Datensicherheits- & Datenschutz-Zertifikate für DiGA

Digitale Gesundheitsanwendungen (DiGA) benötigen Zertifikate für die Datensicherheit und den Datenschutz. Nachdem es in der Vergangenheit immer wieder Probleme im Umgang mit personenbezogenen Daten bei einigen DiGA gekommen war, müssen Hersteller ihre Anwendungen künftig genauer prüfen lassen, um entsprechende Zertifikate zu erhalten.

Die Richtlinie BSI TR-03161 ist die Grundlage für das Datensicherheits-Zertifikat. Das Datenschutz-Zertifikat basiert auf der Datenschutz-Grundverordnung (DSGVO).

Was es mit diesen Zertifikaten auf sich hat, ab wann sie diese benötigen und wie sie diese erhalten, erfahren Sie in diesem Fachartikel.

Inhaltsverzeichnis

• 1. Datensicherheitszertifikat nach BSI TR-03161
  • 1.1 Ab wann brauche ich das Zertifikat nach BSI TR-03161?
  • 1.2 Wie bekomme ich das Zertifikat nach BSI TR-03161? 
  • 1.3 Vorbereitung auf die Zertifizierung nach BSI TR-03161 
  • 1.4 Welche DiGA haben bereits ein Zertifikat nach BSI TR-03161?
• 2. Datenschutzzertifikat (DSGVO)
  • 2.1 Ab wann brauche ich das Datenschutzzertifikat (DSGVO)?
  • 2.2 Wie bekomme ich das DiGA-Zertifikat für Datenschutz?
  • 2.3 Vorbereitung auf die Zertifizierung

1. Datensicherheitszertifikat nach BSI TR-03161

1.1 Ab wann brauche ich das Zertifikat nach BSI TR-03161?

Die gesetzliche Frist für die Zertifizierung war der 01.01.2025 (§ 139e SGB V), im Moment gelten allerdings folgende Übergangsregelungen:

• Für bereits gelistete DiGA: Ab 01.01.25 muss ein Zertifikat vorliegen. Wenn das nicht möglich war, muss zumindest eine Kontaktaufnahme mit der Prüforganisation stattgefunden haben (muss im Einzelfall mit dem BfArM besprochen werden).
• DiGA in der Antragsprüfung: Seit dem 01.01.25 ist das Zertifikat die Voraussetzung für die formelle Vollständigkeit des Antrags. Daraus folgt konkret, dass ein fehlendes Zertifikat nach TR-03161 auch das DiGA-Antragsverfahren blockiert.
• Für neue DiGA, für die noch kein Antrag gestellt wurde: Das Zertifikat ist notwendig für die formelle Vollständigkeit des Antrags. Ein fehlendes Zertifikat blockiert also das DiGA-Antragsverfahren, da eine inhaltliche Prüfung durch das BfArM nicht gestartet werden kann.
• Für DiGA, die am 01.01.25 bereits in der inhaltlichen Prüfung (nach formeller Vollständigkeit des Antrags) waren: Das Zertifikat kann während des Prüfverfahrens nachgereicht werden bis zum 30.06.25. Daraus folgt, dass das Antragsverfahren bis zu dieser Frist zwar fortgesetzt werden kann, ein fehlendes Zertifikat aber die Aufnahme ins DiGA-Verzeichnis blockiert. Wenn man die Angaben auf der Webseite des BfArM streng auslegt, müssten bei fehlendem Zertifikat nach diesem Stichtag auch alle Antragsverfahren beendet werden. Inwiefern das BfArM diese Deadline aber einhält und ob es doch noch Möglichkeiten gibt, das Zertifikat nachzureichen.

(Stand vom 13.06.2025)

Aus der Praxis ziehen wir aktuell das Fazit, dass alle DiGA (sowohl gelistete als auch noch nicht gelistete) sich sehr zeitnah um ein BSI-Zertifikat bemühen sollten. Eine Aufnahme ohne ein Zertifikat ist nämlich nicht mehr möglich und auch der Verbleib im DiGA-Verzeichnis wird auf absehbare Zeit dadurch gefährdet sein.

Timeline 2025 für die Zertifizierung nach BSI TR-03161

1.2 Wie bekomme ich das Zertifikat nach BSI TR-03161?

Grundlage für das Zertifikat zur Datensicherheit ist die technische Richtlinie TR-03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die Datensicherheits-Zertifikate selbst werden vom BSI ausgestellt, die zugrunde liegende Prüfung übernehmen aber externe Prüfstellen, welche vom BSI anerkannt sind. Die Liste der Stellen, die eine Prüfung gemäß TR-03161 durchführen dürfen, finden Sie hier.

Konkret müssen Hersteller die folgenden Schritte ausführen, um eine entsprechende Zertifizierung zu erhalten:

1. Umsetzung aller anwendbaren Aspekte der BSI TR-03161 (Mobile Anwendungen, Web-Anwendungen, Hintergrundsysteme)
2. Auswahl eines geeigneten Anbieters für die Prüfung
3. Durchlaufen des Prüfverfahrens mit dem entsprechenden Anbieter
4. Warten auf den finalen Bescheid des BSI (Ausstellen des Zertifikats)

Für den gesamten Prozess sollte man mindestens etwa 4-6 Monate einplanen.

1.3 Vorbereitung auf die Zertifizierung nach BSI TR-03161

Zur Vorbereitung auf das Datensicherheits-Zeritifkat muss die BSI TR-03161 für die DiGA umgesetzt werden. Neben den technischen Anforderungen verlangen viele Prüfstellen noch zusätzliche Dokumentation, welche Sie ggf. noch anfertigen müssen. Generell empfiehlt es sich, den Kontakt zu mehreren Prüfstellen aufzunehmen und vor allem die Kosten und den Zeitplan abzuklären. Unserer Erfahrung nach kann es hier Unterschiede von mehreren Monaten geben, bis wann die Prüfung abgeschlossen ist. Klären Sie mit der Prüfstelle dann auch vorab, bis wann welche Unterlagen eingereicht werden müssen. Möglicherweise besteht die Option, die Prüfung bereits zu beginnen und bestimmte Informationen während des Verfahrens nachzureichen.

Bei der BSI TR-03161 gibt es speziell bei der technischen Umsetzung einige Stolpersteine, welche DiGA-Herstellern die Zertifizierung kosten können.

1.4 Welche DiGA haben bereits ein Zertifikat nach BSI TR-03161?

Unseres Kenntnisstands nach gibt es heute am 30. Juni insgesamt drei DiGA (im Antrag), die bereits ein Zertifikat nach BSI TR-03161 erhalten haben. Die Namen der Hersteller nennen wir zu diesem Zeitpunkt noch nicht, bis diese auf der offiziellen Website des BSI verlinkt werden.

Die erste bekannte DiGA (in Antrag) überhaupt, die Anfang Juni ein BSI-Zertifikat erhalten hat, wurde tatsächlich von QuickBird Medical entwickelt: Mehr Informationen.

Falls Sie die Entwicklung einer DiGA planen, treten Sie gern mit uns in Kontakt. Wir übernehmen die Entwicklung oder unterstützen Ihr In-House-Entwickler-Team bei der Umsetzung der BSI TR-03161.

Zum Kontaktformular

2. Datenschutzzertifikat (DSGVO)

2.1 Ab wann brauche ich das Datenschutzzertifikat (DSGVO)?

Die gesetzliche Frist für die Zertifizierung war der 01.08.2024 (§ 139e SGB V). Solange es aber kein Zertifizierungsverfahren bzw. akkreditierte Zertifizierstellen gibt, entscheidet das BfArM über die Fristen, bis wann ein Datenschutzzertifikat vorgelegt werden muss. Auch die Prüfkriterien für das Zertifikat können sich laut Webseite des BfArM noch ändern. Somit müssen Hersteller wohl erst einmal abwarten, bis das BfArM die tatsächlichen Zertifizierungsfristen ankündigt.

Tipp: Abonnieren Sie unseren Newsletter, um rechtzeitig über die anstehende Zertifizierungspflicht benachrichtigt zu werden.

2.2 Wie bekomme ich das DiGA-Zertifikat für Datenschutz?

Das Datenschutz-Zertifikat ist eine Zertifizierung nach Artikel 42 DSGVO. Die zugrundeliegende Prüfung soll anhand von Prüfkriterien erfolgen, die vor einiger Zeit vom BfArM veröffentlicht wurden: DiGA und DiPA Datenschutzkriterien

Entsprechende Zertifikate können laut DSGVO von den Aufsichtsbehörden selbst, oder aber von akkreditierten Stellen ausgestellt werden.

ABER: Es gibt im Moment noch keine Prüfstellen, somit ist auch eine Zertifizierung nicht möglich. Solange sich dieser Stand nicht ändert, wird auch vom BfArM kein Zertifikat erwartet. Stattdessen wird auf der Webseite des BfArM angegeben, dass entsprechende Fristen bekannt gegeben werden, sobald ein Zertifizierungsverfahren existiert (Stand 13.06.2025).

2.3 Vorbereitung auf die Zertifizierung

Für das Datenschutz-Zertifikat lohnt es sich, die Kriterien des BfArM schon einmal durchzugehen. Diese Kriterien können sich nach Aussage des BfArM aber noch ändern, somit ist es nicht klar, wann man mit der konkreten Umsetzung beginnen sollte. Zudem ist noch offen, wann es die ersten Prüfstellen geben wird, die ein entsprechendes Zertifikat ausstellen können. Es empfiehlt sich also, Änderungen in diesem Bereich engmaschig zu überwachen. Wir aktualisieren diesen Artikel und informieren Sie über unseren Newsletter, sobald es hierzu Änderungen gibt.

Weitere Fachartikel und Leitfäden für die Entwicklung von DiGA finden Sie hier: https://quickbirdmedical.com/diga-entwicklung-zulassung/