# Verzeichnis der Verarbeitungstätigkeiten
## Gemäß Art. 30 DSGVO

**Verantwortlicher:** Rejne Rittel, Glogauer Str. 19, 10999 Berlin
**Kontakt:** info@rejne.com
**Stand:** April 2026

---

## Verarbeitungstätigkeit 1: GOÄ-Rechnungsprüfung

| Feld | Inhalt |
|---|---|
| **Bezeichnung** | Automatisierte Konformitätsprüfung von GOÄ-Abrechnungen |
| **Zweck** | Prüfung der Vollständigkeit und Konformität ärztlicher Privatabrechnungen |
| **Kategorien betroffener Personen** | Keine — es werden keine personenbezogenen Daten verarbeitet |
| **Kategorien personenbezogener Daten** | Keine — nur anonymisierte Abrechnungskennzahlen (Ziffern, Faktoren, Beträge) |
| **Empfänger** | Anthropic Inc. (API zur Strukturerkennung, DPA vorhanden) |
| **Übermittlung in Drittstaaten** | Ja (USA), aber keine personenbezogenen Daten. SCCs nicht erforderlich. |
| **Löschfristen** | Keine Speicherung personenbezogener Daten. API-Daten werden nach Verarbeitung gelöscht. |
| **Technische und organisatorische Maßnahmen** | Anonymisierung vor Übertragung, TLS 1.3, keine Speicherung beim Empfänger, Zugangsschutz |

## Verarbeitungstätigkeit 2: Nutzerverwaltung

| Feld | Inhalt |
|---|---|
| **Bezeichnung** | Registrierung und Authentifizierung von LIRA-Nutzern |
| **Zweck** | Zugangsschutz, Einladungsverwaltung |
| **Kategorien betroffener Personen** | MFAs und Praxispersonal mit LIRA-Zugang |
| **Kategorien personenbezogener Daten** | E-Mail-Adresse, Name, Rolle |
| **Empfänger** | Supabase Inc. (Authentifizierung, DPA vorhanden), Brevo (E-Mail-Versand, DPA vorhanden) |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| **Löschfristen** | Bei Deaktivierung des Zugangs. Auf Anfrage sofortige Löschung. |
| **Technische und organisatorische Maßnahmen** | Passwort-Hashing (bcrypt), TLS 1.3, EU-Serverstandort |

## Verarbeitungstätigkeit 3: Anonymisierter Audit-Log

| Feld | Inhalt |
|---|---|
| **Bezeichnung** | Anonymisierte Protokollierung von Prüfungsergebnissen |
| **Zweck** | Qualitätssicherung, Akzeptanzraten-Messung, Regelwerk-Verbesserung |
| **Kategorien betroffener Personen** | Keine — nur anonymisierte Ziffern und Aktionen |
| **Kategorien personenbezogener Daten** | Keine — nur GOÄ-Ziffern, Faktor-Änderungen, Akzeptanz/Ablehnung |
| **Empfänger** | Supabase Inc. (Datenbank, DPA vorhanden) |
| **Löschfristen** | 12 Monate |
| **Technische und organisatorische Maßnahmen** | Kein Personenbezug herstellbar, RLS, verschlüsselte Verbindung |

---

*Erstellt: April 2026 | Nächste Überprüfung: Oktober 2026*