Datenschutz und IT-Sicherheit für Medizinprodukte und DiGA

Digitale Gesundheitslösungen stehen unter besonderer Beobachtung: Behörden, Kostenträger und Patientinnen und Patienten erwarten höchste Standards beim Schutz sensibler Gesundheitsdaten. BAYOOCARE begleitet Sie dabei, diese Anforderungen systematisch und nachweisbar zu erfüllen – von der ersten Konzeption bis zum laufenden Betrieb Ihrer Medizinprodukte, Software als Medizinprodukt und digitalen Gesundheitsanwendungen.

Jetzt kontaktieren

Datenschutz und IT-Sicherheit für Medizinprodukte und DiGA

Jetzt kontaktieren

Ihr Mehrwert

Wir schaffen für Sie Rechtssicherheit und organisatorische Klarheit. Sie erfüllen nachweisbar die Vorgaben aus MDR/IVDR, DSGVO, BDSG sowie für digitale Gesundheitsanwendungen zusätzlich DVG, DiGAV und die technischen Richtlinien des BSI. Statt parallele Systeme für Qualität, Informationssicherheit und Datenschutz zu pflegen, etablieren Sie ein integriertes Managementsystem, das Synergien nutzt und Redundanzen vermeidet. Sie reduzieren Haftungsrisiken, stärken das Vertrauen von Patientinnen und Patienten und erhöhen die Akzeptanz bei Kostenträgern, Benannten Stellen und dem Bundesinstitut für Arzneimittel und Medizinprodukte.

Regulatorische Anforderungen: Datenschutz und IT-Sicherheit als rechtliche Pflicht

Im Gesundheitswesen gelten besonders strenge Anforderungen an den Schutz personenbezogener Daten. Die DSGVO definiert Gesundheitsdaten als Daten besonderer Kategorie mit erhöhtem Schutzbedarf. MDR und IVDR fordern explizit IT-Sicherheit nach dem Stand der Technik für alle Medizinprodukte – einschließlich Software als Medizinprodukt und vernetzter Systeme.

Für digitale Gesundheitsanwendungen ergeben sich zusätzliche Verpflichtungen: Das Digitale-Versorgung-Gesetz und die DiGAV legen detailliert fest, wie Datenschutz und Datensicherheit umzusetzen sind, von rechtmäßigen Einwilligungen über Datenminimierung bis hin zu Authentisierung, Verschlüsselung und Protokollierung.

BAYOOCARE – Datenschutz und IT-Sicherheit als Pflicht

Seit dem 1. April 2022 ist für die Aufnahme in das DiGA-Verzeichnis ein Informationssicherheitsmanagementsystem gemäß ISO 27001 oder ISO 27001 auf Basis von IT-Grundschutz (BSI-Standard 200-2) erforderlich. Das BfArM verlangt hierzu ein entsprechendes Zertifikat. Ergänzend müssen DiGA-Hersteller seit dem 1. Januar 2025 die Anforderungen der technischen Richtlinie BSI TR-03161 erfüllen und durch ein Zertifikat nachweisen.

Benannte Stellen und Auditoren erwarten ein systematisches Vorgehen nach anerkannten Normen. Wer diese Anforderungen nicht erfüllt, riskiert Verzögerungen bei Zulassungen, Abweichungen in Audits und im schlimmsten Fall Sanktionen nach DSGVO oder Auflagen durch Aufsichtsbehörden.

Unser Ansatz:
Integriertes Management für
Datenschutz & Informationssicherheit

Wir betrachten Datenschutz und IT-Sicherheit nicht isoliert, sondern als integralen Bestandteil Ihrer bestehenden Organisation. Unser Ansatz verbindet regulatorische Compliance mit pragmatischer Umsetzbarkeit.

Analyse von Ausgangslage und Anforderungen

Wir klären mit Ihnen, welche regulatorischen und normativen Anforderungen für Ihr Produktportfolio konkret gelten – etwa MDR, IVDR, DSGVO, BDSG, DiGAV, BSI-Richtlinien und Normen wie ISO 27001, IEC 81001-5-1, IEC 62304 oder ISO 82304. Auf dieser Basis ermitteln wir Lücken in bestehenden Prozessen, Dokumenten und technischen Maßnahmen und entwickeln einen priorisierten Maßnahmenplan.

Aufbau oder Erweiterung des Managementsystems

Viele Hersteller verfügen bereits über ein Qualitätsmanagementsystem nach ISO 13485 oder ISO 9001. Wir erweitern dieses System gezielt um Informationssicherheit und Datenschutz, sodass Sie ein integriertes Managementsystem etablieren statt paralleler Strukturen. Dazu gehören die Definition von Rollen und Verantwortlichkeiten wie etwa Informationssicherheitsbeauftragte und Datenschutzbeauftragte, die Erstellung von Richtlinien und Verfahrensanweisungen, Schulungskonzepte für Ihre Mitarbeitenden sowie klare Berichtslinien und Eskalationswege.

BAYOOCARE – Integriertes Management für Datenschutz und Informationssicherheit

Systematische Risikoanalyse

Gemeinsam identifizieren wir relevante Assets: Patienten- und Nutzerdaten, Anwendungen, Backend-Systeme, Schnittstellen zu Drittsystemen und Cloud-Diensten.

Wir bewerten Bedrohungen wie unbefugten Zugriff, Datenabfluss, Ransomware, Distributed-Denial-of-Service-Angriffe und technische Schwachstellen.
Darauf aufbauend definieren wir angemessene organisatorische und technische Schutzmaßnahmen, orientiert an anerkannten Modellen wie ISO 27001, IT-Grundschutz oder dem Johner-Institut-Leitfaden zur IT-Sicherheit.

Verankerung im Produktlebenszyklus

Datenschutz und IT-Sicherheit werden verbindlich in alle Phasen des Produktlebenszyklus integriert – von der Zweckbestimmung und Anforderungsdefinition über Architektur, Implementierung und Verifikation bis zu Validierung, Markteinführung und Marktüberwachung. Wir unterstützen Sie bei der Umsetzung von Security-by-Design und Privacy-by-Design, bei der Etablierung sicherer Softwareentwicklungspraktiken und bei Teststrategien mit Security-Fokus – etwa Code-Analysen, Fuzz-Testing und Penetrationstests. Ebenso begleiten wir Sie bei der Einrichtung geregelter Prozesse für Updates, Patches und Incident-Management.

Nachweisführung und Auditfähigkeit

Wir übernehmen für Sie den Aufbau der erforderlichen Dokumentation: Risikobewertungen, Verarbeitungsverzeichnisse, Beschreibungen technischer und organisatorischer Maßnahmen, Sicherheitskonzepte, Berichte zu Tests und Audits sowie Zuordnungen zu regulatorischen Anforderungen wie DiGAV-Checklisten.

So schaffen Sie eine nachvollziehbare Nachweisführung gegenüber Benannten Stellen, Datenschutzaufsichtsbehörden, Auditoren und dem BfArM.

Sie möchten Datenschutz und IT-Sicherheit für Ihre Medizinprodukte oder DiGA systematisch umsetzen?

Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Expertinnen und Experten. Wir analysieren Ihre Ausgangslage, klären regulatorische Anforderungen und entwickeln einen individuellen Fahrplan für Ihr Vorhaben. Nehmen Sie Kontakt zu uns auf, wir freuen uns auf Ihre Anfrage.

Ihr Kontakt zu uns

Typische Bausteine unserer Leistungen

Unsere Dienstleistungen im Bereich Datenschutz und IT-Sicherheit für Medizinprodukte, DiGA und vernetzte Gesundheitslösungen umfassen:

Wir übernehmen die Konzeption und Einführung eines Informationssicherheitsmanagementsystems nach ISO 27001 oder auf Basis des BSI-IT-Grundschutzes. Wir integrieren Informationssicherheit und Datenschutz in bestehende Qualitätsmanagementsysteme, etwa nach ISO 13485 oder ISO 9001. Wir erstellen und optimieren Richtlinien, Prozesse und Arbeitsanweisungen zu Informationssicherheit, Datenschutz und sicherer Softwareentwicklung.

Wir führen Risikoanalysen mit Fokus auf Datenschutz und IT-Sicherheit durch oder moderieren diese, inklusive Definition und Priorisierung von Maßnahmen. Wir beraten Sie zu technischen Sicherheitsmaßnahmen – etwa Zugriffskonzepte, Verschlüsselung, Protokollierung, Backup-Strategien und Härtung von Systemen. Wir begleiten interne und externe Audits, unterstützen bei Zertifizierungsvorhaben wie ISO 27001 oder BSI TR-03161 sowie bei behördlichen Prüfungen und Nachweisführung gegenüber dem BfArM.

Spezialisierte Vertiefungsangebote

DSGVO-Compliance-Beratung

Wir unterstützen Sie bei der rechtssicheren Verarbeitung von Gesundheitsdaten, bei der Definition von Rollen und Verantwortlichkeiten, bei Verarbeitungsverzeichnissen, Datenschutz-Folgenabschätzungen, der Wahrung von Betroffenenrechten, bei Verträgen mit Auftragsverarbeitern und der praxisnahen Umsetzung von Privacy-by-Design und Privacy-by-Default.

IT-Sicherheit im gesamten Produktlebenszyklus

Wir bieten spezifische Unterstützung bei der Umsetzung von Sicherheitsanforderungen in Entwicklung, Test, Betrieb und Marktüberwachung von Medizinsoftware, vernetzten Medizinprodukten und DiGA – inklusive sicherer Update-Strategien, Incident-Response-Prozessen und kontinuierlicher Verbesserung.

Umsetzung von ISO-27001-Standards für Datensicherheit

Wir begleiten Sie bei Konzeption und Implementierung eines ISMS, bei der Definition des Geltungsbereichs, bei Risikobehandlung, Maßnahmenplanung, internen Audits, Management-Bewertungen und bei der Vorbereitung auf Zertifizierung – abgestimmt auf die Besonderheiten von Medizinprodukteherstellern und DiGA-Anbietern.

BAYOOCARE – Typische Bausteine unserer Leistungen

Häufig gestellte Fragen

Datenschutz und IT-Sicherheit für Medizinprodukte und DiGA werfen viele Fragen auf. Wir haben die häufigsten für Sie beantwortet – von ISMS-Anforderungen über ISO-27001-Zertifizierung bis hin zu den Pflichten für DiGA-Hersteller. Ihre Frage ist nicht dabei? Sprechen Sie uns gerne an.

Was ist der Unterschied zwischen ISO 27001 und BSI IT-Grundschutz?

ISO 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme mit risikobasiertem Ansatz. Sie definiert Anforderungen an ein ISMS und erlaubt flexible Maßnahmenwahl. BSI IT-Grundschutz (ISO 27001 auf Basis BSI-Standard 200-2) ist ein deutscher Ansatz mit vordefinierten Maßnahmenkatalogen. ISO 27001 ist international anerkannt, flexibler und oft kostengünstiger in der Umsetzung, während IT-Grundschutz detaillierte technische Vorgaben macht. Für DiGA-Hersteller sind beide Wege zulässig.

Müssen alle Medizinproduktehersteller ein ISMS nach ISO 27001 haben?

Nein, nicht generell. MDR und IVDR fordern IT-Sicherheit nach Stand der Technik, aber kein zertifiziertes ISMS. Ausnahme: DiGA-Hersteller benötigen seit dem 1. April 2022 ein ISMS-Zertifikat nach ISO 27001 oder ISO 27001 auf Basis IT-Grundschutz für die Aufnahme ins DiGA-Verzeichnis. Auch anderen Herstellern wird ein ISMS empfohlen.

Kann ich mein bestehendes QM-System um Informationssicherheit erweitern?

Ja, das ist sogar empfehlenswert. ISO 13485 und ISO 27001 haben viele Parallelen – beide basieren auf Managementsystemansätzen mit Prozessorientierung, Risikobetrachtung und kontinuierlicher Verbesserung. Ein integriertes Managementsystem vermeidet Redundanzen, nutzt gemeinsame Prozesse für interne Audits, Management-Reviews und Dokumentenlenkung und reduziert den Gesamtaufwand erheblich. Viele Hersteller erweitern ihr ISO-13485-System um Informationssicherheitsaspekte, statt ein separates ISMS aufzubauen.

Was ist die BSI TR-03161 und wer muss sie erfüllen?

Die BSI TR-03161 ist eine technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik mit konkreten Sicherheitsanforderungen an Gesundheitsanwendungen – etwa Authentisierung, Verschlüsselung, Protokollierung, Zugriffskonzepte. Seit dem 1. Januar 2025 müssen alle DiGA die Anforderungen gemäß Paragraph 139e Absatz 10 SGB V erfüllen und durch ein TR-Zertifikat nachweisen. Die TR-03161-Zertifizierung ersetzt den separaten Penetrationstest für DiGA.

Wie lange dauert die Einführung eines ISMS?

Die Dauer hängt von Ihrer Ausgangslage ab. Bei Herstellern mit bestehendem QM-System und guter IT-Dokumentation rechnen wir mit vier bis sechs Monaten bis zur Zertifizierungsreife. Ohne Vorkenntnisse oder bei komplexen Organisationsstrukturen kann es sechs bis zwölf Monate dauern. Entscheidend sind Geltungsbereich, Standortanzahl, Prozessreifegrad und Verfügbarkeit interner Ressourcen. Wir empfehlen phasenweisen Aufbau mit frühen Quick-Wins.

Was passiert bei Datenschutz- oder Sicherheitsvorfällen mit meiner DiGA?

DiGA-Hersteller sind verpflichtet, Sicherheitsmängel unverzüglich dem BfArM zu melden. Das BfArM prüft den Vorfall und fordert eine fachliche Stellungnahme. Sie müssen darlegen, dass Mängel behoben wurden und die DiGA den Anforderungen entspricht. Bei schwerwiegenden Verstößen kann das BfArM die DiGA aus dem Verzeichnis entfernen. Ergänzend gelten DSGVO-Meldepflichten bei Datenschutzverletzungen gegenüber Aufsichtsbehörden und Betroffenen. Ein Incident-Response-Konzept ist essenziell.

Müssen auch Medizinprodukte der Klasse I Datenschutz und IT-Sicherheit erfüllen?

Ja. Auch Medizinprodukte der Risikoklasse I müssen alle MDR-Anforderungen erfüllen, einschließlich IT-Sicherheit nach Stand der Technik und Datenschutz nach DSGVO. Die Klassifizierung bezieht sich auf medizinisches Risiko, nicht auf Cybersicherheit. Software als Medizinprodukt der Klasse I, die personenbezogene Daten verarbeitet oder vernetzt ist, unterliegt denselben Anforderungen wie höhere Klassen. DiGA sind typischerweise Klasse I oder IIa.

Alfred Koch

CEO | PRRC

So kontaktieren Sie uns

Sie planen ein Projekt oder haben ganz spezifische, regulatorische Fragen zur Inverkehrbringung Ihres Medizinprodukts? Egal, in welcher Phase Ihres Projektes Sie sich befinden, wir unterstützen Sie gerne. Ihr schnellster Weg zu uns – schreiben Sie uns gerne.