Fünf Nachweise. Fünf Wirkungen. Eine Plattform.

Der deutsche DTx-Markt ist voll von Zertifikats-Aussagen, die bei genauem Hinsehen wenig tragen: “DSGVO-konform” ist keine Zertifizierung, “BSI-konform” ohne TR-Verweis ist keine Aussage, “ISO-ähnliches QMS” ist gar nichts. Diese Seite beschreibt, welche fünf Nachweise wir bei DUX Healthcare führen, was jeder davon für eine Digitale Gesundheitsanwendung (DiGA) bedeutet – und wo der eine Nachweis aufhört und der nächste beginnt.

Jeder der fünf Nachweise adressiert eine andere regulatorische Anforderung aus DiGAV, MDR, § 139e SGB V oder BSI-Katalog. Fehlt einer, hat der BfArM-Antrag eine Lücke. Liegen alle vor, wird aus der Antrags-Vollständigkeitsprüfung nach DiGAV § 16 Abs. 1↗ kein Rückfrage-Zyklus mehr, sondern eine Formalie. Das ist der ökonomische Unterschied.

Was es ist. Die BSI TR-03185 ist eine Technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik, die den gesamten Software-Entwicklungsprozess eines Herstellers bewertet – von Anforderungsanalyse und Architekturentscheidung über Implementierung, Test, Release und Wartung bis zur Post-Market-Pflege. Geprüft wird, wie Software entsteht, nicht wie sie am Ende aussieht.

Was Sie davon haben. Wenn die Prozess-Ebene zertifiziert ist, fällt bei jedem Folgeprodukt, jedem Update, jeder Variante ein großer Teil des Security-Reviews weg – die Prozess-Evidenz gilt organisationsweit und über alle Projekte. Für Ihre DiGA bedeutet das: die Software, auf der Ihr Produkt entsteht, ist auf Organisations-Ebene auditiert. Updates erfordern keine Neu-Auditierung des Gesamtprozesses; der Nachweis trägt plattformweit.

Unser Status. DUX Healthcare ist das erste Unternehmen, das die BSI-TR-03185-Auditierung durchlaufen hat. Das Audit war erfolgreich; das formale Zertifikat wird in Kürze ausgestellt.

Warum das für DiGA zählt. TR-03185 ist heute nicht formal im DiGA-Antrag vorgeschrieben, aber sie ist das strukturelle Fundament, auf dem TR-03161 pro DiGA tragbar wird. Wer den Software-Lebenszyklus nicht auf einer nachweisbaren Prozess-Ebene betreibt, baut die TR-03161-Evidenz pro Produkt neu – und zahlt drei Mal bei drei DiGAs. Der Cyber Resilience Act (CRA) verschärft diese Anforderung auf EU-Ebene zusätzlich über die nächsten 24–36 Monate – wer heute TR-03185-auditiert ist, steht dort mit Early-Mover-Vorteil.

Was es ist. Die BSI TR-03161 ist die produktbezogene Datensicherheits-Prüfung für DiGAs – ein technisches Zertifikat für eine konkrete Produktversion, gegliedert in Teil 1 (Mobile Clients), Teil 2 (Web-Anwendungen) und Teil 3 (Backend/Cloud). Bewertet wird gegen rund 366 Einzelanforderungen über alle drei Teile und zehn Prüfaspekte – von Architektur über Kryptografie, Authentifizierung, Datenspeicherung bis zur Netzwerk-Kommunikation.

Was Sie davon haben. Seit dem 01.07.2025 ist ein TR-03161-Zertifikat Voraussetzung für die formale Vollständigkeit des BfArM-Antrags (DiGA-Leitfaden v3.6 Kap. 3.4↗). Ohne dieses Zertifikat gibt es keine Eintragung ins DiGA-Verzeichnis – und nach § 139e Abs. 10 SGB V↗ wird es produktbezogen ausgestellt, nicht unternehmensbezogen.

Unser Status. Die DiGAs auf unserer Plattform sind pro Produkt nach BSI TR-03161 geprüft und haben ohne Auflagen bestanden – eine in Deutschland seltene Kombination.

Warum das für DiGA zählt. Für Ihr Produkt heißt das: Wenn es auf der mHealth Suite aufbaut, startet das TR-03161-Audit auf einem Plattform-Substrat, das den Pass ohne Auflagen bereits mehrfach demonstriert hat. Die Cybersicherheits-Hürde – für Eigenentwicklungen heute der häufigste Blocker im Fast-Track – ist damit nicht mehr Projektrisiko, sondern Plattform-Eigenschaft. Der produktspezifische Nachweis bleibt trotzdem erforderlich; er wird aber kalkulierbar in Zeit und Kosten.

Was es ist. ISO 13485 ist die internationale Norm für Qualitätsmanagement-Systeme in der Medizinprodukt-Entwicklung. Sie deckt Design-Controls, Änderungsmanagement, Lieferantenbewertung, Produktion, Post-Market-Surveillance und Dokumentation ab – alles, was die MDR an einem systematischen QMS voraussetzt.

Was Sie davon haben. Ohne ISO-13485-QMS kein CE-gekennzeichnetes Medizinprodukt in der EU – das ist die kurze Antwort. Die lange: Die MDR verlangt von Herstellern ein dokumentiertes QMS, und ISO 13485 ist der etablierte Weg, diese Anforderung zu erfüllen. Für Ihre DiGA bedeutet das: Design-History-File, Risikomanagement nach ISO 14971, klinische Bewertung, Post-Market-Clinical-Follow-up und der Konformitätsnachweis (Klasse I: Konformitätserklärung des Herstellers; Klasse IIa: zusätzlich mit Zertifikat der Benannten Stelle) sind nicht projektbezogen improvisiert, sondern auf einem seit Jahren auditierten QMS aufgesetzt.

Unser Status. DUX ist ISO 13485 zertifiziert – durch TÜV Hessen auditiert, mit laufender Überwachung und Re-Zertifizierung im normalen Drei-Jahres-Rhythmus. Das QMS ist die Grundlage, auf der alle anderen Nachweise aufsetzen.

Warum das für DiGA zählt. In der europäischen Medical-Software-Welt ist ISO 13485 Voraussetzung, nicht Differenzierung. Fehlt sie, ist der Anbieter nicht ernst zu nehmen. Der Mehrwert für Ihre DiGA liegt darin, dass die Schnittstelle zwischen Therapiekonzept und CE-Dokumentation nach MDR nicht individuell aufgebaut wird – sondern aus einem bestehenden, auditierten QMS-Prozess entsteht.

Was es ist. ISO 27001 ist die Norm für Informationssicherheits-Management-Systeme. Sie bewertet, wie eine Organisation mit Informations-Assets umgeht: Zugriffskontrollen, Incident-Response, Vendor-Management, physische Sicherheit, Business Continuity. Ein ISMS ist organisatorisch-prozessual, nicht produktbezogen.

Unser Status. DUX betreibt ein ISMS nach ISO 27001, das im Rahmen der BSI-TR-03185-Prüfung mit-auditiert wurde. Das separate, eigenständige ISO-27001-Drittzertifikat wird in Kürze abgeschlossen.

Warum das für DiGA zählt. Für die Antwort auf Vendor-Audits durch Benannte Stellen, Pharma-Partner oder GKV/BfArM-Anfragen zu Hosting und Datenverarbeitung ist ein auditiertes ISMS der zentrale Nachweis. Mit dem kommenden Drittzertifikat werden diese Antworten zur Formalie.

Was es ist. Die BfArM-Datenschutzprüfkriterien sind ein Katalog von rund 150 Einzelanforderungen nach § 139e Abs. 11 SGB V, die das BfArM als konkrete Auslegung der DSGVO-Anforderungen an DiGA veröffentlicht hat. Sie sind in RFC-2119-Grammatik formuliert (MUSS, DARF NICHT, SOLL, KANN) und auf zwölf Themenblöcke verteilt – von Verantwortlichkeit und Rechtsgrundlagen über technisch-organisatorische Maßnahmen bis zu Löschung und Protokollierung. Seit dem 01.08.2024 sind sie formal bindend; sie werden dem DiGA-Antrag als Checkliste (Anlage 1 DiGAV) beigefügt.

Was Sie davon haben. Für internationale DTx-Teams ist das die Prüfebene, die am häufigsten unterschätzt wird – weil sie DSGVO-Anforderungen operationalisiert und testbar macht. “Wir sind DSGVO-konform” ist keine Antwort; “wir erfüllen GLSR_2.4 (etabliert), DMN_4 (Account-Grace-Period), TOM_3 (Push-Notifications) und ACC-Kriterien (Protokollierung)” ist die Antwort, die der BfArM erwartet.

Unser Status. DUX führt ein konformes QMS-Framework mit Nachweisen für alle rund 150 Einzelkriterien. Die Nachweise sind Bestandteil unseres ISO-13485-QMS und werden im DiGA-Antrag dokumentarisch belegt.

Warum das für DiGA zählt. Weil die BfArM-Prüfkriterien konsequent zwischen “dokumentiert” und “etabliert” unterscheiden: Dokumentation allein reicht nicht, die Kriterien müssen in der gelebten Praxis betrieben werden. Das ist der häufigste Prüfkriterien-Blocker bei Teams, die den Katalog als nachgelagerte Dokumentation behandeln. Wer auf unserer Plattform baut, erbt die etablierte Praxis.

Die fünf Nachweise sind nicht redundant – sie arbeiten auf unterschiedlichen Ebenen und lösen unterschiedliche regulatorische Probleme. ISO 13485 bildet die Basis, auf der alles andere aufsetzt: ohne QMS kein Medizinprodukt. BSI TR-03185 zertifiziert, wie Software in diesem QMS sicher entsteht – auf Prozess-Ebene, organisationsweit, wiederverwendbar. BSI TR-03161 zertifiziert das Produkt selbst auf Cybersicherheit – pro DiGA, für jede Version. ISO 27001 umgibt das Ganze als Informationssicherheits-Management. Die BfArM-Datenschutzprüfkriterien schließlich übersetzen DSGVO und DiGAV in ein testbares Set von Einzelanforderungen, die pro DiGA im Antrag belegt werden.

Der Effekt ist kumulativ: Jede Ebene reduziert den Aufwand der darüberliegenden. Ein Team, das auf einer TR-03185-auditierten Plattform mit ISO-13485-QMS und bestehender TR-03161-Evidenz pro DiGA baut, spart nicht nur Zeit im einzelnen Projekt – es vermeidet das wiederholte Aufbauen derselben Strukturen für jede Folge-DiGA. Das ist der ökonomische Unterschied zwischen Plattform und Einzelanfertigung.

Diese Seite erklärt, was die fünf Nachweise für ein Kundenprojekt bedeuten. Die technische Tiefe – Anforderungs-IDs, RFC-2119-Grammatik, Prüfaspekte pro BSI-Teil, OWASP-Top-10-Mapping – steht im Knowledge-Bereich:

• BSI TR-03161 Certification – A Practitioner’s Guide (EN)
• BfArM-Datenschutzprüfkriterien im Detail
• DiGA – Praxis-Wissen zu digitalen Gesundheitsanwendungen