Digitale Gesundheitsanwendungen (DiGA) benötigen schon bald Zertifikate für die Datensicherheit und den Datenschutz. Die ursprünglichen Deadlines dafür waren allerdings etwas zu optimistisch gesetzt, weshalb diese nun durch das Krankenhauspflegeentlastungsgesetz (KHPflEG) in die Zukunft verschoben wurden.
Nachdem es in der Vergangenheit immer wieder Probleme im Umgang mit personenbezogenen Daten bei einigen DiGA gekommen war, müssen Hersteller ihre Anwendungen künftig genauer prüfen lassen, um entsprechende Zertifikate zu erhalten.
Ab wann gilt die Pflicht zur Zertifizierung?
Die neuen Zertifizierungs-Fristen für DiGA lauten wie folgt:
- Datenschutzzertifikat (DSGVO): 01.08.2024
- Datensicherheitszertifikat (BSI): 01.01.2025
(Stand vom 15.03.2024)
Das bedeutet, dass bereits gelistete DiGA entsprechende Zertifikate erwerben müssen, um auch weiterhin im DiGA-Verzeichnis des BfArM zu bleiben. Für neu entwickelte DiGA gelten die Zertifikate als Aufnahmekriterium. So steht es zumindest im Gesetz (§ 139e Absatz 10 SGB V und § 139e Absatz 11 SGB V) – das BfArM arbeite aber noch immer an entsprechenden Zertifizierungsverfahren.
Wie bekomme ich das DiGA-Zertifikat für Datensicherheit?
Grundlage für das Zertifikat zur Datensicherheit wird (vermutlich) die technische Richtlinie TR-03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI) sein.
Die Datensicherheits-Zertifikate selbst sollen vom BSI ausgestellt, die zugrunde liegende Prüfung vermutlich aber von externen Prüfstellen übernommen werden, welche vom BSI anerkannt sind. Die Liste der Stellen, die eine Prüfung gemäß TR-03161 durchführen dürfen, finden Sie hier. Dort sind zum heutigen Stand (15.03.2024) 2 Prüfstellen gelistet:
- secuvera GmbH
- TÜV Informationstechnik GmbH
Hinweis: Aktuell gibt es immer noch Diskussionen und die TR-03161 wurde in seiner aktuellen Form noch nicht vom BfArM akzeptiert. In letzter Zeit wurde in den regelmäßig stattfindenden Sprechstunden der gematik beispielsweise noch über die Pflicht einer 2-Faktor-Authentisierung und die Einschränkung biometrischer Authentisierungsmethoden diskutiert. Allerdings ist davon auszugehen, dass die meisten Kriterien der aktuellen TR-03161 auch für die finale Datenschutz-Zertifizierung umgesetzt werden müssen.
Wie bekomme ich das DiGA-Zertifikat für Datenschutz?
Das Datenschutz-Zertifikat ist eine Zertifizierung nach Artikel 42 DSGVO. Die zugrundeliegende Prüfung soll anhand von Prüfkriterien erfolgen, die vor einigen Monaten vom BfArM veröffentlicht wurden: DiGA und DiPA Datenschutzkriterien
Entsprechende Zertifikate können laut DSGVO von den Aufsichtsbehörden selbst, oder aber von akkreditierten Stellen ausgestellt werden. In der Praxis zeigt sich hier aber noch ein anderes Bild.
Das Bayerische Bundesamt für Datenschutzaufsicht (BayLDA) zum Beispiel führt “mangels personeller Ressourcen” keine Zertifizierungen selbst durch. Stattdessen wird auf die bei der DAkkS (Deutsche Akkreditierungsstelle) akkreditierten Organisationen verwiesen, welche es aktuell aber auch noch nicht zu geben scheint (Quelle: BayLDA – Zertifizierung). (Stand vom 15.03.2024)
Offene Fragen
Viele Fragen, die DiGA-Hersteller aktuell beschäftigen, können heute leider noch nicht geklärt werden. Dazu zählen unter anderem:
- Wer kann entsprechende Prüfungen durchführen, die für die Zertifizierung benötigt werden?
- Wie lange dauern die Zertifizierungsverfahren?
- Wie viel kosten die Zertifizierungen?
- etc.
Die zentralen Informationen fehlen also noch, mit denen DiGA-Hersteller die gesetzlichen Vorgaben erfüllen können.
Vorbereitung auf die Zertifizierung
Die Fragen zu den bald verpflichtenden Zertifikaten sind leider noch nicht alle abschließend geklärt. Was aber schon heute gesagt werden kann: Die TR-03161 zur Umsetzung von Datensicherheitsstandards und die Prüfkriterien zum Datenschutz des BfArM sind bereits verfügbar. Dabei gibt es speziell bei der technischen Umsetzung einige Stolpersteine, welche DiGA-Herstellern die Zertifizierung kosten können. Falls Sie die Entwicklung einer DiGA oder Medical App planen, treten Sie gern mit uns in Kontakt. Wir entwickeln Ihre Software und setzen dabei alle relevanten regulatorischen Anforderungen um.
Wenn Sie die Umsetzung einer DiGA planen, könnten auch folgende Artikel hilfreich sein:
