chahine/rebreak-monorepo
1
0
Fork 0
Code Issues Pull Requests Actions 2 Packages Projects Releases Wiki Activity
rebreak-monorepo/ops/COMPLIANCE_ROADMAP.md
chahinebrini b31066a04c feat(chat): native action sheet + Insta-style heart for DM messages 
- ChatBubble: useActionSheet replaces custom Modal (native iOS popup, Android bottom sheet)
- DM mode (isDM prop): hides like-count, shows Insta-style heart badge under bubble when liked
- Group chat unchanged
- Cleanup: remove unused Modal/Platform imports, sheet styles, actionsOpen state
- deploy.sh: auto-detect ANDROID_HOME + auto-create local.properties for local Gradle
- NEXT_RELEASE.md: DM reactions release note
- Includes other staged work across binder-mac, marketing, ops/mdm, ios/
2026-05-30 09:14:32 +02:00

283 lines
14 KiB
Markdown
Raw Permalink Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Rebreak — Compliance- & Zertifizierungs-Roadmap
**Stand:** 29.05.2026
**Owner:** Chahine Brini
**Zweck:** Strukturierter Pfad von „geschlossene Beta" zu „DiGA-gelistete App mit Krankenkassen-Erstattung". Dient gleichzeitig als Mittelverwendungs-Begründung im NBank-Antrag (§6 / §12).
---
## 0. Leitprinzipien
1. **DSGVO-Setup vor erstem zahlenden User.** Sobald ein Fremder einen Euro überweist + wir Gesundheitsdaten (Sucht = Art. 9 DSGVO) verarbeiten, ist die Vollanwendung scharf. Beta mit persönlich bekannten Tester:innen ist tolerierbar, kommerzieller Launch nicht ohne DSB + DSFA + sauberer Datenschutzerklärung.
2. **Reputations-Asymmetrie.** Erster DSGVO-Skandal in einer Sucht-App ist medial existenzbedrohend. Lieber 3 Monate später launchen mit sauberem Setup als 3 Monate früher mit Risiko.
3. **„TÜV-Zertifizierung" ist keine relevante Kategorie.** Was zählt: DSFA, ISO 27001 (oder light), BSI C5 (im Hosting), DiGA-Listung beim BfArM. TÜV-Trustmarks haben Marketing- aber keine regulatorische Wirkung für unseren Use-Case.
4. **Hebel statt Vollausbau.** Wir nutzen, wo möglich, Compliance unserer Provider (z.B. C5-zertifiziertes Hosting) statt eigene Zertifikate aufzubauen, solange B2C-Phase läuft. Eigene Zertifikate erst wenn B2B-Pfad (Krankenkassen / DiGA) das verlangt.
---
## 1. Phasen-Plan
| Phase | Inhalt | Zeitfenster | Kosten (Range) | Trigger / Voraussetzung |
|---|---|---|---|---|
| **1** | DSB-Retainer + DSFA + Datenschutzerklärung + Consent-Flow + Verarbeitungsverzeichnis (Art. 30) | Q3 2026 | 8 15k€ Setup + 2 5k€/Jahr DSB-Retainer | NBank-Geld da |
| **2** | C5-konformes Hosting (AWS Frankfurt-Move oder Hetzner-Cloud-Anteile) + AV-Verträge (Groq Schrems-II-Lösung priorisiert) | Q4 2026 | ~500 €/Monat Hosting-Mehrkosten, einmalig ~5k€ Migration | Phase 1 abgeschlossen |
| **3** | ISO-27001-light Doku-Setup (Prozesse dokumentieren, noch nicht zertifizieren) | Q1 2027 | 5 10k€ Consultant | Phase 2 stabil |
| **4** | GmbH-Gründung (Stammkapital 25k€, davon 12,5k€ Einzahlung) + Marken­anmeldung „Rebreak" beim DPMA | Q1 2027 | 3 5k€ Notar/StB + 12,5k€ Stammkapital (verfügbar) + 300€ Marke | Erste relevante Umsatzschwelle erreicht |
| **5** | Erste B2B-Anbahnung Diakonie / Caritas / Kommunen / Krankenkassen (unter GmbH-Briefkopf) | Q2 2027 | (Reisekosten) | GmbH eingetragen, Compliance-Doku vorzeigbar |
| **6** | DiGA-Vorprüfung beim BfArM (kostenloses Beratungsgespräch) | Q2 Q3 2027 | | Phase 13 abgeschlossen |
| **7** | Klinische Studie Design + Studienpartner (delphi GmbH als Wunschpartner) + Ethik-Vote | Q3 2027 ff. | 80 300k€ → eigene Finanzierungsrunde | DiGA-Vorprüfung positiv |
| **8** | DiGA-Antrag vorläufig beim BfArM | Q4 2027 / 2028 | | Studie läuft / abgeschlossen |
| **9** | Vollwert-DiGA-Listung → Krankenkassen-Erstattung (~400 800 €/Quartal/User) | 2028 / 2029 | | Wirksamkeitsnachweis BfArM-konform |
---
## 2. Phase 1 im Detail (Q3 2026 — direkt nach NBank)
### 2.1 Externer Datenschutzbeauftragter (DSB)
- **Status:** Gesetzlich Pflicht ab Verarbeitung besonderer Kategorien nach Art. 9 DSGVO (Gesundheitsdaten / Suchterkrankung) — unabhängig von Mitarbeiterzahl.
- **Auswahl-Kriterien:**
- Explizite Erfahrung mit Digital Health / DiGA / Medizinprodukten
- Sitz in Deutschland (Haftung persönlich)
- Retainer-Modell, nicht stundenbasiert
- **Kostenrahmen:** 150 400 €/Monat Retainer **oder** 2 4k€ Einmal-Setup + 80 150 €/Monat laufend
- **Shortlist:** wird in Phase 0 (Vorbereitung) erstellt — 3 spezialisierte Kanzleien
### 2.2 Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO)
- **Pflicht** bei Rebreak wegen Kombination aus:
- Gesundheitsdaten (Sucht)
- Automatisierte Entscheidungen / Profiling (Lyra-LLM-Antworten)
- Großer Umfang an Daten
- **Format:** Strukturiertes Dokument mit Risiko-Bewertung, Schutzmaßnahmen, Verbleibrisiken
- **Kostenrahmen:**
- Bei spezialisiertem Anwalt: 3 8k€
- Bei DSB-Dienstleister inkludiert: 1,5 3k€
- **Vorarbeit intern:** `hans-mueller`-Agent kann DSFA-Rohentwurf vorbereiten → spart Anwaltsstunden massiv
### 2.3 AV-Verträge (Auftragsverarbeitung, Art. 28 DSGVO)
| Sub-Auftragsverarbeiter | Standard-DPA verfügbar? | Schrems-II-Problem? | Aktion |
|---|---|---|---|
| Hetzner | Ja | Nein (DE-Hosting) | DPA unterzeichnen, archivieren |
| Cloudflare | Ja | Teilweise (US-Mutter, EU-Datenstandort möglich) | DPA + Data-Localization-Settings aktivieren |
| Stripe | Ja | Ja (USA) | DPA + TIA (Transfer Impact Assessment) dokumentieren |
| Apple (Push, In-App-Purchase) | Ja | Ja | DPA Standard, TIA |
| Google (Push, Play-Billing) | Ja | Ja | DPA Standard, TIA |
| **Groq (Lyra-LLM)** | DPA prüfen | **Ja, kritisch** (USA-Hosting, Gesundheitsdaten) | **Option-Matrix unten** |
#### Groq / LLM-Schrems-II — die drei Optionen
1. **Pseudonymisierung im Backend** — kein User-Identifier wird an Groq übertragen, nur anonymisierter Chat-Kontext. Backend hält Mapping. Rechtlich tragbarer Weg.
2. **EU-LLM-Provider-Switch** — Mistral via Scaleway, Aleph Alpha. Teurer, schwächer in DE-Sprachqualität.
3. **Explizite Einwilligung des Users + TIA** — fragiler, weil Krankenkassen / DiGA-Prüfer das später ggf. nicht akzeptieren.
**Empfehlung:** Pseudonymisierung (Option 1) als architektonischer Default, weil zukunftssicher und DiGA-tauglich. Implementierung ist Backend-Aufwand, kein Anwaltskosten.
### 2.4 Datenschutzerklärung + Cookie-/Consent-Konstrukt
- Bei Fachanwalt: 800 2 000€
- **Nicht** aus Generator zusammenklicken — bei Gesundheitsdaten zu riskant
- Muss in DE + EN vorliegen (Marketing-Site ist bereits zweisprachig)
### 2.5 Verarbeitungsverzeichnis (Art. 30 DSGVO)
- Im DSB-Retainer enthalten
- Lebendes Dokument, wird bei jeder Schema-/Provider-Änderung aktualisiert
### 2.6 Betroffenenrechte technisch implementieren
| Recht | Artikel | Status Backend | Aufwand |
|---|---|---|---|
| Auskunft | Art. 15 | TBD | mittel (Backend-Endpoint) |
| Berichtigung | Art. 16 | App-Settings vorhanden | gering |
| Löschung | Art. 17 | TBD | mittel (Cascade-Delete + Backups) |
| Datenübertragbarkeit | Art. 20 | TBD | mittel (JSON-Export) |
| Widerspruch | Art. 21 | TBD | gering |
**Vor erstem zahlenden User müssen alle technisch funktionieren**, nicht nur dokumentiert sein.
---
## 3. Phase 2 im Detail (Q4 2026)
### 3.1 Hosting-Strategie
- **Aktuell:** Hetzner Dedicated (Standard, nicht C5-zertifiziert)
- **Ziel-Architektur:**
- **Option A:** AWS Frankfurt (eu-central-1), C5-zertifiziert, vollumfänglich
- **Option B:** Hetzner Cloud (teilweise C5), günstiger
- **Option C (Hybrid, empfohlen):** Backend-DB + sensible Daten → AWS Frankfurt (C5). Statische Assets / Marketing-Site → Hetzner Dedicated (Kosten optimieren).
- **Mehrkosten:** ~500 €/Monat geschätzt für Option C
- **Migration:** ca. 5k€ Einmalkosten (Tooling, Downtime-Management, DNS-Cutover)
### 3.2 Pseudonymisierungs-Layer für Groq
- Backend-Komponente: Anonymisierungs-Proxy zwischen Lyra-Chat-Handler und Groq-API
- Mapping User-ID → Pseudo-ID nur lokal in PostgreSQL gespeichert
- Im Chat-Kontext keine direkt personenbezogenen Daten
---
## 4. Phase 3 im Detail (Q1 2027) — ISO-27001-light
**Warum „light" zuerst:** Vollzertifikat kostet 15 40k€ + 5 10k€/Jahr Überwachungsaudits. Für B2C-Phase Overkill. Für erste B2B-Gespräche reicht **dokumentierte Audit-Bereitschaft**.
**Was gebaut wird:**
- ISMS-Handbuch (Informationssicherheits-Management-System)
- Risikoregister
- Notfallplan (Incident Response)
- Zugriffskontroll-Konzept
- Logging- & Monitoring-Konzept
- Backup- & Recovery-Konzept
**Aufwand:** 5 10k€ für Consultant, 4 8 Wochen interner Arbeit
**Vollzertifizierung:** erst wenn DiGA-Pfad konkret wird (Phase 7+)
---
## 5. Phase 4 im Detail (Q1 2027) — GmbH
### 5.1 Warum GmbH-Wechsel kritisch ist
- Krankenkassen, Diakonie, kirchliche Träger, öffentliche Stellen haben oft interne Compliance-Regeln: **keine Kooperation mit Einzelunternehmern**
- Persönliche Haftungsbegrenzung
- Investor-Fähigkeit (falls Phase 7 Studien-Finanzierung über Investoren läuft)
- Wahrnehmung im Behörden-/Krankenkassen-Kontext: GmbH wirkt institutionell, Einzelunternehmen wirkt wie Hobby-Projekt
### 5.2 Kostenstruktur
- **Stammkapital:** 25 000 € (12 500 € Einzahlung zwingend, Rest als Resteinlage-Verpflichtung)
- Einzahlung darf **sofort für GmbH-Ausgaben verwendet werden** (kein eingefrorenes Kapital)
- **Notar + Handelsregister:** 600 1 200 € (Musterprotokoll für 1-Personen-GmbH)
- **Steuerberater Eröffnungsbilanz:** 1 500 3 000 €
- **Marken-Anmeldung „Rebreak" beim DPMA:** ~300 €
**Cash-Bedarf netto:** 3 5k€ + 12,5k€ Stammkapital (das aber im Betrieb arbeitet)
### 5.3 Vorbereitung jetzt schon (kostenlos)
- Namens-Verfügbarkeit „Rebreak GmbH" beim Handelsregister + IHK prüfen
- Domain `rebreak-gmbh.de` o.ä. sichern
- Im NBank-Plan §2.2 erwähnen: „Rechtsform aktuell Einzelunternehmen, geplante Überführung in GmbH Q1 2027" → signalisiert Plan + Ernsthaftigkeit
### 5.4 Alternative UG bewusst verworfen
- „Rebreak UG" wirkt im Sucht-/Gesundheits-Kontext halbgar
- B2B-Partner-Reflex: „UG = unterkapitalisiert = Risiko"
- Spart kurzfristig Kapital, kostet langfristig Anbahnungs-Chancen
---
## 6. Phase 7-9 — DiGA-Pfad
### 6.1 Voraussetzungen DiGA-Listung beim BfArM
- **CE-Kennzeichnung** als Medizinprodukt nach MDR Klasse I oder IIa
- **Wirksamkeitsnachweis:** RCT (Randomized Controlled Trial) mit 100 300 Probanden, 12 18 Monate Laufzeit
- **Alternativ:** vorläufige Aufnahme mit Studien-Verpflichtung (12 Monate Frist)
- **DSFA + ISMS-Nachweis** (ISO 27001 oder BSI-C5-äquivalent)
- **Barrierefreiheit** nach BITV 2.0
- **Datenschutz-Cockpit** für User (granulare Einwilligungs-/Lösch-Funktionen)
- Positives BfArM-Bewertungsverfahren
### 6.2 Kostenrahmen
- **Studie:** 80 300k€ (variiert stark nach Design, Probandenzahl, Standorten)
- **Regulatory Affairs Consultant:** 20 50k€ über 12 Monate
- **CE-Kennzeichnungs-Verfahren:** 10 25k€
- **Vollwert-ISO-27001 / BSI-C5-Testat:** 20 50k€
**Gesamt realistisch:** 150 400k€ über 18 24 Monate → eigene Finanzierungsrunde, nicht aus NBank-Kredit stemmbar
### 6.3 Strategischer Wert delphi GmbH
- delphi GmbH (Tensil + Leuschner) hat Studien-Methodik-Expertise im Sucht-Bereich
- Wunsch-Partner für RCT — siehe `ops/strategy/PARTNER_ANALYSIS.md` §3
- Erstkontakt Variante-C-Mail vorbereitet, geplante Versendung ~2 Wochen nach Lukas-Werk
### 6.4 Refinanzierungs-Logik
- DiGA-Erstattung: ~400 800 €/Quartal pro User direkt von Krankenkassen
- Bei 1 000 verschriebenen Usern → 1,6 3,2 Mio €/Jahr ARR
- Break-Even DiGA-Investition bei ~500 verschriebenen Usern
- Marktpotential: 73 Mio. GKV-Versicherte, ~500k Spielsucht-Betroffene in DE
---
## 7. Was NICHT gemacht wird (bewusste Verzicht-Entscheidungen)
| Maßnahme | Warum nicht |
|---|---|
| TÜV-Trustmark / TÜV-App-Siegel | Keine regulatorische Wirkung, nur Endkunden-Marketing-Effekt von ~+2-3% Conversion. Geld besser in DSB-Retainer |
| ePA-/TI-Anbindung | Erst relevant wenn DiGA-Listung steht. Vor 2028 ignorieren |
| Vollwert-ISO-27001-Zertifikat (vor DiGA-Pfad) | 15 40k€ + Audits jährlich. ISO-27001-light reicht für B2B-Anbahnung |
| US-/Internationale-Compliance (HIPAA etc.) | DE-Markt zuerst. International erst nach DiGA-Listung |
| Eigenes BSI-C5-Testat | Bringen über Hosting-Provider mit, eigenes Testat erst wenn Eigen-Hosting strategisch nötig |
| DSGVO-Zertifizierung nach Art. 42 DSGVO | In DE praktisch nicht operationalisiert, keine akkreditierten Stellen für SaaS verfügbar |
---
## 8. Trigger für Paid-Launch
Bezahl-Flow wird **erst aufgemacht** wenn folgende Punkte alle abgeschlossen sind:
- [ ] DSB-Retainer unterzeichnet (Phase 1.1)
- [ ] DSFA fertiggestellt und vom DSB abgenommen (Phase 1.2)
- [ ] AV-Verträge mit allen Sub-Auftragsverarbeitern unterzeichnet, insbesondere Groq-Schrems-II-Lösung implementiert (Phase 1.3)
- [ ] Datenschutzerklärung DE + EN finalisiert (Phase 1.4)
- [ ] Verarbeitungsverzeichnis aktuell (Phase 1.5)
- [ ] Betroffenenrechte technisch implementiert + getestet (Phase 1.6)
- [ ] Consent-Flow im Onboarding aktiv
**Zwischenzeit nutzen:**
- Marketing-Site live, Pricing sichtbar, Bezahl-Flow disabled
- Email-Waitlist „Launch in Kürze, sicher Dir frühen Zugang"
- Beta-Gruppe geschlossen weiterführen (3 Tester + Chahine)
---
## 9. NBank-Antrag Mittelverwendung (§6 / §12 Verzahnung)
Die folgenden Compliance-Positionen werden im NBank-Plan §6 als Mittelverwendung explizit aufgeführt:
| Position | Betrag | Kategorie |
|---|---|---|
| DSB-Setup + 12 Monate Retainer | 4 6k€ | Beratung |
| DSFA | 3 8k€ | Beratung |
| Datenschutzerklärung Fachanwalt | 1 2k€ | Beratung |
| Hosting-Migration C5-konform | 5k€ einmalig + 6k€/Jahr Mehrkosten | Infrastruktur |
| ISO-27001-light Consultant | 5 10k€ | Beratung |
| GmbH-Gründung (Notar, StB, Stammkapital wird separat geführt) | 3 5k€ Notar/StB | Gründungskosten |
| Marken-Anmeldung DPMA | 300 € | Schutzrechte |
| **Summe Compliance-Block** | **~30 45k€** | |
Plus separat 12 500 € Stammkapital GmbH (kein „Spending", verbleibt im Unternehmen als Kapital).
**Argumentation für NBank:** Dieser Block ist greifbare, produktive Mittelverwendung — kein Lifestyle, kein Marketing-Bluff. Banken bewerten so etwas signifikant positiver als „Marketing-Budget 30k€".
---
## 10. Offene Punkte / nächste Mini-Tasks
- [ ] DSB-Shortlist erstellen (3 Kanzleien mit DiGA-Erfahrung) — Recherche, ~30 Min
- [ ] Namens-Verfügbarkeit „Rebreak GmbH" beim Handelsregister prüfen — 5 Min
- [ ] Marken-Anmeldung „Rebreak" beim DPMA vorbereiten (Klassen 9 + 42 + 44) — kann sofort starten, dauert 6 Monate
- [ ] NBank-Plan §6 Mittelverwendung schärfen mit Compliance-Block (Tabelle aus §9 oben)
- [ ] BfArM-Beratungsgespräch-Termin in Q2/Q3 2027 vormerken (Termine kommen kurzfristig)
---
## 11. Cross-Referenzen
- `ops/BUSINESS_PLAN_NBANK.md` — §2.2 Rechtsform-Plan, §6 Mittelverwendung, §12 Marktpotential DiGA
- `ops/strategy/PARTNER_ANALYSIS.md` — delphi GmbH als Studienpartner-Kandidat
- `ops/strategy/OUTREACH_MAILS_READY.md` — Lukas-Werk + FAGS Erstkontakt (vor GmbH-Phase, bewusst)
- `ops/TODO_QUEUE.md` — operative Backlog-Items
- `/memories/repo/rebreak-market-nbank.md` — Markt + Förder-Kontext
---
*Lebendiges Dokument. Bei jeder abgeschlossenen Phase aktualisieren und Datum + Verantwortliche eintragen.*
Reference in New Issue View Git Blame Copy Permalink