Digitale Gesundheitsanwendungen (DiGA) benötigen schon bald Zertifikate für die Datensicherheit und den Datenschutz.
Nachdem es in der Vergangenheit immer wieder Probleme im Umgang mit personenbezogenen Daten bei einigen DiGA gekommen war, müssen Hersteller ihre Anwendungen ab 2023 prüfen lassen, um entsprechende Zertifikate zu erhalten. Geeignete Zertifizierungsverfahren befinden sich laut BfArM aber immer noch in Vorbereitung.
Ab wann gilt die Pflicht zur Zertifizierung?
Das Zertifikat für Datensicherheit wird bereits ab 01.01.2023 verpflichtend. Für das Datenschutz-Zertifikat haben DiGA-Hersteller bis zum 01.04.2023 Zeit (Stand vom 22.11.2022).
Das bedeutet, dass bereits gelistete DiGA entsprechende Zertifikate erwerben müssen, um auch weiterhin im DiGA-Verzeichnis des BfArM zu bleiben. Für neu entwickelte DiGA gelten die Zertifikate als Aufnahmekriterium. So steht es zumindest im Gesetz (§ 139e Absatz 10 SGB V und § 139e Absatz 11 SGB V) – das BfArM arbeite aber noch immer an entsprechenden Zertifizierungsverfahren.
Wie bekomme ich das DiGA-Zertifikat für Datensicherheit?
Grundlage für das Zertifikat zur Datensicherheit ist (vermutlich) die technische Richtlinie TR-03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI). Zwar ist noch nicht final geklärt, ob dies am Ende auch die finale Richtlinie ist, nach der die Zertifizierung durchgeführt wird, jedoch ist dies aus heutiger Sicht sehr wahrscheinlich. Natürlich werden wir den Artikel entsprechend aktualisieren, sobald es hier Neuigkeiten gibt (aktueller Stand: 22.10.2022).
Die TR-03161 sollte allerdings auch ohne die Pflicht zur Zertifizierung bereits verwendet werden, da sie sinnvolle Hinweise enthält, mit denen man sich gut auf die Zertifizierung vorbereiten kann.
Die Datensicherheits-Zertifikate selbst sollen vom BSI ausgestellt, die zugrunde liegende Prüfung vermutlich aber von externen Prüfstellen übernommen werden, welche vom BSI anerkannt sind. Die Liste der TR Prüfstellen finden Sie hier.
Aktuell findet man leider noch keine geeigneten Anbieter für die Überprüfung der Datensicherheit bei DiGA.
Wie bekomme ich das DiGA-Zertifikat für Datenschutz?
Das Datenschutz-Zertifikat ist eine Zertifizierung nach Artikel 42 DSGVO. Die zugrundeliegende Prüfung soll anhand von Prüfkriterien erfolgen, die vor einigen Monaten vom BfArM veröffentlicht wurden: DiGA und DiPA Datenschutzkriterien
Entsprechende Zertifikate können laut DSGVO von den Aufsichtsbehörden selbst, oder aber von akkreditierten Stellen ausgestellt werden. In der Praxis zeigt sich hier aber noch ein anderes Bild.
Das Bayerische Bundesamt für Datenschutzaufsicht (BayLDA) zum Beispiel führt “mangels personeller Ressourcen” keine Zertifizierungen selbst durch. Stattdessen wird auf die bei der DAkkS (Deutsche Akkreditierungsstelle) akkreditierten Organisationen verwiesen, welche es aktuell aber auch noch nicht zu geben scheint (Quelle: BayLDA – Zertifizierung). (Stand vom 22.11.2022)
Offene Fragen
Viele Fragen, die DiGA-Hersteller aktuell beschäftigen, können heute leider noch nicht geklärt werden. Dazu zählen unter anderem:
- Wer kann entsprechende Prüfungen durchführen, die für die Zertifizierung benötigt werden?
- Wie lange dauern die Zertifizierungsverfahren?
- Wie viel kosten die Zertifizierungen?
- etc.
Die zentralen Informationen fehlen also noch, mit denen DiGA-Hersteller die gesetzlichen Vorgaben erfüllen können.
Auf der Webseite des BfArM steht aktuell noch: “In einem weiteren Schritt werden zukünftig die Datenschutz- und Datensicherheitsanforderungen im Rahmen von Zertifizierungsverfahren geprüft. Diese werden derzeit vorbereitet. Hierzu steht das BfArM im engen Austausch mit dem Bundesministerium für Gesundheit (BMG), dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).” (Stand vom 22.11.2022)
Vorbereitung auf die Zertifizierung
Die Fragen zu den bald verpflichtenden Zertifikaten sind leider noch nicht alle abschließend geklärt. Was aber schon heute gesagt werden kann: Die TR-03161 zur Umsetzung von Datensicherheitsstandards und die Prüfkriterien zum Datenschutz des BfArM sind bereits verfügbar. Dabei gibt es speziell bei der technischen Umsetzung einige Stolpersteine, welche DiGA-Herstellern die Zertifizierung kosten können. Falls Sie die Entwicklung einer DiGA oder Medical App planen, treten Sie gern mit uns in Kontakt. Wir entwickeln Ihre Software und setzen dabei alle relevanten regulatorischen Anforderungen um.
Sprechen Sie uns einfach an – Zum Kontaktformular
Wenn Sie die Umsetzung einer DiGA oder DiPA planen, könnten auch folgende Artikel hilfreich sein:
- Ist Ihre App eine DiGA? Definition & Kriterien digitaler Gesundheitsanwendungen
- Interoperabilität für digitale Gesundheitsanwendungen (DiGA)
- DiGA-Preisverhandlung mit dem GKV-Spitzenverband
- DiGAV und DVG: wichtige Links
- Leitfaden zur DiGAV: Digitale-Gesundheitsanwendungen-Verordnung
- DiPA-Leitfaden: digitale Anwendungen für die Pflege