# Rebreak — Compliance- & Zertifizierungs-Roadmap

**Stand:** 29.05.2026
**Owner:** Chahine Brini
**Zweck:** Strukturierter Pfad von „geschlossene Beta" zu „DiGA-gelistete App mit Krankenkassen-Erstattung". Dient gleichzeitig als Mittelverwendungs-Begründung im NBank-Antrag (§6 / §12).

---

## 0. Leitprinzipien

1. **DSGVO-Setup vor erstem zahlenden User.** Sobald ein Fremder einen Euro überweist + wir Gesundheitsdaten (Sucht = Art. 9 DSGVO) verarbeiten, ist die Vollanwendung scharf. Beta mit persönlich bekannten Tester:innen ist tolerierbar, kommerzieller Launch nicht ohne DSB + DSFA + sauberer Datenschutzerklärung.
2. **Reputations-Asymmetrie.** Erster DSGVO-Skandal in einer Sucht-App ist medial existenzbedrohend. Lieber 3 Monate später launchen mit sauberem Setup als 3 Monate früher mit Risiko.
3. **„TÜV-Zertifizierung" ist keine relevante Kategorie.** Was zählt: DSFA, ISO 27001 (oder light), BSI C5 (im Hosting), DiGA-Listung beim BfArM. TÜV-Trustmarks haben Marketing- aber keine regulatorische Wirkung für unseren Use-Case.
4. **Hebel statt Vollausbau.** Wir nutzen, wo möglich, Compliance unserer Provider (z.B. C5-zertifiziertes Hosting) statt eigene Zertifikate aufzubauen, solange B2C-Phase läuft. Eigene Zertifikate erst wenn B2B-Pfad (Krankenkassen / DiGA) das verlangt.

---

## 1. Phasen-Plan

| Phase | Inhalt | Zeitfenster | Kosten (Range) | Trigger / Voraussetzung |
|---|---|---|---|---|
| **1** | DSB-Retainer + DSFA + Datenschutzerklärung + Consent-Flow + Verarbeitungsverzeichnis (Art. 30) | Q3 2026 | 8 – 15k€ Setup + 2 – 5k€/Jahr DSB-Retainer | NBank-Geld da |
| **2** | C5-konformes Hosting (AWS Frankfurt-Move oder Hetzner-Cloud-Anteile) + AV-Verträge (Groq Schrems-II-Lösung priorisiert) | Q4 2026 | ~500 €/Monat Hosting-Mehrkosten, einmalig ~5k€ Migration | Phase 1 abgeschlossen |
| **3** | ISO-27001-light Doku-Setup (Prozesse dokumentieren, noch nicht zertifizieren) | Q1 2027 | 5 – 10k€ Consultant | Phase 2 stabil |
| **4** | GmbH-Gründung (Stammkapital 25k€, davon 12,5k€ Einzahlung) + Marken­anmeldung „Rebreak" beim DPMA | Q1 2027 | 3 – 5k€ Notar/StB + 12,5k€ Stammkapital (verfügbar) + 300€ Marke | Erste relevante Umsatzschwelle erreicht |
| **5** | Erste B2B-Anbahnung Diakonie / Caritas / Kommunen / Krankenkassen (unter GmbH-Briefkopf) | Q2 2027 | – (Reisekosten) | GmbH eingetragen, Compliance-Doku vorzeigbar |
| **6** | DiGA-Vorprüfung beim BfArM (kostenloses Beratungsgespräch) | Q2 – Q3 2027 | – | Phase 1–3 abgeschlossen |
| **7** | Klinische Studie Design + Studienpartner (delphi GmbH als Wunschpartner) + Ethik-Vote | Q3 2027 ff. | 80 – 300k€ → eigene Finanzierungsrunde | DiGA-Vorprüfung positiv |
| **8** | DiGA-Antrag vorläufig beim BfArM | Q4 2027 / 2028 | – | Studie läuft / abgeschlossen |
| **9** | Vollwert-DiGA-Listung → Krankenkassen-Erstattung (~400 – 800 €/Quartal/User) | 2028 / 2029 | – | Wirksamkeitsnachweis BfArM-konform |

---

## 2. Phase 1 im Detail (Q3 2026 — direkt nach NBank)

### 2.1 Externer Datenschutzbeauftragter (DSB)

- **Status:** Gesetzlich Pflicht ab Verarbeitung besonderer Kategorien nach Art. 9 DSGVO (Gesundheitsdaten / Suchterkrankung) — unabhängig von Mitarbeiterzahl.
- **Auswahl-Kriterien:**
  - Explizite Erfahrung mit Digital Health / DiGA / Medizinprodukten
  - Sitz in Deutschland (Haftung persönlich)
  - Retainer-Modell, nicht stundenbasiert
- **Kostenrahmen:** 150 – 400 €/Monat Retainer **oder** 2 – 4k€ Einmal-Setup + 80 – 150 €/Monat laufend
- **Shortlist:** wird in Phase 0 (Vorbereitung) erstellt — 3 spezialisierte Kanzleien

### 2.2 Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO)

- **Pflicht** bei Rebreak wegen Kombination aus:
  - Gesundheitsdaten (Sucht)
  - Automatisierte Entscheidungen / Profiling (Lyra-LLM-Antworten)
  - Großer Umfang an Daten
- **Format:** Strukturiertes Dokument mit Risiko-Bewertung, Schutzmaßnahmen, Verbleibrisiken
- **Kostenrahmen:**
  - Bei spezialisiertem Anwalt: 3 – 8k€
  - Bei DSB-Dienstleister inkludiert: 1,5 – 3k€
- **Vorarbeit intern:** `hans-mueller`-Agent kann DSFA-Rohentwurf vorbereiten → spart Anwaltsstunden massiv

### 2.3 AV-Verträge (Auftragsverarbeitung, Art. 28 DSGVO)

| Sub-Auftragsverarbeiter | Standard-DPA verfügbar? | Schrems-II-Problem? | Aktion |
|---|---|---|---|
| Hetzner | Ja | Nein (DE-Hosting) | DPA unterzeichnen, archivieren |
| Cloudflare | Ja | Teilweise (US-Mutter, EU-Datenstandort möglich) | DPA + Data-Localization-Settings aktivieren |
| Stripe | Ja | Ja (USA) | DPA + TIA (Transfer Impact Assessment) dokumentieren |
| Apple (Push, In-App-Purchase) | Ja | Ja | DPA Standard, TIA |
| Google (Push, Play-Billing) | Ja | Ja | DPA Standard, TIA |
| **Groq (Lyra-LLM)** | DPA prüfen | **Ja, kritisch** (USA-Hosting, Gesundheitsdaten) | **Option-Matrix unten** |

#### Groq / LLM-Schrems-II — die drei Optionen

1. **Pseudonymisierung im Backend** — kein User-Identifier wird an Groq übertragen, nur anonymisierter Chat-Kontext. Backend hält Mapping. Rechtlich tragbarer Weg.
2. **EU-LLM-Provider-Switch** — Mistral via Scaleway, Aleph Alpha. Teurer, schwächer in DE-Sprachqualität.
3. **Explizite Einwilligung des Users + TIA** — fragiler, weil Krankenkassen / DiGA-Prüfer das später ggf. nicht akzeptieren.

→ **Empfehlung:** Pseudonymisierung (Option 1) als architektonischer Default, weil zukunftssicher und DiGA-tauglich. Implementierung ist Backend-Aufwand, kein Anwaltskosten.

### 2.4 Datenschutzerklärung + Cookie-/Consent-Konstrukt

- Bei Fachanwalt: 800 – 2 000€
- **Nicht** aus Generator zusammenklicken — bei Gesundheitsdaten zu riskant
- Muss in DE + EN vorliegen (Marketing-Site ist bereits zweisprachig)

### 2.5 Verarbeitungsverzeichnis (Art. 30 DSGVO)

- Im DSB-Retainer enthalten
- Lebendes Dokument, wird bei jeder Schema-/Provider-Änderung aktualisiert

### 2.6 Betroffenenrechte technisch implementieren

| Recht | Artikel | Status Backend | Aufwand |
|---|---|---|---|
| Auskunft | Art. 15 | TBD | mittel (Backend-Endpoint) |
| Berichtigung | Art. 16 | App-Settings vorhanden | gering |
| Löschung | Art. 17 | TBD | mittel (Cascade-Delete + Backups) |
| Datenübertragbarkeit | Art. 20 | TBD | mittel (JSON-Export) |
| Widerspruch | Art. 21 | TBD | gering |

→ **Vor erstem zahlenden User müssen alle technisch funktionieren**, nicht nur dokumentiert sein.

---

## 3. Phase 2 im Detail (Q4 2026)

### 3.1 Hosting-Strategie

- **Aktuell:** Hetzner Dedicated (Standard, nicht C5-zertifiziert)
- **Ziel-Architektur:**
  - **Option A:** AWS Frankfurt (eu-central-1), C5-zertifiziert, vollumfänglich
  - **Option B:** Hetzner Cloud (teilweise C5), günstiger
  - **Option C (Hybrid, empfohlen):** Backend-DB + sensible Daten → AWS Frankfurt (C5). Statische Assets / Marketing-Site → Hetzner Dedicated (Kosten optimieren).
- **Mehrkosten:** ~500 €/Monat geschätzt für Option C
- **Migration:** ca. 5k€ Einmalkosten (Tooling, Downtime-Management, DNS-Cutover)

### 3.2 Pseudonymisierungs-Layer für Groq

- Backend-Komponente: Anonymisierungs-Proxy zwischen Lyra-Chat-Handler und Groq-API
- Mapping User-ID → Pseudo-ID nur lokal in PostgreSQL gespeichert
- Im Chat-Kontext keine direkt personenbezogenen Daten

---

## 4. Phase 3 im Detail (Q1 2027) — ISO-27001-light

**Warum „light" zuerst:** Vollzertifikat kostet 15 – 40k€ + 5 – 10k€/Jahr Überwachungsaudits. Für B2C-Phase Overkill. Für erste B2B-Gespräche reicht **dokumentierte Audit-Bereitschaft**.

**Was gebaut wird:**
- ISMS-Handbuch (Informationssicherheits-Management-System)
- Risikoregister
- Notfallplan (Incident Response)
- Zugriffskontroll-Konzept
- Logging- & Monitoring-Konzept
- Backup- & Recovery-Konzept

**Aufwand:** 5 – 10k€ für Consultant, 4 – 8 Wochen interner Arbeit

**Vollzertifizierung:** erst wenn DiGA-Pfad konkret wird (Phase 7+)

---

## 5. Phase 4 im Detail (Q1 2027) — GmbH

### 5.1 Warum GmbH-Wechsel kritisch ist

- Krankenkassen, Diakonie, kirchliche Träger, öffentliche Stellen haben oft interne Compliance-Regeln: **keine Kooperation mit Einzelunternehmern**
- Persönliche Haftungsbegrenzung
- Investor-Fähigkeit (falls Phase 7 Studien-Finanzierung über Investoren läuft)
- Wahrnehmung im Behörden-/Krankenkassen-Kontext: GmbH wirkt institutionell, Einzelunternehmen wirkt wie Hobby-Projekt

### 5.2 Kostenstruktur

- **Stammkapital:** 25 000 € (12 500 € Einzahlung zwingend, Rest als Resteinlage-Verpflichtung)
  - Einzahlung darf **sofort für GmbH-Ausgaben verwendet werden** (kein eingefrorenes Kapital)
- **Notar + Handelsregister:** 600 – 1 200 € (Musterprotokoll für 1-Personen-GmbH)
- **Steuerberater Eröffnungsbilanz:** 1 500 – 3 000 €
- **Marken-Anmeldung „Rebreak" beim DPMA:** ~300 €

**Cash-Bedarf netto:** 3 – 5k€ + 12,5k€ Stammkapital (das aber im Betrieb arbeitet)

### 5.3 Vorbereitung jetzt schon (kostenlos)

- Namens-Verfügbarkeit „Rebreak GmbH" beim Handelsregister + IHK prüfen
- Domain `rebreak-gmbh.de` o.ä. sichern
- Im NBank-Plan §2.2 erwähnen: „Rechtsform aktuell Einzelunternehmen, geplante Überführung in GmbH Q1 2027" → signalisiert Plan + Ernsthaftigkeit

### 5.4 Alternative UG bewusst verworfen

- „Rebreak UG" wirkt im Sucht-/Gesundheits-Kontext halbgar
- B2B-Partner-Reflex: „UG = unterkapitalisiert = Risiko"
- Spart kurzfristig Kapital, kostet langfristig Anbahnungs-Chancen

---

## 6. Phase 7-9 — DiGA-Pfad

### 6.1 Voraussetzungen DiGA-Listung beim BfArM

- **CE-Kennzeichnung** als Medizinprodukt nach MDR Klasse I oder IIa
- **Wirksamkeitsnachweis:** RCT (Randomized Controlled Trial) mit 100 – 300 Probanden, 12 – 18 Monate Laufzeit
  - **Alternativ:** vorläufige Aufnahme mit Studien-Verpflichtung (12 Monate Frist)
- **DSFA + ISMS-Nachweis** (ISO 27001 oder BSI-C5-äquivalent)
- **Barrierefreiheit** nach BITV 2.0
- **Datenschutz-Cockpit** für User (granulare Einwilligungs-/Lösch-Funktionen)
- Positives BfArM-Bewertungsverfahren

### 6.2 Kostenrahmen

- **Studie:** 80 – 300k€ (variiert stark nach Design, Probandenzahl, Standorten)
- **Regulatory Affairs Consultant:** 20 – 50k€ über 12 Monate
- **CE-Kennzeichnungs-Verfahren:** 10 – 25k€
- **Vollwert-ISO-27001 / BSI-C5-Testat:** 20 – 50k€

**Gesamt realistisch:** 150 – 400k€ über 18 – 24 Monate → eigene Finanzierungsrunde, nicht aus NBank-Kredit stemmbar

### 6.3 Strategischer Wert delphi GmbH

- delphi GmbH (Tensil + Leuschner) hat Studien-Methodik-Expertise im Sucht-Bereich
- Wunsch-Partner für RCT — siehe `ops/strategy/PARTNER_ANALYSIS.md` §3
- Erstkontakt Variante-C-Mail vorbereitet, geplante Versendung ~2 Wochen nach Lukas-Werk

### 6.4 Refinanzierungs-Logik

- DiGA-Erstattung: ~400 – 800 €/Quartal pro User direkt von Krankenkassen
- Bei 1 000 verschriebenen Usern → 1,6 – 3,2 Mio €/Jahr ARR
- Break-Even DiGA-Investition bei ~500 verschriebenen Usern
- Marktpotential: 73 Mio. GKV-Versicherte, ~500k Spielsucht-Betroffene in DE

---

## 7. Was NICHT gemacht wird (bewusste Verzicht-Entscheidungen)

| Maßnahme | Warum nicht |
|---|---|
| TÜV-Trustmark / TÜV-App-Siegel | Keine regulatorische Wirkung, nur Endkunden-Marketing-Effekt von ~+2-3% Conversion. Geld besser in DSB-Retainer |
| ePA-/TI-Anbindung | Erst relevant wenn DiGA-Listung steht. Vor 2028 ignorieren |
| Vollwert-ISO-27001-Zertifikat (vor DiGA-Pfad) | 15 – 40k€ + Audits jährlich. ISO-27001-light reicht für B2B-Anbahnung |
| US-/Internationale-Compliance (HIPAA etc.) | DE-Markt zuerst. International erst nach DiGA-Listung |
| Eigenes BSI-C5-Testat | Bringen über Hosting-Provider mit, eigenes Testat erst wenn Eigen-Hosting strategisch nötig |
| DSGVO-Zertifizierung nach Art. 42 DSGVO | In DE praktisch nicht operationalisiert, keine akkreditierten Stellen für SaaS verfügbar |

---

## 8. Trigger für Paid-Launch

Bezahl-Flow wird **erst aufgemacht** wenn folgende Punkte alle abgeschlossen sind:

- [ ] DSB-Retainer unterzeichnet (Phase 1.1)
- [ ] DSFA fertiggestellt und vom DSB abgenommen (Phase 1.2)
- [ ] AV-Verträge mit allen Sub-Auftragsverarbeitern unterzeichnet, insbesondere Groq-Schrems-II-Lösung implementiert (Phase 1.3)
- [ ] Datenschutzerklärung DE + EN finalisiert (Phase 1.4)
- [ ] Verarbeitungsverzeichnis aktuell (Phase 1.5)
- [ ] Betroffenenrechte technisch implementiert + getestet (Phase 1.6)
- [ ] Consent-Flow im Onboarding aktiv

**Zwischenzeit nutzen:**
- Marketing-Site live, Pricing sichtbar, Bezahl-Flow disabled
- Email-Waitlist „Launch in Kürze, sicher Dir frühen Zugang"
- Beta-Gruppe geschlossen weiterführen (3 Tester + Chahine)

---

## 9. NBank-Antrag Mittelverwendung (§6 / §12 Verzahnung)

Die folgenden Compliance-Positionen werden im NBank-Plan §6 als Mittelverwendung explizit aufgeführt:

| Position | Betrag | Kategorie |
|---|---|---|
| DSB-Setup + 12 Monate Retainer | 4 – 6k€ | Beratung |
| DSFA | 3 – 8k€ | Beratung |
| Datenschutzerklärung Fachanwalt | 1 – 2k€ | Beratung |
| Hosting-Migration C5-konform | 5k€ einmalig + 6k€/Jahr Mehrkosten | Infrastruktur |
| ISO-27001-light Consultant | 5 – 10k€ | Beratung |
| GmbH-Gründung (Notar, StB, Stammkapital wird separat geführt) | 3 – 5k€ Notar/StB | Gründungskosten |
| Marken-Anmeldung DPMA | 300 € | Schutzrechte |
| **Summe Compliance-Block** | **~30 – 45k€** | |

Plus separat 12 500 € Stammkapital GmbH (kein „Spending", verbleibt im Unternehmen als Kapital).

**Argumentation für NBank:** Dieser Block ist greifbare, produktive Mittelverwendung — kein Lifestyle, kein Marketing-Bluff. Banken bewerten so etwas signifikant positiver als „Marketing-Budget 30k€".

---

## 10. Offene Punkte / nächste Mini-Tasks

- [ ] DSB-Shortlist erstellen (3 Kanzleien mit DiGA-Erfahrung) — Recherche, ~30 Min
- [ ] Namens-Verfügbarkeit „Rebreak GmbH" beim Handelsregister prüfen — 5 Min
- [ ] Marken-Anmeldung „Rebreak" beim DPMA vorbereiten (Klassen 9 + 42 + 44) — kann sofort starten, dauert 6 Monate
- [ ] NBank-Plan §6 Mittelverwendung schärfen mit Compliance-Block (Tabelle aus §9 oben)
- [ ] BfArM-Beratungsgespräch-Termin in Q2/Q3 2027 vormerken (Termine kommen kurzfristig)

---

## 11. Cross-Referenzen

- `ops/BUSINESS_PLAN_NBANK.md` — §2.2 Rechtsform-Plan, §6 Mittelverwendung, §12 Marktpotential DiGA
- `ops/strategy/PARTNER_ANALYSIS.md` — delphi GmbH als Studienpartner-Kandidat
- `ops/strategy/OUTREACH_MAILS_READY.md` — Lukas-Werk + FAGS Erstkontakt (vor GmbH-Phase, bewusst)
- `ops/TODO_QUEUE.md` — operative Backlog-Items
- `/memories/repo/rebreak-market-nbank.md` — Markt + Förder-Kontext

---

*Lebendiges Dokument. Bei jeder abgeschlossenen Phase aktualisieren und Datum + Verantwortliche eintragen.*