Digitale Gesundheitsanwendungen (DiGA) benötigen Zertifikate für die Datensicherheit und den Datenschutz. Nachdem es in der Vergangenheit immer wieder Probleme im Umgang mit personenbezogenen Daten bei einigen DiGA gekommen war, müssen Hersteller ihre Anwendungen künftig genauer prüfen lassen, um entsprechende Zertifikate zu erhalten.
Die Richtlinie BSI TR-03161 ist die Grundlage für das Datensicherheits-Zertifikat. Das Datenschutz-Zertifikat basiert auf der Datenschutz-Grundverordnung (DSGVO).
Was es mit diesen Zertifikaten auf sich hat, ab wann sie diese benötigen und wie sie diese erhalten, erfahren Sie in diesem Fachartikel.
Inhaltsverzeichnis
1. Datensicherheitszertifikat nach BSI TR-03161
1.1 Ab wann brauche ich das Zertifikat nach BSI TR-03161?
Die gesetzliche Frist für die Zertifizierung war der 01.01.2025 (§ 139e SGB V), in der Praxis gelten allerdings folgende Regelungen:
- Für bereits gelistete DiGA: Ab 01.01.25 muss ein Zertifikat vorliegen. Wenn das nicht möglich war, muss zumindest eine Kontaktaufnahme mit der Prüforganisation stattgefunden haben (muss im Einzelfall mit dem BfArM besprochen werden).
- Für DiGA, die sich am 01.07.2025 in der inhaltlichen Prüfung befanden: Das BSI-Zertifikat kann im Zuge des Antragsverfahrens nachgereicht werden. Ohne ein BSI-Zertifikat kann eine Aufnahme in das DiGA-Verzeichnis nicht erfolgen.
- Für DiGA, die sich am 01.07.2025 in der formalen Prüfung befanden: Das BSI-Zertifikat muss innerhalb einer vom BfArM gesetzten Frist nachgereicht werden, damit mit der inhaltlichen Prüfung begonnen werden kann. Wird das Zertifikat innerhalb dieser Frist nicht eingereicht, wird der Antrag abgelehnt.
- Für neu eingereichte DiGA: Ein Antrag kann ohne vorliegendes BSI-Zertifikat zwar gestellt werden, allerdings blockiert dieses die formelle Vollständigkeit. Sollte ein Antrag ohne BSI-Zertifikat eingereicht werden, muss dieses innerhalb einer vom BfArM gesetzten Frist nachgereicht werden, damit mit der inhaltlichen Prüfung begonnen werden kann. Wird das Zertifikat innerhalb dieser Frist nicht eingereicht, wird der Antrag abgelehnt.
Diese Informationen stammen teilweise aus unseren Erfahrungswerten und teilweise aus unseren Interpretationen der Angaben auf der Webseite des BfArM (Stand vom 11.08.2025).
Aus der Praxis ziehen wir aktuell das Fazit, dass alle DiGA (sowohl gelistete als auch noch nicht gelistete) sich sehr zeitnah um ein BSI-Zertifikat bemühen sollten. Eine Aufnahme ohne ein Zertifikat ist nämlich nicht mehr möglich und auch der Verbleib im DiGA-Verzeichnis wird auf absehbare Zeit dadurch gefährdet sein.
Timeline 2025 für die Zertifizierung nach BSI TR-03161
1.2 Wie bekomme ich das Zertifikat nach BSI TR-03161?
Grundlage für das Zertifikat zur Datensicherheit ist die technische Richtlinie TR-03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Die Datensicherheits-Zertifikate selbst werden vom BSI ausgestellt, die zugrunde liegende Prüfung übernehmen aber externe Prüfstellen, welche vom BSI anerkannt sind. Die Liste der Stellen, die eine Prüfung gemäß TR-03161 durchführen dürfen, finden Sie hier.
Konkret müssen Hersteller die folgenden Schritte ausführen, um eine entsprechende Zertifizierung zu erhalten:
- Umsetzung aller anwendbaren Aspekte der BSI TR-03161 (Mobile Anwendungen, Web-Anwendungen, Hintergrundsysteme)
- Auswahl eines geeigneten Anbieters für die Prüfung
- Durchlaufen des Prüfverfahrens mit dem entsprechenden Anbieter
- Warten auf den finalen Bescheid des BSI (Ausstellen des Zertifikats)
Für den gesamten Prozess sollte man mindestens etwa 4-6 Monate einplanen.
Gerne unterstützen wir Sie bei der Implementierung der BSI-Anforderungen. Wir beraten Ihr Team zur konkreten Umsetzung der Anforderungen der BSI TR-03161 oder setzen alle Anforderungen mit unserem Entwicklerteam autonom für Sie um. Mehr Informationen zu diesem Service finden Sie hier: Unterstützung bei der BSI-Zertifizierung
1.3 Vorbereitung auf die Zertifizierung nach BSI TR-03161
Zur Vorbereitung auf das Datensicherheits-Zeritifkat muss die BSI TR-03161 für die DiGA umgesetzt werden. Neben den technischen Anforderungen verlangen viele Prüfstellen noch zusätzliche Dokumentation, welche Sie ggf. noch anfertigen müssen. Generell empfiehlt es sich, den Kontakt zu mehreren Prüfstellen aufzunehmen und vor allem die Kosten und den Zeitplan abzuklären. Unserer Erfahrung nach kann es hier Unterschiede von mehreren Monaten geben, bis wann die Prüfung abgeschlossen ist. Klären Sie mit der Prüfstelle dann auch vorab, bis wann welche Unterlagen eingereicht werden müssen. Möglicherweise besteht die Option, die Prüfung bereits zu beginnen und bestimmte Informationen während des Verfahrens nachzureichen.
Bei der BSI TR-03161 gibt es speziell bei der technischen Umsetzung einige Stolpersteine, welche DiGA-Herstellern die Zertifizierung kosten können.
1.4 Welche DiGA haben bereits ein Zertifikat nach BSI TR-03161?
Unseres Kenntnisstands nach gibt es heute am 12. August 2025 insgesamt drei DiGA, die bereits ein Zertifikat nach BSI TR-03161 erhalten haben. Die Namen der Apps und deren Hersteller sind auf der offiziellen Website des BSI genannt.
Eine dieser DiGA, die Anfang Juni ein BSI-Zertifikat erhalten hat, wurde tatsächlich von QuickBird Medical entwickelt: Mehr Informationen.
Falls Sie die Entwicklung einer DiGA planen, treten Sie gerne mit uns in Kontakt. Wir übernehmen die Entwicklung oder unterstützen Ihr In-House-Entwickler-Team bei der Umsetzung der BSI TR-03161.
2. Datenschutzzertifikat (DSGVO)
2.1 Ab wann brauche ich das Datenschutzzertifikat (DSGVO)?
Die gesetzliche Frist für die Zertifizierung war der 01.08.2024 (§ 139e SGB V). Solange es aber kein Zertifizierungsverfahren bzw. akkreditierte Zertifizierstellen gibt, entscheidet das BfArM über die Fristen, bis wann ein Datenschutzzertifikat vorgelegt werden muss. Auch die Prüfkriterien für das Zertifikat können sich laut Webseite des BfArM noch ändern. Somit müssen Hersteller wohl erst einmal abwarten, bis das BfArM die tatsächlichen Zertifizierungsfristen ankündigt.
Tipp: Abonnieren Sie unseren Newsletter, um rechtzeitig über die anstehende Zertifizierungspflicht benachrichtigt zu werden.
2.2 Wie bekomme ich das DiGA-Zertifikat für Datenschutz?
Das Datenschutz-Zertifikat ist eine Zertifizierung nach Artikel 42 DSGVO. Die zugrundeliegende Prüfung soll anhand von Prüfkriterien erfolgen, die vor einiger Zeit vom BfArM veröffentlicht wurden: DiGA und DiPA Datenschutzkriterien
Entsprechende Zertifikate können laut DSGVO von den Aufsichtsbehörden selbst, oder aber von akkreditierten Stellen ausgestellt werden.
ABER: Es gibt im Moment noch keine Prüfstellen, somit ist auch eine Zertifizierung nicht möglich. Solange sich dieser Stand nicht ändert, wird auch vom BfArM kein Zertifikat erwartet. Stattdessen wird auf der Webseite des BfArM angegeben, dass entsprechende Fristen bekannt gegeben werden, sobald ein Zertifizierungsverfahren existiert (Stand 11.08.2025).
2.3 Vorbereitung auf die Zertifizierung
Für das Datenschutz-Zertifikat lohnt es sich, die Kriterien des BfArM schon einmal durchzugehen. Diese Kriterien können sich nach Aussage des BfArM aber noch ändern, somit ist es nicht klar, wann man mit der konkreten Umsetzung beginnen sollte. Zudem ist noch offen, wann es die ersten Prüfstellen geben wird, die ein entsprechendes Zertifikat ausstellen können. Es empfiehlt sich also, Änderungen in diesem Bereich engmaschig zu überwachen. Wir aktualisieren diesen Artikel und informieren Sie über unseren Newsletter, sobald es hierzu Änderungen gibt.
Weitere Fachartikel und Leitfäden für die Entwicklung von DiGA finden Sie hier: https://quickbirdmedical.com/diga-entwicklung-zulassung/
