{"id":3577833,"date":"2023-03-13T16:13:00","date_gmt":"2023-03-13T15:13:00","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=3577833"},"modified":"2025-03-21T13:13:56","modified_gmt":"2025-03-21T12:13:56","slug":"datensicherheit-und-datenschutz-fuer-diga","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/","title":{"rendered":"Wie Sie die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA erf\u00fcllen"},"content":{"rendered":"\n<p>Die <strong>Anforderungen an die Datensicherheit und den Datenschutz von DiGA<\/strong> (Digitalen Gesundheitsanwendungen) gehen weit \u00fcber den Fragenkatalog der DiGAV hinaus. Unz\u00e4hlige weitere Vorschriften machen es den Herstellern (nicht nur) digitaler Gesundheitsanwendungen immer schwerer, den <strong>\u00dcberblick im regulatorischen Dschungel zu bewahren<\/strong>.<\/p>\n\n\n\n<p>Dabei sollten Hersteller m\u00f6glichst <strong>keine Anforderungen \u00fcbersehen<\/strong>. Andernfalls drohen Probleme bei der Zulassung ihrer Produkte.<\/p>\n\n\n\n<p>Doch ein <strong>Vorgehensmodell schafft Klarheit<\/strong> und hilft nicht nur, Probleme zu vermeiden, sondern auch die Forderungen von Hunderten Seiten an Regularien zu konsolidieren. Dieses Vorgehensmodell k\u00f6nnen alle Medizinproduktehersteller anwenden, auch jene von SaMD (Software as Medical Device).<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">1. Regulatorische Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">1.1 \u00dcberblick \u00fcber Regularien und Anforderungen<\/h3>\n\n\n\n<p>Die Anzahl der Regularien mit Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr digitale Gesundheitsanwendungen ist immens. Tabelle&nbsp;1 benennt die wichtigsten. Die nachfolgen Abschnitte stellen diese Anforderungen detaillierter vor.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>K\u00fcrzel<\/strong><\/td><td><strong>Titel<\/strong><\/td><td><strong>Kommentare, verpflichtend?<\/strong><\/td><td><strong>Verbindlichkeit<\/strong><\/td><td><strong>Seiten<\/strong><\/td><\/tr><tr><td>MDR<\/td><td>Medizinprodukte-Verordnung 2017\/745<\/td><td>Die EU-Verordnungen bilden den rechtlichen Rahmen f\u00fcr alle Medizinprodukte. Die Anforderungen an die IT-Sicherheit sind sehr allgemein gehalten.<\/td><td>Muss<\/td><td>175<\/td><\/tr><tr><td>DVG<\/td><td><a href=\"https:\/\/www.bgbl.de\/xaver\/bgbl\/start.xav?startbk=Bundesanzeiger_BGBl&amp;jumpTo=bgbl119s2562.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl119s2562.pdf%27%5D__1592031991924\">Digitale-Versorgung-Gesetz<\/a><\/td><td>Nur allgemeine Forderung nach Datenschutz und Datensicherheit<\/td><td>Muss<\/td><td>23<\/td><\/tr><tr><td>DiGAV<\/td><td><a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-gesundheitsanwendungen-verordnung-digav\/\" target=\"_blank\" rel=\"noreferrer noopener\">Digitale-Gesundheitsanwendungen-Verordnung<\/a><\/td><td>Forderungen an Produkt und Organisation v.a. in \u00a7&nbsp;4 und Anlage 1<\/td><td>Muss<\/td><td>31<\/td><\/tr><tr><td>Pr\u00fcfkriterien BfArM<\/td><td><a href=\"https:\/\/www.bfarm.de\/SharedDocs\/Downloads\/DE\/Medizinprodukte\/diga-dipa-datenschutzkriterien.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Von digitalen Gesundheitsanwendungen (DiGA) und digitalen Pflegeanwendungen (DiPA) nachzuweisende Anforderungen an den Datenschutz (BfArM)<\/a><\/td><td>Zentrales Dokument<\/td><td>Muss<\/td><td>80<\/td><\/tr><tr><td>BSI 200-1<\/td><td>BSI-Standard 200-1, Managementsysteme f\u00fcr die Informationssicherheit<\/td><td>Entspricht am ehesten der ISO 27001<\/td><td>Kann, ist aber Voraussetzung f\u00fcr BSI 200-2<\/td><td>48<\/td><\/tr><tr><td>BSI 200-2<\/td><td>BSI-Standard 200-2, IT-Grundschutz-Methodik<\/td><td>Die DiGAV verlangt ein Informationssicherheits-managementsystem (ITSM) gem\u00e4\u00df BS 200-2 oder gem\u00e4\u00df ISO 27001. Der BSI 200-2 beschreibt, wie man ein ITSM einf\u00fchrt.<\/td><td>Muss ab 02.01.2022, alternativ ISO 27001<\/td><td>180<\/td><\/tr><tr><td><a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/Technische-Richtlinien\/TR-nach-Thema-sortiert\/tr03161\/tr-03161.html\">BSI TR-03161 1-3<\/a><\/td><td>Sicherheitsanforderungen an digitale Gesundheitsanwendungen<\/td><td>Dieses technische Regelwerk betrifft mobile Anwendungen, Web-Anwendungen und Hintergrundsysteme. <br>Die ersten Zertifizierungsstellen sind akkreditiert  (Beispiel&nbsp;<a href=\"https:\/\/www.tuvit.de\/de\/leistungen\/informationssicherheitsmanagement\/digitale-gesundheitsanwendungen\/?gclid=Cj0KCQjwtsCgBhDEARIsAE7RYh3BjIo0Hhe8z18n4OoJQh8qUFvC4hfahVTM7ECjqdp_euqQxXQVot8aApBPEALw_wcB\">T\u00dcVIT<\/a>).<\/td><td>Muss ab Januar 2025. <a href=\"https:\/\/www.tuvit.de\/de\/leistungen\/cyber-security\/bsi-tr-03161\/\">Hier ist der Ablauf der Zertifizierung etwas genauer beschrieben<\/a>.<\/td><td>28<\/td><\/tr><tr><td>ISO 27001:2017<\/td><td>Informationstechnik \u2013 Sicherheitsverfahren \u2013 Informationssicherheitsmanagementsysteme \u2013 Anforderungen<\/td><td>Anforderungen an ein Managementsystem vergleichbar der ISO 9001 und ISO 13485, aber mit Fokus auf IT-Sicherheit<\/td><td>Muss ab 02.01.2022, alternativ: BSI 200-2<\/td><td>35<\/td><\/tr><tr><td>ISO\/IEC 82304-1<\/td><td>Gesundheitssoftware \u2013 Teil 1: Allgemeine Anforderungen f\u00fcr die Produktsicherheit<\/td><td>Diese Norm ist zur Harmonisierung unter der MDR vorgesehen.<\/td><td>Soll (k\u00fcnftig)<\/td><td>31<\/td><\/tr><tr><td>ISO\/IEC 82304-2<\/td><td>Health Software \u2013 Part 2: Health and wellness apps \u2013 Quality and reliability<\/td><td>Diese Norm ist noch in der Entwicklung, k\u00f6nnte aber Stand der Technik werden. Es soll ein Ampelsystem werden (wie beim \u201eEnergieausweis\u201c von Elektroger\u00e4ten).<\/td><td>Soll (k\u00fcnftig)<\/td><td>55<\/td><\/tr><tr><td>IEC 81001-5-1<\/td><td>Safety, security and effectiveness in the implementation and use of connected medical devices or connected health software \u2013 Part 5-1: Security \u2013 Activities in the product lifecycle<\/td><td>Diese Norm ist g\u00fcltig und zur Harmonisierung unter der MDR vorgesehen.<\/td><td>Soll (k\u00fcnftig)<\/td><td>39<\/td><\/tr><tr><td>&nbsp;<\/td><td><strong>&nbsp;<\/strong><\/td><td><strong>Summe<\/strong><\/td><td><strong>&nbsp;<\/strong><\/td><td><strong>725<\/strong><\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Tab. 1: Wichtige Regularien mit Bezug zur Datensicherheit und zum Datenschutz f\u00fcr DiGA (umfassen mehr als 600 Seiten).<\/figcaption><\/figure>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 50 50\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><rect width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"39.73\" width=\"10.16\" height=\"10.27\"><\/rect><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Es gibt noch viele weitere Anforderungen an den Datenschutz und die Datensicherheit. Lesen Sie dazu die Artikel zum <a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/datenschutzbeauftragter-im-gesundheitswesen\/\" target=\"_blank\" rel=\"noreferrer noopener\">Datenschutz im Gesundheitswesen<\/a> und zur <a href=\"https:\/\/www.johner-institut.de\/blog\/medizinische-informatik\/it-sicherheit-im-gesundheitswesen\/\" target=\"_blank\" rel=\"noreferrer noopener\">Datensicherheit im Gesundheitswesen<\/a>.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">1.2 MDR\/IVDR<\/h3>\n\n\n\n<p>Im Gegensatz zu den EU-Richtlinien adressieren die EU-Verordnungen (die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/medical-device-regulation-mdr-medizinprodukteverordnung\/\" target=\"_blank\" rel=\"noreferrer noopener\">MDR<\/a> und die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/ivdr-in-vitro-diagnostic-device-regulation\/\" target=\"_blank\" rel=\"noreferrer noopener\">IVDR<\/a>) die Informationssicherheit explizit. Allerdings beschr\u00e4nken sie sich auf nur allgemeine Anforderungen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Die Informationssicherheit nach Stand der Technik muss gew\u00e4hrleistet sein.<\/li>\n\n\n\n<li>Anforderungen an das Produkt bez\u00fcglich IT-Sicherheit m\u00fcssen erhoben sein.<\/li>\n\n\n\n<li>Gebrauchsanweisungen m\u00fcssen Anforderungen der Anwender und Betreiber bez\u00fcglich Informationssicherheit benennen.<\/li>\n<\/ul>\n\n\n\n<p>Weitere Anforderungen betreffen u. a. mobile Plattformen, das <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/\" target=\"_blank\" rel=\"noreferrer noopener\">Risikomanagement<\/a> und die Software-Entwicklung.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.3 DiGAV<\/h3>\n\n\n\n<p>Anlage 1 der <a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-gesundheitsanwendungen-verordnung-digav\/\" target=\"_blank\" rel=\"noreferrer noopener\">DiGAV<\/a> nennt Anforderungen in Form von Checklisten. Diese Anforderungen betreffen auch die Datensicherheit und den Datenschutz f\u00fcr DiGA:<\/p>\n\n\n\n<p>Datenschutz<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Konformit\u00e4t mit DSGVO, u. a. Einwilligung, Datenminimierung, Vertraulichkeit, Richtigkeit<\/li>\n\n\n\n<li>Verschwiegenheit<\/li>\n\n\n\n<li>Informationspflichten<\/li>\n\n\n\n<li>Datenschutzmanagement<\/li>\n\n\n\n<li>Datenschutzfolgeabsch\u00e4tzung<\/li>\n\n\n\n<li>und mehr<\/li>\n<\/ul>\n\n\n\n<p>Datensicherheit<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Stand der Technik<\/li>\n\n\n\n<li>Informationsmanagementsystem gem\u00e4\u00df ISO 27000-Reihe oder BSI-Standard 200-2<\/li>\n\n\n\n<li>Schutzbedarfsanalyse<\/li>\n\n\n\n<li>Software konform mit der MDR<\/li>\n\n\n\n<li>\u201eData Leakage Prevention\u201c, u. a. Verschl\u00fcsselung<\/li>\n\n\n\n<li>Anforderungen an das Produkt, z. B. Authentisierung und Autorisierung, Protokollierung, H\u00e4rtung<\/li>\n\n\n\n<li>Installation, Deinstallation, Update<\/li>\n\n\n\n<li>Dokumentation und Analyse von SOUP<\/li>\n\n\n\n<li>Penetrationstests<\/li>\n\n\n\n<li>Schutz vor DoS-Angriffen<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">1.4 BSI TR-03161<\/h3>\n\n\n\n<p>Die Richtlinie BSI TR-03161 beschreibt Sicherheitsanforderungen an digitale Gesundheitsanwendungen. Diese Richtlinie besteht aus drei Teilen:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/TechnischeRichtlinien\/TR03161\/BSI-TR-03161-1.pdf?__blob=publicationFile&amp;v=11\" target=\"_blank\" rel=\"noreferrer noopener\">BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen &#8211; Teil 1: Mobile Anwendungen<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/TechnischeRichtlinien\/TR03161\/BSI-TR-03161-2.pdf?__blob=publicationFile&amp;v=8\" target=\"_blank\" rel=\"noreferrer noopener\">BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen &#8211; Teil 2: Web-Anwendungen<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/TechnischeRichtlinien\/TR03161\/BSI-TR-03161-3.pdf?__blob=publicationFile&amp;v=7\" target=\"_blank\" rel=\"noreferrer noopener\">BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen &#8211; Teil 3: Hintergrundsysteme<\/a><\/li>\n<\/ol>\n\n\n\n<p>Die drei Richtlinien sind weitgehend identisch aufgebaut:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>Kapitel<\/strong><\/td><td><strong>Teil 1 <br>(Mobile Anwendungen)<\/strong><\/td><td><strong>Teil 2<br>(Web-Anwendungen)<\/strong><\/td><td><strong>Teil 3 <br>(Hintergrundsysteme)<\/strong><\/td><td><strong>Kommentar<\/strong><\/td><\/tr><tr><td>1<\/td><td>Einleitung<\/td><td>Einleitung<\/td><td>Einleitung<\/td><td>Fast identisch<\/td><\/tr><tr><td>2<\/td><td>\u00dcberblick der Sicherheits-anforderungen \u2026<\/td><td>\u00dcberblick der Sicherheits-anforderungen \u2026<\/td><td>\u00dcberblick der Sicherheits-anforderungen \u2026<\/td><td>Identisch bis auf Kapitel 2.4<\/td><\/tr><tr><td>3<\/td><td>Pr\u00fcfaspekte f\u00fcr Anwendungen im Gesundheitswesen<\/td><td>Pr\u00fcfaspekte f\u00fcr Anwendungen im Gesundheitswesen<\/td><td>Pr\u00fcfaspekte f\u00fcr Anwendungen im Gesundheitswesen<\/td><td>Weitgehend identisch (s. Tab. 3)<\/td><\/tr><tr><td>4<\/td><td>Pr\u00fcfschritte f\u00fcr Anwendungen im Gesundheitswesen<\/td><td>Pr\u00fcfschritte f\u00fcr Anwendungen im Gesundheitswesen<\/td><td>Pr\u00fcfschritte f\u00fcr Anwendungen im Gesundheitswesen<\/td><td>Weitgehend identisch<\/td><\/tr><tr><td>5<\/td><td>Sicherheitsstufen und Risikoanalyse<\/td><td>Sicherheitsstufen und Risikoanalyse<\/td><td>Sicherheitsstufen und Risikoanalyse<\/td><td>Identisch<\/td><\/tr><tr><td>Anh\u00e4nge<\/td><td>A: Schutzbedarf sensibler Datenelemente<br>B: Begutachtungs-perspektive<br>C: Anforderung an Authentifizierung und Verifizierung<\/td><td>A: Schutzbedarf sensibler Datenelemente<br>B: Begutachtungs-perspektive<\/td><td>A: Schutzbedarf sensibler Datenelemente<br>B: Begutachtungsperspektive<\/td><td><\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Tab. 2: Vergleich der Kapitelstruktur der drei Leitlinien<\/figcaption><\/figure>\n\n\n\n<p>Alle Teile nennen zuerst verschiedene Bedrohungen, z. B. einen Angreifer, der ein Passwort err\u00e4t. Dann listen die Richtlinien einige allgemeine \u201eSicherheitspolitiken\u201c; gemeint sind wohl \u201eSecurity Policies\u201c.<\/p>\n\n\n\n<p>Den Schwerpunkt der Richtlinie bilden die folgenden Pr\u00fcfaspekte:<\/p>\n\n\n\n<figure class=\"wp-block-table aligncenter\"><table><tbody><tr><td><strong>Pr\u00fcfaspekt<\/strong><\/td><td><strong>Teil 1<\/strong><\/td><td><strong>Teil 2<\/strong><\/td><td><strong>Teil 3<\/strong><\/td><\/tr><tr><td>Anwendungszweck<\/td><td>x<\/td><td>x<\/td><td>x<\/td><\/tr><tr><td>Architektur<\/td><td>x<\/td><td>x<\/td><td>x<\/td><\/tr><tr><td>Quellcode<\/td><td>x<\/td><td>x<\/td><td>x<\/td><\/tr><tr><td>Drittanbieter-Software<\/td><td>x<\/td><td>x<\/td><td>x<\/td><\/tr><tr><td>Kryptografische Umsetzung<\/td><td>x<\/td><td>x<\/td><td>x<\/td><\/tr><tr><td>Authentifizierung<\/td><td>x<\/td><td>x<\/td><td>x<\/td><\/tr><tr><td>Datenspeicherung und Datenschutz<\/td><td>x<\/td><td>x<\/td><td>x<\/td><\/tr><tr><td>Kostenpflichtige Ressourcen<\/td><td>x<\/td><td>x<\/td><td>x<\/td><\/tr><tr><td>Netzwerkkommunikation<\/td><td>x<\/td><td>x<\/td><td>x<\/td><\/tr><tr><td>Plattformspezifische Interaktionen<\/td><td>x<\/td><td>x<\/td><td><\/td><\/tr><tr><td>Resilienz<\/td><td>x<\/td><td>x<\/td><td><\/td><\/tr><tr><td>Organisatorische Sicherheit<\/td><td><\/td><td><\/td><td>x<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Tab. 3: Die Pr\u00fcfaspekte der einzelnen Teile sind weitgehend identisch.<\/figcaption><\/figure>\n\n\n\n<p>Zu jedem Pr\u00fcfaspekt benennen die Richtlinien mehrere Pr\u00fcfkriterien; Tabelle&nbsp;4 nennt einige Beispiele.<\/p>\n\n\n<figure class=\"wp-block-table\">\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"width: 14.1982%;\"><strong>Pr\u00fcfaspekt<\/strong><\/td>\n<td style=\"width: 84.9847%;\"><strong>Beispiel<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 14.1982%;\">Anwendungszweck<\/td>\n<td style=\"width: 84.9847%;\"><em>\u201eInformationspflicht des Herstellers zum rechtm\u00e4\u00dfigen Zweck und Verwendung von personenbezogenen Daten\u201c<\/em><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 14.1982%;\">Architektur<\/td>\n<td style=\"width: 84.9847%;\"><em>\u201e\u201eSecurity\u201c ist Bestandteil des Softwareentwicklungs- und Lebenszyklus.\u201c<\/em><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 14.1982%;\">Quellcode<\/td>\n<td style=\"width: 84.9847%;\"><em>\u201ePr\u00fcfung von Eingaben vor Verwendung\u201c<\/em><\/td>\n<\/tr>\n<\/tbody>\n<\/table><figcaption>Tab. 4: Beispiele f\u00fcr Pr\u00fcfkriterien des BSI TR-03161<\/figcaption><\/figure>\n\n\n<p>Diese Pr\u00fcfkriterien betreffen sowohl das Produkt als auch die Gestaltung der Prozesse. Die \u00dcberpr\u00fcfung der Nutzereingaben ist eine Anforderung an das Produkt. Die Forderung, dass die Security Bestandteil des Software-Lebenszyklus sein muss, betrifft hingegen die Prozesse.<\/p>\n\n\n\n<p>Die Anforderungen an das Produkt m\u00fcssen in den Softwareanforderungsspezifikationen ber\u00fccksichtigt werden. Die Anforderungen an Prozesse m\u00fcssen in das Managementsystem integriert werden. <\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Tipp<\/span><\/div>\n<p>Da es nicht sinnvoll ist, f\u00fcr jede Anforderungsgruppe (Qualit\u00e4t, Informationssicherheit, Datenschutz und Datensicherheit) separate Managementsysteme aufzubauen, empfehlen wir den Aufbau eines integrierten Managementsystems, das gemeinsame Prozesse nutzt, wo das sinnvoll ist.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">1.5 BSI 200-2<\/h3>\n\n\n\n<p>Der <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/BSI-Standards\/BSI-Standard-200-2-IT-Grundschutz-Methodik\/bsi-standard-200-2-it-grundschutz-methodik_node.html\" target=\"_blank\" rel=\"noreferrer noopener\">BSI Standard 200-2<\/a> beschreibt, wie Organisationen ein Informationssicherheitsmanagementsystem (ISMS) gem\u00e4\u00df BS 200-1 (bzw. ISO 27001) einf\u00fchren. Dazu enth\u00e4lt der Standard die folgenden Kapitel:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00dcbersicht \u00fcber die wichtigsten Schritte (Kapitel 2)<\/li>\n\n\n\n<li>Initiierung des \u201eInformationssicherheitsprozesses\u201c (Kapitel 3)<\/li>\n\n\n\n<li>Organisationsstruktur (Kapitel 4)<\/li>\n\n\n\n<li>Notwendige Dokumente (Kapitel 5)<\/li>\n\n\n\n<li>Vorgehen bei \u201eBasis-Absicherung\u201c und deren \u00dcberpr\u00fcfung (Kapitel 6)<\/li>\n\n\n\n<li>Vorgehen bei \u201eKernabsicherung\u201c (Kapitel 7) und \u201eStandardabsicherung\u201c (Kapitel 8)<\/li>\n\n\n\n<li>Umsetzung aller Ma\u00dfnahmen (Kapitel 9)<\/li>\n\n\n\n<li>Aufrechterhaltung und Verbesserung des ISMS (Kapitel 10)<\/li>\n\n\n\n<li>Zertifizierung nach ISO 27001<\/li>\n<\/ul>\n\n\n\n<p>Mehr dazu in unserem <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27001\/\">Artikel &#8222;ISO 27001: IT-Sicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?&#8220;<\/a>.<br><br>Das BSI beschreibt die drei Varianten der Absicherung (Basis-, Kern- und Standardabsicherung) <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/Zertifizierte-Informationssicherheit\/IT-Grundschutzschulung\/it-grundschutzschulung_node.html\">auf seiner Webseite<\/a>. Von dort stammt auch die in Abb. 1 gezeigte Darstellung.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"494\" height=\"390\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png\" alt=\"Basis Kernabsicherung\" class=\"wp-image-3577874\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png 494w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung-300x237.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung-200x158.png 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung-400x316.png 400w\" sizes=\"auto, (max-width: 494px) 100vw, 494px\" \/><figcaption class=\"wp-element-caption\"><strong><em>Abb. 1<\/em><\/strong><em>: Die <strong>Basis-Absicherung<\/strong> dient der schnellen Absicherung aller relevanten Gesch\u00e4ftsprozesse. Die <strong>Kern-Absicherung<\/strong> fokussiert auf die kritischen \u201eKronjuwelen einer Institution\u201c. Die umfassende <strong>Standardabsicherung<\/strong> entspricht dem Niveau des BSI-IT-Grundschutzes.<\/em><\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">1.6 ISO 27001<\/h3>\n\n\n\n<p>Die ISO 27001 ist mit 45 Seiten eine sehr kompakte Norm. Der Hauptteil umfasst nur neun Seiten und besteht aus f\u00fcnf Kapiteln:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Informationssicherheitsmanagementsystem\n<ul class=\"wp-block-list\">\n<li>Allgemeine Anforderungen<\/li>\n\n\n\n<li>Festlegung und Verwaltung des ISMS<\/li>\n\n\n\n<li>Dokumentationsanforderungen<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Verantwortung des Managements\n<ul class=\"wp-block-list\">\n<li>Verpflichtung des Managements<\/li>\n\n\n\n<li>Management von Ressourcen<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Interne ISMS-Audits<\/li>\n\n\n\n<li>Managementbewertung des ISMS\n<ul class=\"wp-block-list\">\n<li>Allgemeines<\/li>\n\n\n\n<li>Eingaben f\u00fcr die Bewertung<\/li>\n\n\n\n<li>Ergebnisse f\u00fcr die Bewertung<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Verbesserung des ISMS\n<ul class=\"wp-block-list\">\n<li>St\u00e4ndige Verbesserung<\/li>\n\n\n\n<li>Korrekturma\u00dfnahmen<\/li>\n\n\n\n<li>Vorbeugema\u00dfnahmen<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>Den Firmen, die bereits ein ISO-9001- oder ISO-13485-konformes QM-System etabliert haben, werden viele der Anforderungen bekannt vorkommen. Die gr\u00f6\u00dften Unterschiede im Vergleich zu den QM-Normen nennt Kapitel 4.2 (Festlegung und Verwaltung des ISMS). Dort fordert die Norm einen Risikomanagementprozess spezifisch f\u00fcr die IT-Sicherheit des Unternehmens.<\/p>\n\n\n\n<p>Dieser Prozess wiederum muss die im normativen(!) Anhang A genannten Ziele und Ma\u00dfnahmen umfassen. Dieser Anhang ist mit 19 Seiten doppelt so umfangreich wie die Norm selbst.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 576 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M569.5,440c18.5,32-4.7,72-41.6,72H48.1c-36.9,0-60-40.1-41.6-72L246.4,24c18.5-32,64.7-32,83.2,0L569.5,440 L569.5,440z M288,354c-25.4,0-46,20.6-46,46s20.6,46,46,46s46-20.6,46-46S313.4,354,288,354z M244.3,188.7l7.4,136 c0.3,6.4,5.6,11.3,12,11.3h48.5c6.4,0,11.6-5,12-11.3l7.4-136c0.4-6.9-5.1-12.7-12-12.7h-63.4C249.4,176,244,181.8,244.3,188.7 L244.3,188.7z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Vorsicht!<\/span><\/div>\n<p>Die ISO 27001 beschreibt die Anforderungen an das ISMS einer Organisation und nicht an ein Produkt wie eine DiGA. Daher kann nach ISO 27001nur eine Firma, aber keine DiGA zertifiziert sein.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">1.7 ISO\/IEC 82304-1<\/h3>\n\n\n\n<p>Die IEC 82304-1 stellt Anforderungen an die Informationssicherheit; diese gehen allerdings kaum \u00fcber die Anforderungen anderer Regularien hinaus.<\/p>\n\n\n\n<p>Zu den wenigen Ausnahmen z\u00e4hlen die Anforderungen an den Support, \u201erechtzeitige Patches und Updates bez\u00fcgliche der Informationssicherheit\u201c zu gew\u00e4hrleisten. Die Anforderungen an diesbez\u00fcgliche Informationen in den Begleitmaterialien sind granularer als z. B. in der MDR.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Lesen Sie hier mehr zur <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-82304\/\" target=\"_blank\" rel=\"noreferrer noopener\">IEC 82304<\/a>.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">1.8 ISO\/IEC 82304-2<\/h3>\n\n\n\n<p>Die ISO\/IEC 82304-2 wendet sich an Hersteller und Anwender von \u201eHealth and Wellness Apps\u201c. <a href=\"https:\/\/www.nen.nl\/Standardization\/Health-and-wellness-apps.htm\">Die Norm<\/a> m\u00f6chte mit einem G\u00fctesiegel aufwarten, wie man es f\u00fcr die Energieeffizienz von Elektroger\u00e4ten her kennt. Dieses G\u00fctesiegel soll jeweils eine Bewertung ausgeben f\u00fcr:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Medical Safety<\/li>\n\n\n\n<li>Usability<\/li>\n\n\n\n<li>Security of Personal Data<\/li>\n\n\n\n<li>Technical Quality<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"260\" height=\"353\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/iec-62304-2-wellness-app-rating-compressor.jpg\" alt=\"Die 82304-2 m\u00f6chte Anwendern mit diesem Siegel eine schnelle \u00dcbersicht \u00fcber die Qualit\u00e4t von \u201eHealth and Wellness Apps\u201c geben.\" class=\"wp-image-3577885\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/iec-62304-2-wellness-app-rating-compressor.jpg 260w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/iec-62304-2-wellness-app-rating-compressor-221x300.jpg 221w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/iec-62304-2-wellness-app-rating-compressor-200x272.jpg 200w\" sizes=\"auto, (max-width: 260px) 100vw, 260px\" \/><figcaption class=\"wp-element-caption\"><strong><em>Abb. 2<\/em><\/strong><em>: Die 82304-2 m\u00f6chte Anwendern mit diesem Siegel eine schnelle \u00dcbersicht \u00fcber die Qualit\u00e4t von \u201eHealth and Wellness Apps\u201c geben.<\/em> (<a href=\"https:\/\/www.nen.nl\/Standardization\/Health-and-wellness-apps.htm\" target=\"_blank\" rel=\"noreferrer noopener\">Quelle<\/a>)<\/figcaption><\/figure>\n\n\n\n<p>Die ISO\/IEC 82304-2 umfasst im Wesentlichen Checklisten, die denen der DiGAV sehr vergleichbar sind, z. B. zu \u201ePrivacy and Security\u201c. Wie bei der DiGAV betreffen die meisten Pr\u00fcfkriterien das Produkt und die Begleitinformationen, nur einige den Hersteller.<\/p>\n\n\n\n<p>Beispiele f\u00fcr Pr\u00fcfkriterien an den Hersteller sind die Benennung eines Datenschutzbeauftragten und die Zertifizierung nach ISO 27001.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.9 IEC 81001-5-1<\/h3>\n\n\n\n<p>Die IEC 81001-5-1 tr\u00e4gt den Titel \u201e<em>Safety, security and effectiveness in the implementation and use of connected medical devices or connected health software \u2013<\/em> <em>Part 5-1: Security \u2013 Activities in the product lifecycle\u201c<\/em>.<\/p>\n\n\n\n<p>Die Norm beschreibt einen Software-Lebenszyklusprozess, der zwar an die IEC 62304 angelehnt ist, allerdings den Fokus auf die IT-Sicherheit legt. Beispiele f\u00fcr spezifische Anforderungen sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Statische Code-Analyse<\/li>\n\n\n\n<li>Attack Surface Analysis and Reduction<\/li>\n\n\n\n<li>Fuzz Testing<\/li>\n\n\n\n<li>Penetration Testing<\/li>\n<\/ul>\n\n\n\n<p>Die Norm orientiert sich zudem an der IEC 62443-1 und erg\u00e4nzt die Lebenszyklusprozesse gem\u00e4\u00df IEC 62304 um Aspekte wie:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Dokumentation<\/li>\n\n\n\n<li>Schutz der Entwicklungsinfrastruktur<\/li>\n\n\n\n<li>Zeitnahe Auslieferung von Sicherheits-Updates<\/li>\n\n\n\n<li>Ver\u00f6ffentlichung von IT-bezogenen Problemen<\/li>\n\n\n\n<li>Kontinuierliche Verbesserung des \u201eSecurity Lifecycle Process\u201c<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">1.10 Weitere Vorgaben<\/h3>\n\n\n\n<p>Es gibt weitere regulatorisch relevante Vorgaben, z. B. die IEC 62443-Familie und die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/eu-datenschutzgrundverordnung-dsgvo\/\" target=\"_blank\" rel=\"noreferrer noopener\">DSGVO<\/a>.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 576 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M569.5,440c18.5,32-4.7,72-41.6,72H48.1c-36.9,0-60-40.1-41.6-72L246.4,24c18.5-32,64.7-32,83.2,0L569.5,440 L569.5,440z M288,354c-25.4,0-46,20.6-46,46s20.6,46,46,46s46-20.6,46-46S313.4,354,288,354z M244.3,188.7l7.4,136 c0.3,6.4,5.6,11.3,12,11.3h48.5c6.4,0,11.6-5,12-11.3l7.4-136c0.4-6.9-5.1-12.7-12-12.7h-63.4C249.4,176,244,181.8,244.3,188.7 L244.3,188.7z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Vorsicht!<\/span><\/div>\n<p>Die Datenschutzbeauftragten der L\u00e4nder erw\u00e4gen, die Anforderungen der DSGVO nicht nur von den Organisationen einzufordern, die personenbezogene Daten verarbeiten, sondern auch von den Herstellern, die die dazu notwendigen Systeme entwickeln! Lesen Sie hierzu das Schwerpunktthema 4 ab Seite 15 im <a href=\"https:\/\/www.baden-wuerttemberg.datenschutz.de\/wp-content\/uploads\/2019\/12\/20191209_Erfahrungsbericht-zur-Anwendung-der-DS-GVO.pdf\">Erfahrungsbericht der unabh\u00e4ngigen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder<\/a>.<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-group has-white-color has-ji-banner-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-301020a0 wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--50);padding-right:var(--wp--preset--spacing--50);padding-bottom:var(--wp--preset--spacing--50);padding-left:var(--wp--preset--spacing--50)\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-content-justification-center is-layout-constrained wp-block-column-is-layout-constrained\" style=\"flex-basis:40%\">\n<p class=\"has-large-font-size\">\u00dcberlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:25%\">\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\"><img loading=\"lazy\" decoding=\"async\" width=\"32\" height=\"32\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\" alt=\"\" class=\"wp-image-5367787\" style=\"width:150px;height:150px\"\/><\/a><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:35%\">\n<p>Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-is-layout-fc4fd283 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-white-red\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/www.johner-institut.de\/produktpruefungen\/pruefung-der-it-sicherheit\">Weitere Infos finden Sie hier<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">2. Vorgehensmodell f\u00fcr DiGA-Hersteller<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">2.1 Vorteile eines Vorgehensmodells<\/h3>\n\n\n\n<p>Ein strukturiertes Vorgehen kann sicherstellen, dass die Hersteller<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>sichere Medizinprodukte entwickeln und sicher betreiben,<\/li>\n\n\n\n<li>die (oben vorgestellten) Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA erf\u00fcllen,<\/li>\n\n\n\n<li>die Zulassung ihrer Produkte plangem\u00e4\u00df erhalten und daf\u00fcr sorgen, dass diese in das Verzeichnis erstattungsf\u00e4higer DiIGAs aufgenommen werden,<\/li>\n\n\n\n<li>Aufw\u00e4nde f\u00fcr die Einarbeitung, f\u00fcr das Gestalten von Prozessen und Vorgabedokumenten sowie f\u00fcr das Erstellen von Projektpl\u00e4nen minimieren.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">2.2. Schritt 1: Rahmenbedingungen kl\u00e4ren<\/h3>\n\n\n\n<p>Zuerst sollten die Hersteller die Zweckbestimmung ihres Produkts festlegen, denn daraus leiten sich viele Entscheidungen und Klassifizierungen ab:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Medizinprodukt: ja\/nein<\/li>\n\n\n\n<li>Klasse nach MDR\/IVDR<\/li>\n\n\n\n<li>Software-Sicherheitsklasse<\/li>\n\n\n\n<li>Schutzbedarf gem\u00e4\u00df DiGAV bzw. BSI 200-2<\/li>\n<\/ul>\n\n\n\n<p>Der Schutzbedarf ergibt sich allerdings erst aus einer Risikoanalyse. Diese wiederum setzt voraus, dass die Hersteller bestimmt und bewertet haben:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Schutzbed\u00fcrftige Assets (Daten, Systeme)<\/li>\n\n\n\n<li>Prozesse<\/li>\n\n\n\n<li>Verarbeitungst\u00e4tigkeiten<\/li>\n\n\n\n<li>Technische Infrastruktur, IT-Systeme, Netzpl\u00e4ne<\/li>\n\n\n\n<li>Cloud- bzw. Software-Architektur<\/li>\n\n\n\n<li>Aufteilung der T\u00e4tigkeiten auf die Firma und auf Lieferanten bzw. Auftragsverarbeiter<\/li>\n<\/ul>\n\n\n\n<p>Eine Bestandsaufnahme dieser Elemente stellt eine zentrale Voraussetzung f\u00fcr die weiteren Schritte dar.<\/p>\n\n\n\n<p>Ebenfalls in dieser fr\u00fchen Phase sollten die Hersteller die Zielm\u00e4rkte und damit die geltenden regulatorischen Anforderungen bestimmen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.3 Schritt 2: Integriertes Qualit\u00e4ts- und Informationssicherheitsmanagementsystem etablieren<\/h3>\n\n\n\n<p>Sowohl ein QM-System als auch ein ISMS ist ein Managementsystem. Weil es viele Parallelen und Redundanzen bei den Anforderungen gibt, empfiehlt es sich, ein integriertes Managementsystem zu etablieren. Solch ein Managementsystem muss die Anforderungen der ISO 13485 ebenso erf\u00fcllen wie die der BSI-Standards bzw. der ISO 27001.<\/p>\n\n\n\n<p>Wie bei jedem Managementsystem gilt es, die Aufbau- und Ablauforganisation zu beschreiben.<\/p>\n\n\n\n<p>Die <strong>Aufbauorganisation<\/strong> legt beispielsweise fest:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verantwortliche f\u00fcr die Informationssicherheit (z. B. als Stabsstelle des obersten Managements, vergleichbar dem Qualit\u00e4tsmanagementbeauftragten)<\/li>\n\n\n\n<li>Organisationseinheiten, Gesch\u00e4ftsbereiche, Zust\u00e4ndigkeiten<\/li>\n<\/ul>\n\n\n\n<p>Die <strong>Ablauforganisation<\/strong> beschreibt die Prozesse innerhalb des Unternehmens. Hersteller erstellen dazu Vorgabedokumente, z. B.:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Prozessbeschreibungen, Standard Operating Procedures (SOPs)<\/li>\n\n\n\n<li>Arbeitsanweisungen<\/li>\n\n\n\n<li>Formulare<\/li>\n\n\n\n<li>Checklisten<\/li>\n<\/ul>\n\n\n\n<p>Es gibt zahlreiche Prozesse mit Bezug zur Informationssicherheit:<\/p>\n\n\n<figure class=\"wp-block-table\">\n<table style=\"width: 100%; height: 1941px;\">\n<tbody>\n<tr style=\"height: 37px;\">\n<td style=\"height: 37px; width: 22.2727%;\"><strong>Prozess<\/strong><\/td>\n<td style=\"height: 37px; width: 77.6364%;\"><strong>Beispiele f\u00fcr Aktivit\u00e4ten mit Bezug zur Informationssicherheit<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 174px;\">\n<td style=\"height: 174px; width: 22.2727%;\">Entwicklung<\/td>\n<td style=\"height: 174px; width: 77.6364%;\">\n<ul>\n<li>U. a. Secure Development Life Cycle (s. Hinweise zum Auditgarant)<\/li>\n<li>Umgang mit SOUP-Komponenten<\/li>\n<li>Beherrschung von IT-sicherheitsbezogenen Risiken<\/li>\n<li>Verfassen von Begleitmaterialien (z. B. Installations- und Gebrauchsanweisungen)<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 197px;\">\n<td style=\"height: 197px; width: 22.2727%;\">Produktion, Rechenzentrumsbetrieb<\/td>\n<td style=\"height: 197px; width: 77.6364%;\">\n<ul>\n<li>Feststellen des Schutzbedarfs, Modellierung<\/li>\n<li>Auswahl, Instandhaltung und \u00dcberwachung der Infrastruktur<\/li>\n<li>Installations- und Konfigurationsanleitungen<\/li>\n<li>Inventarisierung und \u00dcberwachung von Assets<\/li>\n<li>Festlegen von Sicherheitszonen und Zutrittskontrollen \u2013 Datensicherung, Recovery<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 151px;\">\n<td style=\"height: 151px; width: 22.2727%;\">Interner IT-Support<\/td>\n<td style=\"height: 151px; width: 77.6364%;\">\n<ul>\n<li>Inventarisierung und \u00dcberwachung von Assets<\/li>\n<li>Umgang mit Verlust<\/li>\n<li>Benutzerverwaltung, Vergabe von Berechtigungen und deren fortlaufende \u00dcberwachung<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 128px;\">\n<td style=\"height: 128px; width: 22.2727%;\">Computerized Systems Validation<\/td>\n<td style=\"height: 128px; width: 77.6364%;\">\n<ul>\n<li>\u00dcberpr\u00fcfung der Systeme auf IT-Sicherheit<\/li>\n<li>\u00dcberpr\u00fcfung der korrekten Konfiguration und Rollenvergabe<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 197px;\">\n<td style=\"height: 197px; width: 22.2727%;\">Human Ressource Management<\/td>\n<td style=\"height: 197px; width: 77.6364%;\">\n<ul>\n<li>Auswahl, Sicherstellung der Kompetenz<\/li>\n<li>Vertragsgestaltung<\/li>\n<li>Onboarding, Einarbeitung, Datenschutzbelehrungen (z. B. Internet-Nutzung, Verhalten bei Zwischenf\u00e4llen)<\/li>\n<li>Weiterbildung, \u00dcberpr\u00fcfung der Kompetenz<\/li>\n<li>Offboarding, Entzug von Berechtigungen, R\u00fcckgabe von Assets<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 151px;\">\n<td style=\"height: 151px; width: 22.2727%;\">Post-Market Surveillance<\/td>\n<td style=\"height: 151px; width: 77.6364%;\">\n<ul>\n<li>\u00dcberwachung von IT-Sicherheitsdatenbanken<\/li>\n<li>Monitoring der SOUP-Hersteller<\/li>\n<li>\u00dcberwachung der eigenen Infrastruktur<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 151px;\">\n<td style=\"height: 151px; width: 22.2727%;\">Einkauf<\/td>\n<td style=\"height: 151px; width: 77.6364%;\">\n<ul>\n<li>Anforderungen an Lieferanten<\/li>\n<li>Anforderungen an beschaffte Produkte<\/li>\n<li>Wareneingangspr\u00fcfung<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 128px;\">\n<td style=\"height: 128px; width: 22.2727%;\">Support, Umgang mit Kundenbeschwerden<\/td>\n<td style=\"height: 128px; width: 77.6364%;\">\n<ul>\n<li>Ausk\u00fcnfte gem\u00e4\u00df DSGVO<\/li>\n<li>Umgang mit Antr\u00e4gen (z. B. zum \u00c4ndern und L\u00f6schen von Daten)<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 128px;\">\n<td style=\"height: 128px; width: 22.2727%;\">CAPA und Vigilanz<\/td>\n<td style=\"height: 128px; width: 77.6364%;\">\n<ul>\n<li>Verhalten bei Sicherheitsvorf\u00e4llen<\/li>\n<li>Meldungen an Datenschutzbeh\u00f6rden<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 197px;\">\n<td style=\"height: 197px; width: 22.2727%;\">Managementbewertung<\/td>\n<td style=\"height: 197px; width: 77.6364%;\">\n<ul>\n<li>\u00dcberpr\u00fcfung der Wirksamkeit des Managementsystems<\/li>\n<li>Bewertung neuer regulatorischer Anforderungen<\/li>\n<li>Bewertung neuer Trends (Technologien, Sicherheitsprobleme)<\/li>\n<li>Entscheidung, ob weitere Ressourcen oder andere Ma\u00dfnahmen wie die \u00dcberarbeitung des QM-Systems, Schulungen oder andere Technologien notwendig sind<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 151px;\">\n<td style=\"height: 151px; width: 22.2727%;\">Internes Audit<\/td>\n<td style=\"height: 151px; width: 77.6364%;\">\n<ul>\n<li>\u00dcberpr\u00fcfung der eigenen Prozesse<\/li>\n<li>Interne Revision<\/li>\n<li>Ggf. Security-Audits von Lieferanten<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr style=\"height: 151px;\">\n<td style=\"height: 151px; width: 22.2727%;\">Dokumentenlenkung<\/td>\n<td style=\"height: 151px; width: 77.6364%;\">\n<ul>\n<li>Ggf. Klassifikation des Schutzbedarfs<\/li>\n<li>Hinweise zur Lebensdauer und Vernichtung<\/li>\n<li>Vorgaben zum Schutz der Informationen<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n\n\n<div class=\"wp-block-group has-white-color has-advertising-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-23b1a4dc wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--30);padding-right:var(--wp--preset--spacing--30);padding-bottom:var(--wp--preset--spacing--30);padding-left:var(--wp--preset--spacing--30)\">\n<p>Der <a href=\"https:\/\/www.johner-institut.de\/auditgarant\/\" target=\"_blank\" rel=\"noreferrer noopener\">Auditgarant<\/a> enth\u00e4lt eine Serie von Videotrainings, die den Secure Development Life Cycle beschreiben, sowie Formulare, Checklisten und Templates f\u00fcr Prozesse.<\/p>\n<\/div>\n\n\n\n<p>Hersteller sollten beide Ans\u00e4tze w\u00e4hlen, um ihre Prozesse zu gestalten:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Bestehende Prozesse daraufhin pr\u00fcfen, ob sie T\u00e4tigkeiten enthalten, die einen Bezug zur IT-Sicherheit und zum Datenschutz aufweisen<\/li>\n\n\n\n<li>Gesetze und Normen durchgehen und pr\u00fcfen, ob T\u00e4tigkeiten vorgeschrieben sind, die noch durch keinen der bestehenden Prozesse abgedeckt sind<\/li>\n<\/ol>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Tipp<\/span><\/div>\n<p>Es bedarf eines Prozesses, der sicherstellt, dass genau diese Integration in bestehende Prozesse stattfindet. Hier bietet sich das Vorgehen gem\u00e4\u00df BS 200-2 an.<\/p>\n<\/div>\n\n\n\n<p>Der Hersteller muss im Handbuch des integrierten Managementsystems dessen Anwendungsbereich erweitern und darin alle Prozesse referenzieren. Darin sollten auch der Schutzbedarf und die Sicherheits-\/Schutzziele formuliert sein.<\/p>\n\n\n\n<p>Typische Aktivit\u00e4ten beim Aufbau eines ISMS sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Festlegen des <strong>Beauftragten f\u00fcr die Informationssicherheit<\/strong> und Beschreibung dessen Rolle mit Aufgaben, Rechten und Verantwortlichkeiten. Diese Rolle kann in kleinen Firmen von der Person \u00fcbernommen werden, die auch die Rolle des Datenschutzbeauftragen \u00fcbernimmt. Die Rolle kann aber nicht durch den IT-Leiter oder den internen Auditor besetzt werden. Ggf. muss der Hersteller auf externe Ressourcen zugreifen.<\/li>\n\n\n\n<li><strong>\u00dcbersicht \u00fcber Informationen\/Daten<\/strong> erstellen und diese Informationen nach Kritikalit\u00e4t klassifizieren<\/li>\n\n\n\n<li><strong>Informationsfl\u00fcsse und Verarbeitungst\u00e4tigkeiten<\/strong> beschreiben (Liste der Verarbeitungst\u00e4tigkeiten gem\u00e4\u00df DSGVO)<\/li>\n\n\n\n<li><strong>Bestandsaufnahme der IT-Systeme<\/strong> erg\u00e4nzen\/aktualisieren<\/li>\n\n\n\n<li><strong>Risikoanalyse<\/strong> durchf\u00fchren. Dabei sollten die Verantwortlichen alle <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/IT-Grundschutz-Kompendium\/Elementare-Gefaehrdungen\/elementare-gefaehrdungen_node.html\" target=\"_blank\" rel=\"noreferrer noopener\">Gef\u00e4hrdungen gem\u00e4\u00df BSI-Grundschutz-Kompendium<\/a> aufnehmen und <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/IT-Grundschutz-Kompendium\/IT-Grundschutz-Bausteine\/Bausteine_Download_Edition_node.html\" target=\"_blank\" rel=\"noreferrer noopener\">Bausteine gem\u00e4\u00df diesem Katalog<\/a> ber\u00fccksichtigen.<\/li>\n\n\n\n<li><strong>Ma\u00dfnahmen festlegen<\/strong>. Diese Ma\u00dfnahmen liefert ebenfalls das Grundschutz-Kompendium pro Baustein, und zwar getrennt f\u00fcr die Basis- und Standard-Anforderungen.<\/li>\n\n\n\n<li>Die Vollst\u00e4ndigkeit der Ma\u00dfnahmen anhand des Grundschutz-Kompendiums \u00fcberpr\u00fcfen<\/li>\n\n\n\n<li><strong>Ma\u00dfnahmen umsetzen<\/strong>, u. a. interne Richtlinien festlegen (siehe unten)<\/li>\n<\/ul>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Tipp<\/span><\/div>\n<p>Das <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/IT-Grundschutz-Kompendium\/it-grundschutz-kompendium_node.html\" target=\"_blank\" rel=\"noreferrer noopener\">Grundschutz-Kompendium schl\u00e4gt eine Reihenfolge vor<\/a>, in der die Ma\u00dfnahmen\/Bausteine angegangen werden k\u00f6nnen.<\/p>\n<\/div>\n\n\n\n<p>\u00dcbliche Richtlinien sind meist Vorgabedokumente wie Prozess- und Arbeitsanweisungen, z. B.:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Richtlinien zur Nutzung des Internets<\/li>\n\n\n\n<li>Vorgaben zum Verhalten bei Sicherheitsvorf\u00e4llen (Katastrophenplan, einzelne Arbeitsanweisungen, interne Informations- und Eskalationskaskade, Beh\u00f6rdenmeldungen)<\/li>\n\n\n\n<li>Installationsanweisungen, Konfigurationsanweisungen<\/li>\n\n\n\n<li>Test- und Freigabeverfahren (auch bei \u00c4nderungen)<\/li>\n\n\n\n<li>Vorgaben zur Klassifizierung und zum Zugriff auf Dokumente und Daten<\/li>\n\n\n\n<li>Vorschriften zum Backup und Datensicherung<\/li>\n\n\n\n<li>Auditpl\u00e4ne<\/li>\n\n\n\n<li>Schulungsunterlagen<\/li>\n\n\n\n<li>Software-Entwicklungsprozess (siehe <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Grundschutz\/IT-GS-Kompendium_Einzel_PDFs_2022\/03_CON_Konzepte_und_Vorgehensweisen\/CON_8_Software_Entwicklung_Edition_2022.pdf?__blob=publicationFile&amp;v=3#download=1\" target=\"_blank\" rel=\"noreferrer noopener\">Baustein CON<\/a>)<\/li>\n<\/ul>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 50 50\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><rect width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"39.73\" width=\"10.16\" height=\"10.27\"><\/rect><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Melden Sie sich (z. B. \u00fcber unser <a href=\"\/kontakt\/\">Webformular<\/a>), wenn Sie eine \u00dcbersicht w\u00fcnschen, die jeder Anforderung der DiGAV bez\u00fcglich Datensicherheit und Datenschutz die zugeh\u00f6rigen Prozesse, die erg\u00e4nzt werden m\u00fcssten, bzw. die Checklisten f\u00fcr die Lebenszyklusphasen zuordnet.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">2.4 Schritt 3: Produkt gem\u00e4\u00df diesem QM-\/ISMS entwickeln und Betriebsinfrastruktur etablieren<\/h3>\n\n\n\n<p>Wenn das integrierte Managementsystem steht, wird es gelingen, die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA systematisch zu erf\u00fcllen.<\/p>\n\n\n\n<p>Hersteller, die den Vorgaben des eigenen QM-\/ISMS folgen, erzeugen automatisch die von Regularien wie der MDR und der DiGAV geforderten Nachweisdokumente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.5 Schritt 4: Produkt als Medizinprodukte \u201ezulassen\u201c<\/h3>\n\n\n\n<p>F\u00fcr DiGA der Klasse I d\u00fcrfen die Hersteller die Konformit\u00e4t ohne Einbeziehung einer Benannten Stelle selbst erkl\u00e4ren. Bei DiGA der Klasse IIa m\u00fcssen sie eine Benannte Stelle beteiligen, die sowohl das QM-System zertifiziert als auch die technische Dokumentation f\u00fcr das Produkt pr\u00fcft.<\/p>\n\n\n\n<p>Derzeit erlaubt das Digitale-Versorgung-Gesetz keine DiGA der Klassen IIb und III.<\/p>\n\n\n\n<p>Unabh\u00e4ngig von der Klasse m\u00fcssen die Hersteller ihre Medizinprodukte registrieren, derzeit bei den Mitgliedstaaten, k\u00fcnftig in der EUDAMED.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.6 Schritt 5: Antrag auf Aufnahme in das DiGA-Verzeichnis stellen<\/h3>\n\n\n\n<p>Wenn die DiGA als Medizinprodukte registriert sind, k\u00f6nnen die Hersteller die Aufnahme in das DiGA-Verzeichnis beantragen. Welche Schritte Sie dazu gehen m\u00fcssen, zeigen wir Ihnen in unserem <a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/in-7-schritten-ins-diga-verzeichnis\/\">Artikel &#8222;In 7 Schritten ins DiGA-Verzeichnis&#8220;<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Fazit, Zusammenfassung<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 (Zu) viele Anforderungen<\/h3>\n\n\n\n<p><em>\u201eEs reicht! Bitte keine weiteren Vorgaben!\u201c<\/em>, ist man versucht zu rufen. Hersteller stehen vor einem Berg von \u00fcber <strong>600 Seiten an Vorgaben<\/strong> nur zum Datenschutz und zur Datensicherheit. Viele Normen und Standards wie die Normenfamilie ISO 20000 (IT Service-Management) und IEC 62443 sind dabei noch nicht eingerechnet.<\/p>\n\n\n\n<p>Neben den Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA m\u00fcssen deren Hersteller auch weitere Anforderungen erf\u00fcllen und die entsprechenden H\u00fcrden \u00fcberwinden.<\/p>\n\n\n\n<figure class=\"wp-block-image size-fusion-400\"><img loading=\"lazy\" decoding=\"async\" width=\"400\" height=\"272\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/Anforderungen-Datensicherheit-Datenschutz-fu\u0308r-DIGA-compressor-400x272.jpg\" alt=\"DIGA-Hersteller m\u00fcssen sowohl die Anforderungen an ihre Organisation und Prozesse erf\u00fcllen als auch die Anforderungen an die Produkte selbst, die DIGA.\" class=\"wp-image-3577906\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/Anforderungen-Datensicherheit-Datenschutz-fu\u0308r-DIGA-compressor-400x272.jpg 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/Anforderungen-Datensicherheit-Datenschutz-fu\u0308r-DIGA-compressor-300x204.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/Anforderungen-Datensicherheit-Datenschutz-fu\u0308r-DIGA-compressor-1024x696.jpg 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/Anforderungen-Datensicherheit-Datenschutz-fu\u0308r-DIGA-compressor-768x522.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/Anforderungen-Datensicherheit-Datenschutz-fu\u0308r-DIGA-compressor-200x136.jpg 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/Anforderungen-Datensicherheit-Datenschutz-fu\u0308r-DIGA-compressor-600x408.jpg 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/Anforderungen-Datensicherheit-Datenschutz-fu\u0308r-DIGA-compressor-800x543.jpg 800w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/Anforderungen-Datensicherheit-Datenschutz-fu\u0308r-DIGA-compressor.jpg 1082w\" sizes=\"auto, (max-width: 400px) 100vw, 400px\" \/><figcaption class=\"wp-element-caption\"><strong><em>Abb. 3<\/em><\/strong><em>: DiGA-Hersteller m\u00fcssen sowohl die Anforderungen an ihre Organisation und Prozesse erf\u00fcllen als auch die Anforderungen an die Produkte selbst, die DiGA.<\/em><\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 Konsolidierung tut Not<\/h3>\n\n\n\n<p>Hersteller ben\u00f6tigen keine weiteren Vorgaben, denn diese schaffen keine zus\u00e4tzliche Sicherheit. Vielmehr ist eine Konsolidierung dieser Anforderungen notwendig. Das Johner Institut empfiehlt, diese Anforderungen zu unterteilen in:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Produktbezogene Anforderungen auf Ebene der\n<ul class=\"wp-block-list\">\n<li>Zweckbestimmung und Stakeholder-Anforderungen<\/li>\n\n\n\n<li>Produkt-\/Software-Anforderungen<\/li>\n\n\n\n<li>Anforderungen an die Architektur und Wahl von Technologien<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Prozessbezogene Anforderungen, z. B. an die Software-Entwicklung und den Rechenzentrumsbetrieb<\/li>\n\n\n\n<li>Anforderungen an die Informationen, die die Hersteller den Anwendern, Betreibern und Dritten bereitstellen m\u00fcssen<\/li>\n<\/ul>\n\n\n\n<p>Allerdings ist diese Konsolidierung und die Einteilung der Anforderungen in die Klassen nicht einfach. Denn die regulatorischen Vorgaben unterscheiden sich in ihrem Anwendungsbereich:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Spezifisch vs. unspezifisch f\u00fcr das Gesundheitswesen<\/li>\n\n\n\n<li>Anwendbar f\u00fcr DiGA, Medizinprodukte oder \u201eHealth and Wellness Applications\u201c<\/li>\n\n\n\n<li>Anforderungen an Produkte vs. Prozesse bzw. Managementsysteme<\/li>\n\n\n\n<li>Fokus auf IT-Security und Datenschutz oder auch auf Safety<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">3.3 Der Fisch stinkt vom Kopf<\/h3>\n\n\n\n<p>Selbst wer den Leidensweg durch 600 Seiten Anforderungen auf sich nimmt, wird ohne die Unterst\u00fctzung des Managements scheitern. <strong>Datenschutz und IT-Sicherheit kosten Zeit und Geld.<\/strong> Ignoriert man beides, kostet das allerdings auch Geld. Die Strafen und der m\u00f6gliche Imageverlust sind immens.<\/p>\n\n\n\n<p>Daher bleibt der Leitungsebene nichts anderes \u00fcbrig, als diese Ressourcen bereitzustellen.<\/p>\n\n\n\n<p>Das Management darf auch nicht dem Irrtum unterliegen, es k\u00f6nne das Thema an den <a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/datenschutzbeauftragter-im-gesundheitswesen\/\" target=\"_blank\" rel=\"noreferrer noopener\">Datenschutzbeauftragten<\/a> auslagern. Denn die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA betreffen die <strong>ganze Organisation<\/strong> und deren Lieferanten.<\/p>\n\n\n\n<p>Trotz aller Regularien sollte man sich immer klarmachen:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u201eDie umfangreichen Informationen rund um IT-Grundschutz ersetzen nicht den gesunden Menschenverstand.\u201c<\/p>\n<cite>BSI 200-2<\/cite><\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<p>Das Johner Institut unterst\u00fctzt Hersteller von DiGA dabei, die regulatorischen Anforderungen zu erf\u00fcllen und ihre Produkte konform und sicher durch die Zulassung und in das DiGA-Verzeichnis zu bringen und so im Markt erfolgreich zu sein.<\/p>\n\n\n\n<p>\u00c4nderungshistorie<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2023-03-13: Das Kapitel 1.4 zum BSI TR 03161 komplett \u00fcberarbeitet, um die Aufteilung in drei Richtlinien darzustellen.<\/li>\n\n\n\n<li>2023-02-06: Erg\u00e4nzung der BSI TR-03161 1-3 bei den regulatorischen Anforderungen<\/li>\n\n\n\n<li>2023-01-27: Artikel aktualisiert<\/li>\n\n\n\n<li>2021-02: Zahlreiche Links auf BSI-Webseite nach deren Umbau aktualisiert<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Die Anforderungen an die Datensicherheit und den Datenschutz von DiGA (Digitalen Gesundheitsanwendungen) gehen weit \u00fcber den Fragenkatalog der DiGAV hinaus. Unz\u00e4hlige weitere Vorschriften machen es den Herstellern (nicht nur) digitaler Gesundheitsanwendungen immer schwerer, den \u00dcberblick im regulatorischen Dschungel zu bewahren. Dabei sollten Hersteller m\u00f6glichst keine Anforderungen \u00fcbersehen. Andernfalls drohen Probleme bei der Zulassung ihrer Produkte.&hellip;<\/p>\n","protected":false},"author":131,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"\u00dcber 600 Seiten an regulatorische Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DIGA! Wie Sie den \u00dcberblick behalten und die Voraussetzungen f\u00fcr die Aufnahme ins DIGA-Verzeichnis schaffen.","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1108,184],"tags":[289,1187,967,680],"ppma_author":[1259],"class_list":["post-3577833","post","type-post","status-publish","format-standard","hentry","category-regulatory-affairs","category-iec-62304-medizinische-software","tag-mpg","tag-diga","tag-mobile-medical-apps","tag-standalone-software","category-1108","category-184","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.2 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Datensicherheit und Datenschutz f\u00fcr DIGA gesetzeskonform<\/title>\n<meta name=\"description\" content=\"Die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DIGA (digitale Gesundheitsanwendungen) sind immens. Diese \u00dcbersicht hilft.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Datensicherheit und Datenschutz f\u00fcr DIGA gesetzeskonform\" \/>\n<meta property=\"og:description\" content=\"Die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DIGA (digitale Gesundheitsanwendungen) sind immens. Diese \u00dcbersicht hilft.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2023-03-13T15:13:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-03-21T12:13:56+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png\" \/>\n\t<meta property=\"og:image:width\" content=\"494\" \/>\n\t<meta property=\"og:image:height\" content=\"390\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Claudia Schmitt\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Claudia Schmitt\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"37\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/\"},\"author\":{\"name\":\"Claudia Schmitt\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/9917a825885704ffb65468eefc284c2c\"},\"headline\":\"Wie Sie die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA erf\u00fcllen\",\"datePublished\":\"2023-03-13T15:13:00+00:00\",\"dateModified\":\"2025-03-21T12:13:56+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/\"},\"wordCount\":3350,\"commentCount\":8,\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png\",\"keywords\":[\"Deutsche Gesetze und Verordnungen\",\"Digitale Gesundheitsanwendungen (DiGA)\",\"Mobile Medical Apps \u2013 Medizinische Apps\u00a0f\u00fcr Personal oder Patienten\",\"Standalone-Software\"],\"articleSection\":[\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"Software &amp; IEC 62304\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/\",\"name\":\"Datensicherheit und Datenschutz f\u00fcr DIGA gesetzeskonform\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png\",\"datePublished\":\"2023-03-13T15:13:00+00:00\",\"dateModified\":\"2025-03-21T12:13:56+00:00\",\"description\":\"Die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DIGA (digitale Gesundheitsanwendungen) sind immens. Diese \u00dcbersicht hilft.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#primaryimage\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png\",\"width\":494,\"height\":390},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Wie Sie die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA erf\u00fcllen\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/JohnerInstitut\/\",\"https:\/\/x.com\/christianjohner\",\"https:\/\/www.youtube.com\/user\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/9917a825885704ffb65468eefc284c2c\",\"name\":\"Claudia Schmitt\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Claudia_Schmitt_300x300.pngea5e86b34620bd37bb5697b88553ab6e\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Claudia_Schmitt_300x300.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Claudia_Schmitt_300x300.png\",\"caption\":\"Claudia Schmitt\"},\"url\":\"https:\/\/www.johner-institut.de\/blog\/author\/claudiaschmitt\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Datensicherheit und Datenschutz f\u00fcr DIGA gesetzeskonform","description":"Die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DIGA (digitale Gesundheitsanwendungen) sind immens. Diese \u00dcbersicht hilft.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/","og_locale":"de_DE","og_type":"article","og_title":"Datensicherheit und Datenschutz f\u00fcr DIGA gesetzeskonform","og_description":"Die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DIGA (digitale Gesundheitsanwendungen) sind immens. Diese \u00dcbersicht hilft.","og_url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2023-03-13T15:13:00+00:00","article_modified_time":"2025-03-21T12:13:56+00:00","og_image":[{"width":494,"height":390,"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png","type":"image\/png"}],"author":"Claudia Schmitt","twitter_misc":{"Verfasst von":"Claudia Schmitt","Gesch\u00e4tzte Lesezeit":"37\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/"},"author":{"name":"Claudia Schmitt","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/9917a825885704ffb65468eefc284c2c"},"headline":"Wie Sie die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA erf\u00fcllen","datePublished":"2023-03-13T15:13:00+00:00","dateModified":"2025-03-21T12:13:56+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/"},"wordCount":3350,"commentCount":8,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png","keywords":["Deutsche Gesetze und Verordnungen","Digitale Gesundheitsanwendungen (DiGA)","Mobile Medical Apps \u2013 Medizinische Apps\u00a0f\u00fcr Personal oder Patienten","Standalone-Software"],"articleSection":["Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","Software &amp; IEC 62304"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/","url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/","name":"Datensicherheit und Datenschutz f\u00fcr DIGA gesetzeskonform","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png","datePublished":"2023-03-13T15:13:00+00:00","dateModified":"2025-03-21T12:13:56+00:00","description":"Die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DIGA (digitale Gesundheitsanwendungen) sind immens. Diese \u00dcbersicht hilft.","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png","width":494,"height":390},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","item":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},{"@type":"ListItem","position":3,"name":"Wie Sie die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA erf\u00fcllen"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/9917a825885704ffb65468eefc284c2c","name":"Claudia Schmitt","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Claudia_Schmitt_300x300.pngea5e86b34620bd37bb5697b88553ab6e","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Claudia_Schmitt_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Claudia_Schmitt_300x300.png","caption":"Claudia Schmitt"},"url":"https:\/\/www.johner-institut.de\/blog\/author\/claudiaschmitt\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":3436147,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-gesundheitsanwendungen-verordnung-digav\/","url_meta":{"origin":3577833,"position":0},"title":"Digitale Gesundheitsanwendungen-Verordnung (DiGAV): Was Hersteller wissen sollten","author":"Claudia Schmitt","date":"19. April 2024","format":false,"excerpt":"Die Digitale Gesundheitsanwendungen-Verordnung (DiGAV) ist f\u00fcr die Hersteller von digitalen Gesundheitsanwendungen die wichtigste gesetzliche Vorgabe. Die DiGAV bestimmt die Voraussetzungen f\u00fcr eine Erstattung von digitalen Gesundheitsanwendungen (DiGA) durch die Krankenkassen. Erfahren Sie, welche Anforderungen die Verordnung an die Hersteller stellt. So k\u00f6nnen Sie entscheiden, ob ein Antrag erfolgversprechend ist und\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DiGAV-Kapitelstruktur-als-Mindmap.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DiGAV-Kapitelstruktur-als-Mindmap.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DiGAV-Kapitelstruktur-als-Mindmap.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DiGAV-Kapitelstruktur-als-Mindmap.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DiGAV-Kapitelstruktur-als-Mindmap.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DiGAV-Kapitelstruktur-als-Mindmap.png?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":5368571,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/in-7-schritten-ins-diga-verzeichnis\/","url_meta":{"origin":3577833,"position":1},"title":"In 7 Schritten ins DiGA-Verzeichnis","author":"Claudia Schmitt","date":"24. April 2023","format":false,"excerpt":"Seit 2020 erm\u00f6glicht der Gesetzgeber die Erstattung von Digitale Gesundheitsanwendungen (DiGA). Die DiGA-Hersteller m\u00fcssen daf\u00fcr einige Voraussetzungen erf\u00fcllen. Dieser Artikel beschreibt die dazu notwendigen Schritte. Hinweis Das Schlagwort \"DiGA\" beschreibt, was digitale Gesundheitsanwendungen DiGA sind, und nennt Beispiele daf\u00fcr. Abb. 1: In 7 Schritten ins DiGA-Verzeichnis (zum Vergr\u00f6\u00dfern klicken) 1.\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/7-Schritte-DiGA-Verzeichnis.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/7-Schritte-DiGA-Verzeichnis.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/7-Schritte-DiGA-Verzeichnis.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/7-Schritte-DiGA-Verzeichnis.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/7-Schritte-DiGA-Verzeichnis.jpg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/7-Schritte-DiGA-Verzeichnis.jpg?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":4179626,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/dvpmg\/","url_meta":{"origin":3577833,"position":2},"title":"DVPMG \u2013 Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz","author":"Claudia Schmitt","date":"27. Januar 2023","format":false,"excerpt":"Seit dem 09. Juni 2021 gilt das Gesetz zur digitalen Modernisierung von Versorgung und Pflege. Es tr\u00e4gt auch den Titel \u201eDigitale-Versorgung-und-Pflege-Modernisierungs-Gesetz\u201c, kurz DVPMG. Dieses Gesetz \u00e4ndert zahlreiche andere Gesetze und Verordnungen, z. B. das SGB V und die DiGAV. Dabei geht das DVPMG weit \u00fcber die Einf\u00fchrung von digitalen Pflegeanwendungen\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":9442,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datenschutz-bei-medizinischen-daten\/","url_meta":{"origin":3577833,"position":3},"title":"Datenschutz im Gesundheitswesen bei medizinischen Daten","author":"Katrin Schnetter","date":"16. Juni 2020","format":false,"excerpt":"Dass der Datenschutz bei medizinische Daten besonders wichtig ist, machen Gesetze wie das Bundesdatenschutzgesetz und das Strafgesetzbuch unmissverst\u00e4ndlich klar. Lesen Sie in diesem Artikel, weshalb medizinische Daten eines besonderen Schutzes bed\u00fcrfen, was die Besonderheiten\u00a0des medizinischen Datenschutzes sind und welche Datenschutzgesetze zu beachten sind. Datenschutz: Wer Interesse an Ihren medizinischen Daten\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"Datenschutz im Gesundheitswesen","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/05\/Datenschutz-im-Gesundheitswesen.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/05\/Datenschutz-im-Gesundheitswesen.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/05\/Datenschutz-im-Gesundheitswesen.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/05\/Datenschutz-im-Gesundheitswesen.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":2947521,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-versorgung-gesetz-dvg\/","url_meta":{"origin":3577833,"position":4},"title":"Das Digitale-Versorgung-Gesetz (DVG) \u2013 als Hersteller damit Geld verdienen?","author":"Claudia Schmitt","date":"27. Januar 2023","format":false,"excerpt":"Das Digitale-Versorgung-Gesetz (DVG) bietet Herstellern digitaler Medizinprodukte eine neue M\u00f6glichkeit, Geld zu verdienen. Die Kostenerstattung soll schneller und einfacher erfolgen als herk\u00f6mmliche Verfahren, z. B. die bisherige Aufnahme in den Hilfsmittelkatalog. Hinweis Das DVG ist ein Gesetz, das bestehende Gesetze (siehe unten) ge\u00e4ndert hat. Mit dem DVPMG hat der Gesetzgeber\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DVG-Positive-Versorgungsaspekte.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DVG-Positive-Versorgungsaspekte.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DVG-Positive-Versorgungsaspekte.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DVG-Positive-Versorgungsaspekte.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":2390,"url":"https:\/\/www.johner-institut.de\/blog\/iso-14971-risikomanagement\/cloud-computing-im-gesundheitswesen\/","url_meta":{"origin":3577833,"position":5},"title":"Medical Cloud und Cloud-Computing im Gesundheitswesen","author":"Prof. Dr. Christian Johner","date":"4. April 2024","format":false,"excerpt":"Medizinprodukte- und IVD-Hersteller verwenden zunehmend Cloud-Dienste: Hersteller nutzen cloudbasierte Software-Anwendungen, so wie andere Unternehmen etwa cloudbasierte ERP- oder ALM-Systeme einsetzen. Hersteller verwenden Cloud-Plattformen, um darauf eigene Software-Anwendungen zu betreiben. Bieten sie diese Anwendungen den Kunden an, z. B. Krankenh\u00e4usern oder Patienten, so bezeichnen wir diese cloudbasierten Plattformen in diesem Artikel\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"Cloud-Computing: IaaS, PaaS, SaaS","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/06\/Cloud-Computing-IaaS-PaaS-SaaS.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-f0KZ","jetpack_sharing_enabled":true,"authors":[{"term_id":1259,"user_id":131,"is_guest":0,"slug":"claudiaschmitt","display_name":"Claudia Schmitt","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Claudia_Schmitt_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Claudia_Schmitt_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/3577833","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/131"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=3577833"}],"version-history":[{"count":58,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/3577833\/revisions"}],"predecessor-version":[{"id":5380909,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/3577833\/revisions\/5380909"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=3577833"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=3577833"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=3577833"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=3577833"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}