BSI TR-03161

Die BSI TR-03161 (Technische Richtlinie „Anforderungen an Anwendungen im Gesundheitswesen“) ist eine Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI), die Sicherheitsanforderungen für digitale Gesundheitsanwendungen definiert.

Sie verfolgt die grundlegenden Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sensibler medizinischer Daten und dient als Leitfaden für Hersteller und Entwickler, um IT-Sicherheitsmaßnahmen in der Softwareentwicklung zu berücksichtigen. Die TR-03161 richtet sich primär an Anbieter von Anwendungen im Gesundheitswesen, kann aber grundsätzlich für alle Apps herangezogen werden, die persönliche oder sensible Daten verarbeiten.

Seit 2025 ist die Einhaltung der TR-03161 für digitale Gesundheitsanwendungen in Deutschland verpflichtend nachzuweisen, um in das DiGA-Verzeichnis (Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen) aufgenommen zu werden.[1][2]

Hintergrund

Die erste Version der TR-03161 (Teil 1 für mobile Anwendungen) wurde im April 2020 veröffentlicht. Sie entstand als allgemeiner Sicherheitsleitfaden für Gesundheits-Apps (sogenannte DiGA, digitale Gesundheitsanwendungen). Das BSI verfolgte damit das Ziel, unbefugten Zugriff auf hochsensible Gesundheitsdaten zu erschweren und Entwickler dafür zu sensibilisieren, Sicherheitsanforderungen von Beginn an in die App-Entwicklung einzubeziehen.[2]

Die Erstveröffentlichung erfolgte im „Trial-Use“-Status, um Erfahrungen zu sammeln. Bereits vor einer offiziellen Zertifizierung konnten Hersteller die TR-03161 nutzen, um in Form einer Selbsterklärung die Anforderungen des BfArM-Zulassungsverfahrens für digitale Gesundheitsanwendungen (DiGA) zu erfüllen.[3]

In den folgenden Jahren wurde die Richtlinie ausgebaut und aktualisiert. Am 18. Juni 2022 publizierte das BSI ergänzende technische Richtlinien für Web-Anwendungen und Hintergrundsysteme.[4][5]

Inhalt und Aufbau

Die Technische Richtlinie BSI TR-03161 besteht aus drei thematischen Teilen:

  • „Teil 1: Mobile Anwendungen“: IT-Sicherheitsanforderungen für mobile Apps im Gesundheitswesen (Smartphone-Apps, Tablets etc.).
  • „Teil 2: Web-Anwendungen“: IT-Sicherheitsanforderungen für webbasierte Anwendungen im Gesundheitswesen (Websites, Webportale, Web-Applikationen etc.).
  • „Teil 3: Hintergrundsysteme“: IT-Sicherheitsanforderungen für Hintergrund- und Serversysteme, die von Gesundheitsanwendungen genutzt werden (Cloud-Backends, Datenbanken etc.).

Welche Teile der TR-03161 anwendbar sind, hängt von der Architektur der jeweiligen Anwendung ab.[1]

Zertifizierung und gesetzliche Vorgaben

Gemäß § 139e Abs. 10 SGB V und § 78a Abs. 7 SGB XI müssen Hersteller digitaler Gesundheitsanwendungen (DiGA) und digitaler Pflegeanwendungen (DiPA) ab dem 1. Januar 2025 ein Zertifikat vorlegen, das die Einhaltung der Sicherheitsanforderungen nach TR-03161 bestätigt. Dieses Zertifikat ist Voraussetzung für die Aufnahme einer neuen Anwendung in das DiGA- oder DiPA-Verzeichnis beim BfArM. Die aktuellen Sicherheitskriterien für DiGA und DiPA, speziell in Bezug auf die BSI TR-03161, lassen sich auf der offiziellen Website des BfArM nachlesen.[6]

Die Zertifizierung wird von zugelassenen Prüfstellen durchgeführt und vom BSI bestätigt.[7][8]

Kritik

Die Einführung der TR-03161 stößt in der Industrie auf deutliche Kritik. In der Kritik wird unter anderem bemängelt:

  • Hoher Implementierungsaufwand: Die umfangreichen Anforderungen verursachen nach Einschätzung vieler Unternehmen erheblichen Mehraufwand bei Entwicklung und Dokumentation.
  • Usability-Einschränkungen: Strikte Sicherheitsvorgaben stehen laut Kritikern teilweise im Konflikt mit Nutzerfreundlichkeit, z. B. durch komplexe Authentifizierungsprozesse. Dies erschwert den Zugang von Patienten zu digitaler Gesundheitsversorgung maßgeblich.
  • Kostenbelastung: Die notwendige Zertifizierung und kontinuierliche Nachweise führen zu höheren Kosten, die gerade kleinere Anbieter belasten.

Branchenverbände haben in Stellungnahmen wiederholt auf diese Problempunkte hingewiesen und eine bessere Balance zwischen Sicherheit und Praxistauglichkeit gefordert.[9][10][11]

Liste der zertifizierten Anwendungen

Stand 7. Oktober 2025 sind die folgenden digitalen Gesundheitsanwendungen (DiGA) bereits gemäß BSI TR-03161 zertifiziert:[12]

Produkt Hersteller Datum
Kranus Mictera Kranus Health GmbH 15.09.2025
mylovia GAIA AG 12.09.2025
attexis GAIA AG 17.06.2025
ORIKO ADHS-Therapie MiNDNET E-Health Solutions GmbH

(in Kooperation mit Takeda, Softwareentwicklung durch QuickBird Medical[13])

17.06.2025
hiToco - ADHS Elterntraining Medigital GmbH 04.03.2025

Einzelnachweise

  1. a b BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen. Archiviert vom Original am 24. Januar 2025; abgerufen am 27. September 2025 (deutsch).
  2. a b Technische Richtlinie TR-03161: Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen. Bundesamt für Sicherheit in der Informationstechnik (BSI), 25. März 2024, abgerufen am 27. September 2025.
  3. Sicherheitsanforderungen an digitale Gesundheitsanwendungen. Bundesamt für Sicherheit in der Informationstechnik (BSI), 15. April 2020, abgerufen am 27. September 2025.
  4. Technische Richtlinie TR-03161: Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen. Bundesamt für Sicherheit in der Informationstechnik (BSI), 25. März 2024, abgerufen am 27. September 2025.
  5. Technische Richtlinie TR-03161: Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme. Bundesamt für Sicherheit in der Informationstechnik (BSI), 25. März 2024, abgerufen am 27. September 2025.
  6. BfArM - DiGA und DiPA Datensicherheitskriterien. Archiviert vom Original am 13. April 2025; abgerufen am 27. September 2025.
  7. Liste TR Prüfstellen. Bundesamt für Sicherheit in der Informationstechnik (BSI), abgerufen am 27. September 2025.
  8. FAQ zur TR-03161. Bundesamt für Sicherheit in der Informationstechnik (BSI), abgerufen am 27. September 2025.
  9. Herstellerverbände kritisieren neue BSI-Richtlinie. Handelsblatt, 15. Juni 2022, abgerufen am 27. September 2025.
  10. Stellungnahme Bundesverband Internetmedizin e. V. Referentenentwurf „Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungsfähigkeit digitaler Pflegeanwendungen in der Sozialen Pflegeversicherung (Verordnung zur Erstattungsfähigkeit digitaler Pflegeanwendungen – VDiPA). In: Bundesgesundheitsministerium. Bundesverband Internetmedizin e. V., 31. Juli 2022, abgerufen am 27. September 2025.
  11. Pain Points und Fakten zur BSI TR-03161 aus Sicht von DiGA-Herstellern. In: Bundestag: Lobby Register. Spitzenverband Digitale Gesundheitsversorgung e.V., 19. Juni 2025, abgerufen am 27. September 2025.
  12. Zertifizierte Produkte nach TR: Digitale Gesundheitsanwendungen. Bundesamt für Sicherheit in der Informationstechnik (BSI), abgerufen am 7. Oktober 2025.
  13. ORIKO® als erste DiGA für Erwachsene mit ADHS gelistet. In: QuickBird Medical. Abgerufen am 7. Oktober 2025 (deutsch).
Dieser Artikel wurde von Wikipedia herausgegeben. Der Text ist unter Creative Commons Attribution-Share Alike 4.0 verfügbar, sofern nicht anders angegeben. Für die Mediendateien können zusätzliche Bedingungen gelten.