Datensicherheitskriterien nach § 139e Absatz 10 SGB V und § 78a Absatz 7 SGB XI

Hinweis: Gemäß § 139e Absatz 10 Fünftes Buch Sozialgesetzbuch (SGB V) und § 78a Absatz 7 Elftes Buch Sozialgesetzbuch (SGB XI) müssen Hersteller von digitalen Gesundheits- und Pflegeanwendungen die Erfüllung der Anforderungen an die Datensicherheit anhand der Technischen Richtlinien spätestens ab dem 01.01.2025 unter Vorlage eines entsprechenden Zertifikats nachweisen. Hierzu ergeben sich die folgenden Vorgaben:

Für bereits im Verzeichnis gelistete DiGA bzw. DiPA gilt:
Grundsätzlich besteht die Anforderung, dass zum 01.01.2025 ein Zertifikat zum Nachweis der Erfüllung der Anforderungen an die Datensicherheit vorgelegt werden muss. Sollte es im Einzelfall auf Grund von Engpässen bei den zur Verfügung stehenden Zertifizierstellen oder einer längeren Bearbeitungszeit auf Grund notwendiger Rücksprachen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht möglich sein, diesen Termin einzuhalten, so muss dies dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zur Absprache des weiteren Vorgehens gemeldet werden. Es ist jedoch zwingende Voraussetzung, dass bereits eine Kontaktaufnahme mit einer Zertifizierstelle erfolgt ist. Hat sich ein Hersteller noch nicht rechtzeitig um eine Zertifizierung bemüht, ist nach Einzelfallprüfung auch eine Streichung aus dem entsprechenden Verzeichnis möglich.

Für DiGA/DiPA im laufenden Antragsverfahren und für neu zu stellende Anträge gilt:
Ab 01.01.2025: Die Vorlage eines Zertifikats zum Nachweis der Erfüllung der Anforderungen an die Datensicherheit ist in der Regel Voraussetzung für die formale Vollständigkeit des Antrags für alle Anträge, die sich ab diesem Zeitpunkt in der formalen Prüfung befinden. Bei Anträgen auf Aufnahme in das entsprechende Verzeichnis, die sich zu diesem Zeitpunkt bereits in der inhaltlichen Prüfphase befinden, kann eine Ausstellung eines positiven Bescheids erst dann erfolgen, wenn ein entsprechendes Zertifikat vorgelegt werden kann. Für einen Übergangszeitraum bis zum 30.06.2025 genügt es für den Fall von Verzögerungen bei der Durchführung der Zertifizierung, dass das erforderliche Zertifikat während des laufenden Prüfverfahrens eingereicht wird. Zwingende Voraussetzung hierfür ist bei Antragsstellung die Vorlage der Terminbestätigung einer zuständigen Zertifizierstelle. Eine Aufnahme einer DiGA/DiPA in das jeweilige Verzeichnis ohne Vorlage des Zertifikats ist nicht möglich.

Allgemeine Informationen:
Seit rund drei Jahren können in Deutschland DiGA von Ärzten und Psychotherapeuten verschrieben und von den gesetzlichen Krankenkassen erstattet werden. Damit Patientinnen und Patienten solche Anwendungen sicher nutzen können, werden sie vom BfArM u. a. auf die Einhaltung der Datensicherheitsanforderungen geprüft. Wenn dabei Mängel auffallen, müssen die Hersteller nachbessern. Mit der Ersten Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung (1. DiGAVÄndV) und der Änderung des § 139e SGB V hat der Gesetzgeber erweiterte Regelungen geschaffen, welche künftig eine noch intensivere Prüfung und die Vorlage eines Datensicherheitszertifikats vorsehen.
Das BSI hat im Einvernehmen mit dem BfArM und im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) die maßgeblichen Technischen Richtlinien für die Zertifikate nach § 139e Absatz 10 SGB V und § 78a Absatz 7 SGB XI aktualisiert. Die Technischen Richtlinien werden künftig Grundlage für neue Zertifikate sein, mit denen Hersteller von digitalen Gesundheits- und Pflegeanwendungen nachweisen, dass ihre Anwendungen bestimmte Anforderungen an die Datensicherheit einhalten.

Die maßgeblichen Technischen Richtlinien sind zu finden unter:

Die Richtlinien gliedern sich thematisch wie folgt:

• Teil 1 für mobile Anwendungen (Version 3.0): https://www.bsi.bund.de/dok/TR-03161-1
• Teil 2 für Web-Anwendungen (Version 2.0): https://www.bsi.bund.de/dok/TR-03161-2
• Teil 3 für Hintergrundsysteme (Version 2.0): https://www.bsi.bund.de/dok/TR-03161-3

Eine Liste an prüfberechtigten Stellen ist auf der Webseite des BSI veröffentlicht: