Seit dem 1. Januar 2025 ist gemäß dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG) die Zertifizierung nach der Technischen Richtlinie TR-03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI) für DiGA verpflichtend. Ziel ist die Sicherheit sensibler Gesundheitsdaten.
In der aktuellen Ausgestaltung der TR-03161 und ihrer Anwendung führt dies jedoch dazu, dass rund 20 Millionen gesetzlich Versicherte DiGA faktisch nicht mehr nutzen können.¹ Die Auswirkungen zeigen sich bereits heute in der Versorgungspraxis.
Ein zentraler Grund ist die Auslegung der Anforderungen an die unterstützten Betriebssysteme: DiGA, die auf Geräten mit Android 13 oder geringer laufen, werden derzeit ablehnend bewertet. Eine solche Bewertung führt dazu, dass Anwendungen nicht in das DiGA-Verzeichnis aufgenommen oder daraus entfernt werden. In beiden Fällen erfolgt keine Erstattung durch die gesetzliche Krankenversicherung. Um dies zu vermeiden, müssen Anwendungen auf neuere Betriebssystemversionen beschränkt werden. Dies führt unmittelbar zu erheblichen Zugangseinschränkungen.
Die Dimension ist erheblich: Rund 45 Prozent der Android-Nutzenden verwenden Geräte unterhalb von Android 14 und können diese Voraussetzung nicht erfüllen. Auch eine Auswertung von Mitgliedsunternehmen des SVDGV zeigt, dass bereits heute rund 27 Prozent der aktiven DiGA-Nutzenden mit Android-Geräten von der Nutzung ausgeschlossen wären, wenn sie eine BSI-genehmigte Version erneut starten müssten.²
Die Auswirkungen sind ungleich verteilt. Ältere Menschen nutzen ihre Geräte häufig über einen längeren Zeitraum und wechseln seltener. Auch in einkommensschwächeren Haushalten werden Smartphones deutlich länger verwendet. Ein Update auf neuere Betriebssystemversionen ist bei einem Großteil der Geräte technisch nicht möglich, sodass Neuanschaffungen erforderlich werden, deren Kosten die Patientinnen und Patienten selbst tragen müssen.
Die formal einheitlich klingende Regelung wirkt in der Praxis selektiv und führt zu einer strukturellen Benachteiligung bestimmter Versichertengruppen – mit potenziell diskriminierender Wirkung. Dies steht im Widerspruch zu den Zielen der Digitalstrategie „Gemeinsam digital 2026“, die ein patientenzentriertes digitales Gesundheitsökosystem für alle Bevölkerungsgruppen anstrebt.³
Bereits heute zeigt sich, dass DiGA ärztlich verordnet werden, aber aufgrund technischer Anforderungen nicht genutzt werden können. Gleichzeitig kann die Verordnungshoheit von Ärztinnen und Ärzten durch technische Hürden und soziale Faktoren nicht umgesetzt werden. Damit entscheidet nicht mehr allein der medizinische Bedarf über den Zugang zu evidenzbasierter Therapie, sondern zunehmend die technische Ausstattung.
„Hier zeigt sich eine strukturelle Zugangshürde in der Versorgung: Technische Anforderungen führen dazu, dass ein erheblicher Teil der Versicherten DiGA nicht nutzen kann. Datensicherheit ist ein zentrales Ziel – sie darf den Zugang zur Versorgung jedoch nicht unverhältnismäßig einschränken“, sagt Dr. Christoph Twesten, Vorstandsmitglied des SVDGV.
Aus Sicht des SVDGV sollte daher klargestellt werden, dass aus den gesetzlichen Vorgaben sowie der TR-03161 keine spezifischen Mindestanforderungen an aktuelle Betriebssystemversionen abgeleitet werden und auf zusätzliche Konkretisierungen in der Technischen Richtlinie verzichtet wird.
Der Gesetzgeber hat in § 139e Abs. 10 SGB V ausdrücklich vorgesehen, dass Versicherte nach umfassender Information ein niedrigeres Sicherheitsniveau im Rahmen des Authentifizierungsverfahrens wählen können. Dieses Prinzip der informierten Entscheidung und der informationellen Selbstbestimmung sollte auch bei der Ausgestaltung weiterer technischer Anforderungen maßgeblich sein.
Der Zugang zur Versorgung muss für alle Versicherten gleichermaßen gewährleistet bleiben
– unabhängig von technischen Voraussetzungen.
Quelle: Spitzenverband Digitale Gesundheitsversorgung e.V. (SVDGV)