DiGA-Zulassung 2026 – der Praxis-Leitfaden für Hersteller

Von Christoph Eberhardt · CEO, DUX Healthcare · Stand 17. April 2026

Ein DiGA-Antrag beim BfArM ist kein Formular, das man an einem Nachmittag ausfüllt. Er ist ein Dossier – 26 Angabenblöcke nach DiGAV § 2 Abs. 1↗, mit CE-Dokumentation, klinischer Bewertung, Zertifikaten zu Informationssicherheit und Datensicherheit, Datenschutzkonzept, Evidenzstudie oder Evaluationskonzept, Haftpflichtnachweis, Preisangabe und Interoperabilitätsnachweis. Wer die Regulatorik zum ersten Mal berührt, unterschätzt regelmäßig zwei Dinge: erstens, wie viel davon vor dem BfArM entstehen muss, und zweitens, wie schnell das BfArM tatsächlich arbeitet, wenn das Dossier komplett ist. Dieser Leitfaden zeigt, wie der Antrag Station für Station läuft, welche Bestandteile Teams regelmäßig zu spät erkennen, welche Timelines realistisch sind, welche Kostenblöcke nicht auf der BfArM-Webseite stehen – und was nach dem Bescheid tatsächlich passiert. Die regulatorische Backbone liegt im Pillar-Hub DiGA – Praxis-Wissen; dieser Artikel ist der praktische Nachsatz.

Fast-Track oder endgültige Aufnahme – die Entscheidungsregel

Der erste strategische Zug im DiGA-Antrag ist nicht das Ausfüllen eines Feldes, sondern die Wahl des Antragstyps. Nach DiGAV § 2 Abs. 3 bestimmt der Hersteller im Antrag, ob er eine dauerhafte Aufnahme oder eine vorläufige Aufnahme zur Erprobung beantragt. Ein Wechsel im laufenden Verfahren ist ausgeschlossen; scheitert eine Erprobung, ist ein neuer Antrag frühestens zwölf Monate nach dem ablehnenden Bescheid möglich – und eine wiederholte vorläufige Aufnahme ist für dieselbe DiGA nicht zulässig (§ 139e Abs. 4 Sätze 9–10 SGB V↗).

Die Entscheidung hängt an drei Fragen:

1. Liegt der Positive Versorgungseffekt bereits quantitativ belegt vor? Wenn ja – dauerhafte Aufnahme. Ein fertiges Evidenzpaket in die Erprobung zu zwingen, verschenkt zwölf Monate und bindet unnötig Ressourcen in parallelen Nachweispflichten.
2. Welche Klasse nach MDR hat die DiGA? Klasse IIb kann seit dem DigiG nicht mehr zur Erprobung aufgenommen werden – für IIb muss der medizinische Nutzen bereits bei Antragstellung belegt sein (§ 139e Abs. 2 Satz 3 SGB V↗; DiGA-Leitfaden v3.6 Kap. 2.3.1). Wer IIb baut, läuft auf dauerhafte Aufnahme von Tag eins.
3. Reicht die Datenlage für ein belastbares Evaluationskonzept mit realistischer Studienendpunkt-Definition? Die vorläufige Aufnahme verlangt eine systematische Datenauswertung zum bisherigen Einsatz plus ein Evaluationskonzept einer herstellerunabhängigen wissenschaftlichen Institution. Wer diese Basis nicht hat, beantragt Fast-Track nicht als Vereinfachung – er verschiebt das Studienrisiko.

Unsere Faustregel gegenüber Kunden: Die Erprobung ist kein Einstiegsrabatt, sondern ein Finanzierungs- und Zeitpuffer für Teams, die die Evidenz während der Marktphase erzeugen. Wer die Studie schon hat, geht endgültig. Wer sie noch nicht hat, aber baut auf quantitative Vordaten, kann Erprobung sinnvoll einsetzen. Wer beides nicht hat, ist noch nicht antragsreif.

Die sechs Stationen des BfArM-Verfahrens

Das Verfahren wird oft als “drei Monate” beschrieben. Das stimmt für Station drei bis fünf. Stationen eins, zwei und sechs sind in der öffentlichen Darstellung unterbelichtet – und genau dort bleiben Anträge hängen.

Station 1 – Eingang und Eingangsbestätigung

Der Antrag wird elektronisch über das BfArM-DiGA-Antragsportal eingereicht. Nach DiGAV § 16 Abs. 1↗ bestätigt das BfArM den Eingang vollständiger Antragsunterlagen innerhalb von 21 Tagen. Das Wort “vollständig” ist an dieser Stelle nicht rhetorisch: Wird Unvollständigkeit festgestellt, beginnt Station zwei, nicht drei.

Station 2 – Vollständigkeitsprüfung und Nachforderung

Das BfArM fordert den Hersteller unter Nennung der fehlenden Unterlagen auf, den Antrag innerhalb einer Frist von bis zu drei Monaten zu ergänzen (DiGAV § 16 Abs. 2). Liegen nach Fristablauf keine vollständigen Antragsunterlagen vor, lehnt das BfArM den Antrag durch Bescheid ab. Das ist eine verwaltungsrechtliche Ablehnung, keine inhaltliche – aber sie zählt als Ablehnung und erzwingt einen Neuantrag.

Diese Station ist der häufigste stille Zeitfresser. Teams, die am Reißbrett mit “drei Monaten BfArM” rechnen, finden sich nach vier Monaten in der Nachforderungsschleife wieder, weil das BSI-TR-03161-Prüfbericht-Datum nicht zur MDR-Dokumentation passt, die Zweckbestimmung in CE-Dokumentation und Antrag voneinander abweicht oder die Haftpflicht-Deckungssumme im Antrag nicht zur Police stimmt.

Station 3 – Fachliche Bewertung

Ab Vorliegen des vollständigen Antrags läuft die Bewertungsentscheidung nach DiGAV § 13↗. Das BfArM prüft Sicherheit und Funktionstauglichkeit, Qualität nach Maßgabe der Anforderungen an Datensicherheit, Datenschutz und Interoperabilität sowie den Positiven Versorgungseffekt – durch medizinischen Nutzen und/oder patientenrelevante Verfahrens- und Struktureffekte. Die Bewertung ist eine Abwägung, kein Algorithmus: Sie berücksichtigt die Besonderheiten der Indikation, das Risiko der DiGA und vorhandene Versorgungsalternativen.

Station 4 – Inhaltliche Nachforderung

Stellt das BfArM in der fachlichen Bewertung inhaltliche Lücken fest, kann es nach Absatz 2 eine weitere Nachforderung mit Frist von bis zu drei Monaten stellen. Diese Nachforderung wirkt anders als die formale in Station zwei: Sie ist fachlich begründet, oft auf einzelne Evidenzpunkte oder methodische Aspekte fokussiert, und sie lässt sich durch präventive Qualität des Einreichungsdokuments minimieren – nicht eliminieren.

Station 5 – Bescheid

Der Bescheid kommt binnen drei Monaten ab Vollständigkeit (§ 139e Abs. 3 Satz 1 SGB V↗; in begründeten Einzelfällen einmalige Verlängerung um bis zu weitere drei Monate). Er kann lauten: Aufnahme (dauerhaft oder zur Erprobung), Aufnahme mit Einschränkungen (etwa auf eine enger definierte Patientengruppe als beantragt), Ablehnung. Bei vorläufiger Aufnahme legt das BfArM im Bescheid Art und Umfang der für die dauerhafte Aufnahme nachzuweisenden Parameter fest (DiGAV § 17 Abs. 1↗) – das ist der regulierte Rahmen, innerhalb dessen die Erprobungsstudie zu führen ist.

Station 6 – Listing im DiGA-Verzeichnis

Erst mit Veröffentlichung im Verzeichnis nach § 139e Abs. 1 SGB V↗ ist die DiGA verordnungsfähig. Das Listing enthält die Angaben aus dem Antrag, die an die Öffentlichkeit gelangen: Zweckbestimmung, Indikation, Patientengruppen, Ausschlusskriterien, Altersgruppen, Sprachen, Preis (DiGA-Leitfaden v3.6 Kap. 2.2). Ab diesem Zeitpunkt läuft die zwölfmonatige Freie-Preis-Phase.

Was im Antrag häufig fehlt

Die Vollständigkeits-Arithmetik der 26 Angabenblöcke ist leicht; die operative Vollständigkeit jedes Blocks ist der eigentliche Aufwand. Wir sehen sechs Positionen, an denen Anträge überproportional oft nachforderungspflichtig werden.

Zweckbestimmung mit kongruenter Klassifizierung

Die Zweckbestimmung muss in CE-Dokumentation (Konformitätserklärung, Gebrauchsanweisung, klinische Bewertung), Antrag und Evidenzstudie wortgleich oder nachweislich deckungsgleich formuliert sein. Drift zwischen den Dokumenten ist der Standardgrund für Nachforderungen auf der Station “Vollständigkeitsprüfung”. Wer die Zweckbestimmung nach der klinischen Bewertung nochmal am Marketing-Narrativ schärft, hat automatisch einen Nachbesserungsrunde gebaut.

Studienregistrierung und Präspezifizierung

Studien zum Nachweis Positiver Versorgungseffekte sind in einem WHO-ICTRP-konformen Studienregister zu registrieren (in Deutschland typischerweise im Deutschen Register Klinischer Studien, DRKS). Entscheidend ist nicht nur das Registrieren an sich, sondern die Präspezifizierung des finalen Protokolls und des statistischen Analyseplans vor dem ersten Einschluss. Ein nachträglich geänderter Primärendpunkt beschädigt die Glaubwürdigkeit des Evidenzpakets mehr, als die meisten Teams erwarten.

Datenschutz-Folgenabschätzung und Anlage-1-Checkliste

Die BfArM-Datenschutzprüfkriterien bilden die Grundlage für die Anlage-1-DiGAV-Checkliste, die dem Antrag beigefügt wird. Ein Datenschutz-Konzept im Freitext ist nicht mehr ausreichend – verlangt wird die testbare Kriterien-Checkliste mit Belegverweisen auf interne Dokumentation, plus eine DSFA nach Art. 35 DSGVO.

Drei Kriterien, an denen wir praxisregelmäßig Nachbesserungsbedarf sehen:

• CTRL_1 – Interne Organisation. Der Verantwortliche muss einen Datenschutzbeauftragten ernennen, dessen fachliche Eignung belegen, ihm Zugang zu allen Verarbeitungsvorgängen geben und sicherstellen, dass keine Rolle einen Interessenkonflikt erzeugt. Nicht-EU-Verantwortliche brauchen nach Art. 27 DSGVO einen schriftlich bestellten, in Deutschland niedergelassenen Vertreter (BfArM Prüfkriterien CTRL_1.4↗).
• DMN_4 – Benutzer-Account und Grace-Periode. Nutzer-Accounts müssen pseudonym nutzbar sein; Angaben zur Identität (Krankenversichertennummer, realer Name, Adresse, unmittelbar identifizierende E-Mail) dürfen keine Voraussetzung für die Nutzung sein. Die Grace-Periode nach Verordnungsende darf ein Drittel der Verordnungsdauer, maximal aber drei Monate nicht überschreiten; während der Grace-Periode sind die Daten gesperrt, nicht mehr aktiv nutzbar (BfArM Prüfkriterien DMN_4).
• TOM_3 – Interaktion und Integration. Push-Mitteilungen dürfen keine Gesundheitsdaten enthalten, müssen initial deaktiviert sein und nur über informierte, explizite Einwilligung aktiviert werden. Kamera, Mikrofon und Ortungsdienste folgen derselben Logik – initial aus, explizite Aktivierung, Zweckbindung (BfArM Prüfkriterien TOM_3).

Die BfArM-Prüfkriterien unterscheiden konsequent zwischen „dokumentiert" und „etabliert" (BfArM Prüfkriterien GLSR_2.4): Etablierung umfasst Konzeption, Dokumentation, Einführung, Anwendung und kontinuierliche Verbesserung – in der gelebten Praxis. Eine am Tag vor Einreichung gebaute Checkliste fällt spätestens bei Post-Market-Prüfungen durch. Details zu den Prüfkriterien behandeln wir separat im BfArM-Datenschutzprüfkriterien-Artikel.

BSI TR-03161-Prüfbericht pro DiGA

Der Prüfbericht nach DiGAV § 7↗ und DiGA-Leitfaden v3.6 Kap. 3.4 wird produktbezogen ausgestellt. Er muss zum eingereichten Software-Stand passen – nicht zu einer Version, die zwei Sprints älter ist. In der Praxis bedeutet das: Release-Freeze für den Antragsstand und ein klarer Change-Management-Prozess, der dokumentiert, welche Commits zwischen Prüfung und Einreichung gelaufen sind.

Die TR-03161 legt in Kapitel 2.4 Annahmen, Bedrohungen und organisatorische Sicherheitspolitiken offen, an denen der Prüfbericht zu messen ist (BSI TR-03161-1 Kap. 2.4↗): OSP.Authorization (Autorisierungskonzept unabhängig von der Authentifizierung), OSP.CriticalUpdates (Schwachstellen-Monitoring plus Grace-Period für veraltete Versionen), OSP.DataSovereignty (Nutzer-kontrolliertes Löschen auf lokalem Speicher und Backend), OSP.Disclosure (niederschwelliger Kanal zur Schwachstellen-Meldung, inklusive anonymer Option), OSP.Purpose (strikte Zweckbindung – Ortungsdaten nur bei essenziellem Nutzen für den bestimmungsgemäßen Gebrauch), OSP.SecurityLog (Security-Relevant-Log-Weiterleitung ans Backend, wenn Anbindung besteht). Die Liste wirkt abstrakt, wird aber in der Prüfung konkret: Eine DiGA ohne Vulnerability-Disclosure-Kanal scheitert an OSP.Disclosure, egal wie gut der restliche Code ist. Zu TR-03161 im Detail verweisen wir auf BSI TR-03161-Zertifizierung.

MDR-Konformitätserklärung und CE-Nachweis

Die DiGA ist ein CE-gekennzeichnetes Medizinprodukt nach MDR. Je nach Klasse erfolgt die Konformitätsbewertung per Herstellererklärung (Klasse I, nicht-sterile, ohne Messfunktion) oder unter Einbindung einer Benannten Stelle (Klasse IIa und höher). Der Antrag verlangt die Konformitätserklärung – und, wo relevant, die Zertifikate der Benannten Stelle. “MDR-zertifiziert” ist kein sauberer Sprachgebrauch; korrekt ist “CE-konform nach MDR” mit Klassenangabe und, für IIa+, Nennung der Benannten Stelle.

Gebrauchsanweisung und Nutzerrollen

Die IFU (Instructions for Use) muss die Nutzerrollen (Nr. 16 der Angabenblöcke), die Ausschlusskriterien (Nr. 17) und die vertragsärztlichen Tätigkeiten (Nr. 18) konsistent spiegeln. Eine IFU, die den Arzt als Mitnutzer vorsieht, aber keinen ärztlichen Workflow beschreibt, triggert Rückfragen. Gleiches gilt, wenn die Ausschlusskriterien in der IFU weicher formuliert sind als im Antrag.

Die Benannte-Stelle-Frage – klassen-abhängig, nicht universell

Die Konformitätsbewertung nach MDR ist nicht in jedem DiGA-Projekt ein Prozess mit Benannter Stelle. Es kommt auf die Risikoklasse an, und zwar präziser, als viele Prozessdiagramme nahelegen.

• Klasse I (nicht-sterile, ohne Messfunktion, nicht wiederverwendbare Instrumente): Der Hersteller erklärt die Konformität selbst nach MDR Art. 52 Abs. 7↗, registriert das Produkt und bringt das CE-Zeichen an – ohne Benannte Stelle im produktbezogenen Verfahren. Die überwiegende Mehrheit reiner Software-DiGA der Risikoklasse I folgt diesem Pfad.
• Klasse IIa und höher: Einbindung einer Benannten Stelle nach MDR Art. 52 Abs. 6 i.V.m. Anhang IX Kap. I und III↗ (oder alternativ Anhang XI nach Art. 52 Abs. 6 UAbs. 2, je nach Modul). Das bedeutet: QMS-Audit durch die Benannte Stelle, technische Dokumentationsprüfung eines repräsentativen Geräts je Kategorie, Zertifikatserteilung – mit der Folge, dass der DiGA-Zeitplan an den Terminslots der Benannten Stelle hängt. Diese Slots sind derzeit eng; Neuaufträge haben Vorlaufzeiten, die das DiGA-Projekt in seltenen Fällen beschleunigen.
• Klasse IIb seit DigiG: Zusätzliche Schärfe, weil IIb keine Erprobung mehr offensteht (§ 139e Abs. 2 Satz 3 SGB V↗: Nachweis medizinischer Nutzen bei Antragstellung). Die Konformitätsbewertung folgt MDR Art. 52 Abs. 4 i.V.m. Anhang IX Kap. I und III↗ mit Assessment der technischen Dokumentation je generischer Produktgruppe – was voraussetzt, dass sowohl das MDR-Zertifikat der Benannten Stelle als auch die vergleichende Studie zum Zeitpunkt der Antragstellung fertig sind. Details im Klasse-IIb-Artikel.

Für die Antragsstrategie bedeutet das: Die Klasse ist ein Zeitachsen-Treiber, kein Compliance-Nebenprodukt. Ein Team, das spät auf “eigentlich sind wir IIa” korrigiert, verliert sechs Monate, weil die Benannte Stelle noch nicht einmal beauftragt ist. Gleichzeitig führt jede Aufwärtsreklassifizierung unter MDR zu höheren laufenden Kosten – Surveillance-Audits, jährliche Berichte, Re-Zertifizierungszyklen. Die Klassenfrage gehört deshalb in die Produktkonzeption, nicht in die Regulatorik-Phase.

Kommunikation mit dem BfArM – Beratung, Nachforderung, Einspruch

Das BfArM ist Antragsbehörde, aber auch Beratungspartner. Den meisten Teams ist das zweite nicht klar genug.

Beratung vor Aufnahme

Nach DiGA-Leitfaden v3.6 Kap. 5.4.1 kann der Hersteller vor Antragstellung eine kostenpflichtige Beratung anfragen – zu Evidenzdesign, Einordnung einer Anwendung als DiGA, Datensicherheit, Studienkonzepten. Die Beratung ersetzt keine Rechtsberatung und ist nicht bescheidsrelevant, aber sie reduziert die Wahrscheinlichkeit, dass die Antragseinreichung in einer Nachforderungsschleife landet, erheblich. Für komplexe Indikationen, Grenzfälle zwischen DiGA und DiPA oder unklare Evidenzpfade ist die Beratung fast immer die sinnvollere Investition als ein blinder Antrag.

Beratung nach Aufnahme

Für bereits gelistete DiGA gibt es eine Beratung zu Änderungen im Lebenszyklus (DiGA-Leitfaden v3.6 Kap. 5.4.2) – praktisch: Wenn unklar ist, ob eine geplante Änderung als wesentliche Veränderung nach § 18 DiGAV meldepflichtig ist, ist die BfArM-Vorklärung schneller und billiger als eine Post-Release-Streitigkeit über die Einstufung.

Wie auf Nachforderungen antworten

Nachforderungen kommen in zwei Formen: formale (Vollständigkeit) und inhaltliche (Bewertung). Die formalen sind mit sauberer Dokumentation in wenigen Tagen lösbar – wenn die Dokumentation existiert. Die inhaltlichen sind anspruchsvoller: Sie verlangen oft ergänzende methodische Begründungen, Teil-Auswertungen oder Zusatzanalysen der bestehenden Studiendaten. Zwei Regeln haben sich in unserer Beobachtung bewährt:

1. Antworten liefern, was gefragt ist – nicht mehr. Das BfArM-Team bewertet punktuell; zusätzliche, nicht angeforderte Umbau-Versuche der Gesamtargumentation vergrößern die Prüffläche und verlängern das Verfahren.
2. Fristen aktiv verwalten. Die drei Monate nach § 16 Abs. 2 DiGAV sind eine Obergrenze, nicht eine Zielmarke. Wer in zwei Wochen liefert, bekommt die Entscheidung schneller – der Rückstau sitzt beim Hersteller, nicht beim BfArM.

Einspruch und zweiter Anlauf

Ein ablehnender Bescheid ist ein Verwaltungsakt – Widerspruch und Klage vor dem Verwaltungsgericht stehen offen. Praktisch lohnt sich der Rechtsweg selten: Er ist lang, teuer und adressiert die zugrundeliegenden Lücken (meist Evidenz oder Vollständigkeit) nicht. Der zweite Anlauf mit einem materiell verbesserten Antrag ist fast immer der schnellere Weg – mit der Ausnahme, dass bei einer gescheiterten Erprobung ein erneuter Antrag frühestens zwölf Monate nach dem ablehnenden Bescheid möglich ist und eine wiederholte vorläufige Aufnahme für dieselbe DiGA ausgeschlossen bleibt.

Realistische Timelines – 9 bis 18 Monate entstehen nicht im BfArM

Die Verordnung ist schnell, die Vorbereitung ist langsam. Wir erklären die 9–18 Monate DiGA-Time-to-Market so:

Vorlauf (3–9 Monate): Therapiekonzept, Zweckbestimmung, regulatorische Einordnung (DiGA vs. DiPA vs. andere Erstattungspfade), Evidenzstrategie, Go/No-Go-Entscheidung zur Erprobung. Für international arbeitende Teams, die zum ersten Mal DiGAV lesen, verdoppelt sich dieser Abschnitt regelmäßig – nicht wegen der Sprache, sondern wegen der mentalen Umstellung von FDA-SaMD-Denken auf deutsches DiGA-Denken.

Produkt- und Regulatorik (3–12 Monate): MDR-Konformitätsbewertung, IEC 62304-Prozess, ISO 13485-QMS, Risikomanagement nach ISO 14971, klinische Bewertung, Usability nach IEC 62366-1. Bei Klasse IIa oder IIb kommt die Benannte Stelle dazu – deren Terminlage entscheidet über die Taktung.

Security-Track (2–4 Monate parallel, 12 Monate seriell): BSI TR-03161-Prüfung pro DiGA, ISMS-Zertifikat (ISO 27001), Penetrationstests durch vorrangig BSI-zertifizierte Teststellen, BfArM-Datenschutzprüfkriterien-Umsetzung. Dieser Abschnitt bestimmt, ob eine DiGA in zwölf Wochen oder in zwölf Monaten die antragsreife Grenze erreicht – er ist der schärfste Hebel für Plattform-Architektur.

Evidenzstudie (3–12 Monate aktive Datenerhebung + Analyse): Bei dauerhafter Aufnahme muss die Studie vor Antragsstellung abgeschlossen und ausgewertet sein. Bei vorläufiger Aufnahme läuft sie während der Erprobung von bis zu zwölf Monaten, einmalig verlängerbar auf bis zu 24 Monate.

BfArM-Verfahren (3–6 Monate): Drei Monate Soll nach § 16 Abs. 1 DiGAV, plus Nachforderungszeit.

Was darin auffällt: Der BfArM-Anteil ist der kürzeste Einzelblock. Der kritische Pfad läuft fast nie durch das BfArM, sondern durch Benannte Stelle, Teststelle oder Studie. Teams, die ihre Arbeit strikt seriell organisieren – erst MDR, dann Datensicherheit, dann Datenschutz, dann Studie – landen bei 18 Monaten und mehr. Teams, die auf einer Plattform mit vorvalidierten Modulen arbeiten, liefern den produktseitigen Abschnitt in 12 Wochen und laufen parallel in Studien- und Regulatorik-Tracks.

Kosten – was das BfArM nicht auf die Webseite schreibt

Die tatsächlichen Kosten einer DiGA-Zulassung sind die am schlechtesten öffentlich dokumentierte Größe im gesamten Verfahren. Das BfArM erhebt die Verwaltungskosten nach pauschalierten Gebührensätzen, zusätzliche individuell zurechenbare öffentliche Leistungen als Auslagen; die Erhebung folgt den §§ 13 bis 21 Bundesgebührengesetz entsprechend (§ 139e Abs. 7 SGB V↗; DiGA-Leitfaden v3.6 Kap. 5.5). Die konkreten Ziffern stammen aus der Besonderen Gebührenverordnung des BMG und bewegen sich nach praktischer Beobachtung im niedrigen bis mittleren fünfstelligen Bereich je nach Antragstyp – für einen ersten Antrag der berechenbare Posten.

Die relevanten Kostenblöcke stehen davor und werden aus unserer Beratungsbeobachtung qualitativ so eingeordnet – keine verhandelten Vertragszahlen, keine Projektbuchhaltung, sondern Marktbänder:

• Therapiekonzept und Zweckbestimmung: niedriger bis mittlerer fünfstelliger Bereich, stark abhängig davon, ob eine klinische Leitlinie als Rahmen vorliegt. Bei komplexer Indikation oder Kinder-/Jugend-Kontext: mittlerer fünfstelliger Bereich aufwärts.
• MDR-Konformitätsbewertung, klinische Bewertung, IEC 62304, ISO 13485-QMS, Risikomanagement: mittlerer fünfstelliger bis niedriger sechsstelliger Bereich pro DiGA, wenn das QMS neu aufgesetzt wird. Mit bestehendem QMS fällt der Aufwand deutlich, weil das QMS selbst nicht pro Produkt neu gebaut wird.
• BSI TR-03161-Prüfung pro DiGA inklusive Pentest: Die Prüfung durch eine vorrangig BSI-zertifizierte Teststelle plus Pentests plus Nachweisdokumentation bewegt sich in einem Korridor von mittlerem fünfstelligem bis niedrigem sechsstelligem Bereich, abhängig von Systemkomplexität (Backend-Umfang, Zahl der Schnittstellen, Plattform-Umfang). Erst-Zertifizierung ist teurer als Re-Zertifizierung bei kleineren Änderungen.
• Datenschutz-Architektur, BfArM-Prüfkriterien-Umsetzung, DSFA: mittlerer fünfstelliger Bereich, wenn die Architektur bereits Datenschutz-by-Design folgt. Sonst deutlich mehr, weil fast jede der rund 150 Einzelanforderungen der BfArM-Prüfkriterien in Infrastruktur oder Prozess Spuren hinterlässt.
• Evidenzstudie nach § 10 DiGAV: der mit Abstand größte Einzelposten. Sechsstellig im Minimum; bei aufwendigen prospektiven Studiendesigns oder hohen Fallzahlen geht es in den siebenstelligen Bereich. Die Studie ist weitgehend unabhängig von der gewählten Entwicklungsarchitektur und schlägt in praktisch jedem DiGA-Projekt voll durch.
• Interne Manntage: die am häufigsten unterschätzte Position. Produkt-Management, Regulatory, QMS-Rollen, Klinisches Affairs, Datenschutzbeauftragte und Führung binden zwischen 300 und 800 interne Manntage über den Verlauf eines Erstantrags. Diese Kosten stehen in keiner Rechnung – sie stehen im Kalender.

Zusammen landet eine klassische Custom-Entwicklung bei einem realistischen Gesamtaufwand zwischen €500.000 und €2 Mio. pro Erstantrag – nicht, weil die Software so teuer ist, sondern weil die Compliance-Arbeit pro Projekt neu anfällt. Die BfArM-Antragsgebühr selbst ist dabei nie der entscheidende Posten; sie ist der am leichtesten zu bezahlende.

Nach der Bescheidung – was gelistet sein bedeutet

Die Aufnahme ins Verzeichnis ist nicht der Abschluss des regulatorischen Arbeitsblocks, sondern sein Beginn auf einer neuen Ebene. Fünf Pflichtlinien beginnen mit dem Listing-Datum.

Freie Preisphase und Vergütungsverhandlung. Zwölf Monate lang rechnet der Hersteller den frei gesetzten Herstellerpreis ab; nach diesem Jahr tritt der mit dem GKV-Spitzenverband verhandelte Vergütungsbetrag in Kraft – rückwirkend, wenn die Verhandlung länger dauert (DiGA-Leitfaden v3.6 Kap. 5.2.1). Ab 01.01.2026 bindet die Vergütungsvereinbarung mindestens 20 % des Vergütungsbetrags an erfolgsabhängige Parameter (DiGA-Leitfaden v3.6 Kap. 6.1). Wir behandeln den Mechanismus im Detail im Artikel AbEM – anwendungsbegleitende Erfolgsmessung.

Datenschutz- und Datensicherheits-Aufsicht. Die BfArM-Prüfkriterien sind kein Einmal-Nachweis: Änderungen an Verarbeitungszwecken, Auftragsverarbeitern, Speicherorten, Protokollierungstiefe oder Account-Management fallen unter den Überwachungspflichten-Katalog und können als wesentliche Veränderung meldepflichtig werden.

Reporting-Pflichten nach § 33a Abs. 6 SGB V↗. Jahresbericht des GKV-Spitzenverbands zur Versorgung mit DiGA ist eine Kollektiv-Berichtspflicht, die aus herstellerseitigen Daten gespeist wird; gleichzeitig laufen herstellerseitige Berichtspflichten zu Nutzung und Wirksamkeit über die AbEM (§ 139e Abs. 13 SGB V↗, Erstlieferung 15.04.2027, danach halbjährlich).

Wesentliche Veränderungen nach § 18 DiGAV. Änderungen sind wesentlich, wenn sie auf Sicherheit, Funktionstauglichkeit, Qualität, Datenschutz, Datensicherheit oder den Evidenznachweis wesentlichen Einfluss haben – oder wenn sie Verzeichniseintragungen verändern (DiGAV § 18↗). Das BfArM stellt einen elektronischen Prüfbogen zur Verfügung. Wer ein Feature-Release ausrollt, das die Patientengruppe ändert, und es nicht anzeigt, riskiert Streichung. Detailfragen behandeln wir in Wesentliche Veränderungen an DiGA.

Verpflichtende Weiterentwicklungen. Die Pflichtkalender-Punkte aus Kap. 5.2.4 des Leitfadens (ePA-Anbindung seit 01.01.2024, BSI TR-03161 pro DiGA seit 01.01.2025/antragsrelevant 01.07.2025, AbEM Stufe I ab 01.07.2026, Stufe II ab 01.07.2027, Stufe III ab 01.07.2028) gelten auch rückwirkend für bereits gelistete DiGA. Jedes Jahr bindet dieser Kalender einen Teil der Produkt-Kapazität, die andernfalls in Outcome-Verbesserungen flösse.

Häufige Fragen

Weiterführend

Wer einzelne Stationen des Antragsverfahrens tiefer ansehen will, findet im Wissens-Bereich DiGA die thematischen Vertiefungen: die BfArM-Datenschutzprüfkriterien im Detail, die anwendungsbegleitende Erfolgsmessung (AbEM), die Besonderheiten der Klasse IIb seit DigiG und die häufigsten Ablehnungsgründe. Für die Frage, ob eine DiGA überhaupt der richtige Erstattungspfad ist, siehe den Pillar Erstattungswege.