Seit dem 1. Januar 2025 ist Schluss mit der Selbsterklärung: DiGA-Hersteller müssen die Einhaltung der Datensicherheits-Anforderungen über ein offizielles Zertifikat nach der BSI TR-03161 nachweisen, um ins DiGA-Verzeichnis aufgenommen zu werden. Damit ist aus einer Empfehlung eine harte Zulassungsvoraussetzung geworden – und für viele Teams der kritische Pfad auf dem Weg in die Erstattung.

Dieser Artikel erklärt, was die BSI TR-03161 ist, welche Anforderungen sie stellt, wie die Zertifizierung abläuft und worauf es speziell beim Thema Authentisierung und Identitätsmanagement ankommt.

Seit Januar 2024 ist es für DiGA-Hersteller verpflichtend, die Authentifizierung ihrer Nutzerinnen und Nutzer über die GesundheitsID zu ermöglichen. Was nach einem überschaubaren „noch-ein-Login-Verfahren" klingt, entpuppt sich in der Praxis als eines der komplexeren Integrationsprojekte auf dem Weg ins DiGA-Verzeichnis – weil dahinter nicht nur ein OAuth-Flow steckt, sondern die gesamte sektorale Identity-Föderation der Telematikinfrastruktur (TI 2.0).

Dieser Artikel erklärt, was die GesundheitsID ist, warum sie Pflicht ist, wie die Integration technisch funktioniert, wo die echten Hürden liegen und wie du den vom BfArM geforderten Nachweis erbringst.