz 11 SGB V).
Wie bekomme ich das DiGA-Zertifikat für Datensicherheit?
Grundlage für das Zertifikat zur Datensicherheit ist die technische Richtlinie TR-03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Die Datensicherheits-Zertifikate selbst werden vom BSI ausgestellt, die zugrunde liegende Prüfung übernehmen aber externe Prüfstellen, welche vom BSI anerkannt sind. Die Liste der Stellen, die eine Prüfung gemäß TR-03161 durchführen dürfen, finden Sie hier.
Konkret müssen Hersteller die folgenden Schritte ausführen, um eine entsprechende Zertifizierung zu erhalten:
- Umsetzung aller anwendbaren Aspekte der BSI TR-03161 (Mobile Anwendungen, Web-Anwendungen, Hintergrundsysteme)
- Auswahl eines geeigneten Anbieters für die Prüfung
- Durchlaufen des Prüfverfahrens mit dem entsprechenden Anbieter
- Warten auf den finalen Bescheid des BSI (Ausstellen des Zertifikats)
Für den gesamten Prozess sollte man mindestens etwa 4-6 Monate einrechnen.
Wenn für Sie eine schnelle und reibungslose Zertifizierung wichtig ist, sprechen Sie uns gerne an. Durch unsere Erfahrungen aus anderen Projekten und unsere etablierte Kommunikation mit den entsprechenden Prüfstellen lässt sich der Prozess signifikant beschleunigen.
Wie bekomme ich das DiGA-Zertifikat für Datenschutz?
Das Datenschutz-Zertifikat ist eine Zertifizierung nach Artikel 42 DSGVO. Die zugrundeliegende Prüfung soll anhand von Prüfkriterien erfolgen, die vor einigen Monaten vom BfArM veröffentlicht wurden: DiGA und DiPA Datenschutzkriterien
Entsprechende Zertifikate können laut DSGVO von den Aufsichtsbehörden selbst, oder aber von akkreditierten Stellen ausgestellt werden. In der Praxis zeigt sich hier aber noch ein anderes Bild.
ABER: Es gibt im Moment noch keine Prüfstellen, somit ist auch eine Zertifizierung nicht möglich. Solange sich dieser Stand nicht ändert, wird auch vom BfArM kein Zertifikat erwartet.
Das Bayerische Bundesamt für Datenschutzaufsicht (BayLDA) zum Beispiel führt “mangels personeller Ressourcen” keine Zertifizierungen selbst durch. Stattdessen wird auf die bei der DAkkS (Deutsche Akkreditierungsstelle) akkreditierten Organisationen verwiesen, welche es aktuell aber auch noch nicht zu geben scheint (Quelle: BayLDA – Zertifizierung). (Stand vom 31.01.2025)
Offene Fragen
Der Prozess zum Erhalt des Datensicherheits-Zertifikats wurde über die letzten Monate hinweg immer klarer. Offene Fragen bestehen hier vor allem auf Detailebene und müssen zwischen Hersteller, Prüfer und dem BSI im Einzelfall geklärt werden. Fest steht aber, dass die BSI TR-03161 umzusetzen ist und die Prüfung von einer externen Prüfstelle erfolgen muss, welche vom BSI anerkannt ist.
Beim Datenschutz-Zertifkat hingegen sieht es anders aus. Zwar wurde entsprechende Prüfkriterien vom BfArM festgelegt, allerdings gibt es noch keine Organisation, die eine entsprechende Zertifizierung durchführen kann. Bis dahin kann ein Zertifkat vom BfArM während des DiGA Antragsverfahrens auch nicht verlangt werden. Wir aktualisieren diesen Artikel, sobald es hierzu Neuigkeiten gibt.
Vorbereitung auf die Zertifizierung
Zur Vorbereitung auf das Datensicherheits-Zeritifkat muss die BSI TR-03161 für die DiGA umgesetzt werden. Neben den technischen Anforderungen verlangen viele Prüfstellen noch zusätzliche Dokumentation, welche Sie ggf. noch anfertigen müssen. Generell empfiehlt es sich, den Kontakt zu mehreren Prüfstellen aufzunehmen und vor allem die Kosten und den Zeitplan abzuklären. Unserer Erfahrung nach kann es hier Unterschiede von mehreren Monaten geben, bis wann die Prüfung abgeschlossen ist. Klären Sie mit der Prüfstelle dann auch vorab, bis wann welche Unterlagen eingereicht werden müssen. Möglicherweise besteht die Option, die Prüfung bereits zu beginnen und bestimmte Informationen während des Verfahrens nachzureichen.
Bei der BSI TR-03161 gibt es speziell bei der technischen Umsetzung einige Stolpersteine, welche DiGA-Herstellern die Zertifizierung kosten können. Falls Sie die Entwicklung einer DiGA oder Medical App planen, treten Sie gern mit uns in Kontakt. Wir entwickeln Ihre Software und setzen dabei alle relevanten regulatorischen Anforderungen um.
Für das Datenschutz-Zertifikat lohnt es sich, die Kriterien des BfArM schon einmal durchzugehen. Diese Kriterien können sich nach Aussage des BfArM aber noch ändern, somit ist es nicht klar, wann man mit der konkreten Umsetzung beginnen sollte. Zudem ist noch offen, wann es die ersten Prüfstellen geben wird, die ein entsprechendes Zertifikat ausstellen können. Es empfiehlt sich also, Änderungen in diesem Bereich engmaschig zu überwachen. Wir aktualisieren diesen Artikel und informieren Sie über unseren Newsletter, sobald es hierzu Änderungen gibt. Das Anmeldeformular für den Newsletter finden Sie weiter unten auf dieser Seite.
Wenn Sie die Umsetzung einer DiGA planen, könnten auch folgende Artikel hilfreich sein:
