DiGA-Zulassung: Ein klinischer Leitfaden

Stand: 8. Juni 2026

Digitale Gesundheitsanwendungen (DiGA) sind seit dem Digitale-Versorgung-Gesetz (DVG, 2019) ein verschreibungsfähiger Bestandteil der Regelversorgung in Deutschland. Dieser Leitfaden beschreibt den Weg von der klinischen Idee bis zur dauerhaften Aufnahme in das DiGA-Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) — aus der Perspektive eines praktizierenden Arztes.

1. Was ist eine DiGA?

Eine DiGA ist ein Medizinprodukt der Klasse I oder IIa nach MDR, dessen Hauptfunktion auf digitalen Technologien beruht und das von Versicherten — meist eigenständig oder gemeinsam mit Leistungserbringern — zur Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder zur Erkennung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen genutzt wird. Rechtsgrundlage ist § 33a SGB V in Verbindung mit der DiGA-Verordnung (DiGAV).

Abzugrenzen sind reine Lifestyle- und Wellness-Apps sowie professionelle Werkzeuge für Behandelnde (z. B. Klinik-Informationssysteme). Eine DiGA richtet sich primär an die Patientin oder den Patienten.

2. Voraussetzungen für die Aufnahme ins DiGA-Verzeichnis

  • CE-Kennzeichnung als Medizinprodukt der Risikoklasse I oder IIa nach MDR.
  • Erfüllung der Anforderungen an Sicherheit, Funktionstauglichkeit, Qualität, Datenschutz und Datensicherheit (§ 139e SGB V, DiGAV).
  • Nachweis positiver Versorgungseffekte (pVE) — entweder als medizinischer Nutzen oder als patientenrelevante Struktur- und Verfahrensverbesserung.
  • Server-Hosting innerhalb der EU bzw. eines vergleichbar geschützten Drittlands.
  • Interoperabilität nach den Festlegungen der KBV / gematik (FHIR-Profile, perspektivisch ePA-Anbindung).

3. Der Fast-Track beim BfArM

Das BfArM-Verfahren nach § 139e SGB V ist als beschleunigtes Verfahren von maximal drei Monaten ab Antragstellung ausgelegt. Es kennt zwei Pfade:

  • Dauerhafte Aufnahme: positiver Versorgungseffekt ist bereits durch eine vergleichende Studie belegt.
  • Vorläufige Aufnahme (Erprobung): pVE wird innerhalb von zwölf Monaten — verlängerbar auf bis zu 24 Monate — durch eine in Deutschland durchgeführte Studie nachgewiesen. Diese Phase erlaubt es, in der Regelversorgung Daten zu erheben.

Der Antrag erfolgt elektronisch über das Antragsportal des BfArM. Inhaltlich verlangt das BfArM einen umfassenden Produktnachweis: technische Dokumentation, Datenschutz-Konzept inklusive DSFA, Sicherheitsnachweise (z. B. nach ISO 27001 oder BSI C5), Usability-Nachweise nach IEC 62366 sowie das Evaluationskonzept für den pVE.

4. Entwicklungsprozess: von der Idee zum Antrag

  1. Klinische Indikation schärfen. Welche konkrete Lücke in der Versorgung wird geschlossen? Welche Leitlinien sind einschlägig? Ohne klinische These keine DiGA.
  2. Risikoklassifizierung & Zweckbestimmung. Festlegen, welche Risikoklasse nach MDR gilt — daraus ergeben sich Anforderungen an Qualitäts­manage­ment (ISO 13485) und Risikomanagement (ISO 14971).
  3. Architektur & Privacy by Design. Datenminimierung, EU-Hosting, Verschlüsselung in Ruhe und Transport, Rollen- und Berechtigungs­konzept, sichere Authentifizierung.
  4. Studienkonzept für pVE. Auswahl primärer Endpunkte, Studien­design (RCT, Kohorten- oder Vergleichsstudie), Fallzahlplanung, Ethikvotum.
  5. CE-Konformitätsbewertung mit Benannter Stelle bei Klasse IIa.
  6. BfArM-Antrag mit vollständiger technischer und klinischer Dokumentation, Datenschutzfolgenabschätzung und Konzept für die Evaluation.
  7. Preisverhandlung mit dem GKV-Spitzenverband nach erfolgreicher Aufnahme; im ersten Jahr gilt der Herstellerpreis, danach der verhandelte Vergütungsbetrag.

5. Datenschutz und Datensicherheit

DiGA unterliegen den verschärften Anforderungen nach § 139e Abs. 10 SGB V und der DiGAV. Verpflichtend sind unter anderem ein Informations­sicherheits­managementsystem (ISMS), regelmäßige Penetrationstests, ein dokumentiertes Verfahren für Sicherheitsvorfälle und eine vollständige Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Werbe-Tracking und Profiling zu Werbezwecken sind ausgeschlossen; Daten dürfen ausschließlich für definierte Versorgungs- oder Studienzwecke verarbeitet werden.

6. Typische Fehlerquellen

  • Unscharfe oder zu breite Zweckbestimmung — das BfArM verlangt eine klar abgrenzbare medizinische Indikation.
  • Schwacher pVE-Nachweis: ungeeignete Endpunkte, fehlende Kontrollgruppe, unterdimensionierte Fallzahl.
  • Datenschutzkonzepte, die nur die DSGVO referenzieren und die spezifischen DiGAV-Anforderungen vernachlässigen.
  • Fehlende Interoperabilität — exportierbare Berichte und definierte Schnittstellen sind keine Option, sondern Pflicht.
  • Unterschätzte Komplexität der Preisverhandlung mit dem GKV-Spitzenverband.

7. Warum klinische Mitautorenschaft entscheidet

Eine DiGA ist erst dann erfolgreich, wenn sie in den klinischen Alltag passt: in die Sprechstunde, in die Verordnungsroutine, in den Reha-Plan. Eine rein technologisch gedachte Anwendung scheitert nicht am BfArM, sondern an Akzeptanz und Adhärenz. Wir arbeiten an DiGA-Projekten ausschließlich mit klinischer Co-Autorenschaft — vom ersten User-Flow bis zum Studienprotokoll.

8. Zusammenarbeit mit DukDev

DukDev unterstützt Kliniken, Praxen, Forschungs­einrichtungen und Start-ups beim Aufbau DiGA-fähiger digitaler Anwendungen: von der Bewertung der klinischen These über Architektur, Datenschutz- und Sicherheits­konzept bis zur Vorbereitung des BfArM-Antrags. Unser Fokus liegt auf fokussierten, evidenz­basierten Lösungen — nicht auf Plattformen.

Für eine erste Einschätzung Ihres Vorhabens: Kontakt aufnehmen.

Hinweis

Dieser Leitfaden dient ausschließlich Informations- und Bildungszwecken. Er stellt keine rechtliche, regulatorische oder medizinprodukte­rechtliche Beratung dar. Für konkrete Vorhaben sind die jeweils gültigen Fassungen von SGB V, DiGAV, MDR und der einschlägigen BfArM-Leitfäden maßgeblich.