# Datenschutz-Folgenabschätzung (DSFA)
## LIRA — Liquidation Revenue Audit
### Gemäß Art. 35 DSGVO

**Stand:** April 2026
**Verantwortlicher:** Rejne Rittel, Glogauer Str. 19, 10999 Berlin
**Kontakt:** info@rejne.com

---

## 1. Beschreibung der Verarbeitung

LIRA ist ein browserbasiertes Tool zur Konformitätsprüfung von GOÄ-Abrechnungen (Gebührenordnung für Ärzte). Medizinische Fachangestellte (MFA) laden eine Rechnung als PDF in den Browser. LIRA erkennt die Abrechnungspositionen und prüft sie gegen das GOÄ-Regelwerk.

### 1.1 Datenfluss

```
PDF-Datei (auf dem Gerät der MFA)
├── Text wird lokal im Browser extrahiert (pdfjs-dist)
├── Begründungstexte → lokale Keyword-Analyse (verlassen das Gerät NIE)
├── Personenbezogene Daten → werden lokal entfernt (Anonymizer)
└── Anonymisierte Positionsdaten → API zur Strukturerkennung
    (nur: Ziffer, Leistungstext, Faktor, Punkte, Betrag)
```

### 1.2 Was verarbeitet wird

| Datenfeld | Lokal (Browser) | An API übertragen |
|---|---|---|
| GOÄ-Ziffern (z.B. 5700, 75) | Ja | Ja |
| Leistungstexte (z.B. MRT Abdomen) | Ja | Ja |
| Faktoren (z.B. 2,3) | Ja | Ja |
| Punktzahlen | Ja | Ja |
| Beträge in Euro | Ja | Ja |
| Begründungstexte | Ja (Keyword-Analyse) | **NEIN** |
| Patientenname | Nein (wird nicht gelesen) | **NEIN** |
| Geburtsdatum | Nein | **NEIN** |
| Adresse | Nein | **NEIN** |
| Diagnosen / ICD-Codes | Nein | **NEIN** |
| Versicherungsnummer | Nein | **NEIN** |
| Arztname / LANR | Nein | **NEIN** |
| Rechnungsnummer | Nein | **NEIN** |
| Behandlungsdatum | Nein | **NEIN** |

## 2. Notwendigkeit und Verhältnismäßigkeit

### 2.1 Rechtsgrundlage

Die Verarbeitung der anonymisierten Positionsdaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — die Praxis hat ein berechtigtes Interesse an der korrekten und vollständigen Abrechnung nach GOÄ.

### 2.2 Warum Art. 9 DSGVO nicht betroffen ist

Art. 9 DSGVO schützt besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten. LIRA verarbeitet:

- **Keine Gesundheitsdaten in der API-Übertragung.** Begründungstexte (die Gesundheitsinformationen enthalten können, z.B. "Platzangst", "Adipositas") werden **vor der Übertragung entfernt** und ausschließlich lokal im Browser analysiert.
- **Keine personenbezogenen Daten.** Alle Identifikatoren (Name, Geburtsdatum, Adresse, Versicherungsnummer) werden vor der API-Übertragung durch einen automatisierten Anonymizer entfernt.
- **Die übertragenen Daten haben keinen Personenbezug.** "Ziffer 5700, Faktor 2,3, 741,36 €" ist ohne Patientenidentifikator nicht einer natürlichen Person zuordenbar.

### 2.3 Datenminimierung

Es werden ausschließlich die für die GOÄ-Prüfung erforderlichen Datenfelder verarbeitet. Die Anonymisierung erfolgt automatisiert und ist nicht manuell umgehbar.

## 3. Risikobewertung

### 3.1 Identifizierte Risiken

| Risiko | Eintrittswahrscheinlichkeit | Auswirkung | Maßnahme |
|---|---|---|---|
| Re-Identifizierung durch Kombination von Positionsdaten | Sehr gering (keine Identifikatoren übertragen) | Gering (keine Gesundheitsdaten übertragen) | Anonymizer entfernt alle Identifikatoren + Begründungstexte |
| Datenabfluss an Dritte | Gering (API-Anbieter speichert keine Daten) | Gering (nur anonymisierte Positionsdaten) | DPA mit API-Anbieter, TLS-Verschlüsselung |
| Fehlerhafte Anonymisierung | Gering (30+ Regex-Patterns + Begründungsfilter) | Mittel (bei Durchlassen eines Namens) | Regelmäßige Tests, Pattern-Erweiterung |

### 3.2 Restrisiko

Das Restrisiko ist **gering**. Die übertragenen Daten (GOÄ-Ziffern, Faktoren, Beträge) sind ohne externe Verknüpfung nicht einer natürlichen Person zuordenbar. Begründungstexte mit potenziellem Gesundheitsbezug verlassen das Gerät nicht.

## 4. Schutzmaßnahmen

1. **Anonymisierung vor Übertragung** — 30+ Regex-Patterns für personenbezogene Daten
2. **Begründungsfilter** — Zeilen mit "Begr.:" / "Begründung:" werden komplett entfernt
3. **Lokale Begründungsanalyse** — Keyword-Matching im Browser, nie übertragen
4. **TLS 1.3 Verschlüsselung** — alle Übertragungen verschlüsselt
5. **Keine Speicherung beim API-Anbieter** — Daten werden nicht für Training oder andere Zwecke verwendet
6. **EU-konforme Infrastruktur** — Supabase (EU), Vercel (EU-CDN)
7. **Zugangsschutz** — nur eingeladene, authentifizierte Nutzer
8. **Audit-Log** — alle Aktionen werden anonymisiert protokolliert

## 5. Ergebnis

Die Verarbeitung ist nach Art. 35 DSGVO zulässig. Es werden keine personenbezogenen Daten und keine Gesundheitsdaten (Art. 9 DSGVO) an externe Dienste übertragen. Die getroffenen Schutzmaßnahmen sind angemessen und verhältnismäßig.

---

*Erstellt: April 2026 | Nächste Überprüfung: Oktober 2026*