Zum Hauptinhalt springen
News & Insights

Das Update für
Digital Health.

Technologische Tiefe, regulatorische Updates und Einblicke in die Zukunft der Gesundheitsidentitäten.

7 min read

BSI TR-03161 für DiGAs: Anforderungen, Zertifizierungspflicht und was fürs Identitätsmanagement gilt

azuma Team
azuma Team
Core Team

Seit dem 1. Januar 2025 ist Schluss mit der Selbsterklärung: DiGA-Hersteller müssen die Einhaltung der Datensicherheits-Anforderungen über ein offizielles Zertifikat nach der BSI TR-03161 nachweisen, um ins DiGA-Verzeichnis aufgenommen zu werden. Damit ist aus einer Empfehlung eine harte Zulassungsvoraussetzung geworden – und für viele Teams der kritische Pfad auf dem Weg in die Erstattung.

Dieser Artikel erklärt, was die BSI TR-03161 ist, welche Anforderungen sie stellt, wie die Zertifizierung abläuft und worauf es speziell beim Thema Authentisierung und Identitätsmanagement ankommt.

Was ist die BSI TR-03161?

Die Technische Richtlinie BSI TR-03161 „Anforderungen an Anwendungen im Gesundheitswesen" wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben. Sie definiert konkrete, prüfbare Sicherheitsanforderungen für Gesundheits-Anwendungen – mit dem Ziel, hochsensible Gesundheitsdaten von Beginn an zu schützen (Security by Design).

Die Richtlinie besteht aus drei Teilen, je nach Architektur deiner Anwendung:

  • TR-03161-1 – Anforderungen an mobile Anwendungen (iOS, Android)
  • TR-03161-2 – Anforderungen an Web-Anwendungen
  • TR-03161-3 – Anforderungen an Hintergrundsysteme (Backend-Services)

Für eine typische DiGA mit App, Web-Komponente und Backend sind in der Regel mehrere Teile gleichzeitig relevant. Die Anforderungen sind in thematische Blöcke gegliedert – darunter Architektur, sicherer Quellcode, Kryptografie, Authentisierung, Session-Management, Datenspeicherung und Netzwerkkommunikation.

Rechtlicher Rahmen und die Zertifizierungspflicht seit 2025

Die Grundlage liegt in § 139e SGB V in Verbindung mit der DiGA-Verordnung (DiGAV), verankert über das Digitale-Versorgung-Gesetz (DVG) und das DVPMG. Mit der 1. Verordnung zur Änderung der DiGAV (1. DiGAVÄndV) und der Anpassung des § 139e SGB V hat der Gesetzgeber die Vorlage eines Datensicherheitszertifikats auf Basis der BSI TR-03161 verpflichtend gemacht.

Konkret bedeutet das:

  • Neue DiGA-Anträge: Für die Aufnahme ins DiGA-Verzeichnis ist eine Zertifizierung nach BSI TR-03161 inzwischen zwingend erforderlich.
  • Bereits gelistete DiGA: Hier duldet das BfArM ein noch fehlendes Zertifikat aktuell nur, solange der Hersteller nachweisen kann, dass er sich bereits im laufenden Zertifizierungsprozess befindet – also mindestens Kontakt zu einer Prüfstelle aufgenommen hat. Diese Praxis kann sich jederzeit ändern.

Wer also neu listen will oder eine wesentliche Änderung plant, sollte die Zertifizierung früh einplanen – sie ist kein nachgelagerter Formalakt, sondern Teil des kritischen Pfads.

Wie läuft die Zertifizierung ab?

Die Prüfung wird von akkreditierten Prüfstellen (z.B. große Prüforganisationen) durchgeführt und anschließend vom BSI bestätigt. Die Entscheidung über Aufnahme und Verbleib im Verzeichnis trifft am Ende das BfArM.

Wichtig zu verstehen: Die Bewertung ist risikobasiert. Grundlage des Prüfurteils ist ein dokumentiertes Risikomanagementverfahren – die im Produkt umgesetzten Schutzmaßnahmen und deren Wirksamkeit fließen in die Bewertung ein. Das Verfehlen eines einzelnen Prüfaspekts führt nicht automatisch zum Scheitern, wenn das Restrisiko nachvollziehbar bewertet und behandelt ist.

Ein Zertifikat nach BSI TR-03161 ist üblicherweise bis zu fünf Jahre gültig. Nach Ablauf oder nach wesentlichen, sicherheitsrelevanten Änderungen am Produkt ist eine Rezertifizierung nötig, deren Umfang sich auf die geänderten Teile beschränken kann.

Die BSI TR-03161 steht außerdem nicht allein: Für die Listung kommen typischerweise ein nach ISO/IEC 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) sowie – bei ausgelagertem Hosting – ein C5-Testat (Typ 2) der Cloud- bzw. Infrastruktur-Anbieter hinzu. Auch ausgelagerte Komponenten müssen die Anforderungen der TR-03161 einhalten.

Die Anforderungen rund um Identität und Authentisierung

Ein erheblicher und oft unterschätzter Teil der TR-03161 betrifft genau den Bereich, in dem die meisten DiGAs früh Fehler machen: Authentisierung, Session-Management und sichere Speicherung von Identitätsdaten. Die relevanten Anforderungsblöcke:

  • Authentisierung: Sichere Anmeldeverfahren, Schutz vor Brute-Force, angemessene Faktoren (MFA), passwortlose Verfahren. Ein zentraler Punkt: Die Anforderung O.Auth_4 eröffnet im Rahmen der Zertifizierung explizit die Anbindung an einen sektoralen Identity Provider – einheitlich geregelt über die gematik-„Spezifikation Sektoraler Identity Provider", abgestimmt mit BSI und BfDI. Damit ist die GesundheitsID direkt mit der TR-03161 verzahnt.
  • Session-Management: Sichere Sitzungsverwaltung, Timeouts, sauberes Invalidieren von Tokens, Schutz vor Session-Hijacking.
  • Kryptografie: Einsatz geeigneter, aktueller Verfahren und Schlüssellängen – sowohl für gespeicherte Daten als auch für die Kommunikation.
  • Device Binding & sichere Speicherung: Schutz von Schlüsseln und Tokens auf dem Endgerät, Nutzung der sicheren Hardware-Elemente der Plattform. Die hardwareseitige Kopplung von Identitäten an Endgeräte ist ein wiederkehrendes Thema in der Richtlinie.
  • Sichere Kommunikation: Verschlüsselte Übertragung (TLS) mit korrekter Zertifikatsprüfung.

Gerade weil O.Auth_4 die Brücke zur GesundheitsID schlägt, lohnt sich der Blick auf beide Themen zusammen – wie die GesundheitsID-Anbindung technisch funktioniert, haben wir im Detail im Beitrag GesundheitsID in eine DiGA integrieren beschrieben.

Wie ein konformer IAM-Baustein den Prüfumfang verkleinert

Hier liegt der praktische Hebel. Die TR-03161 prüft die gesamte Anwendung – aber ein großer, eigenständig prüfbarer Teil der Anforderungen entfällt auf Identität und Authentisierung. Wer diesen Block über einen bereits nach BSI TR-03161 entwickelten Baustein abdeckt, reduziert sowohl den Entwicklungs- als auch den Prüfaufwand spürbar.

Prüfumfang BSI TR-03161 mit azuma

Genau dafür ist azuma doa gebaut: ein Health-IAM, das die identitäts- und authentisierungsbezogenen Anforderungen – MFA, Device Binding (eine Kernforderung der TR-03161 für medizinische Apps), Passkeys und FIDO2-Biometrie, sichere Session- und Token-Verwaltung, vorgefertigte Registrierungs- und Recovery-Flows – out-of-the-box mitbringt. Die GesundheitsID-Föderation aus O.Auth_4 deckt darüber hinaus azuma mimoto ab.

Dass das in der Praxis trägt, zeigt der Blick aufs Feld: Zum Zeitpunkt dieses Beitrags haben bereits mehrere azuma-Kunden den Zertifizierungsprozess nach BSI TR-03161 mit azuma doa als eingesetztem IAM erfolgreich durchlaufen – nach unserem Kenntnisstand als bislang einziger Third-Party-SaaS-IAM, der diesen Nachweis in DiGA-Projekten erbracht hat.

Ehrlich eingeordnet: Ein IAM-Baustein zertifiziert nicht eure gesamte DiGA – die Verantwortung für das Gesamtprodukt bleibt beim Hersteller. Aber er nimmt einen anspruchsvollen, fehleranfälligen Teil aus eurem Scope heraus und liefert die Dokumentation, die ihr für genau diesen Bereich gegenüber der Prüfstelle braucht.

Checkliste: BSI TR-03161 für deine DiGA

  1. Architektur einordnen – Welche Teile (1 mobil / 2 web / 3 Backend) treffen auf dich zu?
  2. Prüfstelle früh kontaktieren – Termine und Bearbeitungszeiten sind der Engpass; frühzeitige Kontaktaufnahme ist auch für gelistete DiGA relevant.
  3. Risikomanagement dokumentieren – Es ist die Grundlage des Prüfurteils, nicht ein Anhang.
  4. Identitäts-/Auth-Scope klären – Selbst bauen oder über einen konformen Baustein abdecken (inkl. GesundheitsID/O.Auth_4)?
  5. Flankierende Nachweise – ISO/IEC 27001 ISMS und C5 (Typ 2) für ausgelagertes Hosting bereithalten.
  6. Rezertifizierung mitdenken – Gültigkeit (bis zu fünf Jahre) und sicherheitsrelevante Änderungen im Lebenszyklus einplanen.

Häufige Fragen

Ist die BSI TR-03161 für DiGAs verpflichtend?

Ja. Seit dem 1. Januar 2025 müssen DiGA-Hersteller die Einhaltung der Datensicherheits-Anforderungen über ein Zertifikat nach BSI TR-03161 nachweisen. Für neue Anträge ist es Zulassungsvoraussetzung; bei bereits gelisteten DiGA wird ein laufender Zertifizierungsprozess derzeit übergangsweise geduldet.

Was ist der Unterschied zwischen TR-03161-1, -2 und -3?

Teil 1 betrifft mobile Anwendungen, Teil 2 Web-Anwendungen und Teil 3 Hintergrundsysteme (Backend). Eine DiGA mit App, Web und Backend muss in der Regel mehrere Teile gleichzeitig erfüllen.

Wer stellt das Zertifikat aus?

Die Prüfung erfolgt durch akkreditierte Prüfstellen und wird vom BSI bestätigt. Über Aufnahme und Verbleib im DiGA-Verzeichnis entscheidet das BfArM.

Wie hängt die BSI TR-03161 mit der GesundheitsID zusammen?

Über die Anforderung O.Auth_4: Sie eröffnet im Rahmen der Zertifizierung die Anbindung an einen sektoralen Identity Provider – geregelt über die gematik-Spezifikation. Authentisierung nach TR-03161 und GesundheitsID-Integration sind dadurch eng verknüpft.

Reicht ein IAM-Baustein für die Zertifizierung?

Nein – die Zertifizierung betrifft das Gesamtprodukt. Ein nach BSI TR-03161 entwickelter IAM-Baustein deckt aber den Identitäts- und Authentisierungs-Teil ab, reduziert den Prüfumfang und liefert die zugehörige Dokumentation.

Du bereitest die Zertifizierung deiner DiGA vor und willst den Identitäts- und Authentisierungs-Teil nicht selbst bauen? Vereinbare ein Gespräch oder sichere dir einen kostenlosen Developer-Zugang und sieh dir an, wie azuma doa die TR-03161-Anforderungen ans Identitätsmanagement abdeckt.