Seit dem 1. Januar 2025 ist Schluss mit der Selbsterklärung: DiGA-Hersteller müssen die Einhaltung der Datensicherheits-Anforderungen über ein offizielles Zertifikat nach der BSI TR-03161 nachweisen, um ins DiGA-Verzeichnis aufgenommen zu werden. Damit ist aus einer Empfehlung eine harte Zulassungsvoraussetzung geworden – und für viele Teams der kritische Pfad auf dem Weg in die Erstattung.

Dieser Artikel erklärt, was die BSI TR-03161 ist, welche Anforderungen sie stellt, wie die Zertifizierung abläuft und worauf es speziell beim Thema Authentisierung und Identitätsmanagement ankommt.

Fast jedes DiGA-Team stellt sich früh dieselbe Frage: „Wir kennen Keycloak / Auth0 – können wir das nicht einfach nehmen?" Eine berechtigte Überlegung, denn beide sind ausgereifte Identity-&-Access-Management-Systeme. Die ehrliche Antwort lautet: Für den Login einer Standard-Webanwendung ja – für eine regulierte Digital-Health-Anwendung mit GesundheitsID und BSI-TR-03161-Pflicht stößt man damit an klar benennbare Grenzen.

Dieser Artikel ordnet ein, was Keycloak und Auth0 gut können, wo sie im Gesundheitskontext an Grenzen stoßen und wann ein spezialisiertes Health-IAM die bessere Wahl ist.

Seit Januar 2024 ist es für DiGA-Hersteller verpflichtend, die Authentifizierung ihrer Nutzerinnen und Nutzer über die GesundheitsID zu ermöglichen. Was nach einem überschaubaren „noch-ein-Login-Verfahren" klingt, entpuppt sich in der Praxis als eines der komplexeren Integrationsprojekte auf dem Weg ins DiGA-Verzeichnis – weil dahinter nicht nur ein OAuth-Flow steckt, sondern die gesamte sektorale Identity-Föderation der Telematikinfrastruktur (TI 2.0).

Dieser Artikel erklärt, was die GesundheitsID ist, warum sie Pflicht ist, wie die Integration technisch funktioniert, wo die echten Hürden liegen und wie du den vom BfArM geforderten Nachweis erbringst.