Skip to Content
5. Weitere Ressourcen

Weitere Ressourcen

Auf dieser Seite und deren Unterseiten finden sich weitere Ressourcen rund um das Thema TR-03161.

Schreiben des BSI

Klarstellung vom 14. April 2025

Quelle: BSI an Gematik zur Weiterleitung an die Hersteller per Mail

Ergänzende Klarstellung zur Technischen Richtlinie TR-03161:

Der Zertifizierung von Anwendungen im Gesundheitswesen nach der Technischen Richtlinie TR-03161 liegen Annahmen zu Grunde, die für die Zertifizierbarkeit der Produkte unerlässlich sind. Eine dieser Annahmen ist A.Source, die besagt:

„Der Bezug der Anwendung und Ihrer Updates erfolgt ausschließlich über sichere Quellen, die der Hersteller zur Veröffentlich seiner Anwendung bestimmt hat (z.B. App- Stores, herstellereigene Website, öffentliche Stellen wie zuständigen Behörden und Krankenkassen). Die installierten Anwendungen werden regelmäßig auf Updates geprüft und aktualisiert.“

Da das BSI im Rahmen der Produktprüfung die Bezugsquelle die der jeweilige Nutzer der Anwendung gewählt hat nicht prüfen kann, gelten die Sicherheitsaussagen im Rahmen der Produktzertifizierung nur unter der Voraussetzung, dass diese Annahme erfüllt ist.

Für digitale Gesundheits- und Pflegeanwendungen ist ein Teil des Bezugsprozesses die Verordnung und Einlösung eines Rezeptes für das Produkt über einen Rezeptcode, die direkte Beantragung einer DiGA bei ihrer Krankenkasse oder sonstige versorgungsbedingte Prozesse zum Erhalt des Produktes. Da diese Bezugsprozesse im Rahmen einer Produktzertifizierung nicht prüfbar sind, fallen sie ebenfalls unter die Annahme A.Source und werden nicht durch das BSI bewertet.

Hieraus ergeben sich folgende Konsequenzen für die Zertifizierung einer digitalen Gesundheits- oder Pflegeanwendung:

  1. Die Abrechnungsprozesse zum Bezug einer digitalen Gesundheits- oder Pflegeanwendung werden in den Anforderungen des Kapitels 3.1.8 Prüfaspekt (8): Kostenpflichtige Ressourcen nicht berücksichtigt. Lediglich darüber hinausgehende kostenpflichtige Ressourcen (zum Beispiel In-App-Käufe), sofern vorhanden, werden im Rahmen der Zertifizierung betrachtet.

  2. Im Rahmen des Bezugsprozesses geleistete Regelungen mit dem Nutzer (wie beispielsweise das Tätigen von Einwilligungserklärungen) werden im Rahmen der Produktzertifizierung nicht betrachtet. Sofern hieraus direkte oder indirekte Auswirkungen auf Prüfaspekte der Technischen Richtlinie entstehen (z.B. eine Einwilligung gemäß § 139e Abs.10 SGB V mit direkter Auswirkung auf O.Auth_1 und 4), muss der Hersteller diese im Rahmen einer Herstellererklärung gegenüber dem zuständigen Prüflabor offenlegen. Hierdurch wird das Prüflabor in die Lage versetzt direkte Folgen aus der Herstellererklärung für das Produkt (z.B. die Möglichkeit zum Entziehen erteilter Einwilligungen gem. O.Purp_5) zu bewerten. Die Herstellererklärung selber wird durch das Prüflabor ausschließlich auf Plausibilität geprüft.

Wir bitten die Unklarheiten zu entschuldigen und hoffen mit dieser Klarstellung das Verständnis der Technischen Richtlinie 03161 verbessert zu haben.

Last updated on
4. ProzessHaftungsausschluss