Datensicherheitszertifizierung nach § 139e Absatz 10 SGB V und § 78a Absatz 7 SGB XI

Hinweis: Gemäß § 139e Absatz 10 Fünftes Buch Sozialgesetzbuch (SGB V) und § 78a Absatz 7 Elftes Buch Sozialgesetzbuch (SGB XI) müssen Hersteller von digitalen Gesundheits- und Pflegeanwendungen die Erfüllung der Anforderungen an die Datensicherheit anhand der Technischen Richtlinien spätestens ab dem 01.01.2025 unter Vorlage eines entsprechenden Zertifikats nachweisen. Hierzu ergeben sich die folgenden Vorgaben:

Für bereits im Verzeichnis gelistete DiGA bzw. DiPA gilt:
Grundsätzlich besteht die Anforderung, dass zum 01.01.2025 ein Zertifikat zum Nachweis der Erfüllung der Anforderungen an die Datensicherheit vorgelegt werden muss. Sollte es auf Grund von Engpässen bei den zur Verfügung stehenden Prüfstellen oder einer längeren Bearbeitungszeit auf Grund notwendiger Rücksprachen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht möglich sein, diesen Termin einzuhalten, so muss dies dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zur Absprache des weiteren Vorgehens gemeldet werden. Es ist jedoch zwingende Voraussetzung, dass bereits eine Kontaktaufnahme mit einer Prüfstelle erfolgt ist. Hat sich ein Hersteller noch nicht rechtzeitig um eine Zertifizierung bemüht, ist nach Einzelfallprüfung auch eine Streichung aus dem entsprechenden Verzeichnis möglich. Im Fall von laufenden Zertifizierungsverfahren gibt es keine Frist, bis wann die Verfahren abgeschlossen sein müssen und es droht somit unmittelbar auch keine Streichung aus dem DiGA-Verzeichnis aufgrund des noch nicht vorhandenen Zertifikats. Die Verfahren müssen aber schnellstmöglich beendet werden.

Für DiGA/DiPA im laufenden Antragsverfahren und für neu zu stellende Anträge gilt:
Ab 01.01.2025: Die Vorlage eines Zertifikats zum Nachweis der Erfüllung der Anforderungen an die Datensicherheit ist Voraussetzung für die Aufnahme in das entsprechende Verzeichnis. Bei Anträgen auf Aufnahme in das entsprechende Verzeichnis, die sich zu diesem Zeitpunkt in der inhaltlichen Prüfphase befinden, kann eine Ausstellung eines positiven Bescheids erst dann erfolgen, wenn ein entsprechendes Zertifikat vorgelegt werden kann. Für einen Übergangszeitraum bis zum 30.06.2025 genügt es für den Fall von Verzögerungen bei der Durchführung der Zertifizierung, dass das erforderliche Zertifikat während des laufenden Prüfverfahrens eingereicht wird. Dies bedeutet, dass in diesen Fällen die inhaltliche Antragsprüfung auch ohne vorliegendes Zertifikat bereits beginnt. Zwingende Voraussetzung hierfür ist bei Antragsstellung die Vorlage der Terminbestätigung einer zuständigen Prüfstelle. Eine Aufnahme in das entsprechende Verzeichnis ohne Vorlage des Zertifikats ist jedoch nicht möglich. Für Anträge, die sich ab dem 01.07.2025 noch in der formalen Phase befinden, ist das Zertifikat Voraussetzung für die formale Vollständigkeit des Antrags. Legt der Hersteller unvollständige Antragsunterlagen vor, fordert ihn das BfArM unter Nennung der fehlenden Unterlagen und Angaben auf, den Antrag innerhalb einer Frist von bis zu drei Monaten zu ergänzen (siehe § 16 Absatz 2 der Digitale Gesundheitsanwendungen-Verordnung). Liegen nach Ablauf der Frist keine vollständigen Antragsunterlagen vor, hat das BfArM den Antrag durch Bescheid abzulehnen.

Allgemeine Informationen:
Seit fast fünf Jahren können in Deutschland DiGA von Ärzten und Psychotherapeuten verschrieben und von den gesetzlichen Krankenkassen erstattet werden. Damit Patientinnen und Patienten solche Anwendungen sicher nutzen können, werden sie vom BfArM u. a. auf die Einhaltung der Datensicherheitsanforderungen geprüft. Wenn dabei Mängel auffallen, müssen die Hersteller nachbessern. Mit der Ersten Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung (1. DiGAVÄndV) und der Änderung des § 139e SGB V hat der Gesetzgeber erweiterte Regelungen geschaffen, welche künftig eine noch intensivere Prüfung und die Vorlage eines Datensicherheitszertifikats vorsehen.

Das BSI hat im Einvernehmen mit dem BfArM und im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) die maßgeblichen Technischen Richtlinien für die Zertifikate nach § 139e Absatz 10 SGB V und § 78a Absatz 7 SGB XI aktualisiert. Die Technischen Richtlinien sind Grundlage für Zertifikate, mit denen Hersteller von digitalen Gesundheits- und Pflegeanwendungen nachweisen, dass ihre Anwendungen bestimmte Anforderungen an die Datensicherheit einhalten.

Die maßgeblichen Technischen Richtlinien sind zu finden unter:

Die Richtlinien gliedern sich thematisch wie folgt:

• Teil 1 für mobile Anwendungen (Version 3.0): https://www.bsi.bund.de/dok/TR-03161-1
• Teil 2 für Web-Anwendungen (Version 2.0): https://www.bsi.bund.de/dok/TR-03161-2
• Teil 3 für Hintergrundsysteme (Version 2.0): https://www.bsi.bund.de/dok/TR-03161-3

Weitere Informationen, u. a. auch zu erlaubten Authentisierungsverfahren, finden sich zudem in den FAQs zur TR-03161, die vom BSI veröffentlicht wurden:

Eine Liste an prüfberechtigten Stellen ist auf der Webseite des BSI veröffentlicht: