TR-03161 und C5: Das Fundament für sichere DiGA

Cloud-Dienste sind eine zentrale Grundlage für die Digitalisierung im Gesundheitswesen – insbesondere dort, wo Patientendaten verarbeitet werden. Mit der zunehmenden Nutzung von Cloud-Diensten steigen jedoch auch die Anforderungen an Informationssicherheit, Transparenz und regulatorische Nachweisführung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu zwei zentrale Anforderungskataloge herausgegeben: Zum einen definiert die Technische Richtlinie TR-03161 Sicherheits- und Datenschutzanforderungen für Digitale Gesundheitsanwendungen (DiGA) samt Hintergrundsystemen. Zum anderen schafft der „Cloud Computing Compliance Criteria Catalogue“ (C5) ein einheitliches Sicherheitsniveau für Cloud-Dienste und macht dieses prüf- sowie nachweisbar. Gemeinsam bilden C5 und TR-03161 das Sicherheitsfundament für Gesundheitsdaten, die mit Cloud-Diensten verarbeitet werden.

TR-03161: Sichere Digitalisierung im Gesundheitswesen

Digitale Gesundheitsanwendungen (DiGA) begegnen uns immer öfter: Sie unterstützen das Erkennen und Behandeln von Krankheiten, fördern die Patient:innenautonomie und steigern die Therapieeffizienz. Daher lassen sich DiGA bei zahlreichen medizinischen Indikationen wie psychischen Erkrankungen, Diabetes oder Schmerzen einsetzen.

Die „Apps auf Rezept“ werden durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) reguliert und sind seitens der Krankenkassen erstattungsfähig. Da sie hochsensible Gesundheitsdaten verarbeiten und in den Behandlungsprozess eingreifen, müssen sie höchsten Sicherheitsanforderungen genügen. Das BSI hat daher mit der Technischen Richtlinie TR-03161 gesetzlich vorgeschriebene Anforderungen definiert, welche die Entwickler und Anbieter von DiGA seit dem 1. Januar 2025 erfüllen müssen. DiGA-Hersteller haben die Pflicht, die Einhaltung der Sicherheitsanforderungen nach TR-03161 durch ein Zertifikat nachzuweisen (§ 139e Abs. 10 SGB V). Die Richtlinie definiert für mobile Applikationen sowie Web-Anwendungen (in Entwicklung und Betrieb) das zu erreichende Sicherheits- und Qualitätsniveau und verpflichtet DiGA-Hersteller, sich entsprechend prüfen zu lassen. Ein besonderes Augenmerk liegt auf IT- und Datensicherheit, Integrität sowie Datenschutz.

BSI C5: Sicherheit und Transparenz für Cloud-Dienste

Der „Cloud Computing Compliance Criteria Catalogue“ (C5) ist ein vom BSI entwickelter Kriterienkatalog für Cloud-Dienstleister. Er definiert Kriterien für den sicheren Betrieb von Cloud-Services und dient als Prüfkatalog für Audits. Ziel des C5 ist es, ein hohes Maß an Transparenz, Vergleichbarkeit und Sicherheit zu schaffen – insbesondere für Organisationen, die sichere und vertrauenswürdige Cloud-Angebote benötigen.

Der Kriterienkatalog wurde erstmals im Jahr 2016 herausgegeben und in 2020 überarbeitet. Inzwischen hat das BSI den C5 erneut aktualisiert und die neue Version C5:2026 veröffentlicht. Diese setzt weiterhin ein vom Cloud-Anbieter eingerichtetes internes Kontrollsystem voraus – daher können Wirtschaftsprüfungsgesellschaften zwei verschiedene Prüfberichte erstellen: Typ 1-Prüfberichte beziehen sich auf die Ausgestaltung der vom Cloud-Anbieter eingerichteten Kontrollen zu einem bestimmten Stichtag, während Typ 2-Prüfberichte die tatsächliche Wirksamkeit der Kontrollen in einem bestimmten, vergangenen Zeitraum bestätigen.

Seit 2024 erlaubt das „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens“ (kurz: Digital-Gesetz) in §393 SGB V das Verarbeiten von Gesundheitsdaten mit Cloud-Diensten – sofern deren Anbieter nach dem 1. Juli 2025 einen BSI C5-Prüfbericht Typ 2 erlangt hat oder die C5-Gleichwertigkeitsverordnung erfüllt. Sollte ein Cloud-Anbieter nach dem 1. Juli 2025 einen gänzlich neuen Cloud-Dienst anbieten, genügt gemäß „Gesetz zur Befugniserweiterung und Entbürokratisierung in der Pflege“ (kurz: BEEP-Gesetz) für 18 Monate zunächst auch ein BSI C5-Prüfbericht Typ 1. Mit diesen Regelungen möchte das Bundesministerium für Gesundheit (BMG) erreichen, dass Gesundheitsorganisationen sensible Sozial- und Gesundheitsdaten mit modernen Cloud-Diensten verarbeiten können, während für diese ein einheitlich hohes und von einem unabhängigen Dritten bestätigtes Sicherheitsniveau sichergestellt ist.

Verbindung zwischen TR-03161 und BSI C5

Das BSI formuliert in Teil 3 der TR‑03161 spezifische Anforderungen an die Hintergrundsysteme von DiGA. Diese Anforderungen beziehen sich auf Ressourcen, auf welche die DiGA zurückgreift, wie etwa Applikationslogiken und Datenbanken oder Infrastrukturdienste wie Compute, Netzwerk, Firewall, Benutzerverwaltung und Internetverbindung.

Genau diese Hintergrundsysteme bestehen zunehmend aus Cloud-Diensten, insbesondere Infrastructure as a Service (IaaS) und Platform as a Service (PaaS). Um dem Schutzbedarf der in diesen Hintergrundsystemen verarbeiteten Gesundheitsdaten gerecht zu werden, fordert die TR 03161, dass für diese Systeme ein BSI C5-Bericht vorliegt: Der DiGA-Hersteller hat somit darauf zu achten, dass er seine DiGA nur auf solchen Cloud-Diensten betreibt, für die der Cloud-Anbieter einen BSI C5-Bericht erlangt hat. Somit bilden TR 03161 und BSI C5 zwei wesentliche Pfeiler der Informationssicherheit von DiGA.

Für DiGA‑Anbieter kann es ebenfalls sinnvoll oder sogar notwendig sein, selbst einen BSI C5-Prüfbericht zu erlangen: Insbesondere dann, wenn sie die DiGA auch als Cloud-Dienst (meist SaaS) bereitstellen und andere Organisationen auf diese zugreifen können. Dies ist stets individuell sowie, abhängig vom jeweiligen Anwendungsfall, vor dem Hintergrund des Digital-Gesetzes zu bewerten.

Was bedeutet dies für Anbieter digitaler Gesundheitsdienste?

DiGA-Anbieter sind gesetzlich verpflichtet, eine Produktzertifizierung gemäß TR-03161 zu erlangen.

Entscheidend ist dabei, sorgfältig zu bestimmen, welche Teile der TR anwendbar sind, um einzugrenzen, welche Anforderungen verpflichtend umgesetzt werden müssen und welche ausgeschlossen werden können. Dies kann den Aufwand des DiGA-Anbieters bei der Umsetzung sowie Prüfung der Anforderungen und infolgedessen den notwendigen Invest maßgeblich beeinflussen.

Nachdem festgelegt wurde, welche Teile der TR anwendbar sind, sollten die jeweiligen Anforderungen möglichst vollständig sowie richtlinienkonform umgesetzt sowie durch eine unabhängige und zugelassene Prüfstelle geprüft werden.

Die Anforderungen umfassen Aspekte wie die sichere Authentifizierung, Verschlüsselung gemäß kryptografischer Verfahren nach dem Stand der Technik, sichere Netzwerkkommunikation und weitere Maßnahmen der IT-Sicherheit.

DiGA-Anbieter sollten Cloud-basierte Hintergrundsysteme, wie IaaS oder PaaS, nur nutzen, sofern für diese ein BSI C5 Typ 2 Prüfbericht vorliegt. Dies lässt sich in Anbieterauswahl- und Steuerungsprozessen durch entsprechende Nachfragen beim Cloud-Anbieter ermitteln. Beim Durchsehen des Berichts ist unter anderem auf den Scope, den Typ des Berichts (Typ 1 „Angemessenheit“ oder Typ 2 „Wirksamkeit“) sowie eventuelle Prüfungsfeststellungen zu achten. Für DiGA-Anbieter kann es zudem wichtig sein, zu beurteilen, inwiefern sie gemäß §384 SGB V gegebenenfalls selbst als Cloud-Anbieter gelten und einen BSI C5-Prüfbericht benötigen: Sofern ihre Kunden (wie beispielsweise Hospitäler oder Krankenkassen) mit dem Dienst Gesundheitsdaten verarbeiten, ist zu erwarten, dass sie zur Aufnahme beziehungsweise Fortführung eines Vertragsverhältnisses einen BSI C5-Prüfbericht Typ 2 fordern werden.

Zum Abschluss der Prüfung erstellt die Prüfstelle einen Bericht, übermittelt diesen zusammen mit allen relevanten Unterlagen (zum Beispiel BSI C5‑Prüfberichten) zur Konformitätsbewertung an das BSI und unterstützt bei etwaigen Rückfragen. Nach erfolgreicher Konformitätsbewertung stellt das BSI das entsprechende Datensicherheitszertifikat aus.

Der Weg zur Konformität: Ein strategischer Fahrplan

Die Anforderungen der TR-03161 und des BSI C5 sind anspruchsvoll – der Weg zur Zertifizierung lässt sich jedoch planen.