DiGA – Praxis-Wissen für digitale Gesundheitsanwendungen

Von Christoph Eberhardt · CEO, DUX Healthcare · Stand 17. April 2026

Dieser Wissens-Bereich ist der DUX-Leitfaden zu Digitalen Gesundheitsanwendungen (DiGA) – keine Enzyklopädie, sondern eine Sammlung praktischer Einordnungen, wie der deutsche DiGA-Prozess wirklich funktioniert: wie das BfArM-Verfahren unter der DiGAV (Stand 27.01.2026) und dem DiGA-Leitfaden v3.6 (Stand 10.12.2025) abläuft, welche Datenschutz- und Cybersicherheits-Anforderungen heute scharf sind, wie Positive Versorgungseffekte tragfähig nachgewiesen werden, was die Anwendungsbegleitende Erfolgsmessung (AbEM) ab 2026 für die Preisbildung bedeutet, und an welchen Stellen internationale Teams systematisch unterschätzen, was Markteintritt in Deutschland kostet. Geschrieben aus der Perspektive eines Unternehmens, das seit mehr als zehn Jahren digitale Medizinprodukte baut – seit sieben Jahren als Software-as-Medical-Device-Spezialist, mit fünf DiGAs auf der eigenen Plattform. Wo wir eine Position haben, machen wir sie kenntlich; wo die Regulatorik unfertig ist, sagen wir es.

Was eine DiGA ist – und was sie nicht ist

Eine Digitale Gesundheitsanwendung (DiGA) ist nach § 33a Abs. 1 SGB V↗ ein CE-gekennzeichnetes Medizinprodukt niedriger Risikoklasse (Klasse I, IIa oder – seit DigiG – IIb nach MDR Art. 51 i. V. m. Anhang VIII↗), dessen Hauptfunktion wesentlich auf digitalen Technologien beruht, das Erkennung, Überwachung, Behandlung oder Linderung einer Erkrankung unterstützt und dessen Positive Versorgungseffekte gegenüber einer Nicht- oder Standardbehandlung nachgewiesen sind oder im Rahmen einer Erprobung nachgewiesen werden.

Drei Abgrenzungen, die Teams regelmäßig falsch ziehen:

1. DiGA ist kein Wellness. Präventive Primäranwendungen ohne diagnostizierte Indikation können nach DiGA-Leitfaden v3.6 Kap. 2.1.4 nicht in das DiGA-Verzeichnis aufgenommen werden. Sekundär- und Tertiärprävention fallen unter „Behandlung" – aber nur, wenn ein Risikofaktor als Diagnose kodierbar ist.
2. DiGA ist kein DiPA. Digitale Pflegeanwendungen nach § 40a SGB XI (Pflegekassen) folgen einem eigenen Regelwerk (DiPAV). Der BfArM-Prozess ist anders, die Evidenzschwelle anders, die Preismechanik anders. Produkt-Teams, die für Pflege bauen, gehen nicht durch die DiGAV.
3. DiGA ist kein reines Patientenportal. Funktionen ohne medizinische Zweckbestimmung – reine Terminbuchung, Shop-Integration, Community – sind optionale Zusatzdienste und müssen segregiert sein, ohne die Versorgungseffekte zu gefährden (DiGA-Leitfaden v3.6 Kap. 2.1.3). Ein „App mit Health-Features" ist keine DiGA; eine DiGA mit einem Community-Feature ist eine.

Wer die drei Abgrenzungen am Anfang sauber zieht, spart sich sechs Monate falschen Produktaufbau. Wer sie überspringt, landet im BfArM-Rückfrage-Zyklus oder im falschen Erstattungspfad. Zu den Nachbarpfaden (DiPA, HMV, ZPP, NUB, Selektivverträge) schreiben wir in einem eigenen Wissens-Bereich zu Erstattungswegen, der in den kommenden Wochen online geht.

Antragsberechtigt – und was „Hersteller" wirklich heißt

Antragsberechtigt ist der Hersteller im medizinprodukterechtlichen Sinn, also derjenige, der die DiGA unter eigenem Namen in Verkehr bringt und die EU-Konformitätserklärung nach MDR Art. 19↗ unterzeichnet (GLSR_2.3, BfArM Datenschutzprüfkriterien v1.0↗). Für nicht-europäische Firmen bedeutet das: ohne EU-ansässigen Legal Manufacturer keine DiGA. Das ist der häufigste Blocker für US- und UK-Teams, die Deutschland als ersten Erstattungsmarkt wählen; ein eigener Leitfaden zu den internationalen Markteintrittspfaden folgt in einer späteren Welle.

Der BfArM-Prozess in der Praxis – Fast-Track vs. endgültig

Das BfArM-Verfahren ist in der öffentlichen Wahrnehmung das Nadelöhr. Die Zahlen sagen etwas anderes: Das Fast-Track-Verfahren ist – wenn man es als Was-das-BfArM-tut misst – eines der schnellsten Marktzugangsverfahren in Europa. Es fühlt sich nur nicht so an, weil die schweren Arbeitspakete davor liegen.

Zwei Einreichungstypen, nicht drei

Die DiGAV kennt genau zwei Antragstypen (DiGA-Leitfaden v3.6 Kap. 2.3):

• Dauerhafte Aufnahme – wenn die vergleichende Studie nach § 10 DiGAV schon vorliegt und der Positive Versorgungseffekt belegt ist. Der Hersteller reicht das fertige Paket ein, das BfArM entscheidet binnen drei Monaten nach vollständigem Antrag.
• Vorläufige Aufnahme zur Erprobung – für DiGA der Klasse I/IIa, wenn eine systematische Datenauswertung plus Evaluationskonzept einer herstellerunabhängigen wissenschaftlichen Institution vorliegen. Die Evidenzstudie wird während einer Erprobung von bis zu zwölf Monaten geführt, einmalig verlängerbar um bis zu zwölf Monate (max. 24 Monate gesamt).

Die Erprobung steht der Klasse IIb nicht offen – seit DigiG muss für IIb immer ein medizinischer Nutzen bereits bei Antragstellung belegt sein (DiGA-Leitfaden v3.6 Kap. 2.3.1). Wer in IIb baut, läuft auf dauerhafte Aufnahme von Tag eins.

Ein Wechsel des Antragstyps im Verfahren ist nicht möglich. Scheitert eine Erprobung – entweder weil der Studienbericht nicht rechtzeitig eingeht oder die Bewertung negativ ausfällt – wird die DiGA gestrichen, und ein erneuter Antrag ist frühestens zwölf Monate nach dem ablehnenden Bescheid möglich. Eine zweite vorläufige Aufnahme ist ausgeschlossen.

Die Dreimonats-Regel, die selten als Regel gilt

Das BfArM bestätigt den Eingang vollständiger Antragsunterlagen innerhalb von 21 Tagen (DiGAV § 16 Abs. 1↗). Sind sie unvollständig, fordert das BfArM zur Ergänzung auf – und setzt eine Frist von bis zu drei Monaten. Wer bis dahin nicht nachlegt, bekommt einen Ablehnungsbescheid (§ 16 Abs. 2 DiGAV).

Das ist der Mechanismus, den Teams unterschätzen. „Drei Monate bis Listing" ist die gesetzliche Soll-Zeit ab vollständiger Antragslage. Die realistische Praxis-Zeit ist deutlich länger, weil die Vollständigkeit des Antrags – 26 einzelne Angabenblöcke nach DiGAV § 2 Abs. 1↗, inklusive CE-Dokumentation, DSGVO-Konformität, BSI-Datensicherheitszertifikat, ISMS-Zertifikat, Studien- oder Evaluationskonzept, Haftpflichtnachweis, Preisangabe, Interoperabilitätsnachweis – zum Zeitpunkt der Einreichung selten erreicht ist.

Die 26 Angabenblöcke – warum Vollständigkeit nicht trivial ist

DiGAV § 2 Abs. 1 listet 26 Angabenblöcke (Nr. 1 bis 26, inklusive Nr. 4a und 21a), die der Antrag enthalten muss. Sie reichen von offensichtlichen Punkten – Hersteller, Produktbezeichnung, Zweckbestimmung, Gebrauchsanweisung – bis zu Details, die Teams regelmäßig unterschätzen: die an der Entwicklung beteiligten medizinischen Einrichtungen (Nr. 7), die Quellen der medizinischen Inhalte inklusive Leitlinien, Lehrwerken und Studien (Nr. 8), die vom Hersteller für erforderlich gehaltenen vertragsärztlichen Tätigkeiten (Nr. 18), die Nutzerrollen (Nr. 16), die Ausschlusskriterien der qualitätsgesicherten Anwendung (Nr. 17), die Standorte der Datenverarbeitung (Nr. 20), die semantische Abbildung der von der DiGA verarbeiteten Daten auf die ePA-Festlegungen (Nr. 21a), die Höhe der Haftpflichtversicherungs-Deckungssumme (Nr. 23) und die Daten aus Hilfsmitteln und Implantaten, die nach § 374a SGB V↗ übermittelt werden (Nr. 26).

Der wichtigste strategische Punkt: Nach Absatz 3 bestimmt der Hersteller im Antrag, ob er eine dauerhafte oder eine vorläufige Aufnahme beantragt. Ein Wechsel des Antragstyps im Verfahren ist nicht möglich. Wer den Antragstyp nicht sauber wählt – weil die Evidenzstrategie noch offen ist, weil die Klasse falsch eingeschätzt wurde, weil die Indikationsgrenzen noch nicht stabil sind – zahlt spätestens bei Einreichung den Preis für die fehlende Klärung. Die Angabenblöcke 9 bis 13 (PICO-Kurzfassung, Patientengruppen, Positive Versorgungseffekte, Studien, Studie zur Testgenauigkeit) sind für Klasse IIb verschärft: Sie müssen auch geeignet sein, den medizinischen Nutzen zu führen – strukturelle und verfahrensbezogene Verbesserungen allein reichen nicht.

Die realistische Timeline

Wenn wir mit DiGA-Teams sprechen, schlüsseln wir die tatsächliche Zeitachse so auf:

• Vorlauf (Therapiekonzept, Zweckbestimmung, Evidenzstrategie, regulatorischer Pfad): abhängig vom Team, typisch 3–9 Monate bei internationalen Firmen, die sich zum ersten Mal in der DiGAV zurechtfinden müssen.
• Produkt- und Regulatorik-Arbeit (MDR-Konformitätsbewertung, IEC 62304, ISO 13485, Risikomanagement, klinische Bewertung, Usability): 3–12 Monate, je nach Klasse und ob eine Benannte Stelle beteiligt ist.
• Datenschutz & Datensicherheit (BSI TR-03161 pro DiGA, ISMS-Zertifikat, BfArM-Datenschutzprüfkriterien, DSFA): 2–4 Monate – aber nur, wenn der Security-Track parallel läuft. Sequenziell kostet er ein Jahr.
• Antrag beim BfArM + Formalprüfung + Bescheid: 3–6 Monate, je nach Komplettheit beim Einreichen.

Wir sagen unseren Kunden: Zwölf Wochen, nicht zwölf Monate – für den produktseitigen Abschnitt, wenn die medizinische Zweckbestimmung vorliegt und die Regulatorik auf einer Plattform abgebildet ist. BfArM und Evidenzstudie sind davor oder dazu parallel, nicht innerhalb der zwölf Wochen. Wer das Plattform-Prinzip nicht hat, landet bei neun bis achtzehn Monaten – und nicht, weil das BfArM langsam arbeitet.

Positive Versorgungseffekte nachweisen – der Evidenz-Engpass

Der wirkliche Engpass der DiGA ist nicht die Regulatorik. Es ist die Evidenz.

DiGAV § 10↗ verlangt für den Nachweis Positiver Versorgungseffekte eine vergleichende Studie, die zeigt, dass die Anwendung besser ist als ihre Nichtanwendung. „Besser" ist quantitativ, angemessen gewählt und auf Deutschland übertragbar. Der Komparator muss der Versorgungsrealität entsprechen – eine DiGA gegen „keine Therapie" ist nur dann zulässig, wenn keine Therapie tatsächlich der Status quo ist. Studien müssen grundsätzlich in Deutschland durchgeführt werden; ausländische Studien sind im Einzelfall zulässig, wenn der Hersteller die Übertragbarkeit auf den deutschen Versorgungskontext belegt (DiGA-Leitfaden v3.6 Kap. 4.3.9).

Der GKV-Spitzenverband weist in seinem Bericht für 2025 (Berichtszeitraum bis 31.12.2025) darauf hin, dass von 74 bis Ende 2025 aufgenommenen DiGA nur 14 bereits bei Aufnahme einen Nutzennachweis vorlegen konnten – rund 19 % (GKV-Spitzenverband DiGA-Bericht 2025↗). Das ist die Perspektive des Kostenträgers und ist als solche zu lesen – aber die nackte Zahl stimmt. Der industrielle Gegenpol, der SVDGV, formuliert dieselbe Zahl anders: 34 DiGAs haben den Übergang von Erprobung in dauerhafte Aufnahme geschafft, was ein funktionierendes Erprobungsmodell belegt (SVDGV DiGA-Report 2025↗).

Beide Lesarten stimmen. Sie beantworten aber unterschiedliche Fragen. Der Kostenträger fragt: „Was bekommen wir für das Geld, das wir heute zahlen?" Die Industrie fragt: „Funktioniert der Fast-Track als Markteintrittspfad?" Für einen Hersteller, der in den nächsten 18 Monaten einreicht, ist relevant: Die Evidenzschwelle wird nicht sinken. Sie wird durch die AbEM ergänzt, nicht ersetzt – und die Bewertungsentscheidung nach DiGAV § 13 Abs. 1↗ ist eine Abwägung, kein Algorithmus. Das BfArM berücksichtigt die Besonderheiten der Indikation, das Risiko der DiGA und vorhandene Versorgungsalternativen.

Was die DiGAV als „vergleichende Studie" akzeptiert

Das Verfahren ist methodisch offener, als viele Teams annehmen. Zulässig sind laut § 10 DiGAV:

• Retrospektive vergleichende Studien einschließlich solcher mit intraindividuellem Vergleich (§ 10 Abs. 1).
• Prospektive Vergleichsstudien als Alternative (§ 10 Abs. 2).
• Versorgungsforschungs- und Sozialforschungs-Methoden – nicht nur klinische RCTs – solange der Ansatz dem zu zeigenden Versorgungseffekt angemessen ist und quantitativ-vergleichend bleibt (§ 10 Abs. 3).

Die Komparator-Regel ist streng: Nicht-Anwendung kann Nicht-Behandlung oder Behandlung ohne DiGA sein. Eine andere DiGA als Komparator ist nur zulässig, wenn diese im Verzeichnis endgültig gelistet ist – DiGAs in Erprobung können nicht als Referenz dienen (§ 10 Abs. 4). Studien sind grundsätzlich in Deutschland durchzuführen; ausländische Studien sind im Einzelfall zulässig, wenn Vergleichbarkeit der Behandlungsleitlinien, des Gesundheitssystems (Zugang und Erstattung) und der validierten Erhebungsinstrumente in der verwendeten Sprachversion nachgewiesen wird (DiGA-Leitfaden v3.6 Kap. 4.3.9).

Studien sind in einem WHO-ICTRP-konformen Studienregister zu registrieren; das Deutsche Register klinischer Studien (DRKS) beim BfArM ist der naheliegende Registrar. Studienergebnisse sind spätestens zwölf Monate nach Studienabschluss zu veröffentlichen – auch negative – und der gesamte Clinical Study Report ist in anonymisierter Form offenzulegen (§ 10 Abs. 6 DiGAV; DiGA-Leitfaden v3.6 Kap. 4.4). Eine Peer-Review-Publikation ist nicht zwingend, aber die internationale Standard-Berichtslogik (CONSORT für RCTs, analoge Standards für andere Designs) gilt.

Studiendesign – unsere Haltung

Wir sehen drei Fehler, die sich in DiGA-Evidenzpaketen systematisch wiederholen:

1. Unterdimensionierte Fallzahl. Studien, die eine klinisch relevante Mindestdifferenz nicht sauber definieren, scheitern nicht im Protokoll, sondern im Ergebnisbericht – wenn der p-Wert nicht hält oder das Konfidenzintervall die klinische Relevanzschwelle umfasst.
2. Komparator in der Theorie, nicht in der Versorgungsrealität. „Usual care" in einem akademischen Studienkontext ist nicht derselbe Status quo wie die durchschnittliche hausärztliche Versorgung einer Indikation. Die externe Validität leidet, und das BfArM zieht die Übertragbarkeit in Zweifel.
3. Keine Präspezifizierung. Das WHO-ICTRP-konforme Studienregister (in Deutschland: DRKS) ist Pflicht, aber Präspezifizierung des finalen Protokolls inklusive statistischem Analyseplan ist entscheidend für die Glaubwürdigkeit post-hoc-robuster Ergebnisse (DiGA-Leitfaden v3.6 Kap. 4.3.10).

Die Studie ist nicht das erste, was eine DiGA-Firma baut – aber das erste, woran sie denken muss, sobald die Zweckbestimmung steht. Sie ist der teuerste Einzelposten. Sie ist der, der nicht nachgerüstet werden kann.

Datenschutz als First-Class-Bürger – nicht als Checkliste

Das Missverständnis, mit dem die meisten Teams kommen, lautet: „Wir haben DSGVO und ein ISMS, also sind wir durch." Seit den 2024- und 2025-Stichtagen stimmt das nicht mehr.

Die vier Ebenen, die zum Antrag passen müssen

1. DSGVO-Konformität im DiGAV-Rahmen. DiGAV § 4 Abs. 2↗ schränkt die zulässigen Verarbeitungszwecke auf vier abschließend genannte Fälle ein: bestimmungsgemäßer Gebrauch, Nachweis positiver Versorgungseffekte, AbEM-Datensatz, technische Funktionsfähigkeit und Weiterentwicklung. Werbung ist ausgeschlossen. Die Einwilligung zur Weiterentwicklung ist getrennt einzuholen. Drittlandverarbeitung nur in EU/EWR oder mit Angemessenheitsbeschluss (§ 4 Abs. 3).
2. BfArM-Datenschutzprüfkriterien nach § 139e Abs. 11 SGB V↗. Seit 01.08.2024 müssen DiGA den vom BfArM publizierten Prüfkriterien-Katalog umsetzen – rund 150 Einzelanforderungen mit den RFC-2119-Schlüsselwörtern MUSS, DARF NICHT, SOLL, KANN, verteilt auf zwölf Themenblöcke von Verantwortlichkeit über Protokollierung bis zur Löschung (BfArM Datenschutzprüfkriterien v1.0 GLSR_1↗). Anders als die DSGVO-Generalklauseln sind diese Kriterien testbar und werden im Antrag in Form einer Checkliste (Anlage 1 DiGAV) beigefügt.
3. ISMS-Zertifikat. Pflicht seit 01.04.2022 – ISO 27001 oder ISO 27001 auf Basis IT-Grundschutz (BSI-Standard 200-2). Akkreditiertes Zertifikat, nicht „konform" (DiGA-Leitfaden v3.6 Kap. 3.4.1).
4. BSI TR-03161 Datensicherheits-Zertifikat. Pflicht seit 01.01.2025, formal antragsrelevant seit 01.07.2025. Das Zertifikat wird pro DiGA vergeben, nicht pro Unternehmen – ein Punkt, den wir weiter unten noch ausführen. Ein ISMS-Zertifikat reicht ausdrücklich nicht (DiGA-Leitfaden v3.6 Kap. 3.4).

Was „pro DiGA" in der Praxis bedeutet

Ein verbreiteter, aber falscher Sprachgebrauch lautet: „Wir sind BSI TR-03161-zertifiziert." Das Zertifikat wird nach § 139e Abs. 10 SGB V↗ produktbezogen ausgestellt. Zertifiziert wird eine konkrete DiGA-Version, nicht ein Hersteller. Plattform-Effekte entstehen nicht durch Zertifikatsübertragung, sondern durch geteilte Architektur: gemeinsame Bibliotheken, geteilte Backend-Dienste, geteilter Entwicklungsprozess. Unsere DiGAs sind je DiGA nach BSI TR-03161 geprüft – nicht das Unternehmen.

Für die Erst-Zertifizierung einer DiGA sind Penetrationstests für alle Komponenten inklusive Backend verpflichtend, vorrangig durch BSI-zertifizierte Teststellen, mit manuellen Code-Reviews und Whitebox-Tests auf Basis des BSI-Durchführungskonzepts und der OWASP Top Ten (DiGA-Leitfaden v3.6 Kap. 3.4.2).

Daneben führen wir in unserem Portfolio eine zweite Zertifizierung: BSI TR-03185 – Sicherer Software-Lebenszyklus. Das ist eine andere Prüfebene. TR-03185 zertifiziert den Entwicklungsprozess der Organisation – auditiert wird, wie Software entsteht, nicht wie sie am Ende aussieht. DUX Healthcare war das erste Unternehmen, das die BSI TR-03185-Zertifizierung erhalten hat. Die Zertifizierung ist binär – kein „mit Auflagen", kein „ohne Auflagen" – und sie verändert die Rolle der TR-03161-Prüfung pro DiGA nicht. Details stehen in unserem BSI-TR-03161-Leitfaden auf Englisch.

Preisbildung und AbEM – warum die 20-%-Regel alles verändert

Das wirtschaftliche Modell der DiGA hat sich in zwei Schritten verschoben: Mit dem DigiG wurden die Preisverhandlungsmechanismen gestrafft, mit der 2. DiGAV-Änderungsverordnung und der Anwendungsbegleitenden Erfolgsmessung (AbEM) wird ab 2026 ein erfolgsbasierter Preisanteil verbindlich.

Die Mechanik heute

Nach Listung kann der Hersteller zwölf Monate lang einen frei gesetzten Herstellerpreis abrechnen. Nach diesem ersten Jahr tritt der mit dem GKV-Spitzenverband verhandelte Vergütungsbetrag in Kraft – rückwirkend, wenn die Verhandlung länger dauert (DiGA-Leitfaden v3.6 Kap. 5.2.1).

Der GKV-Spitzenverband berichtet für 2025 einen durchschnittlichen Herstellerpreis von €544 gegenüber einem durchschnittlichen verhandelten Vergütungsbetrag von €227 – ein Delta von Faktor 2,4 (GKV-Spitzenverband DiGA-Bericht 2025). Die Interpretation ist nicht neutral: Aus Kostenträger-Sicht ist der Delta ein Struktur-Problem (freie Preisbildung ohne Nutzennachweis); aus Industrie-Sicht ist er die Risikokompensation für eine Anschubfinanzierung in der Erprobung. Beide Seiten haben Recht – und beide Seiten wissen, dass die 20-%-Regel den Streit verlagert, nicht auflöst.

Die 20-%-Regel und was sie wirklich tut

Ab 01.01.2026 sieht die Vergütungsvereinbarung einen Anteil erfolgsabhängiger Preisbestandteile von mindestens 20 % des Vergütungsbetrags vor (DiGA-Leitfaden v3.6 Kap. 6.1). „Erfolgsabhängig" heißt: an die in der AbEM erhobenen Parameter gebunden – Nutzungsdaten heute, PGI-C und Patientenzufriedenheit ab 2027, indikationsspezifische PROMs ab 2028.

Was das wirtschaftlich bedeutet:

• Das Risiko des „therapeutisch wirkungslos, aber beworben" verschiebt sich vom Kostenträger zum Hersteller.
• Die Produktqualität über den Lebenszyklus (Retention, Abbruchquote, patientenseitige Veränderungsempfindung) wird preisrelevant – nicht nur die Zulassungs-Evidenz.
• Die Versuchung, früh zu hoch zu preisen wird teurer: Wenn die AbEM-Daten nach einem Jahr schwach sind, kürzt der erfolgsabhängige Anteil rückwirkend.

Wir lesen das nicht als „Angriff auf die DiGA" – sondern als Signal, dass die DiGA vom reinen Erstattungs-Mechanismus zu einem Outcome-gekoppelten Produktmodell wandert. Das ist für plattform-entwickelte DiGA strukturell vorteilhaft: Retention, Engagement und Abbruchquote sind in einer modulbasierten Architektur messbar und optimierbar, in einer Custom-Entwicklung jedes Mal von Hand nachgebaut.

Verpflichtende Weiterentwicklungen – der Kalender, der regelmäßig überrascht

Das DiGA-Regelwerk ist ein bewegliches Ziel. Aus dem Leitfaden v3.6 (DiGA-Leitfaden v3.6 Kap. 5.2.4) ergibt sich der folgende Pflichtkalender für bereits gelistete DiGA – jede dieser Anforderungen ist rückwirkend auch für Bestands-DiGA bindend, nicht nur für Neuanträge:

• Ab 01.04.2022: ISMS-Zertifizierung nach ISO 27001 oder ISO 27001 auf Basis IT-Grundschutz (BSI-Standard 200-2), akkreditiertes Zertifikat.
• Ab 01.01.2024: Interoperable Export-Schnittstelle und ePA-Anbindung nach § 6a DiGAV, GesundheitsID-Anbindung nach § 291 Abs. 8 SGB V↗.
• Ab 01.01.2025: BSI TR-03161 Datensicherheits-Zertifikat pro DiGA, formal antragsrelevant ab 01.07.2025.
• Ab 01.01.2026: Erfolgsbasierte Preisbestandteile ≥ 20 % in der Vergütungsvereinbarung.
• Ab 01.07.2026: AbEM-Datenerhebung Stufe I (Nutzungsdaten).
• Ab 15.04.2027: Erste AbEM-Datenlieferung an das BfArM, danach halbjährlich.
• Ab 01.07.2027: AbEM-Datenerhebung Stufe II (PGI-C, Patientenzufriedenheit).
• Ab 01.07.2028: AbEM-Datenerhebung Stufe III (indikationsspezifische PROMs aus BfArM-Liste).
• Zukünftig: Datenschutz-Zertifizierung nach Artikel 42 DSGVO (Termin offen).

Wer diesen Kalender nicht in der Roadmap hat, baut jedes Jahr kurzfristige Pflichtarbeiten zwischen den produktiven Release-Zyklen ein. Das ist operativ teuer und strategisch unangenehm, weil jedes Jahr Produkt-Kapazität für Pflichtumbauten frei gehalten werden muss – genau die Kapazität, die eigentlich für die AbEM-relevanten Outcome-Verbesserungen gebraucht würde.

Die AbEM-Ausbaustufen im Überblick

Die Pflicht zur AbEM gilt für alle dauerhaft gelisteten DiGA, die mindestens einen medizinischen Nutzen nachgewiesen haben und in der Regelversorgung erstattet werden; Daten von Selbstzahlern bleiben ausgeschlossen (DiGA-Leitfaden v3.6 Kap. 6.1). Bei der Datenanalyse wird zwischen Erst- und direkten Folgeverordnungen differenziert – in die berichteten Ergebnisse fließen nur Daten ein, die für den Hersteller nicht als Folgeverordnung identifizierbar sind, um Stichprobenverzerrung durch Selbstselektion zu reduzieren.

Erstmalige Übermittlung an das BfArM: 15.04.2027, danach halbjährlich (15. April und 15. Oktober). Quartalsweise Auswertung (DiGA-Leitfaden v3.6 Kap. 6.2). Die Details stehen im eigenen Leitfaden AbEM – die neue anwendungsbegleitende Erfolgsmessung.

ePA, Interoperabilität und §374a SGB V – die nächste Hürde

Während der Datenschutzblock reif ist, ist der Interoperabilitätsblock die offene Front. DiGAV § 6a↗ verpflichtet DiGA, ihre Daten mit Einwilligung der Versicherten in die elektronische Patientenakte (ePA) nach § 341 SGB V↗ übertragen zu können – über die von der Gesellschaft für Telematik nach § 354 Abs. 2 Nr. 6 SGB V↗ festgelegte Schnittstelle, in einem menschenlesbaren Format und konform zur Festlegung für die semantische und syntaktische Interoperabilität nach § 355 Abs. 2a SGB V↗.

Die Verpflichtung zur ePA-Anbindung gilt seit dem 01.01.2024 (DiGA-Leitfaden v3.6 Kap. 5.2.4). Fortschreibungen der semantischen Festlegungen sind binnen sechs Monaten nach Veröffentlichung umzusetzen (§ 6a Abs. 3 DiGAV). Das ist der Satz, der in Teams am häufigsten überrascht: Die ePA-Integration ist keine Einmalarbeit, sondern ein fortlaufender Pflegeaufwand.

Dazu kommt § 374a SGB V↗ – DiGA müssen Daten aus Hilfsmitteln und Implantaten verarbeiten können, soweit sie für die Zweckbestimmung relevant sind. Welche Produktbezeichnungen übermittelt werden und welche Daten das sind, ist im Antrag (DiGAV § 2 Abs. 1 Nr. 26) anzugeben. Für kardiologische oder orthopädische Indikationen ist das kein Randthema, sondern der halbe Architekturaufbau.

Was schief geht – die häufigsten Ablehnungsgründe

Wir lesen die Rückmeldungen, die unsere Kunden und Partner aus BfArM-Verfahren mitbringen. Das ist keine repräsentative Statistik – es ist Beobachtung. Die Muster wiederholen sich aber in sehr ähnlicher Weise, und sie stimmen weitgehend mit den Positionen überein, die der GKV-Spitzenverband und das BfArM in öffentlichen Äußerungen adressieren.

Die vier häufigsten Stolpersteine:

1. Unvollständiger Antrag. Das BfArM fordert nicht in erster Linie „mehr Evidenz" – es fordert zuerst Vollständigkeit. Fehlt eine der 26 Angaben nach § 2 Abs. 1 DiGAV, setzt § 16 Abs. 2 DiGAV eine Frist, und wer sie reißt, bekommt einen Ablehnungsbescheid. Das ist verwaltungsrechtlich, nicht inhaltlich.
2. Evidenzpaket passt nicht zur beantragten Indikation. Studien, die eine breit formulierte Indikation beweisen wollten, aber nur eine enge Patientengruppe tatsächlich abbilden, führen zu Einschränkungen im Listing. Jede fünfte aus Erprobung dauerhaft aufgenommene DiGA wird laut GKV-Bericht 2025 mit Einschränkungen gelistet.
3. Datenschutz-Checkliste formal erfüllt, operativ nicht gelebt. Die BfArM-Prüfkriterien unterscheiden konsequent zwischen „dokumentiert" und „etabliert" (GLSR_2.4). Etabliert heißt: in der gelebten Praxis, mit Betrieb und kontinuierlicher Verbesserung. Wer den Change-Prozess nach Release-Kick-off nicht tatsächlich lebt, fällt spätestens bei Post-Market-Prüfungen durch.
4. „Wesentliche Veränderung" unterschätzt. Nach DiGAV § 18↗ sind Änderungen wesentlich, wenn sie auf Sicherheit, Funktionstauglichkeit, Qualität, Datenschutz, Datensicherheit oder den Evidenznachweis wesentlichen Einfluss haben – oder Verzeichniseintragungen verändern. Das BfArM stellt einen elektronischen Prüfbogen zur Verfügung. Wer eine Feature-Release ausrollt, die die Patientengruppe ändert, und es nicht anzeigt, riskiert Streichung.

Die meisten Ablehnungen sind keine inhaltlichen Evidenzprobleme, sondern Prozessprobleme. Evidenz-Scheitern bemerkt man spät (nach Studienende), aber Prozess-Scheitern bemerkt man früh genug, um es zu verhindern. Deshalb arbeiten wir in der Knowledge-Base mit prozessualen Deep-Dives – dem Antrag-Praxis-Leitfaden und den BfArM-Datenschutzprüfkriterien im Detail – statt mit generischen Evidenz-Essays.

Der Markt 2026 – Zahlen und wie man sie liest

Wir zitieren nicht gerne Marktzahlen in einer Wissens-Sektion, die an Regulatorik gebunden ist. Drei Zahlen aus dem GKV-Bericht 2025 sind aber so zentral, dass sie nicht zu übergehen sind – und wir ziehen sie deshalb mit ausdrücklicher Attribution heran:

• Bis Ende 2025 wurden 74 DiGA in das Verzeichnis aufgenommen; 58 waren Ende 2025 noch gelistet (48 dauerhaft, 10 zur Erprobung), 16 wurden gestrichen (GKV-Spitzenverband DiGA-Bericht 2025).
• Rund 1,6 Mio. DiGA wurden bis Ende 2025 aktiviert, das zugehörige Ausgabenvolumen der GKV beläuft sich auf rund €400 Mio. – davon im Jahr 2025 allein rund 690 Tsd. DiGA und über €170 Mio. Ausgaben, ein Zuwachs von 63 % gegenüber Vorjahr (ebd.).
• Der durchschnittliche Herstellerpreis lag 2025 bei €544, der durchschnittliche verhandelte Preis bei €227. Der GKV-Bericht wertet die Differenz als Steuerungsdefizit; der SVDGV-Report sieht darin die Kompensation für Anschubkosten in der Erprobung (SVDGV DiGA-Report 2025).

Beide Quellen sind nicht neutral. Der GKV-Bericht wird nach § 33a Abs. 6 SGB V↗ vom GKV-Spitzenverband dem Bundestag vorgelegt; er ist die Kostenträger-Perspektive. Der SVDGV-Report ist die Branchen-Perspektive der Hersteller. Wer sie als nebeneinander liest, versteht den DiGA-Markt; wer sie als einzige Wahrheit liest, versteht eine Hälfte.

Wo DUX ansetzt – Plattform, nicht Custom-Build

DUX Healthcare baut keine DiGAs in Custom-Manier. Wir bauen DiGAs auf der mHealth Suite: einer Plattform mit 80+ vorvalidierten Modulen, auf der Zweckbestimmung, MDR-Dokumentation, BSI TR-03161, Datenschutz-Architektur, ePA-Schnittstelle und AbEM-Datenerfassung als gemeinsam getragene Infrastruktur angelegt sind. Fünf DiGAs laufen heute auf dieser Plattform – plattform-entwickelt, je DiGA nach BSI TR-03161 geprüft, CE-konform nach MDR. Auf Prozessebene ist unser Software-Entwicklungszyklus als erstes Unternehmen nach BSI TR-03185 zertifiziert.

Warum das relevant ist, wenn Sie DiGAV-Wissen suchen: Die Plattform verändert den Zeit- und Kostenrahmen der DiGA-Entwicklung strukturell – nicht weil wir „schneller arbeiten", sondern weil die Anforderungen, die eine DiGAV an jede DiGA stellt, nicht pro Projekt neu gebaut werden. Das erlaubt Zeitrahmen von zwölf Wochen, nicht zwölf Monaten für den produktseitigen Abschnitt (Zweckbestimmung vorausgesetzt, BfArM-Antrag und Evidenzstudie davor oder dazu parallel). Es ist die operative Kehrseite der Regulatorik, über die der Rest dieses Wissens-Bereichs spricht.

Wenn Sie die Plattform-Mechanik selbst anschauen wollen, steht sie unter /build/.

Antworten auf häufige Fragen

Artikel in diesem Wissens-Bereich

Die DiGA-Sektion wächst in Wellen. Diese drei Cluster-Artikel sind heute online; weitere folgen in den kommenden Wochen. Wenn Sie einen bestimmten Deep-Dive brauchen, schreiben Sie an hello@dux-healthcare.com – viele Artikel entstehen aus realen Praxis-Fragen.

Zulassung und Antrag

• DiGA-Zulassung 2026 – der Praxis-Leitfaden – wie der BfArM-Antrag Schritt für Schritt tragfähig aufgesetzt wird, mit Fokus auf die 26 Angabenblöcke nach § 2 DiGAV.

Datenschutz und Sicherheit

• BfArM-Datenschutzprüfkriterien im Detail – die rund 150 Kriterien, ihre RFC-2119-Grammatik und wie sie im Antrag belegt werden.
• BSI TR-03161 Certification – A Practitioner’s Guide (EN) – das pro-DiGA-Zertifikat, die SPD-Logik, realistische Kosten und typische Schwachstellen.

Evidenz und Erfolgsmessung

• AbEM – die neue anwendungsbegleitende Erfolgsmessung – Ausbaustufen I/II/III, Erhebungszeitpunkte, Berichtsdaten.