chahine/rebreak-monorepo
1
0
Fork 0
Code Issues Pull Requests Actions 2 Packages Projects Releases Wiki Activity
rebreak-monorepo/ops/COMPLIANCE_ROADMAP.md
chahinebrini b31066a04c feat(chat): native action sheet + Insta-style heart for DM messages 
- ChatBubble: useActionSheet replaces custom Modal (native iOS popup, Android bottom sheet)
- DM mode (isDM prop): hides like-count, shows Insta-style heart badge under bubble when liked
- Group chat unchanged
- Cleanup: remove unused Modal/Platform imports, sheet styles, actionsOpen state
- deploy.sh: auto-detect ANDROID_HOME + auto-create local.properties for local Gradle
- NEXT_RELEASE.md: DM reactions release note
- Includes other staged work across binder-mac, marketing, ops/mdm, ios/
2026-05-30 09:14:32 +02:00

14 KiB
Raw Blame History

Rebreak — Compliance- & Zertifizierungs-Roadmap

Stand: 29.05.2026 Owner: Chahine Brini Zweck: Strukturierter Pfad von „geschlossene Beta" zu „DiGA-gelistete App mit Krankenkassen-Erstattung". Dient gleichzeitig als Mittelverwendungs-Begründung im NBank-Antrag (§6 / §12).

0. Leitprinzipien

  1. DSGVO-Setup vor erstem zahlenden User. Sobald ein Fremder einen Euro überweist + wir Gesundheitsdaten (Sucht = Art. 9 DSGVO) verarbeiten, ist die Vollanwendung scharf. Beta mit persönlich bekannten Tester:innen ist tolerierbar, kommerzieller Launch nicht ohne DSB + DSFA + sauberer Datenschutzerklärung.
  2. Reputations-Asymmetrie. Erster DSGVO-Skandal in einer Sucht-App ist medial existenzbedrohend. Lieber 3 Monate später launchen mit sauberem Setup als 3 Monate früher mit Risiko.
  3. „TÜV-Zertifizierung" ist keine relevante Kategorie. Was zählt: DSFA, ISO 27001 (oder light), BSI C5 (im Hosting), DiGA-Listung beim BfArM. TÜV-Trustmarks haben Marketing- aber keine regulatorische Wirkung für unseren Use-Case.
  4. Hebel statt Vollausbau. Wir nutzen, wo möglich, Compliance unserer Provider (z.B. C5-zertifiziertes Hosting) statt eigene Zertifikate aufzubauen, solange B2C-Phase läuft. Eigene Zertifikate erst wenn B2B-Pfad (Krankenkassen / DiGA) das verlangt.

1. Phasen-Plan

Phase Inhalt Zeitfenster Kosten (Range) Trigger / Voraussetzung
1 DSB-Retainer + DSFA + Datenschutzerklärung + Consent-Flow + Verarbeitungsverzeichnis (Art. 30) Q3 2026 8 15k€ Setup + 2 5k€/Jahr DSB-Retainer NBank-Geld da
2 C5-konformes Hosting (AWS Frankfurt-Move oder Hetzner-Cloud-Anteile) + AV-Verträge (Groq Schrems-II-Lösung priorisiert) Q4 2026 ~500 €/Monat Hosting-Mehrkosten, einmalig ~5k€ Migration Phase 1 abgeschlossen
3 ISO-27001-light Doku-Setup (Prozesse dokumentieren, noch nicht zertifizieren) Q1 2027 5 10k€ Consultant Phase 2 stabil
4 GmbH-Gründung (Stammkapital 25k€, davon 12,5k€ Einzahlung) + Marken­anmeldung „Rebreak" beim DPMA Q1 2027 3 5k€ Notar/StB + 12,5k€ Stammkapital (verfügbar) + 300€ Marke Erste relevante Umsatzschwelle erreicht
5 Erste B2B-Anbahnung Diakonie / Caritas / Kommunen / Krankenkassen (unter GmbH-Briefkopf) Q2 2027 (Reisekosten) GmbH eingetragen, Compliance-Doku vorzeigbar
6 DiGA-Vorprüfung beim BfArM (kostenloses Beratungsgespräch) Q2 Q3 2027 Phase 13 abgeschlossen
7 Klinische Studie Design + Studienpartner (delphi GmbH als Wunschpartner) + Ethik-Vote Q3 2027 ff. 80 300k€ → eigene Finanzierungsrunde DiGA-Vorprüfung positiv
8 DiGA-Antrag vorläufig beim BfArM Q4 2027 / 2028 Studie läuft / abgeschlossen
9 Vollwert-DiGA-Listung → Krankenkassen-Erstattung (~400 800 €/Quartal/User) 2028 / 2029 Wirksamkeitsnachweis BfArM-konform

2. Phase 1 im Detail (Q3 2026 — direkt nach NBank)

2.1 Externer Datenschutzbeauftragter (DSB)

  • Status: Gesetzlich Pflicht ab Verarbeitung besonderer Kategorien nach Art. 9 DSGVO (Gesundheitsdaten / Suchterkrankung) — unabhängig von Mitarbeiterzahl.
  • Auswahl-Kriterien:
    • Explizite Erfahrung mit Digital Health / DiGA / Medizinprodukten
    • Sitz in Deutschland (Haftung persönlich)
    • Retainer-Modell, nicht stundenbasiert
  • Kostenrahmen: 150 400 €/Monat Retainer oder 2 4k€ Einmal-Setup + 80 150 €/Monat laufend
  • Shortlist: wird in Phase 0 (Vorbereitung) erstellt — 3 spezialisierte Kanzleien

2.2 Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO)

  • Pflicht bei Rebreak wegen Kombination aus:
    • Gesundheitsdaten (Sucht)
    • Automatisierte Entscheidungen / Profiling (Lyra-LLM-Antworten)
    • Großer Umfang an Daten
  • Format: Strukturiertes Dokument mit Risiko-Bewertung, Schutzmaßnahmen, Verbleibrisiken
  • Kostenrahmen:
    • Bei spezialisiertem Anwalt: 3 8k€
    • Bei DSB-Dienstleister inkludiert: 1,5 3k€
  • Vorarbeit intern: hans-mueller-Agent kann DSFA-Rohentwurf vorbereiten → spart Anwaltsstunden massiv

2.3 AV-Verträge (Auftragsverarbeitung, Art. 28 DSGVO)

Sub-Auftragsverarbeiter Standard-DPA verfügbar? Schrems-II-Problem? Aktion
Hetzner Ja Nein (DE-Hosting) DPA unterzeichnen, archivieren
Cloudflare Ja Teilweise (US-Mutter, EU-Datenstandort möglich) DPA + Data-Localization-Settings aktivieren
Stripe Ja Ja (USA) DPA + TIA (Transfer Impact Assessment) dokumentieren
Apple (Push, In-App-Purchase) Ja Ja DPA Standard, TIA
Google (Push, Play-Billing) Ja Ja DPA Standard, TIA
Groq (Lyra-LLM) DPA prüfen Ja, kritisch (USA-Hosting, Gesundheitsdaten) Option-Matrix unten

Groq / LLM-Schrems-II — die drei Optionen

  1. Pseudonymisierung im Backend — kein User-Identifier wird an Groq übertragen, nur anonymisierter Chat-Kontext. Backend hält Mapping. Rechtlich tragbarer Weg.
  2. EU-LLM-Provider-Switch — Mistral via Scaleway, Aleph Alpha. Teurer, schwächer in DE-Sprachqualität.
  3. Explizite Einwilligung des Users + TIA — fragiler, weil Krankenkassen / DiGA-Prüfer das später ggf. nicht akzeptieren.

Empfehlung: Pseudonymisierung (Option 1) als architektonischer Default, weil zukunftssicher und DiGA-tauglich. Implementierung ist Backend-Aufwand, kein Anwaltskosten.

2.4 Datenschutzerklärung + Cookie-/Consent-Konstrukt

  • Bei Fachanwalt: 800 2 000€
  • Nicht aus Generator zusammenklicken — bei Gesundheitsdaten zu riskant
  • Muss in DE + EN vorliegen (Marketing-Site ist bereits zweisprachig)

2.5 Verarbeitungsverzeichnis (Art. 30 DSGVO)

  • Im DSB-Retainer enthalten
  • Lebendes Dokument, wird bei jeder Schema-/Provider-Änderung aktualisiert

2.6 Betroffenenrechte technisch implementieren

Recht Artikel Status Backend Aufwand
Auskunft Art. 15 TBD mittel (Backend-Endpoint)
Berichtigung Art. 16 App-Settings vorhanden gering
Löschung Art. 17 TBD mittel (Cascade-Delete + Backups)
Datenübertragbarkeit Art. 20 TBD mittel (JSON-Export)
Widerspruch Art. 21 TBD gering

Vor erstem zahlenden User müssen alle technisch funktionieren, nicht nur dokumentiert sein.

3. Phase 2 im Detail (Q4 2026)

3.1 Hosting-Strategie

  • Aktuell: Hetzner Dedicated (Standard, nicht C5-zertifiziert)
  • Ziel-Architektur:
    • Option A: AWS Frankfurt (eu-central-1), C5-zertifiziert, vollumfänglich
    • Option B: Hetzner Cloud (teilweise C5), günstiger
    • Option C (Hybrid, empfohlen): Backend-DB + sensible Daten → AWS Frankfurt (C5). Statische Assets / Marketing-Site → Hetzner Dedicated (Kosten optimieren).
  • Mehrkosten: ~500 €/Monat geschätzt für Option C
  • Migration: ca. 5k€ Einmalkosten (Tooling, Downtime-Management, DNS-Cutover)

3.2 Pseudonymisierungs-Layer für Groq

  • Backend-Komponente: Anonymisierungs-Proxy zwischen Lyra-Chat-Handler und Groq-API
  • Mapping User-ID → Pseudo-ID nur lokal in PostgreSQL gespeichert
  • Im Chat-Kontext keine direkt personenbezogenen Daten

4. Phase 3 im Detail (Q1 2027) — ISO-27001-light

Warum „light" zuerst: Vollzertifikat kostet 15 40k€ + 5 10k€/Jahr Überwachungsaudits. Für B2C-Phase Overkill. Für erste B2B-Gespräche reicht dokumentierte Audit-Bereitschaft.

Was gebaut wird:

  • ISMS-Handbuch (Informationssicherheits-Management-System)
  • Risikoregister
  • Notfallplan (Incident Response)
  • Zugriffskontroll-Konzept
  • Logging- & Monitoring-Konzept
  • Backup- & Recovery-Konzept

Aufwand: 5 10k€ für Consultant, 4 8 Wochen interner Arbeit

Vollzertifizierung: erst wenn DiGA-Pfad konkret wird (Phase 7+)

5. Phase 4 im Detail (Q1 2027) — GmbH

5.1 Warum GmbH-Wechsel kritisch ist

  • Krankenkassen, Diakonie, kirchliche Träger, öffentliche Stellen haben oft interne Compliance-Regeln: keine Kooperation mit Einzelunternehmern
  • Persönliche Haftungsbegrenzung
  • Investor-Fähigkeit (falls Phase 7 Studien-Finanzierung über Investoren läuft)
  • Wahrnehmung im Behörden-/Krankenkassen-Kontext: GmbH wirkt institutionell, Einzelunternehmen wirkt wie Hobby-Projekt

5.2 Kostenstruktur

  • Stammkapital: 25 000 € (12 500 € Einzahlung zwingend, Rest als Resteinlage-Verpflichtung)
    • Einzahlung darf sofort für GmbH-Ausgaben verwendet werden (kein eingefrorenes Kapital)
  • Notar + Handelsregister: 600 1 200 € (Musterprotokoll für 1-Personen-GmbH)
  • Steuerberater Eröffnungsbilanz: 1 500 3 000 €
  • Marken-Anmeldung „Rebreak" beim DPMA: ~300 €

Cash-Bedarf netto: 3 5k€ + 12,5k€ Stammkapital (das aber im Betrieb arbeitet)

5.3 Vorbereitung jetzt schon (kostenlos)

  • Namens-Verfügbarkeit „Rebreak GmbH" beim Handelsregister + IHK prüfen
  • Domain rebreak-gmbh.de o.ä. sichern
  • Im NBank-Plan §2.2 erwähnen: „Rechtsform aktuell Einzelunternehmen, geplante Überführung in GmbH Q1 2027" → signalisiert Plan + Ernsthaftigkeit

5.4 Alternative UG bewusst verworfen

  • „Rebreak UG" wirkt im Sucht-/Gesundheits-Kontext halbgar
  • B2B-Partner-Reflex: „UG = unterkapitalisiert = Risiko"
  • Spart kurzfristig Kapital, kostet langfristig Anbahnungs-Chancen

6. Phase 7-9 — DiGA-Pfad

6.1 Voraussetzungen DiGA-Listung beim BfArM

  • CE-Kennzeichnung als Medizinprodukt nach MDR Klasse I oder IIa
  • Wirksamkeitsnachweis: RCT (Randomized Controlled Trial) mit 100 300 Probanden, 12 18 Monate Laufzeit
    • Alternativ: vorläufige Aufnahme mit Studien-Verpflichtung (12 Monate Frist)
  • DSFA + ISMS-Nachweis (ISO 27001 oder BSI-C5-äquivalent)
  • Barrierefreiheit nach BITV 2.0
  • Datenschutz-Cockpit für User (granulare Einwilligungs-/Lösch-Funktionen)
  • Positives BfArM-Bewertungsverfahren

6.2 Kostenrahmen

  • Studie: 80 300k€ (variiert stark nach Design, Probandenzahl, Standorten)
  • Regulatory Affairs Consultant: 20 50k€ über 12 Monate
  • CE-Kennzeichnungs-Verfahren: 10 25k€
  • Vollwert-ISO-27001 / BSI-C5-Testat: 20 50k€

Gesamt realistisch: 150 400k€ über 18 24 Monate → eigene Finanzierungsrunde, nicht aus NBank-Kredit stemmbar

6.3 Strategischer Wert delphi GmbH

  • delphi GmbH (Tensil + Leuschner) hat Studien-Methodik-Expertise im Sucht-Bereich
  • Wunsch-Partner für RCT — siehe ops/strategy/PARTNER_ANALYSIS.md §3
  • Erstkontakt Variante-C-Mail vorbereitet, geplante Versendung ~2 Wochen nach Lukas-Werk

6.4 Refinanzierungs-Logik

  • DiGA-Erstattung: ~400 800 €/Quartal pro User direkt von Krankenkassen
  • Bei 1 000 verschriebenen Usern → 1,6 3,2 Mio €/Jahr ARR
  • Break-Even DiGA-Investition bei ~500 verschriebenen Usern
  • Marktpotential: 73 Mio. GKV-Versicherte, ~500k Spielsucht-Betroffene in DE

7. Was NICHT gemacht wird (bewusste Verzicht-Entscheidungen)

Maßnahme Warum nicht
TÜV-Trustmark / TÜV-App-Siegel Keine regulatorische Wirkung, nur Endkunden-Marketing-Effekt von ~+2-3% Conversion. Geld besser in DSB-Retainer
ePA-/TI-Anbindung Erst relevant wenn DiGA-Listung steht. Vor 2028 ignorieren
Vollwert-ISO-27001-Zertifikat (vor DiGA-Pfad) 15 40k€ + Audits jährlich. ISO-27001-light reicht für B2B-Anbahnung
US-/Internationale-Compliance (HIPAA etc.) DE-Markt zuerst. International erst nach DiGA-Listung
Eigenes BSI-C5-Testat Bringen über Hosting-Provider mit, eigenes Testat erst wenn Eigen-Hosting strategisch nötig
DSGVO-Zertifizierung nach Art. 42 DSGVO In DE praktisch nicht operationalisiert, keine akkreditierten Stellen für SaaS verfügbar

8. Trigger für Paid-Launch

Bezahl-Flow wird erst aufgemacht wenn folgende Punkte alle abgeschlossen sind:

  • DSB-Retainer unterzeichnet (Phase 1.1)
  • DSFA fertiggestellt und vom DSB abgenommen (Phase 1.2)
  • AV-Verträge mit allen Sub-Auftragsverarbeitern unterzeichnet, insbesondere Groq-Schrems-II-Lösung implementiert (Phase 1.3)
  • Datenschutzerklärung DE + EN finalisiert (Phase 1.4)
  • Verarbeitungsverzeichnis aktuell (Phase 1.5)
  • Betroffenenrechte technisch implementiert + getestet (Phase 1.6)
  • Consent-Flow im Onboarding aktiv

Zwischenzeit nutzen:

  • Marketing-Site live, Pricing sichtbar, Bezahl-Flow disabled
  • Email-Waitlist „Launch in Kürze, sicher Dir frühen Zugang"
  • Beta-Gruppe geschlossen weiterführen (3 Tester + Chahine)

9. NBank-Antrag Mittelverwendung (§6 / §12 Verzahnung)

Die folgenden Compliance-Positionen werden im NBank-Plan §6 als Mittelverwendung explizit aufgeführt:

Position Betrag Kategorie
DSB-Setup + 12 Monate Retainer 4 6k€ Beratung
DSFA 3 8k€ Beratung
Datenschutzerklärung Fachanwalt 1 2k€ Beratung
Hosting-Migration C5-konform 5k€ einmalig + 6k€/Jahr Mehrkosten Infrastruktur
ISO-27001-light Consultant 5 10k€ Beratung
GmbH-Gründung (Notar, StB, Stammkapital wird separat geführt) 3 5k€ Notar/StB Gründungskosten
Marken-Anmeldung DPMA 300 € Schutzrechte
Summe Compliance-Block ~30 45k€

Plus separat 12 500 € Stammkapital GmbH (kein „Spending", verbleibt im Unternehmen als Kapital).

Argumentation für NBank: Dieser Block ist greifbare, produktive Mittelverwendung — kein Lifestyle, kein Marketing-Bluff. Banken bewerten so etwas signifikant positiver als „Marketing-Budget 30k€".

10. Offene Punkte / nächste Mini-Tasks

  • DSB-Shortlist erstellen (3 Kanzleien mit DiGA-Erfahrung) — Recherche, ~30 Min
  • Namens-Verfügbarkeit „Rebreak GmbH" beim Handelsregister prüfen — 5 Min
  • Marken-Anmeldung „Rebreak" beim DPMA vorbereiten (Klassen 9 + 42 + 44) — kann sofort starten, dauert 6 Monate
  • NBank-Plan §6 Mittelverwendung schärfen mit Compliance-Block (Tabelle aus §9 oben)
  • BfArM-Beratungsgespräch-Termin in Q2/Q3 2027 vormerken (Termine kommen kurzfristig)

11. Cross-Referenzen

  • ops/BUSINESS_PLAN_NBANK.md — §2.2 Rechtsform-Plan, §6 Mittelverwendung, §12 Marktpotential DiGA
  • ops/strategy/PARTNER_ANALYSIS.md — delphi GmbH als Studienpartner-Kandidat
  • ops/strategy/OUTREACH_MAILS_READY.md — Lukas-Werk + FAGS Erstkontakt (vor GmbH-Phase, bewusst)
  • ops/TODO_QUEUE.md — operative Backlog-Items
  • /memories/repo/rebreak-market-nbank.md — Markt + Förder-Kontext

Lebendiges Dokument. Bei jeder abgeschlossenen Phase aktualisieren und Datum + Verantwortliche eintragen.