Nachweis über Datensicherheit: BSI TR-03161 für DiGA- & DiPA-Hersteller ab 2025 verpflichtend

Datensicherheit: BSI TR-03161 als neue Nachweisgrundlage

Seit mittlerweile drei Jahren haben Patient:innen die Möglichkeit, sogenannte „Apps auf Rezept“ verschrieben zu bekommen. Damit sie diese auch sicher nutzen können, müssen digitale Gesundheitsanwendungen (DiGA) die in der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) festgelegten Anforderungen an die IT-Sicherheit, den Datenschutz und die Datensicherheit erfüllen. 

Bisher legte der DiGA-Leitfaden in Bezug auf den Aspekt der Datensicherheit fest, dass die Erfüllung der Anforderungen gemäß § 139e Absatz 10 SGB V durch ein entsprechendes Zertifikat nachzuweisen ist. Nun verkündete das Bundesinstitut für Arzneimittel und Medizin­produkte (BfArM) offiziell, dass zukünftig die Technische Richtlinie BSI TR-03161 die Grundlage für neue Zertifikate sein wird, mit denen die Datensicherheit einer Anwendung belegt werden kann. Der Nachweis über die Datensicherheit nach der Technischen Richtlinie muss von Herstellern spätestens ab dem 1. Januar 2025 vorgelegt werden. Es empfiehlt sich daher, sich frühzeitig auf die Prüfung und Zertifizierung nach BSI TR-03161 vorzubereiten.

Mit der Aktualisierung der Datensicherheitskriterien für DiGA wurden zeitgleich auch die Anforderungen an digitale Pflegeanwendungen überarbeitet. Auch hier gilt die BSI TR-03161 in Zukunft – und ab dem 01.01.2025 verpflichtend – als Nachweisgrundlage für die Datensicherheit einer Anwendung. Zudem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie in Teilen überarbeitet, sodass sie in einer aktualisierten Version vorliegt.

Als anerkannte Prüfstelle bietet TÜV Informationstechnik (TÜVIT) sowohl Herstellern von digitalen Gesundheits- als auch Pflegeanwendungen die erforderlichen Prüfungen nach den Sicherheitsanforderungen der TR-03161 an. 

Zusätzliche Aktualisierung der Datenschutz-Kriterien

Über die BSI TR-03161 hinaus sind auch die Prüfkriterien für die Anforderungen an den Datenschutz bei DiGA und DiPA aktualisiert worden. Nach DiGA-Leitfaden sind diese ab dem 01.08.2024 verpflichtend. Sie umfassen die Anforderungen der europäischen Datenschutz-Grundverordnung (EU-DSGVO), ergänzen diese jedoch noch um erweiterte Anforderungen speziell für DiGA und DiPA.

Da sich das spezifische Datenschutzzertifikat aktuell noch in der Entwicklung durch das BfArM befindet, gibt es zum jetzigen Zeitpunkt noch keine akkreditierten Zertifizierungsstellen zur Durchführung einer Zertifizierung gemäß der Datenschutzkriterien nach § 139e Absatz 11 SGB V und § 78a Absatz 8 SGB XI. Weiterhin können sich noch Änderungen der Prüfkriterien ergeben. Folglich wird die Vorlage des Datenschutzzertifikates erst offiziell eingefordert, wenn die technischen und organisatorischen Voraussetzungen dafür geschaffen sind.

Dennoch ist es ratsam, sich möglichst zeitig mit den veröffentlichten Datenschutzkriterien auseinanderzusetzen und sich auf diese entsprechend vorzubereiten, da sie die reinen DSGVO-Anforderungen übersteigen. Zu finden sind diese auf der Website des BfArM. Bei der optimalen Vorbereitung unterstützt TÜVIT Hersteller in Form von Datenschutz-Reifegrad-Assessments auf Basis der Datenschutzkriterien.