Seit dem 1. Januar 2025 ist Schluss mit der Selbsterklärung: DiGA-Hersteller müssen die Einhaltung der Datensicherheits-Anforderungen über ein offizielles Zertifikat nach der BSI TR-03161 nachweisen, um ins DiGA-Verzeichnis aufgenommen zu werden. Damit ist aus einer Empfehlung eine harte Zulassungsvoraussetzung geworden – und für viele Teams der kritische Pfad auf dem Weg in die Erstattung.

Dieser Artikel erklärt, was die BSI TR-03161 ist, welche Anforderungen sie stellt, wie die Zertifizierung abläuft und worauf es speziell beim Thema Authentisierung und Identitätsmanagement ankommt.

Fast jedes DiGA-Team stellt sich früh dieselbe Frage: „Wir kennen Keycloak / Auth0 – können wir das nicht einfach nehmen?" Eine berechtigte Überlegung, denn beide sind ausgereifte Identity-&-Access-Management-Systeme. Die ehrliche Antwort lautet: Für den Login einer Standard-Webanwendung ja – für eine regulierte Digital-Health-Anwendung mit GesundheitsID und BSI-TR-03161-Pflicht stößt man damit an klar benennbare Grenzen.

Dieser Artikel ordnet ein, was Keycloak und Auth0 gut können, wo sie im Gesundheitskontext an Grenzen stoßen und wann ein spezialisiertes Health-IAM die bessere Wahl ist.