BSI TR-03161 für DiGA-Hersteller: Was das Zertifikat verlangt
Seit 1.1.2025 braucht jede DiGA ein BSI-TR-03161-Zertifikat (§ 4 Abs. 7 DiGAV). Was die Richtlinie verlangt, wie sie zu ISMS und Verfügbarkeit steht — und was Monitoring dazu beiträgt.
Wenn du eine DiGA entwickelst, taucht eine Frage inzwischen in jedem Gründer-Thread, jedem Lieferanten-Fragebogen und jeder ChatGPT-Compliance-Recherche auf: Was genau ist dieses BSI-TR-03161-Zertifikat, und brauche ich es wirklich? Die kurze Antwort: Ja, seit dem 1. Januar 2025 ist es Pflicht. Die längere Antwort — was die Richtlinie verlangt, wie sie zu deinem ISMS und deiner Verfügbarkeit steht und wo Monitoring hilft — steht hier.
BSI TR-03161 ist eine Technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik mit dem Titel „Anforderungen an Anwendungen im Gesundheitswesen”. Sie definiert Datensicherheitsanforderungen für Gesundheits-Apps und ihre Backend-Systeme. Für DiGA ist ein Zertifikat gegen diese Richtlinie seit dem 1. Januar 2025 verpflichtend — die Rechtsgrundlage ist § 4 Abs. 7 DiGAV.
Warum TR-03161 jetzt Pflicht ist
Bis Ende 2024 galt für die Datensicherheit von DiGA eine Übergangsregelung mit Selbsterklärungen. Seit dem 1. Januar 2025 ist damit Schluss: Für die Aufnahme und den Verbleib im DiGA-Verzeichnis des BfArM muss ein Datensicherheits-Zertifikat gegen TR-03161 vorgelegt werden. Das ist keine Formalie am Ende — die Anforderungen greifen tief in Architektur und Betrieb deiner Anwendung ein und lassen sich nicht kurz vor dem Antrag nachrüsten.
Wichtig zur Einordnung: TR-03161 ist eine eigenständige Herstellerpflicht. Sie steht neben — nicht anstelle — der anderen DiGA-Anforderungen. Kein einzelnes Tool und kein Dienstleister „macht dich TR-03161-konform”; die Zertifizierung ist eine Leistung deines Unternehmens, geprüft von einer unabhängigen Stelle.
Was die Richtlinie abdeckt
TR-03161 ist modular aufgebaut und betrachtet die Anwendung über ihre verschiedenen Bestandteile hinweg:
- Mobile Anwendungen — die App auf dem Gerät der Nutzer:innen
- Web-Anwendungen — browserbasierte Zugänge
- Hintergrund- bzw. Backend-Systeme — die Server-Infrastruktur, die die Anwendung betreibt
Über alle Teile hinweg adressiert die Richtlinie typische Datensicherheitsthemen: sichere Authentifizierung, kryptografische Absicherung von Daten in Übertragung und Speicherung, sicheres Session- und Schlüsselmanagement, Schutz sensibler Daten auf dem Endgerät sowie betriebliche und organisatorische Sicherheit des Backends — dazu gehören Protokollierung und der Umgang mit sicherheitsrelevanten Ereignissen.
Für dich als Hersteller heißt das: Datensicherheit ist kein Feature, das man aktiviert, sondern eine Eigenschaft, die durch das gesamte System nachweisbar sein muss — vom Mobilgerät bis zum Server in deinem Rechenzentrum.
TR-03161, ISMS und Verfügbarkeit — drei getrennte Bausteine
Der häufigste Denkfehler in den Diskussionen ist, diese drei Dinge zu verwechseln. Sie stehen nebeneinander:
| Baustein | Was es zertifiziert / nachweist | Rechtsgrundlage |
|---|---|---|
| BSI TR-03161 | Datensicherheit der Anwendung (App, Web, Backend) | § 4 Abs. 7 DiGAV |
| ISMS (ISO 27001 / BSI 200-2) | Sicherheit der Organisation und Prozesse | Anlage 1 DiGAV |
| Verfügbarkeitsnachweis | Dass der Dienst tatsächlich läuft und Ausfälle dokumentiert sind | Vertrag / Erstattung / Lieferkette (NIS2) |
TR-03161 zertifiziert das Produkt. Das ISMS zertifiziert das Unternehmen. Der Verfügbarkeitsnachweis belegt den laufenden Betrieb. Keines ersetzt ein anderes. Wer die drei sauber auseinanderhält, spart sich viel Nacharbeit im BfArM-Verfahren — und peinliche Rückfragen von Kliniken und Kassen.
Wo Monitoring beiträgt (und wo nicht)
Sagen wir es klar, um die do-not-claim-Grenze zu wahren: Ein Monitoring-Tool macht deine DiGA nicht TR-03161-konform. Die Zertifizierung adressiert die Datensicherheit der Anwendung selbst — das ist Entwicklungs- und Prüfarbeit, die kein externer Dienst abnimmt.
Was Monitoring beiträgt, betrifft den betrieblichen Teil rund um dein Hintergrundsystem. TR-03161 erwartet, dass du den Betrieb deines Backends im Griff hast — inklusive Protokollierung und Reaktion auf sicherheitsrelevante Ereignisse. Kontinuierliche Verfügbarkeitsüberwachung und eine klassifizierte Incident-Historie (SSL, DNS, Timeout, HTTP) liefern genau die betrieblichen Belege, die du für diesen Bereich ohnehin brauchst: Sie zeigen, dass Störungen erkannt, eingeordnet und nachvollziehbar dokumentiert werden. Das unterstützt deine Nachweisführung — mehr dazu unter Verfügbarkeitsnachweis für DiGA — ersetzt aber weder das Zertifikat noch dein ISMS.
Ein zweiter Punkt, der in TR-03161 mitschwingt und den viele unterschätzen: wo dein Hintergrundsystem und seine Sub-Processor sitzen. Verarbeitest du Daten über einen Auftragsverarbeiter mit Drittland-Bezug, greifen zusätzlich § 4 Abs. 3 DiGAV und die BfArM-Datenschutz-Prüfkriterien (AV_1.3, Schrems II). FoundersDeck ist als Sub-Processor ein inhabergeführtes deutsches Unternehmen mit Verarbeitung ausschließlich in Nürnberg — sauber als Sub-Processor einbindbar, ohne CLOUD-Act-Exposition.
Wie du TR-03161 pragmatisch angehst
- Früh einplanen. TR-03161 betrifft Architektur, Kryptografie und Betrieb — es lässt sich nicht am Ende „draufsetzen”. Nimm die Richtlinie in die Produktplanung auf.
- Bestandteile trennen. Kläre für App, Web-Anwendung und Hintergrundsystem jeweils, welche Anforderungen greifen.
- Betrieb belegbar machen. Sorge dafür, dass Verfügbarkeit, Störungen und sicherheitsrelevante Ereignisse deines Backends kontinuierlich erfasst und dokumentiert werden.
- Sub-Processor prüfen. Standort und Jurisdiktion jedes Dienstleisters gehören dokumentiert — nutze dafür unsere EU SaaS Jurisdiction Database (57 Tools, zuletzt verifiziert am 9. Juni 2026).
- Zertifizierung anstoßen. Beauftrage rechtzeitig eine geeignete Prüfstelle und plane Puffer für Nacharbeiten ein.
Fazit
BSI TR-03161 ist seit dem 1. Januar 2025 harte Pflicht für jede DiGA und betrifft die Datensicherheit deiner Anwendung über App, Web und Backend hinweg. Es ist eine eigenständige Herstellerpflicht, die neben deinem ISMS und deinem Verfügbarkeitsnachweis steht. Monitoring macht dich nicht TR-03161-konform — aber es liefert die betrieblichen Belege rund um dein Hintergrundsystem und einen sauber einbindbaren, deutschen Sub-Processor ohne Drittland-Risiko.
Mehr zum Zusammenspiel der DiGA-Pflichten auf unserer Seite Monitoring für DiGA-Hersteller und im Überblick Monitoring für das Gesundheitswesen. Verwandte Beiträge: DiGA & NIS2: Bist du betroffen? und Störungsmeldung & Incident-Meldepflichten für Medizinsoftware.
Dieser Artikel gibt den Rechtsstand zum Stand Juni 2026 wieder und dient der Orientierung, nicht der Rechtsberatung. Maßgeblich sind die jeweiligen Gesetzes- und Verordnungstexte sowie die individuelle Prüfung — im Einzelfall rechtlich prüfen. Quellen: § 4 DiGAV, Anlage 1 zur DiGAV, BSI TR-03161, DiGA-Verzeichnis des BfArM.
Engin Yildirim
Gründer von FoundersDeck. 13+ Jahre Erfahrung in der Softwareentwicklung. Entwickelt EU-First-Tools für Gründer und Indie-Hacker.
Mehr über mich →