Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat(ucca): Pflichtendatenbank v2 (325 Obligations), Trigger-Engine, TOM-Control-Mapping
All checks were successful
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / test-go-ai-compliance (push) Successful in 32s
Details
CI / test-python-backend-compliance (push) Successful in 29s
Details
CI / test-python-document-crawler (push) Successful in 20s
Details
CI / test-python-dsms-gateway (push) Successful in 18s
Details

Browse Source 
- 9 Regulation-JSON-Dateien (DSGVO 80, AI Act 60, NIS2 40, BDSG 30, TTDSG 20, DSA 35, Data Act 25, EU-Maschinen 15, DORA 20)
- Condition-Tree-Engine fuer automatische Pflichtenselektion (all_of/any_of, 80+ Field-Paths)
- Generischer JSONRegulationModule-Loader mit YAML-Fallback
- Bidirektionales TOM-Control-Mapping (291 Obligation→Control, 92 Control→Obligation)
- Gap-Analyse-Engine (Compliance-%, Priority Actions, Domain Breakdown)
- ScopeDecision→UnifiedFacts Bridge fuer Auto-Profiling
- 4 neue API-Endpoints (assess-from-scope, tom-controls, gap-analysis, reverse-lookup)
- Frontend: Auto-Profiling Button, Regulation-Filter Chips, TOM-Panel, Gap-Analyse-View
- 18 Unit Tests (Condition Engine, v2 Loader, TOM Mapper)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-03-05 14:51:44 +01:00
parent 2540a2189a
commit 38e278ee3c
32 changed files with 22870 additions and 41 deletions
Download Patch File Download Diff File Expand all files Collapse all files

61
ai-compliance-sdk/policies/obligations/v2/_manifest.json Normal file
View File

@@ -0,0 +1,61 @@
{
"schema_version": "2.0",
"regulations": [
{
"id": "dsgvo",
"file": "dsgvo_v2.json",
"version": "1.0",
"count": 80
},
{
"id": "ai_act",
"file": "ai_act_v2.json",
"version": "1.0",
"count": 60
},
{
"id": "nis2",
"file": "nis2_v2.json",
"version": "1.0",
"count": 40
},
{
"id": "bdsg",
"file": "bdsg_v2.json",
"version": "1.0",
"count": 30
},
{
"id": "ttdsg",
"file": "ttdsg_v2.json",
"version": "1.0",
"count": 20
},
{
"id": "dsa",
"file": "dsa_v2.json",
"version": "1.0",
"count": 35
},
{
"id": "data_act",
"file": "data_act_v2.json",
"version": "1.0",
"count": 25
},
{
"id": "eu_machinery",
"file": "eu_machinery_v2.json",
"version": "1.0",
"count": 15
},
{
"id": "dora",
"file": "dora_v2.json",
"version": "1.0",
"count": 20
}
],
"tom_mapping_file": "_tom_mapping.json",
"total_obligations": 325
}

162
ai-compliance-sdk/policies/obligations/v2/_schema.json Normal file
View File

@@ -0,0 +1,162 @@
{
"$schema": "https://json-schema.org/draft/2020-12/schema",
"title": "Obligation v2 Schema",
"description": "Schema fuer maschinenlesbare Compliance-Pflichten",
"type": "object",
"required": ["regulation", "name", "version", "obligations"],
"properties": {
"regulation": { "type": "string", "description": "Regulation-Key (z.B. dsgvo, ai_act, nis2)" },
"name": { "type": "string" },
"description": { "type": "string" },
"version": { "type": "string" },
"effective_date": { "type": "string", "format": "date" },
"obligations": {
"type": "array",
"items": { "$ref": "#/$defs/obligation" }
},
"controls": {
"type": "array",
"items": { "$ref": "#/$defs/control" }
},
"incident_deadlines": {
"type": "array",
"items": { "$ref": "#/$defs/incident_deadline" }
}
},
"$defs": {
"obligation": {
"type": "object",
"required": ["id", "title", "description", "applies_when", "legal_basis", "category", "priority"],
"properties": {
"id": { "type": "string", "pattern": "^[A-Z0-9_-]+-OBL-[0-9]{3}$" },
"title": { "type": "string" },
"description": { "type": "string" },
"applies_when": { "type": "string", "description": "Legacy condition string for backwards compat" },
"applies_when_condition": { "$ref": "#/$defs/condition_node" },
"legal_basis": {
"type": "array",
"items": {
"type": "object",
"required": ["norm", "article"],
"properties": {
"norm": { "type": "string" },
"article": { "type": "string" },
"title": { "type": "string" },
"erwaegungsgrund": { "type": "string" }
}
}
},
"sources": {
"type": "array",
"items": {
"type": "object",
"required": ["type", "ref"],
"properties": {
"type": { "type": "string", "enum": ["article", "erwaegungsgrund", "edpb_guideline", "dsk_kurzpapier", "bsi_standard", "eu_guidance", "national_law", "case_law"] },
"ref": { "type": "string" }
}
}
},
"category": { "type": "string", "enum": ["Governance", "Technisch", "Organisatorisch", "Meldepflicht", "Dokumentation", "Schulung", "Audit", "Compliance"] },
"responsible": { "type": "string" },
"deadline": {
"type": "object",
"properties": {
"type": { "type": "string", "enum": ["absolute", "relative", "recurring", "on_event"] },
"date": { "type": "string", "format": "date" },
"duration": { "type": "string" },
"interval": { "type": "string" },
"event": { "type": "string" }
}
},
"sanctions": {
"type": "object",
"properties": {
"max_fine": { "type": "string" },
"min_fine": { "type": "string" },
"personal_liability": { "type": "boolean" },
"criminal_liability": { "type": "boolean" },
"description": { "type": "string" }
}
},
"evidence": {
"type": "array",
"items": {
"oneOf": [
{ "type": "string" },
{
"type": "object",
"required": ["name"],
"properties": {
"name": { "type": "string" },
"required": { "type": "boolean" },
"format": { "type": "string" }
}
}
]
}
},
"priority": { "type": "string", "enum": ["kritisch", "hoch", "mittel", "niedrig"] },
"tom_control_ids": {
"type": "array",
"items": { "type": "string", "pattern": "^TOM\\.[A-Z]+\\.[0-9]{2}$" }
},
"breakpilot_feature": { "type": "string", "description": "Link to SDK module (e.g. /sdk/dsfa)" },
"valid_from": { "type": "string", "format": "date" },
"valid_until": { "type": ["string", "null"], "format": "date" },
"version": { "type": "string" },
"iso27001_mapping": { "type": "array", "items": { "type": "string" } },
"how_to_implement": { "type": "string" }
}
},
"condition_node": {
"type": "object",
"oneOf": [
{
"properties": {
"all_of": { "type": "array", "items": { "$ref": "#/$defs/condition_node" } }
},
"required": ["all_of"]
},
{
"properties": {
"any_of": { "type": "array", "items": { "$ref": "#/$defs/condition_node" } }
},
"required": ["any_of"]
},
{
"properties": {
"field": { "type": "string" },
"operator": { "type": "string", "enum": ["EQUALS", "NOT_EQUALS", "GREATER_THAN", "LESS_THAN", "GREATER_OR_EQUAL", "LESS_OR_EQUAL", "IN", "NOT_IN", "CONTAINS", "EXISTS"] },
"value": {}
},
"required": ["field", "operator", "value"]
}
]
},
"control": {
"type": "object",
"required": ["id", "name", "category"],
"properties": {
"id": { "type": "string" },
"name": { "type": "string" },
"description": { "type": "string" },
"category": { "type": "string" },
"what_to_do": { "type": "string" },
"iso27001_mapping": { "type": "array", "items": { "type": "string" } },
"priority": { "type": "string" }
}
},
"incident_deadline": {
"type": "object",
"required": ["phase", "deadline"],
"properties": {
"phase": { "type": "string" },
"deadline": { "type": "string" },
"content": { "type": "string" },
"recipient": { "type": "string" },
"legal_basis": { "type": "array", "items": { "type": "object" } }
}
}
}
}

1923
ai-compliance-sdk/policies/obligations/v2/_tom_mapping.json Normal file
View File

File diff suppressed because it is too large Load Diff

1935
ai-compliance-sdk/policies/obligations/v2/ai_act_v2.json Normal file
View File

File diff suppressed because it is too large Load Diff

668
ai-compliance-sdk/policies/obligations/v2/bdsg_v2.json Normal file
View File

@@ -0,0 +1,668 @@
{
"regulation": "bdsg",
"regulation_full_name": "Bundesdatenschutzgesetz (BDSG)",
"version": "1.0",
"obligations": [
{
"id": "BDSG-OBL-001",
"title": "Videoueberwachung oeffentlicher Raeume",
"description": "Videoueberwachung oeffentlich zugaenglicher Raeume ist nur zulaessig, wenn sie zur Aufgabenerfuellung oeffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen erforderlich ist.",
"applies_when": "organization uses video surveillance in public areas",
"applies_when_condition": { "all_of": [{ "field": "data_protection.video_surveillance", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 4 Abs. 1", "title": "Videoueberwachung oeffentlich zugaenglicher Raeume" }],
"sources": [{ "type": "national_law", "ref": "§ 4 BDSG" }],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Vor Inbetriebnahme der Videoueberwachung" },
"sanctions": { "max_fine": "50.000 EUR (§ 43 BDSG a.F.) bzw. DSGVO-Bussgeld" },
"evidence": [{ "name": "Videoueberwachungskonzept", "required": true }, "Beschilderung/Hinweisschilder"],
"priority": "hoch",
"tom_control_ids": ["TOM.PHY.01", "TOM.GOV.03"],
"breakpilot_feature": "/sdk/tom",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-002",
"title": "Kennzeichnungspflicht Videoueberwachung",
"description": "Der Umstand der Beobachtung und der Verantwortliche sind durch geeignete Massnahmen zum fruehestmoeglichen Zeitpunkt erkennbar zu machen.",
"applies_when": "organization uses video surveillance",
"applies_when_condition": { "all_of": [{ "field": "data_protection.video_surveillance", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 4 Abs. 2", "title": "Kennzeichnungspflicht bei Videoueberwachung" }],
"sources": [{ "type": "national_law", "ref": "§ 4 Abs. 2 BDSG" }],
"category": "Organisatorisch",
"responsible": "Verantwortlicher",
"deadline": { "type": "on_event", "event": "Vor Inbetriebnahme" },
"sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" },
"evidence": [{ "name": "Fotodokumentation Beschilderung", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.PHY.01"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-003",
"title": "Loeschpflicht Videomaterial",
"description": "Videoaufzeichnungen sind unverzueglich zu loeschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwuerdige Interessen der Betroffenen entgegenstehen.",
"applies_when": "organization stores video surveillance recordings",
"applies_when_condition": { "all_of": [{ "field": "data_protection.video_surveillance", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 4 Abs. 5", "title": "Loeschung von Videomaterial" }],
"sources": [{ "type": "national_law", "ref": "§ 4 Abs. 5 BDSG" }],
"category": "Technisch",
"responsible": "IT-Sicherheitsbeauftragter",
"deadline": { "type": "relative", "duration": "P72H" },
"sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" },
"evidence": [{ "name": "Loeschkonzept Videodaten", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.PHY.01", "TOM.DEL.01"],
"breakpilot_feature": "/sdk/loeschfristen",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-004",
"title": "Verarbeitung besonderer Kategorien — Angemessene Massnahmen",
"description": "Bei Verarbeitung besonderer Kategorien personenbezogener Daten sind angemessene und spezifische Massnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.",
"applies_when": "organization processes special category data",
"applies_when_condition": { "all_of": [{ "field": "data_protection.special_categories", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 22 Abs. 1", "title": "Verarbeitung besonderer Kategorien personenbezogener Daten" }],
"sources": [{ "type": "national_law", "ref": "§ 22 BDSG" }],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "Schutzkonzept besondere Datenkategorien", "required": true }, "DSFA"],
"priority": "kritisch",
"tom_control_ids": ["TOM.AC.01", "TOM.CRY.01", "TOM.GOV.04"],
"breakpilot_feature": "/sdk/dsfa",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-005",
"title": "Massnahmenkatalog § 22 Abs. 2",
"description": "Der Verantwortliche hat technische und organisatorische Massnahmen nach § 22 Abs. 2 BDSG umzusetzen, darunter Pseudonymisierung, Verschluesselung, Zugriffskontrolle und Sensibilisierung.",
"applies_when": "organization processes special category data under BDSG",
"applies_when_condition": { "all_of": [{ "field": "data_protection.special_categories", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 22 Abs. 2", "title": "Spezifische Massnahmen" }],
"sources": [{ "type": "national_law", "ref": "§ 22 Abs. 2 BDSG" }],
"category": "Technisch",
"responsible": "IT-Sicherheitsbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "TOM-Dokumentation § 22", "required": true }, "Pseudonymisierungskonzept"],
"priority": "kritisch",
"tom_control_ids": ["TOM.CRY.01", "TOM.CRY.02", "TOM.AC.01"],
"breakpilot_feature": "/sdk/tom",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-006",
"title": "Datenverarbeitung fuer Zwecke des Beschaeftigungsverhaeltnisses",
"description": "Personenbezogene Daten von Beschaeftigten duerfen nur verarbeitet werden, wenn dies fuer die Begruendung, Durchfuehrung oder Beendigung des Beschaeftigungsverhaeltnisses erforderlich ist.",
"applies_when": "organization processes employee data",
"applies_when_condition": { "all_of": [{ "field": "organization.has_employees", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 26 Abs. 1", "title": "Datenverarbeitung fuer Zwecke des Beschaeftigungsverhaeltnisses" }],
"sources": [{ "type": "national_law", "ref": "§ 26 BDSG" }, { "type": "case_law", "ref": "BAG Urt. v. 29.06.2023 2 AZR 296/22" }],
"category": "Governance",
"responsible": "Personalleitung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "Beschaeftigtendatenschutzkonzept", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.HR.01", "TOM.GOV.01"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-007",
"title": "Einwilligung im Beschaeftigungsverhaeltnis",
"description": "Einwilligungen von Beschaeftigten sind nur wirksam, wenn sie auf Freiwilligkeit beruhen. Die Freiwilligkeit ist besonders zu dokumentieren und zu pruefen.",
"applies_when": "organization collects consent from employees",
"applies_when_condition": { "all_of": [{ "field": "organization.has_employees", "operator": "EQUALS", "value": true }, { "field": "data_protection.employee_consent", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 26 Abs. 2", "title": "Einwilligung Beschaeftigte" }],
"sources": [{ "type": "national_law", "ref": "§ 26 Abs. 2 BDSG" }],
"category": "Organisatorisch",
"responsible": "Personalleitung",
"deadline": { "type": "on_event", "event": "Vor Datenerhebung" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "Einwilligungsformulare Beschaeftigte", "required": true }, "Freiwilligkeitsnachweis"],
"priority": "hoch",
"tom_control_ids": ["TOM.HR.01", "TOM.HR.02"],
"breakpilot_feature": "/sdk/consent",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-008",
"title": "Kollektivvereinbarungen Beschaeftigtendatenschutz",
"description": "Verarbeitung von Beschaeftigtendaten kann auf Grundlage von Kollektivvereinbarungen (Betriebsvereinbarung, Tarifvertrag) erfolgen, sofern diese Art. 88 Abs. 2 DSGVO genuegen.",
"applies_when": "organization has collective agreements for data processing",
"applies_when_condition": { "all_of": [{ "field": "organization.has_employees", "operator": "EQUALS", "value": true }, { "field": "organization.has_works_council", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 26 Abs. 4", "title": "Kollektivvereinbarungen" }],
"sources": [{ "type": "national_law", "ref": "§ 26 Abs. 4 BDSG" }],
"category": "Governance",
"responsible": "Personalleitung",
"deadline": { "type": "recurring", "interval": "jaehrlich" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "Betriebsvereinbarung Datenschutz", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.HR.01", "TOM.GOV.01"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-009",
"title": "Aufbewahrung Beschaeftigtendaten nach Verhaeltnisende",
"description": "Personenbezogene Daten von Beschaeftigten sind nach Beendigung des Beschaeftigungsverhaeltnisses zu loeschen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.",
"applies_when": "organization stores former employee data",
"applies_when_condition": { "all_of": [{ "field": "organization.has_employees", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 26 Abs. 1", "title": "Zweckbindung Beschaeftigtendaten" }, { "norm": "DSGVO", "article": "Art. 17", "title": "Recht auf Loeschung" }],
"sources": [{ "type": "national_law", "ref": "§ 26 BDSG" }],
"category": "Organisatorisch",
"responsible": "Personalleitung",
"deadline": { "type": "on_event", "event": "Beendigung Beschaeftigungsverhaeltnis" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "Loeschkonzept Personalakten", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.HR.01", "TOM.DEL.01"],
"breakpilot_feature": "/sdk/loeschfristen",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-010",
"title": "Informationspflicht gegenueber Betroffenen",
"description": "Die betroffene Person ist ueber die Verarbeitung ihrer Daten gemaess §§ 32-33 BDSG zu informieren, sofern keine Ausnahmen nach § 29 greifen.",
"applies_when": "always",
"applies_when_condition": { "all_of": [{ "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 29", "title": "Rechte der betroffenen Person und aufsichtsbehoerdliche Befugnisse" }],
"sources": [{ "type": "national_law", "ref": "§ 29 BDSG" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Bei Datenerhebung" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "Datenschutzerklaerung", "required": true }, "Informationsblaetter"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": "/sdk/dsr",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-011",
"title": "Ausnahmen von Betroffenenrechten dokumentieren",
"description": "Einschraenkungen der Betroffenenrechte nach § 29 BDSG (z.B. bei oeffentlichem Interesse, Strafverfolgung) muessen dokumentiert und begruendet werden.",
"applies_when": "organization restricts data subject rights under BDSG § 29",
"applies_when_condition": { "all_of": [{ "field": "data_protection.restricts_data_subject_rights", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 29 Abs. 1", "title": "Beschraenkung Betroffenenrechte" }],
"sources": [{ "type": "national_law", "ref": "§ 29 BDSG" }],
"category": "Dokumentation",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Bei Einschraenkung der Rechte" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "Dokumentation Rechteeinschraenkung", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.02", "TOM.GOV.03"],
"breakpilot_feature": "/sdk/dsr",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-012",
"title": "Recht auf Loeschung — BDSG-Einschraenkungen",
"description": "Das Recht auf Loeschung kann nach § 35 BDSG eingeschraenkt sein, wenn die Loeschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhaeltnismaessigem Aufwand moeglich ist.",
"applies_when": "organization processes data where deletion is disproportionate",
"applies_when_condition": { "all_of": [{ "field": "data_protection.complex_storage", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 35 Abs. 1", "title": "Recht auf Loeschung" }],
"sources": [{ "type": "national_law", "ref": "§ 35 BDSG" }],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": { "type": "on_event", "event": "Bei Loeschantrag" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "Nachweis unverhaeltnismaessiger Aufwand", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.DEL.01"],
"breakpilot_feature": "/sdk/loeschfristen",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-013",
"title": "Verarbeitungseinschraenkung statt Loeschung",
"description": "Wenn die Loeschung nicht moeglich ist, tritt an die Stelle der Loeschung die Einschraenkung der Verarbeitung gemaess § 35 Abs. 1 BDSG.",
"applies_when": "organization cannot delete data due to storage constraints",
"applies_when_condition": { "all_of": [{ "field": "data_protection.complex_storage", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 35 Abs. 1 S. 2", "title": "Verarbeitungseinschraenkung" }],
"sources": [{ "type": "national_law", "ref": "§ 35 BDSG" }],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": { "type": "on_event", "event": "Bei Loeschantrag" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "Sperrkonzept/Einschraenkungskonzept", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.DEL.01", "TOM.AC.02"],
"breakpilot_feature": "/sdk/loeschfristen",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-014",
"title": "Benennung Datenschutzbeauftragter",
"description": "Der Verantwortliche hat einen Datenschutzbeauftragten zu benennen, wenn mindestens 20 Personen staendig mit der automatisierten Verarbeitung personenbezogener Daten beschaeftigt sind.",
"applies_when": "organization has 20+ employees processing personal data",
"applies_when_condition": { "any_of": [{ "field": "organization.employees_processing_data", "operator": "GREATER_OR_EQUAL", "value": 20 }, { "field": "data_protection.special_categories", "operator": "EQUALS", "value": true }, { "field": "data_protection.core_activity_monitoring", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 38 Abs. 1", "title": "Datenschutzbeauftragte nichtoeffentlicher Stellen" }],
"sources": [{ "type": "national_law", "ref": "§ 38 BDSG" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 12" }],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "on_event", "event": "Unverzueglich bei Erreichen der Schwelle" },
"sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz", "personal_liability": true },
"evidence": [{ "name": "Benennungsurkunde DSB", "required": true }, { "name": "Meldung an Aufsichtsbehoerde", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.05"],
"breakpilot_feature": "/sdk/dsb-portal",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-015",
"title": "Kuendigungsschutz DSB",
"description": "Der Datenschutzbeauftragte darf wegen der Erfuellung seiner Aufgaben nicht abberufen oder benachteiligt werden. Ein besonderer Kuendigungsschutz gilt nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG.",
"applies_when": "organization has appointed a DPO",
"applies_when_condition": { "all_of": [{ "field": "organization.has_dpo", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 38 Abs. 2", "title": "Kuendigungsschutz DSB" }, { "norm": "BDSG", "article": "§ 6 Abs. 4", "title": "Stellung des DSB" }],
"sources": [{ "type": "national_law", "ref": "§ 38 Abs. 2 BDSG" }],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz", "personal_liability": true },
"evidence": [{ "name": "Arbeitsvertrag/Bestellungsurkunde DSB", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.05"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-016",
"title": "Geheimhaltungspflicht DSB",
"description": "Der Datenschutzbeauftragte ist zur Geheimhaltung ueber die Identitaet betroffener Personen und Umstaende verpflichtet, die Rueckschluesse auf diese zulassen (§ 38 Abs. 2 i.V.m. § 6 Abs. 5 BDSG).",
"applies_when": "organization has appointed a DPO",
"applies_when_condition": { "all_of": [{ "field": "organization.has_dpo", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 6 Abs. 5", "title": "Geheimhaltungspflicht DSB" }],
"sources": [{ "type": "national_law", "ref": "§ 6 Abs. 5 BDSG" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "personal_liability": true, "criminal_liability": true },
"evidence": [{ "name": "Verschwiegenheitserklaerung DSB", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.05"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-017",
"title": "Zustaendigkeit der Aufsichtsbehoerden",
"description": "Die Aufsichtsbehoerden ueberwachen die Einhaltung des BDSG und der DSGVO. Der Verantwortliche muss mit der zustaendigen Aufsichtsbehoerde kooperieren (§§ 40-41 BDSG).",
"applies_when": "always",
"applies_when_condition": { "all_of": [{ "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 40", "title": "Aufsichtsbehoerden der Laender" }],
"sources": [{ "type": "national_law", "ref": "§ 40 BDSG" }],
"category": "Compliance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" },
"evidence": [{ "name": "Dokumentierte Aufsichtsbehoerdenkontakte", "required": false }],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-018",
"title": "Anwendung der Bussgeldvorschriften",
"description": "Ordnungswidrig handelt, wer gegen Vorschriften des BDSG verstoesst. Die Aufsichtsbehoerden koennen Bussgelder verhaengen (§ 43 BDSG ergaenzend zu Art. 83 DSGVO).",
"applies_when": "always",
"applies_when_condition": { "all_of": [{ "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 43", "title": "Bussgeldvorschriften" }],
"sources": [{ "type": "national_law", "ref": "§ 43 BDSG" }],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "50.000 EUR (national) bzw. 20 Mio. EUR (DSGVO)", "personal_liability": true },
"evidence": [{ "name": "Compliance-Management-System", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
"breakpilot_feature": "/sdk/risk-assessment",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-019",
"title": "Verarbeitung fuer Forschungszwecke",
"description": "Bei Verarbeitung personenbezogener Daten fuer wissenschaftliche oder historische Forschungszwecke gelten die Sonderregelungen des § 27 BDSG einschliesslich Pseudonymisierung.",
"applies_when": "organization processes data for research purposes",
"applies_when_condition": { "all_of": [{ "field": "data_protection.research_processing", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 27", "title": "Datenverarbeitung zu Forschungszwecken" }],
"sources": [{ "type": "national_law", "ref": "§ 27 BDSG" }],
"category": "Governance",
"responsible": "Forschungsleitung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" },
"evidence": [{ "name": "Forschungsdatenschutzkonzept", "required": true }, "Pseudonymisierungsnachweis"],
"priority": "mittel",
"tom_control_ids": ["TOM.CRY.02", "TOM.GOV.04"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-020",
"title": "Verarbeitung fuer statistische Zwecke",
"description": "Bei Verarbeitung fuer statistische Zwecke sind die besonderen Anforderungen des § 27 Abs. 1 BDSG zu beachten, insbesondere Pseudonymisierung und Anonymisierung.",
"applies_when": "organization processes data for statistical purposes",
"applies_when_condition": { "all_of": [{ "field": "data_protection.statistical_processing", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 27 Abs. 1", "title": "Statistische Zwecke" }],
"sources": [{ "type": "national_law", "ref": "§ 27 BDSG" }],
"category": "Technisch",
"responsible": "Datenanalyst",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" },
"evidence": [{ "name": "Anonymisierungskonzept", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.CRY.02"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-021",
"title": "Verarbeitung durch Polizei/Strafverfolgung — Rechtsgrundlage",
"description": "Personenbezogene Daten duerfen von Polizei und Strafverfolgungsbehoerden nur verarbeitet werden, wenn dies fuer die Erfuellung ihrer Aufgaben erforderlich ist (§§ 46 ff. BDSG).",
"applies_when": "organization is law enforcement or cooperates with law enforcement",
"applies_when_condition": { "all_of": [{ "field": "organization.sector", "operator": "IN", "value": ["law_enforcement", "public_authority"] }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 46", "title": "Begriffsbestimmungen Strafverfolgung" }, { "norm": "BDSG", "article": "§ 47", "title": "Allgemeine Grundsaetze" }],
"sources": [{ "type": "national_law", "ref": "§§ 46-47 BDSG" }],
"category": "Governance",
"responsible": "Behoerdenleitung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "Disziplinarmassnahmen", "personal_liability": true },
"evidence": [{ "name": "Verarbeitungskonzept Strafverfolgung", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.AC.01"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-022",
"title": "Protokollierungspflicht bei Strafverfolgung",
"description": "Zugriffe und Uebermittlungen personenbezogener Daten zu Strafverfolgungszwecken sind zu protokollieren (§ 51 BDSG).",
"applies_when": "organization processes data for law enforcement purposes",
"applies_when_condition": { "all_of": [{ "field": "organization.sector", "operator": "IN", "value": ["law_enforcement", "public_authority"] }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 51", "title": "Verarbeitungssicherheit" }],
"sources": [{ "type": "national_law", "ref": "§ 51 BDSG" }],
"category": "Technisch",
"responsible": "IT-Sicherheitsbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "personal_liability": true },
"evidence": [{ "name": "Protokollierungsrichtlinie", "required": true }, "Zugriffsprotokolle"],
"priority": "hoch",
"tom_control_ids": ["TOM.LOG.01", "TOM.AC.01"],
"breakpilot_feature": "/sdk/audit",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-023",
"title": "Betroffenenrechte bei Strafverfolgung",
"description": "Auch im Bereich der Strafverfolgung bestehen Auskunfts-, Berichtigungs- und Loeschungsrechte der Betroffenen nach §§ 53-54 BDSG, ggf. mit Einschraenkungen.",
"applies_when": "law enforcement data processing",
"applies_when_condition": { "all_of": [{ "field": "organization.sector", "operator": "IN", "value": ["law_enforcement", "public_authority"] }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 53", "title": "Auskunftsrecht" }, { "norm": "BDSG", "article": "§ 54", "title": "Berichtigung und Loeschung" }],
"sources": [{ "type": "national_law", "ref": "§§ 53-54 BDSG" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "relative", "duration": "P30D" },
"sanctions": { "personal_liability": true },
"evidence": [{ "name": "Betroffenenrechte-Prozess Strafverfolgung", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": "/sdk/dsr",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-024",
"title": "Datenuebermittlung an Drittstaaten — besondere Voraussetzungen",
"description": "Die Uebermittlung personenbezogener Daten an Drittstaaten durch Polizei-/Justizbehoerden ist nur bei Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien zulaessig (§§ 62 ff. BDSG).",
"applies_when": "law enforcement transfers data to third countries",
"applies_when_condition": { "all_of": [{ "field": "organization.sector", "operator": "IN", "value": ["law_enforcement", "public_authority"] }, { "field": "data_protection.third_country_transfer", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 62", "title": "Uebermittlung bei Angemessenheitsbeschluss" }],
"sources": [{ "type": "national_law", "ref": "§§ 62-66 BDSG" }],
"category": "Compliance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Vor jeder Drittstaatenuebermittlung" },
"sanctions": { "personal_liability": true, "criminal_liability": true },
"evidence": [{ "name": "Angemessenheitsbeschluss-Pruefung", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.03", "TOM.CRY.01"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-025",
"title": "Datenuebermittlung ohne Angemessenheitsbeschluss",
"description": "Ohne Angemessenheitsbeschluss ist eine Uebermittlung an Drittstaaten nur bei geeigneten Garantien oder in Ausnahmefaellen nach § 63 BDSG zulaessig.",
"applies_when": "law enforcement transfers data to third country without adequacy decision",
"applies_when_condition": { "all_of": [{ "field": "organization.sector", "operator": "IN", "value": ["law_enforcement", "public_authority"] }, { "field": "data_protection.third_country_transfer", "operator": "EQUALS", "value": true }, { "field": "data_protection.adequacy_decision", "operator": "EQUALS", "value": false }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 63", "title": "Uebermittlung bei geeigneten Garantien" }],
"sources": [{ "type": "national_law", "ref": "§ 63 BDSG" }],
"category": "Compliance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Vor jeder Uebermittlung" },
"sanctions": { "personal_liability": true, "criminal_liability": true },
"evidence": [{ "name": "Geeignete Garantien dokumentiert", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.03"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-026",
"title": "Strafvorschriften — unbefugte Datenverarbeitung",
"description": "Wer wissentlich nicht allgemein zugaengliche personenbezogene Daten unbefugt verarbeitet, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft (§ 42 BDSG).",
"applies_when": "always",
"applies_when_condition": { "all_of": [{ "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 42", "title": "Strafvorschriften" }],
"sources": [{ "type": "national_law", "ref": "§ 42 BDSG" }],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "Freiheitsstrafe bis 3 Jahre oder Geldstrafe", "personal_liability": true, "criminal_liability": true },
"evidence": [{ "name": "Datenschutzschulungsnachweis", "required": true }, "Zugriffsberechtigungskonzept"],
"priority": "kritisch",
"tom_control_ids": ["TOM.AC.01", "TOM.GOV.01"],
"breakpilot_feature": "/sdk/training",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-027",
"title": "Bussgeld bei Verstoessen gegen Auskunftspflicht",
"description": "Ordnungswidrig handelt, wer einer vollziehbaren Anordnung der Aufsichtsbehoerde nach § 43 Abs. 1 BDSG zuwiderhandelt. Bussgelder bis 50.000 EUR.",
"applies_when": "always",
"applies_when_condition": { "all_of": [{ "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 43 Abs. 1", "title": "Bussgeldvorschriften" }],
"sources": [{ "type": "national_law", "ref": "§ 43 BDSG" }],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "on_event", "event": "Bei Anordnung der Aufsichtsbehoerde" },
"sanctions": { "max_fine": "50.000 EUR" },
"evidence": [{ "name": "Korrespondenz Aufsichtsbehoerde", "required": false }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-028",
"title": "Akkreditierung Zertifizierungsstellen",
"description": "Zertifizierungsstellen nach Art. 43 DSGVO beduerfern der Akkreditierung durch die zustaendige Aufsichtsbehoerde oder die DAkkS (§ 39 BDSG).",
"applies_when": "organization is or uses a certification body",
"applies_when_condition": { "all_of": [{ "field": "organization.certification_body", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 39", "title": "Akkreditierung" }],
"sources": [{ "type": "national_law", "ref": "§ 39 BDSG" }],
"category": "Audit",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "recurring", "interval": "5 Jahre" },
"sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" },
"evidence": [{ "name": "Akkreditierungsurkunde", "required": true }],
"priority": "niedrig",
"tom_control_ids": ["TOM.GOV.01"],
"breakpilot_feature": "/sdk/audit",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-029",
"title": "Geheimhaltungspflicht und Datengeheimnis",
"description": "Personen, die bei der Datenverarbeitung taetig sind, duerfen personenbezogene Daten nicht unbefugt verarbeiten. Sie sind auf das Datengeheimnis zu verpflichten (§ 53 BDSG analog).",
"applies_when": "always",
"applies_when_condition": { "all_of": [{ "field": "organization.has_employees", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 53", "title": "Datengeheimnis" }],
"sources": [{ "type": "national_law", "ref": "§ 53 BDSG" }],
"category": "Schulung",
"responsible": "Personalleitung",
"deadline": { "type": "on_event", "event": "Bei Arbeitsaufnahme" },
"sanctions": { "personal_liability": true, "criminal_liability": true },
"evidence": [{ "name": "Verpflichtungserklaerung Datengeheimnis", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.HR.02", "TOM.GOV.05"],
"breakpilot_feature": "/sdk/training",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "BDSG-OBL-030",
"title": "Verarbeitung im Auftrag — Vertragspflicht",
"description": "Die Auftragsverarbeitung ist durch einen Vertrag nach Art. 28 DSGVO i.V.m. § 29 BDSG zu regeln. Der Auftraggeber muss die TOM des Auftragsverarbeiters ueberpruefen.",
"applies_when": "organization uses data processors",
"applies_when_condition": { "all_of": [{ "field": "data_protection.uses_processors", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "BDSG", "article": "§ 29", "title": "Auftragsverarbeitung" }, { "norm": "DSGVO", "article": "Art. 28", "title": "Auftragsverarbeiter" }],
"sources": [{ "type": "national_law", "ref": "§ 29 BDSG" }, { "type": "article", "ref": "Art. 28 DSGVO" }],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Vor Beginn der Auftragsverarbeitung" },
"sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" },
"evidence": [{ "name": "Auftragsverarbeitungsvertrag (AVV)", "required": true }, { "name": "TOM-Pruefbericht Auftragsverarbeiter", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.03", "TOM.VEN.01"],
"breakpilot_feature": "/sdk/vendor-compliance",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "BDSG-CTRL-001",
"name": "Videoueberwachungs-Compliance",
"description": "Kontrolle zur Sicherstellung der Einhaltung der Anforderungen an Videoueberwachung nach § 4 BDSG.",
"category": "Technisch",
"what_to_do": "Videoueberwachungskonzept erstellen, Beschilderung pruefen, Loeschfristen einhalten, DSFA durchfuehren.",
"iso27001_mapping": ["A.7.4"],
"priority": "hoch"
},
{
"id": "BDSG-CTRL-002",
"name": "Beschaeftigtendatenschutz-Kontrolle",
"description": "Kontrolle zur Pruefung der Einhaltung des § 26 BDSG bei der Verarbeitung von Beschaeftigtendaten.",
"category": "Organisatorisch",
"what_to_do": "Beschaeftigtendatenschutzrichtlinie erstellen, Einwilligungen pruefen, Betriebsvereinbarungen aktualisieren.",
"iso27001_mapping": ["A.6.1", "A.6.2"],
"priority": "hoch"
},
{
"id": "BDSG-CTRL-003",
"name": "DSB-Governance-Kontrolle",
"description": "Kontrolle zur Sicherstellung der ordnungsgemaessen Benennung und Unterstuetzung des Datenschutzbeauftragten.",
"category": "Governance",
"what_to_do": "DSB-Benennung pruefen, Ressourcen sicherstellen, Unabhaengigkeit gewaehrleisten, Schulung nachweisen.",
"iso27001_mapping": ["A.5.1"],
"priority": "kritisch"
},
{
"id": "BDSG-CTRL-004",
"name": "Bussgeld-Praevention und Compliance-Monitoring",
"description": "Kontrolle zur Vermeidung von Bussgeldern und strafrechtlichen Konsequenzen durch proaktives Compliance-Monitoring.",
"category": "Compliance",
"what_to_do": "Regelmaessige Compliance-Audits durchfuehren, Schulungen sicherstellen, Aufsichtsbehoerden-Anfragen zeitnah bearbeiten.",
"iso27001_mapping": ["A.5.36"],
"priority": "kritisch"
}
],
"incident_deadlines": [
{
"phase": "Erstmeldung an Aufsichtsbehoerde",
"deadline": "72 Stunden (gemaess DSGVO Art. 33, konkretisiert durch BDSG)",
"content": "Art der Verletzung, betroffene Datenkategorien und Personen, wahrscheinliche Folgen, ergriffene Massnahmen",
"recipient": "Zustaendige Landesdatenschutzbehoerde",
"legal_basis": [{ "norm": "DSGVO", "article": "Art. 33" }, { "norm": "BDSG", "article": "§ 40" }]
},
{
"phase": "Benachrichtigung Betroffener",
"deadline": "Unverzueglich bei hohem Risiko",
"content": "Art der Verletzung, Kontaktdaten DSB, wahrscheinliche Folgen, ergriffene Massnahmen",
"recipient": "Betroffene Personen",
"legal_basis": [{ "norm": "DSGVO", "article": "Art. 34" }]
},
{
"phase": "Meldung Strafverfolgungsbehoerden",
"deadline": "Unverzueglich bei Verdacht auf Straftat nach § 42 BDSG",
"content": "Sachverhaltsbeschreibung, beteiligte Personen, betroffene Daten",
"recipient": "Staatsanwaltschaft",
"legal_basis": [{ "norm": "BDSG", "article": "§ 42" }]
}
]
}

535
ai-compliance-sdk/policies/obligations/v2/data_act_v2.json Normal file
View File

@@ -0,0 +1,535 @@
{
"regulation": "data_act",
"name": "Data Act (EU) 2023/2854",
"description": "Verordnung ueber harmonisierte Vorschriften fuer einen fairen Datenzugang und eine faire Datennutzung — Regelt den Zugang zu und die Nutzung von Daten, die durch vernetzte Produkte und verbundene Dienste erzeugt werden",
"version": "2.0",
"effective_date": "2025-09-12",
"obligations": [
{
"id": "DATAACT-OBL-001",
"title": "Datenzugangsrecht fuer Nutzer — Design-Pflicht",
"description": "Vernetzte Produkte und verbundene Dienste muessen so konzipiert und hergestellt werden, dass die bei der Nutzung erzeugten Daten dem Nutzer standardmaessig leicht, sicher und unentgeltlich zugaenglich sind.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 3", "title": "Pflicht zur Zugaenglichmachung von Daten"}],
"sources": [{"type": "article", "ref": "Art. 3 Data Act"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Design-Dokumentation Data-by-Design", "Technische Zugangsspezifikation"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-002",
"title": "Vorvertragliche Informationspflicht",
"description": "Vor Vertragsschluss muessen Nutzer klar und verstaendlich darueber informiert werden, welche Daten erzeugt werden, wie sie darauf zugreifen koennen und ob der Dateninhaber die Daten fuer eigene Zwecke nutzt.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 4", "title": "Vorvertragliche Informationspflichten"}],
"sources": [{"type": "article", "ref": "Art. 4 Data Act"}],
"category": "Dokumentation",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Produktinformationsblatt", "AGB mit Dateninformationen"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-003",
"title": "Recht auf Datenzugang des Nutzers",
"description": "Nutzer haben das Recht, auf die durch die Nutzung eines vernetzten Produkts erzeugten Daten unverzueglich, unentgeltlich und in einem umfassenden, strukturierten, gaengigen und maschinenlesbaren Format zuzugreifen.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 5", "title": "Recht auf Zugang zu Daten"}],
"sources": [{"type": "article", "ref": "Art. 5 Data Act"}],
"category": "Technisch",
"responsible": "CTO",
"deadline": {"type": "on_event", "event": "Anfrage des Nutzers"},
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Datenzugangs-API", "Exportfunktion im Produkt", "Nachweis maschinenlesbares Format"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-004",
"title": "Schutz von Geschaeftsgeheimnissen beim Datenzugang",
"description": "Dateninhaber duerfen den Datenzugang nur einschraenken, soweit dies zum Schutz von Geschaeftsgeheimnissen erforderlich ist. Massnahmen muessen verhaeltnismaessig sein und duerfen den Zugang nicht unzumutbar erschweren.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 5 Abs. 8", "title": "Schutz von Geschaeftsgeheimnissen"}],
"sources": [{"type": "article", "ref": "Art. 5 Abs. 8 Data Act"}],
"category": "Governance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Geschaeftsgeheimnis-Schutzkonzept", "Verhaeltnismaessigkeitspruefung"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-005",
"title": "Datenweitergabe an Dritte auf Wunsch des Nutzers",
"description": "Auf Antrag des Nutzers muessen Dateninhaber die erzeugten Daten an einen vom Nutzer benannten Dritten unverzueglich, unentgeltlich und in gleicher Qualitaet wie dem Nutzer bereitstellen.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 6", "title": "Pflicht zur Bereitstellung von Daten an Dritte"}],
"sources": [{"type": "article", "ref": "Art. 6 Data Act"}],
"category": "Technisch",
"responsible": "CTO",
"deadline": {"type": "on_event", "event": "Antrag des Nutzers auf Datenweitergabe"},
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Datenweitergabe-Prozess", "Nutzerantragsformular", "Weitergabeprotokoll"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-006",
"title": "Pflichten des Datenempfaengers (Dritter)",
"description": "Datenempfaenger duerfen die erhaltenen Daten nur fuer die vereinbarten Zwecke nutzen. Sie duerfen die Daten nicht zur Entwicklung eines konkurrierenden Produkts verwenden und muessen sie nach Zweckerfuellung loeschen.",
"applies_when": "organization.receives_product_data == true",
"applies_when_condition": {"field": "organization.receives_product_data", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 7", "title": "Pflichten der Datenempfaenger"}],
"sources": [{"type": "article", "ref": "Art. 7 Data Act"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Zweckbindungsvereinbarung", "Loeschnachweis nach Zweckerfuellung"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-007",
"title": "Angemessene Verguetung fuer Datenweitergabe",
"description": "Bei Datenweitergabe an Dritte duerfen Dateninhaber eine angemessene Verguetung verlangen. Gegenueber KMU darf die Verguetung die Kosten der Bereitstellung nicht uebersteigen.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 8", "title": "Verguetung fuer die Bereitstellung von Daten"}],
"sources": [{"type": "article", "ref": "Art. 8 Data Act"}],
"category": "Governance",
"responsible": "Finanzabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Verguetungsmodell", "Kostenkalkulation", "KMU-Sondertarife"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-008",
"title": "Faire Vertragsbedingungen fuer Datenzugang",
"description": "Vertragsbedingungen fuer den Datenzugang und die Datennutzung muessen fair, angemessen und nicht-diskriminierend sein. Einseitig benachteiligende Klauseln sind unwirksam.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 9", "title": "Missbr. Vertragsklauseln in Bezug auf Datenzugang und -nutzung"}],
"sources": [{"type": "article", "ref": "Art. 9 Data Act"}],
"category": "Governance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Vertragspruefung auf Fairness", "AGB-Klauselkontrolle"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-009",
"title": "Unwirksamkeit missbraeuchlicher Vertragsklauseln",
"description": "Vertragsklauseln, die den Datenzugang oder die Datennutzung unangemessen einschraenken, sind nicht bindend. Die Beweislast fuer die Angemessenheit liegt beim Dateninhaber.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 10", "title": "Anwendung der Vorschriften fuer missbr. Vertragsklauseln"}],
"sources": [{"type": "article", "ref": "Art. 10 Data Act"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Klauselregister mit Fairness-Bewertung"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-010",
"title": "Mustervertragsbedingungen beachten",
"description": "Die Kommission erstellt Mustervertragsbedingungen fuer faire Datenzugangsvereinbarungen. Dateninhaber sollten diese bei der Gestaltung ihrer Vertraege beruecksichtigen.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 12", "title": "Mustervertragsbedingungen"}],
"sources": [{"type": "article", "ref": "Art. 12 Data Act"}],
"category": "Dokumentation",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Keine direkte Sanktion (empfohlen)", "personal_liability": false},
"evidence": ["Verwendung von EU-Musterklauseln", "Dokumentation Abweichungen"],
"priority": "niedrig",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-011",
"title": "Wechsel von Cloud-Diensten — Vertragliche Mindestanforderungen",
"description": "Vertraege ueber Datenverarbeitungsdienste (Cloud, SaaS, IaaS, PaaS) muessen klare Bestimmungen zum Anbieterwechsel enthalten, einschliesslich Kuendigungsfristen, Datenexport und Uebergangsunterstuetzung.",
"applies_when": "organization.provides_cloud_services == true",
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 13", "title": "Vertragliche Rechte betreffend den Wechsel"}],
"sources": [{"type": "article", "ref": "Art. 13 Data Act"}],
"category": "Dokumentation",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Vertragliche Wechselklauseln", "Datenexport-SLA"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-012",
"title": "Technische Pflichten beim Cloud-Wechsel",
"description": "Cloud-Anbieter muessen technische Massnahmen bereitstellen, um den Wechsel zu erleichtern: Datenexport in strukturiertem Format, API-Zugang waehrend der Uebergangsphase und Loeschung nach Abschluss des Wechsels.",
"applies_when": "organization.provides_cloud_services == true",
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 14", "title": "Technische Aspekte des Wechsels"}],
"sources": [{"type": "article", "ref": "Art. 14 Data Act"}],
"category": "Technisch",
"responsible": "CTO",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Datenexport-API-Dokumentation", "Migrationsleitfaden", "Loeschbestaetigung"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-013",
"title": "Schrittweiser Abbau von Wechselgebuehren",
"description": "Wechselgebuehren muessen ab dem 12. Januar 2027 schrittweise abgebaut und ab dem 12. Januar 2027 vollstaendig abgeschafft werden. Bis dahin duerfen nur kostenbasierte Gebuehren erhoben werden.",
"applies_when": "organization.provides_cloud_services == true",
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 16", "title": "Wechselgebuehren"}],
"sources": [{"type": "article", "ref": "Art. 16 Data Act"}],
"category": "Compliance",
"responsible": "Finanzabteilung",
"deadline": {"type": "absolute", "date": "2027-01-12"},
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Gebuehrenmodell-Dokumentation", "Nachweis schrittweiser Abbau"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-014",
"title": "Interoperabilitaet von Datenverarbeitungsdiensten",
"description": "Anbieter von Datenverarbeitungsdiensten muessen offene Schnittstellen und Standards unterstuetzen, um die Interoperabilitaet zwischen verschiedenen Diensten zu gewaehrleisten.",
"applies_when": "organization.provides_cloud_services == true",
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 17", "title": "Offene Interoperabilitaetsspezifikationen"}],
"sources": [{"type": "article", "ref": "Art. 17 Data Act"}],
"category": "Technisch",
"responsible": "CTO",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Interoperabilitaets-Spezifikation", "Offene API-Dokumentation"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-015",
"title": "Wesentliche Anforderungen an Interoperabilitaet",
"description": "Interoperabilitaetsspezifikationen muessen transparent, offen, fair und nicht-diskriminierend sein. Sie muessen die Portabilitaet von Daten, Anwendungen und digitalen Assets ermoeglichen.",
"applies_when": "organization.provides_cloud_services == true",
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 18", "title": "Wesentliche Anforderungen fuer Interoperabilitaet"}],
"sources": [{"type": "article", "ref": "Art. 18 Data Act"}],
"category": "Technisch",
"responsible": "CTO",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Konformitaetsbewertung Interoperabilitaet", "Standardkonformitaet"],
"priority": "mittel",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-016",
"title": "Datenzugang fuer oeffentliche Stellen bei aussergewoehnlichem Bedarf",
"description": "Dateninhaber muessen oeffentlichen Stellen und EU-Organen bei aussergewoehnlichem Bedarf (Notfaelle, Statistiken) Daten zur Verfuegung stellen. Der Bedarf muss begruendet und verhaeltnismaessig sein.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 20", "title": "Recht auf Zugang fuer oeffentliche Stellen"}],
"sources": [{"type": "article", "ref": "Art. 20 Data Act"}],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"deadline": {"type": "on_event", "event": "Begruendetes Ersuchen einer oeffentlichen Stelle"},
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Prozess fuer Behoerdenanfragen", "Anfragenregister"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-017",
"title": "Begruendungspflicht bei Ablehnung des Datenzugangs",
"description": "Dateninhaber koennen ein Ersuchen einer oeffentlichen Stelle nur aus eng begrenzten Gruenden ablehnen. Die Ablehnung muss begruendet werden und der oeffentlichen Stelle mitgeteilt werden.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 21", "title": "Pflichten bei der Bereitstellung an oeffentliche Stellen"}],
"sources": [{"type": "article", "ref": "Art. 21 Data Act"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Ablehnungsbegruendungen dokumentiert", "Kommunikationsprotokoll mit Behoerden"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-018",
"title": "Unentgeltlichkeit bei Notfaellen",
"description": "Bei oeffentlichen Notfaellen (Pandemie, Naturkatastrophe) muessen Daten oeffentlichen Stellen unentgeltlich bereitgestellt werden. In anderen Faellen kann eine angemessene Verguetung verlangt werden.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 22", "title": "Verguetung bei aussergewoehnlichem Bedarf"}],
"sources": [{"type": "article", "ref": "Art. 22 Data Act"}],
"category": "Governance",
"responsible": "Finanzabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Notfall-Datenzugangs-Protokoll", "Verguetungsmodell fuer Nicht-Notfaelle"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-019",
"title": "Schutz vor internationalem Datenzugriff",
"description": "Anbieter von Datenverarbeitungsdiensten muessen angemessene Massnahmen ergreifen, um den unrechtmaessigen internationalen Zugriff auf nicht-personenbezogene Daten durch Drittstaaten zu verhindern.",
"applies_when": "organization.provides_cloud_services == true",
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 23", "title": "Internationale Datenuebermittlung — Schutzmassnahmen"}],
"sources": [{"type": "article", "ref": "Art. 23 Data Act"}],
"category": "Technisch",
"responsible": "CISO",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Schutzkonzept gegen Drittstaaten-Zugriff", "Standortdokumentation der Datenzentren"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-020",
"title": "Beachtung internationaler Abkommen",
"description": "Datenuebermittlungen an Drittstaaten duerfen nur auf Grundlage internationaler Abkommen oder anerkannter Angemessenheitsbeschluesse erfolgen. Anfragen von Drittstaaten-Gerichten oder -Behoerden muessen dem EU-Recht entsprechen.",
"applies_when": "organization.provides_cloud_services == true",
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 25", "title": "Internationale Zusammenarbeit"}],
"sources": [{"type": "article", "ref": "Art. 25 Data Act"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Pruefung internationaler Anfragen", "Dokumentation der Rechtsgrundlagen"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-021",
"title": "Benennung einer zustaendigen Behoerde",
"description": "Unternehmen muessen die fuer sie zustaendige nationale Durchsetzungsbehoerde kennen und mit ihr kooperieren. Anfragen der Behoerde muessen fristgerecht beantwortet werden.",
"applies_when": "organization.manufactures_connected_products == true OR organization.provides_cloud_services == true",
"applies_when_condition": {
"any_of": [
{"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
{"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [{"norm": "Data Act", "article": "Art. 27", "title": "Zustaendige Behoerden"}],
"sources": [{"type": "article", "ref": "Art. 27 Data Act"}],
"category": "Governance",
"responsible": "Compliance-Beauftragter",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Kenntnis der zustaendigen Behoerde", "Kooperationsprotokoll"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-022",
"title": "Sanktionsvermeidung — Rechtskonformitaetsprogramm",
"description": "Mitgliedstaaten legen wirksame, verhaeltnismaessige und abschreckende Sanktionen fest. Unternehmen muessen ein Rechtskonformitaetsprogramm implementieren, um Verstoesse zu vermeiden.",
"applies_when": "organization.manufactures_connected_products == true OR organization.provides_cloud_services == true",
"applies_when_condition": {
"any_of": [
{"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
{"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [{"norm": "Data Act", "article": "Art. 30", "title": "Sanktionen"}],
"sources": [{"type": "article", "ref": "Art. 30 Data Act"}],
"category": "Governance",
"responsible": "Compliance-Beauftragter",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Compliance-Programm-Dokumentation", "Schulungsnachweise"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
"breakpilot_feature": "/sdk/compliance-hub",
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-023",
"title": "Smart-Contract-Konformitaet",
"description": "Anbieter von Smart Contracts fuer die Datenweitergabe muessen sicherstellen, dass diese den Anforderungen des Data Act entsprechen, einschliesslich Zugangskontrollen, Kuendigungsmoeglichkeiten und Datensicherheit.",
"applies_when": "organization.uses_smart_contracts_for_data == true",
"applies_when_condition": {"field": "organization.uses_smart_contracts_for_data", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 28", "title": "Wesentliche Anforderungen an Smart Contracts"}],
"sources": [{"type": "article", "ref": "Art. 28 Data Act"}],
"category": "Technisch",
"responsible": "CTO",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Smart-Contract-Audit", "Konformitaetsbewertung"],
"priority": "mittel",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-024",
"title": "Verbot von Gatekeeper-Verhalten bei Daten",
"description": "Dateninhaber duerfen den Datenzugang nicht nutzen, um ihre Marktposition zu missbrauchen. Insbesondere darf der Zugang zu Reparatur- und Wartungsdaten fuer vernetzte Produkte nicht unangemessen verweigert werden.",
"applies_when": "organization.manufactures_connected_products == true",
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "Data Act", "article": "Art. 6 Abs. 2", "title": "Verbot des Missbrauchs der Datenposition"}],
"sources": [{"type": "article", "ref": "Art. 6 Abs. 2 Data Act"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
"evidence": ["Marktmissbrauchs-Pruefung", "Zugangsrichtlinie fuer Reparaturdaten"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
},
{
"id": "DATAACT-OBL-025",
"title": "Streitbeilegungsmechanismus",
"description": "Dateninhaber und Datenempfaenger muessen Zugang zu Streitbeilegungsstellen haben. Die Mitgliedstaaten benennen zertifizierte Stellen fuer aussergerichtliche Streitbeilegung bei Data-Act-Streitigkeiten.",
"applies_when": "organization.manufactures_connected_products == true OR organization.provides_cloud_services == true",
"applies_when_condition": {
"any_of": [
{"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
{"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [{"norm": "Data Act", "article": "Art. 29", "title": "Streitbeilegung"}],
"sources": [{"type": "article", "ref": "Art. 29 Data Act"}],
"category": "Organisatorisch",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "Keine direkte Sanktion (Verfahrensrecht)", "personal_liability": false},
"evidence": ["Hinweis auf Streitbeilegungsstellen", "Interne Eskalationsprozesse"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2025-09-12",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "DATAACT-CTRL-001",
"name": "Data-by-Design-Produktentwicklung",
"description": "Systematischer Prozess zur Sicherstellung, dass vernetzte Produkte den Datenzugang standardmaessig ermoeglichen",
"category": "Technisch",
"what_to_do": "Integration von Datenzugangs-APIs in die Produktarchitektur, maschinenlesbare Exportformate und Zugangsmanagement ab der Design-Phase",
"priority": "kritisch"
},
{
"id": "DATAACT-CTRL-002",
"name": "Cloud-Portabilitaets-Framework",
"description": "Technisches und vertragliches Framework zur Erleichterung des Wechsels zwischen Cloud-Anbietern",
"category": "Technisch",
"what_to_do": "Bereitstellung von Datenexport-APIs, Migrationswerkzeugen, standardisierten Formaten und Uebergangsunterstuetzung gemaess den Data-Act-Anforderungen",
"priority": "hoch"
},
{
"id": "DATAACT-CTRL-003",
"name": "Behoerden-Datenzugangs-Prozess",
"description": "Standardisierter Prozess zur Bearbeitung von Datenzugangsanfragen oeffentlicher Stellen",
"category": "Organisatorisch",
"what_to_do": "Einrichtung eines Anfragenmanagements mit Pruefung der Rechtsgrundlage, Verhaeltnismaessigkeitstest, Anonymisierung und fristgerechter Bereitstellung",
"priority": "hoch"
}
],
"incident_deadlines": [
{
"phase": "Datenzugangsanfrage des Nutzers",
"deadline": "Unverzueglich, ohne ungebuehrliche Verzoegerung",
"content": "Bereitstellung der angeforderten Daten in maschinenlesbarem Format",
"recipient": "Antragstellender Nutzer",
"legal_basis": [{"norm": "Data Act", "article": "Art. 5"}]
},
{
"phase": "Datenweitergabe an Dritte",
"deadline": "Unverzueglich nach Antrag des Nutzers",
"content": "Weitergabe der Daten an den vom Nutzer benannten Dritten",
"recipient": "Benannter Dritter",
"legal_basis": [{"norm": "Data Act", "article": "Art. 6"}]
},
{
"phase": "Ersuchen einer oeffentlichen Stelle (Notfall)",
"deadline": "Unverzueglich, spaetestens innerhalb der in der Anfrage gesetzten Frist",
"content": "Bereitstellung der angeforderten Daten an die oeffentliche Stelle",
"recipient": "Ersuchende oeffentliche Stelle",
"legal_basis": [{"norm": "Data Act", "article": "Art. 20"}]
},
{
"phase": "Cloud-Wechsel — Datenexport",
"deadline": "Maximal 30 Tage nach Kuendigung",
"content": "Vollstaendiger Export aller Daten, Anwendungen und digitalen Assets an den neuen Anbieter",
"recipient": "Kunde / neuer Cloud-Anbieter",
"legal_basis": [{"norm": "Data Act", "article": "Art. 14"}]
}
]
}

569
ai-compliance-sdk/policies/obligations/v2/dora_v2.json Normal file
View File

@@ -0,0 +1,569 @@
{
"regulation": "dora",
"name": "Digital Operational Resilience Act (EU) 2022/2554",
"description": "Verordnung (EU) 2022/2554 ueber die digitale operationale Resilienz im Finanzsektor — einheitliche Anforderungen an IKT-Risikomanagement, Vorfallmeldung, Resilienz-Tests und Drittparteienrisiko",
"version": "1.0",
"effective_date": "2025-01-17",
"obligations": [
{
"id": "DORA-OBL-001",
"title": "IKT-Risikomanagement-Rahmen einrichten",
"description": "Einrichtung eines umfassenden IKT-Risikomanagement-Rahmens mit Strategien, Leitlinien und Verfahren zum Schutz aller IKT-Assets. Der Rahmen muss jaehrlich ueberprueft und nach schwerwiegenden Vorfaellen aktualisiert werden.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 5", "title": "Governance und Organisation"}
],
"sources": [
{"type": "article", "ref": "Art. 5 VO (EU) 2022/2554"}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"deadline": {"type": "recurring", "interval": "P1Y"},
"sanctions": {"max_fine": "Bussgeld nach nationalem Recht", "personal_liability": true},
"evidence": ["IKT-Risikomanagement-Rahmen", "Jaehrlicher Review-Bericht"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-002",
"title": "IKT-Governance durch Leitungsorgan",
"description": "Das Leitungsorgan traegt die Gesamtverantwortung fuer das IKT-Risikomanagement. Es muss IKT-Strategien genehmigen, Rollen definieren, Budget zuweisen und sich regelmaessig ueber IKT-Risiken informieren lassen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 5 Abs. 2", "title": "Verantwortung des Leitungsorgans"}
],
"sources": [
{"type": "article", "ref": "Art. 5 VO (EU) 2022/2554"}
],
"category": "Governance",
"responsible": "Vorstand/Geschaeftsfuehrung",
"evidence": ["Vorstandsbeschluss IKT-Strategie", "Schulungsnachweise Leitungsorgan"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-003",
"title": "IKT-Risikomanagement-Funktion einrichten",
"description": "Einrichtung einer unabhaengigen IKT-Risikomanagement-Kontrollfunktion (oder Beauftragung eines externen Dienstleisters bei kleinen Instituten). Die Funktion muss ueber ausreichende Ressourcen und Befugnisse verfuegen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true},
{"field": "financial.is_regulated", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 6", "title": "IKT-Risikomanagement-Rahmen"}
],
"sources": [
{"type": "article", "ref": "Art. 6 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "CISO/IKT-Risikomanager",
"evidence": ["Stellenbeschreibung IKT-Risikomanager", "Organigramm", "Ressourcenplan"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-004",
"title": "Identifikation aller IKT-Assets und -Risiken",
"description": "Vollstaendige Identifikation, Klassifizierung und Dokumentation aller IKT-gestuetzten Geschaeftsfunktionen, IKT-Assets, Informationsquellen und deren Abhaengigkeiten. Regelmnaessige Aktualisierung des IKT-Asset-Inventars.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 7", "title": "IKT-Systeme, -Protokolle und -Tools"}
],
"sources": [
{"type": "article", "ref": "Art. 7 VO (EU) 2022/2554"}
],
"category": "Technisch",
"responsible": "IT-Leiter",
"deadline": {"type": "recurring", "interval": "P1Y"},
"evidence": ["IKT-Asset-Inventar", "Abhaengigkeitsanalyse", "Klassifizierungsmatrix"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-005",
"title": "IKT-Schutzmassnahmen implementieren",
"description": "Implementierung von Schutz- und Praeventionsmassnahmen fuer IKT-Systeme: Sicherheitsrichtlinien, Zugriffskontrollen, Verschluesselung, Netzwerksicherheit, Patch-Management und sichere Konfiguration.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 8", "title": "Schutz und Praevention"},
{"norm": "DORA", "article": "Art. 9", "title": "Erkennung"}
],
"sources": [
{"type": "article", "ref": "Art. 8-9 VO (EU) 2022/2554"}
],
"category": "Technisch",
"responsible": "CISO",
"evidence": ["Sicherheitsrichtlinien", "Zugriffsmatrix", "Patch-Management-Bericht"],
"priority": "kritisch",
"tom_control_ids": ["TOM.CRY.01", "TOM.ACC.01"],
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-006",
"title": "Anomalie-Erkennung und -Ueberwachung",
"description": "Einrichtung von Mechanismen zur Erkennung anomaler Aktivitaeten in IKT-Systemen einschliesslich Netzwerk-Performance, IKT-bezogener Vorfaelle und potenzieller Cyberbedrohungen. Mehrere Kontrollschichten implementieren.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 9", "title": "Erkennung"}
],
"sources": [
{"type": "article", "ref": "Art. 9 VO (EU) 2022/2554"}
],
"category": "Technisch",
"responsible": "SOC-Leiter",
"evidence": ["SIEM-Konfiguration", "Anomalie-Erkennungs-Berichte", "Monitoring-Dashboard"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-007",
"title": "IKT-Vorfall-Reaktionsplaene",
"description": "Festlegung von Reaktions- und Wiederherstellungsplaenen fuer IKT-bezogene Vorfaelle mit klaren Rollen, Eskalationsverfahren und Kommunikationsplaenen. Regelmaessige Tests der Plaene durch Simulationen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 10", "title": "Reaktion und Wiederherstellung"}
],
"sources": [
{"type": "article", "ref": "Art. 10 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "CISO",
"deadline": {"type": "recurring", "interval": "P1Y", "event": "Jaehrlicher Test"},
"evidence": ["Incident-Response-Plan", "Testbericht Simulation", "Eskalationsmatrix"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-008",
"title": "Backup- und Wiederherstellungsrichtlinien",
"description": "Erstellung und Umsetzung von Backup-Richtlinien mit festgelegten Umfang, Haeufigkeit und Aufbewahrungsfristen. Regelmaessige Tests der Wiederherstellung einschliesslich Systemwiederanlauf und Datenintegritaetspruefung.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 11", "title": "Backup-Strategien und Wiederherstellung"}
],
"sources": [
{"type": "article", "ref": "Art. 11 VO (EU) 2022/2554"}
],
"category": "Technisch",
"responsible": "IT-Leiter",
"deadline": {"type": "recurring", "interval": "P1Y"},
"evidence": ["Backup-Richtlinie", "Wiederherstellungstest-Protokoll", "RPO/RTO-Dokumentation"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-009",
"title": "Redundanz und Geschaeftskontinuitaet",
"description": "Sicherstellung der Geschaeftskontinuitaet durch redundante IKT-Kapazitaeten. Business-Continuity-Plaene muessen IKT-Ausfallszenarien abdecken und regelmaessig getestet werden.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true},
{"field": "financial.has_critical_ict", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 12", "title": "Geschaeftskontinuitaetsmanagement"}
],
"sources": [
{"type": "article", "ref": "Art. 12 VO (EU) 2022/2554"}
],
"category": "Technisch",
"responsible": "IT-Leiter",
"evidence": ["BCP-Plan", "Redundanz-Architektur", "BCP-Testbericht"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-010",
"title": "Krisenkommunikation bei IKT-Vorfaellen",
"description": "Etablierung von Kommunikationsplaenen fuer IKT-bezogene Vorfaelle und Krisen: interne Kommunikation, Kommunikation mit Kunden und Gegenparteien, Medien und Aufsichtsbehoerden.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 13", "title": "Kommunikation"}
],
"sources": [
{"type": "article", "ref": "Art. 13 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "Kommunikationsabteilung",
"evidence": ["Krisenkommunikationsplan", "Kontaktlisten Behoerden", "Vorlagen Kundeninformation"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-011",
"title": "Lessons Learned aus IKT-Vorfaellen",
"description": "Systematische Analyse und Aufarbeitung von IKT-bezogenen Vorfaellen. Erkenntnisse muessen dokumentiert und in die Verbesserung des IKT-Risikomanagement-Rahmens einfliessen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 14", "title": "Lernen und Weiterentwicklung"}
],
"sources": [
{"type": "article", "ref": "Art. 14 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "CISO",
"evidence": ["Post-Incident-Reviews", "Massnahmenplan", "Schulungsunterlagen"],
"priority": "mittel",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-012",
"title": "IKT-Vorfallmanagement-Prozess",
"description": "Einrichtung eines Prozesses zur Erkennung, Verwaltung und Meldung IKT-bezogener Vorfaelle mit Fruehwarnindikatoren, Klassifizierungskriterien und Eskalationsverfahren.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 15", "title": "IKT-bezogenes Vorfallmanagement"}
],
"sources": [
{"type": "article", "ref": "Art. 15 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "CISO",
"evidence": ["Vorfallmanagement-Prozess", "Klassifizierungsschema", "Eskalationsmatrix"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-013",
"title": "Klassifizierung von IKT-Vorfaellen",
"description": "Klassifizierung aller IKT-bezogenen Vorfaelle nach definierten Kriterien: betroffene Kunden, Dauer, geografische Ausbreitung, Datenverluste, Kritikalitaet der Dienste und wirtschaftliche Auswirkungen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 16", "title": "Klassifizierung IKT-bezogener Vorfaelle"}
],
"sources": [
{"type": "article", "ref": "Art. 16 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "CISO",
"evidence": ["Klassifizierungskriterien", "Vorfall-Register", "Schwellenwert-Dokumentation"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-014",
"title": "Schwerwiegende IKT-Vorfaelle melden",
"description": "Schwerwiegende IKT-bezogene Vorfaelle muessen der zustaendigen Aufsichtsbehoerde gemeldet werden: Erstmeldung, Zwischenmeldung und Abschlussbericht innerhalb der vorgegebenen Fristen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true},
{"field": "financial.is_regulated", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 17", "title": "Meldung schwerwiegender IKT-bezogener Vorfaelle"}
],
"sources": [
{"type": "article", "ref": "Art. 17 VO (EU) 2022/2554"}
],
"category": "Meldepflicht",
"responsible": "CISO",
"deadline": {"type": "on_event", "event": "Schwerwiegender IKT-Vorfall", "duration": "PT4H"},
"sanctions": {"max_fine": "Bussgeld nach nationalem Recht", "personal_liability": true},
"evidence": ["Erstmeldung", "Zwischenmeldung", "Abschlussbericht"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-015",
"title": "Freiwillige Meldung erheblicher Cyberbedrohungen",
"description": "Finanzunternehmen koennen erhebliche Cyberbedrohungen freiwillig der Aufsichtsbehoerde melden, wenn sie die Bedrohung als relevant fuer das Finanzsystem erachten. Standardisiertes Meldeformat verwenden.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 18", "title": "Freiwillige Meldung erheblicher Cyberbedrohungen"}
],
"sources": [
{"type": "article", "ref": "Art. 18 VO (EU) 2022/2554"}
],
"category": "Meldepflicht",
"responsible": "CISO",
"evidence": ["Meldeformular Cyberbedrohung", "Bedrohungsanalyse"],
"priority": "niedrig",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-016",
"title": "Programm fuer Tests der digitalen Resilienz",
"description": "Einrichtung eines umfassenden Programms fuer Tests der digitalen operationalen Resilienz: Schwachstellenscans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Penetrationstests und szenariobasierte Tests.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 19", "title": "Allgemeine Anforderungen an Tests"}
],
"sources": [
{"type": "article", "ref": "Art. 19 VO (EU) 2022/2554"}
],
"category": "Audit",
"responsible": "CISO",
"deadline": {"type": "recurring", "interval": "P1Y"},
"evidence": ["Testprogramm", "Schwachstellenscan-Berichte", "Penetrationstest-Bericht"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-017",
"title": "Bedrohungsorientierte Penetrationstests (TLPT)",
"description": "Durchfuehrung bedrohungsorientierter Penetrationstests (Threat-Led Penetration Testing) mindestens alle 3 Jahre fuer bedeutende Finanzunternehmen. Tests muessen von qualifizierten externen Pruefern durchgefuehrt werden.",
"applies_when": "significant_financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true},
{"field": "financial.has_critical_ict", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 22", "title": "Bedrohungsorientierte Penetrationstests"}
],
"sources": [
{"type": "article", "ref": "Art. 22 VO (EU) 2022/2554"},
{"type": "eu_guidance", "ref": "TIBER-EU Framework"}
],
"category": "Audit",
"responsible": "CISO",
"deadline": {"type": "recurring", "interval": "P3Y"},
"evidence": ["TLPT-Bericht", "Qualifikationsnachweis Pruefer", "Massnahmenplan"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-018",
"title": "IKT-Drittparteienrisiko-Management",
"description": "Verwaltung der Risiken aus der Nutzung von IKT-Drittdienstleistern: Risikoanalyse vor Vertragsschluss, vertragliche Mindestanforderungen, laufende Ueberwachung und Exit-Strategien fuer kritische IKT-Dienste.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 28", "title": "Allgemeine Grundsaetze"}
],
"sources": [
{"type": "article", "ref": "Art. 28 VO (EU) 2022/2554"}
],
"category": "Governance",
"responsible": "Einkauf/Vendor-Management",
"evidence": ["IKT-Drittanbieter-Register", "Risikoanalyse je Anbieter", "Exit-Strategie"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-019",
"title": "Vertragliche Anforderungen an IKT-Drittanbieter",
"description": "IKT-Dienstleistungsvertraege muessen Mindestanforderungen enthalten: SLA-Definitionen, Zugriffsrechte, Datenlokalisierung, Unterstuetzung bei Vorfaellen, Kuendigungsrechte und Audit-Rechte.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 28 Abs. 7-8", "title": "Vertragliche Anforderungen"},
{"norm": "DORA", "article": "Art. 30", "title": "Wesentliche Vertragsbestimmungen"}
],
"sources": [
{"type": "article", "ref": "Art. 28, 30 VO (EU) 2022/2554"}
],
"category": "Governance",
"responsible": "Rechtsabteilung",
"evidence": ["Vertragsvorlage IKT-Dienste", "SLA-Dokumentation", "Audit-Klausel"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-020",
"title": "Register aller IKT-Drittanbieter-Vertraege",
"description": "Fuehrung eines vollstaendigen Registers aller vertraglichen Vereinbarungen ueber IKT-Dienstleistungen. Das Register muss auf Anfrage der Aufsichtsbehoerde bereitgestellt werden und kritische IKT-Drittanbieter kennzeichnen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true},
{"field": "sector.is_financial_institution", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 28 Abs. 3", "title": "Informationsregister"}
],
"sources": [
{"type": "article", "ref": "Art. 28 VO (EU) 2022/2554"}
],
"category": "Dokumentation",
"responsible": "Vendor-Management",
"deadline": {"type": "recurring", "interval": "P1Y"},
"evidence": ["IKT-Vertragsregister", "Kritikalitaetsbewertung Anbieter"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "DORA-CTRL-001",
"name": "IKT-Risikobewertung und -Ueberwachung",
"description": "Kontinuierliche Bewertung und Ueberwachung von IKT-Risiken mit automatisiertem Monitoring, regelmaessigen Schwachstellenscans und Risiko-Reporting an das Leitungsorgan.",
"category": "Governance",
"what_to_do": "SIEM/SOC einrichten, Risiko-Dashboard implementieren, quartalsweises Reporting an Vorstand etablieren.",
"iso27001_mapping": ["A.5.7", "A.8.8", "A.8.16"],
"priority": "kritisch"
},
{
"id": "DORA-CTRL-002",
"name": "IKT-Vorfallmelde-Prozess",
"description": "Standardisierter Prozess fuer die Klassifizierung und Meldung schwerwiegender IKT-Vorfaelle an die zustaendige Aufsichtsbehoerde innerhalb der vorgeschriebenen Fristen.",
"category": "Meldepflicht",
"what_to_do": "Meldevorlagen erstellen, Eskalationsketten definieren, Klassifizierungskriterien dokumentieren, Testmeldungen durchfuehren.",
"iso27001_mapping": ["A.5.24", "A.5.25", "A.5.26"],
"priority": "kritisch"
},
{
"id": "DORA-CTRL-003",
"name": "Resilienz-Testprogramm",
"description": "Jaehrliches Programm zur Pruefung der digitalen operationalen Resilienz: Vulnerability Assessments, Penetrationstests, Szenario-Tests und fuer bedeutende Institute TLPT alle 3 Jahre.",
"category": "Audit",
"what_to_do": "Testplan erstellen, qualifizierte Pruefer beauftragen, Ergebnisse dokumentieren und Massnahmen nachverfolgen.",
"iso27001_mapping": ["A.5.35", "A.5.36", "A.8.8"],
"priority": "hoch"
},
{
"id": "DORA-CTRL-004",
"name": "IKT-Drittanbieter-Due-Diligence",
"description": "Strukturierter Prozess zur Bewertung und laufenden Ueberwachung von IKT-Drittdienstleistern: Risikobewertung vor Vertragsschluss, SLA-Monitoring, Audit-Rechte und Exit-Planung.",
"category": "Governance",
"what_to_do": "Vendor-Assessment-Framework einrichten, Kritikalitaets-Klassifizierung durchfuehren, jaehrliche Reviews durchfuehren.",
"iso27001_mapping": ["A.5.19", "A.5.20", "A.5.21", "A.5.22"],
"priority": "hoch"
}
],
"incident_deadlines": [
{
"phase": "Erstmeldung",
"deadline": "4 Stunden nach Klassifizierung als schwerwiegend",
"content": "Erste Meldung mit grundlegenden Informationen: Art des Vorfalls, betroffene Dienste, erste Auswirkungseinschaetzung",
"recipient": "Zustaendige Aufsichtsbehoerde (BaFin/EZB)",
"legal_basis": [{"norm": "DORA", "article": "Art. 17"}]
},
{
"phase": "Zwischenmeldung",
"deadline": "72 Stunden nach Erstmeldung (oder bei wesentlicher Aenderung)",
"content": "Aktualisierte Informationen zu Ursache, Auswirkungen, ergriffenen Massnahmen und voraussichtlicher Wiederherstellung",
"recipient": "Zustaendige Aufsichtsbehoerde (BaFin/EZB)",
"legal_basis": [{"norm": "DORA", "article": "Art. 17"}]
},
{
"phase": "Abschlussbericht",
"deadline": "1 Monat nach Wiederherstellung des Normalbetriebs",
"content": "Vollstaendiger Bericht: Ursachenanalyse, Gesamtauswirkungen, ergriffene und geplante Massnahmen, Lessons Learned",
"recipient": "Zustaendige Aufsichtsbehoerde (BaFin/EZB)",
"legal_basis": [{"norm": "DORA", "article": "Art. 17"}]
}
]
}

742
ai-compliance-sdk/policies/obligations/v2/dsa_v2.json Normal file
View File

@@ -0,0 +1,742 @@
{
"regulation": "dsa",
"name": "Digital Services Act (EU) 2022/2065",
"description": "Verordnung ueber einen Binnenmarkt fuer digitale Dienste — Pflichten fuer Anbieter digitaler Dienste, Plattformen und sehr grosse Online-Plattformen (VLOPs/VLOSEs)",
"version": "2.0",
"effective_date": "2024-02-17",
"obligations": [
{
"id": "DSA-OBL-001",
"title": "Haftungsprivileg — Mere Conduit",
"description": "Vermittlungsdienste (reine Durchleitung) muessen sicherstellen, dass sie keine Kenntnis von rechtswidrigen Inhalten haben und bei Kenntnis unverzueglich handeln, um das Haftungsprivileg zu bewahren.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 6", "title": "Reine Durchleitung (Mere Conduit)"}],
"sources": [{"type": "article", "ref": "Art. 6 DSA"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Dokumentation der Vermittlungstaetigkeiten", "Nachweise ueber fehlende Kenntnis"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-002",
"title": "Haftungsprivileg — Caching",
"description": "Caching-Dienste muessen bei Kenntniserlangung rechtswidriger Inhalte unverzueglich taetig werden, um diese zu entfernen oder den Zugang zu sperren.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 7", "title": "Caching"}],
"sources": [{"type": "article", "ref": "Art. 7 DSA"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Caching-Richtlinie", "Reaktionsprotokolle bei Kenntniserlangung"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-003",
"title": "Haftungsprivileg — Hosting",
"description": "Hosting-Dienste muessen bei tatsaechlicher Kenntnis rechtswidriger Inhalte oder Taetigkeiten unverzueglich handeln, um diese zu entfernen oder den Zugang zu sperren.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 8", "title": "Hosting"}],
"sources": [{"type": "article", "ref": "Art. 8 DSA"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Notice-and-Action-Protokolle", "Nachweis unverzueglicher Reaktion"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-004",
"title": "Keine allgemeine Ueberwachungspflicht",
"description": "Anbietern darf keine allgemeine Verpflichtung zur Ueberwachung der uebermittelten oder gespeicherten Informationen auferlegt werden. Freiwillige Eigeninitiative fuehrt nicht zum Verlust des Haftungsprivilegs.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 9", "title": "Keine allgemeine Ueberwachungspflicht"}],
"sources": [{"type": "article", "ref": "Art. 9 DSA"}],
"category": "Governance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Dokumentation Moderationsrichtlinie", "Nachweis keine allgemeine Ueberwachung"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-005",
"title": "Zentrale Kontaktstelle",
"description": "Benennung einer zentralen Kontaktstelle fuer die Kommunikation mit Behoerden der Mitgliedstaaten, der Kommission und dem Gremium fuer digitale Dienste. Die Kontaktstelle muss in einer Amtssprache erreichbar sein.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 11", "title": "Kontaktstellen fuer Behoerden"}],
"sources": [{"type": "article", "ref": "Art. 11 DSA"}],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "1% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Benennungsdokument Kontaktstelle", "Veroeffentlichte Kontaktdaten"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-006",
"title": "Gesetzlicher Vertreter",
"description": "Anbieter ohne Niederlassung in der EU muessen einen gesetzlichen Vertreter in einem Mitgliedstaat benennen, in dem sie Dienste anbieten.",
"applies_when": "organization.eu_member == false AND organization.operates_platform == true",
"applies_when_condition": {
"all_of": [
{"field": "organization.eu_member", "operator": "EQUALS", "value": false},
{"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [{"norm": "DSA", "article": "Art. 12", "title": "Gesetzlicher Vertreter"}],
"sources": [{"type": "article", "ref": "Art. 12 DSA"}],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Benennungsurkunde gesetzlicher Vertreter", "Veroeffentlichung auf der Webseite"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-007",
"title": "Allgemeine Geschaeftsbedingungen — Inhaltsmoderation",
"description": "In den AGB muessen Informationen zu Beschraenkungen enthalten sein, die Anbieter in Bezug auf von Nutzern bereitgestellte Inhalte auferlegen. Dies umfasst Moderationsrichtlinien, algorithmische Entscheidungsfindung und Beschwerdemechanismen.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 13", "title": "Allgemeine Geschaeftsbedingungen"}],
"sources": [{"type": "article", "ref": "Art. 13 DSA"}],
"category": "Dokumentation",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Aktuelle AGB mit Moderationsrichtlinien", "Verstaendliche Darstellung der Beschraenkungen"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"breakpilot_feature": "/sdk/policy-generator",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-008",
"title": "Transparenzbericht — Vermittlungsdienste",
"description": "Jaehrliche Veroeffentlichung eines Transparenzberichts ueber Inhaltsmoderation, behoerdliche Anordnungen und Notice-and-Action-Verfahren. Der Bericht muss maschinenlesbar und oeffentlich zugaenglich sein.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 14", "title": "Transparenzberichterstattungspflichten fuer Anbieter von Vermittlungsdiensten"}],
"sources": [{"type": "article", "ref": "Art. 14 DSA"}],
"category": "Dokumentation",
"responsible": "Compliance-Beauftragter",
"deadline": {"type": "recurring", "interval": "P1Y"},
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Veroeffentlichter Transparenzbericht", "Maschinenlesbares Format"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"],
"breakpilot_feature": "/sdk/reporting",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-009",
"title": "Transparenzbericht — erweitert fuer Online-Plattformen",
"description": "Online-Plattformen muessen zusaetzlich Informationen ueber Streitbeilegungsverfahren, Aussetzungen, automatisierte Inhaltserkennung und Trusted Flagger in ihren Transparenzbericht aufnehmen.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 15", "title": "Transparenzberichterstattungspflichten fuer Anbieter von Online-Plattformen"}],
"sources": [{"type": "article", "ref": "Art. 15 DSA"}],
"category": "Dokumentation",
"responsible": "Compliance-Beauftragter",
"deadline": {"type": "recurring", "interval": "P6M"},
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Erweiterter Transparenzbericht", "Statistik automatisierter Moderation"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"],
"breakpilot_feature": "/sdk/reporting",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-010",
"title": "Melde- und Abhilfeverfahren (Notice-and-Action)",
"description": "Einrichtung eines leicht zugaenglichen und benutzerfreundlichen Mechanismus, der es jeder Person ermoeglicht, mutmasslich rechtswidrige Inhalte zu melden. Meldungen muessen elektronisch moeglich sein und eine Bestaetigung ausloesen.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 16", "title": "Melde- und Abhilfeverfahren"}],
"sources": [{"type": "article", "ref": "Art. 16 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Implementiertes Meldeformular", "Bestaetigung der Eingangsbehandlung", "Verarbeitungsprotokoll"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
"breakpilot_feature": "/sdk/incident-response",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-011",
"title": "Begruendungspflicht bei Inhaltsentfernung",
"description": "Bei Entfernung oder Sperrung von Inhalten muss dem betroffenen Nutzer eine klare und spezifische Begruendung mitgeteilt werden, einschliesslich der angewandten Rechtsgrundlage und der Rechtsbehelfsmoeglichkeiten.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 17", "title": "Begruendung"}],
"sources": [{"type": "article", "ref": "Art. 17 DSA"}],
"category": "Organisatorisch",
"responsible": "Content-Moderation-Team",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Begruendungsvorlagen", "Muster-Benachrichtigungen", "Zustellungsnachweise"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-012",
"title": "Meldung strafbarer Inhalte an Behoerden",
"description": "Bei Verdacht auf Straftaten, die das Leben oder die Sicherheit von Personen bedrohen, muessen die zustaendigen Strafverfolgungsbehoerden des betreffenden Mitgliedstaats unverzueglich informiert werden.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 18", "title": "Meldung von Verdacht auf Straftaten"}],
"sources": [{"type": "article", "ref": "Art. 18 DSA"}],
"category": "Meldepflicht",
"responsible": "Rechtsabteilung",
"deadline": {"type": "on_event", "event": "Kenntniserlangung strafbarer Inhalte"},
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true, "criminal_liability": true},
"evidence": ["Eskalationsprozess-Dokumentation", "Meldungsprotokolle an Behoerden"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-013",
"title": "Trusted Flaggers",
"description": "Vorrangige Bearbeitung von Meldungen vertrauenswuerdiger Hinweisgeber (Trusted Flaggers), die vom Koordinator fuer digitale Dienste zertifiziert wurden. Entscheidungen ueber Meldungen von Trusted Flaggers muessen zeitnah erfolgen.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 19", "title": "Vertrauenswuerdige Hinweisgeber"}],
"sources": [{"type": "article", "ref": "Art. 19 DSA"}],
"category": "Organisatorisch",
"responsible": "Content-Moderation-Team",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Priorisierungsprozess fuer Trusted Flaggers", "SLA-Dokumentation"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-014",
"title": "Schutz vor Missbrauch des Meldesystems",
"description": "Aussetzung der Bearbeitung von Meldungen und Beschwerden von Personen oder Stellen, die haeufig offensichtlich unbegruendete Meldungen oder Beschwerden einreichen.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 20", "title": "Schutz vor Missbrauch"}],
"sources": [{"type": "article", "ref": "Art. 20 DSA"}],
"category": "Organisatorisch",
"responsible": "Content-Moderation-Team",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Anti-Missbrauchs-Richtlinie", "Dokumentation der Aussetzungsentscheidungen"],
"priority": "mittel",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-015",
"title": "Aussetzung wegen Missbrauch durch Nutzer",
"description": "Anbieter von Online-Plattformen setzen die Erbringung ihrer Dienste fuer Nutzer aus, die haeufig offensichtlich rechtswidrige Inhalte bereitstellen. Vorherige Warnung erforderlich.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 21", "title": "Aussetzung"}],
"sources": [{"type": "article", "ref": "Art. 21 DSA"}],
"category": "Organisatorisch",
"responsible": "Content-Moderation-Team",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Eskalationsstufenmodell", "Warnprotokolle", "Aussetzungsentscheidungen"],
"priority": "mittel",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-016",
"title": "Internes Beschwerdemanagementsystem",
"description": "Bereitstellung eines elektronischen und benutzerfreundlichen internen Beschwerdemanagementsystems, ueber das Nutzer Entscheidungen zur Inhaltsmoderation anfechten koennen. Entscheidungen duerfen nicht ausschliesslich automatisiert getroffen werden.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 22", "title": "Internes Beschwerdemanagementsystem"}],
"sources": [{"type": "article", "ref": "Art. 22 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Implementiertes Beschwerdesystem", "Verarbeitungsstatistik", "Human-Review-Nachweis"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-017",
"title": "Aussergerichtliche Streitbeilegung",
"description": "Nutzer muessen die Moeglichkeit haben, sich an eine zertifizierte aussergerichtliche Streitbeilegungsstelle zu wenden. Plattformen muessen mit diesen Stellen zusammenarbeiten.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 23", "title": "Aussergerichtliche Streitbeilegung"}],
"sources": [{"type": "article", "ref": "Art. 23 DSA"}],
"category": "Organisatorisch",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Hinweis auf Streitbeilegungsstellen in AGB", "Kooperationsvereinbarungen"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-018",
"title": "Vorrang behoerdlicher Anordnungen",
"description": "Online-Plattformen muessen behoerdliche Anordnungen gegen rechtswidrige Inhalte vorrangig bearbeiten und den behoerdlichen Anweisungen fristgerecht Folge leisten.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 24", "title": "Pflichten im Zusammenhang mit Anordnungen"}],
"sources": [{"type": "article", "ref": "Art. 24 DSA"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true},
"evidence": ["Anordnungsregister", "Fristeinhaltungsprotokolle"],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-019",
"title": "Werbetransparenz — Kennzeichnungspflicht",
"description": "Jede Werbung auf der Plattform muss klar und eindeutig als Werbung gekennzeichnet sein. Der Auftraggeber und die Finanzierungsquelle muessen erkennbar sein.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 26", "title": "Werbung auf Online-Plattformen"}],
"sources": [{"type": "article", "ref": "Art. 26 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Werbekennzeichnungs-Implementierung", "Audit der Werbeanzeigen"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-020",
"title": "Verbot von Dark Patterns",
"description": "Gestaltung der Online-Schnittstelle darf Nutzer nicht taueschen, manipulieren oder in ihrer Entscheidungsfreiheit beeintraechtigen (Verbot von Dark Patterns).",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 27", "title": "Verbot taeuschender Gestaltung"}],
"sources": [{"type": "article", "ref": "Art. 27 DSA"}],
"category": "Technisch",
"responsible": "UX-Team",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["UX-Audit auf Dark Patterns", "Design-Review-Protokolle"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-021",
"title": "Transparenz von Empfehlungssystemen",
"description": "Plattformen muessen in ihren AGB die Hauptparameter der Empfehlungssysteme und die Moeglichkeit fuer Nutzer, diese zu beeinflussen, darlegen. Mindestens eine nicht-profilbasierte Option muss angeboten werden.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 28", "title": "Empfehlungssysteme"}],
"sources": [{"type": "article", "ref": "Art. 28 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Dokumentation der Empfehlungsparameter", "Nutzerwahlmoeglichkeit implementiert"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-022",
"title": "Minderjaehrigenschutz auf Plattformen",
"description": "Online-Plattformen muessen geeignete Massnahmen zum Schutz Minderjaehriger treffen, einschliesslich altersgerechter Datenschutzeinstellungen. Werbung auf Basis von Profiling Minderjaehriger ist verboten.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 29", "title": "Schutz Minderjaehriger"}],
"sources": [{"type": "article", "ref": "Art. 29 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Jugendschutzkonzept", "Altersverifikationslogik", "Profiling-Ausschluss fuer Minderjaehrige"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-023",
"title": "VLOP/VLOSE — Zusaetzliche Transparenz Werbearchiv",
"description": "Sehr grosse Online-Plattformen muessen ein oeffentlich zugaengliches Werbearchiv fuehren, das alle geschalteten Werbeanzeigen mit Targeting-Parametern, Auftraggeber und Laufzeit enthaelt.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 30", "title": "Zusaetzliche Transparenz der Online-Werbung"}],
"sources": [{"type": "article", "ref": "Art. 30 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Implementiertes Werbearchiv", "API-Zugang fuer Forscher"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.03"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-024",
"title": "VLOP/VLOSE — Empfehlungssystem Nutzerwahlrecht",
"description": "Sehr grosse Plattformen muessen Nutzern mindestens eine Option zur Verfuegung stellen, bei der das Empfehlungssystem nicht auf Profiling basiert.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 31", "title": "Empfehlungssysteme fuer VLOPs"}],
"sources": [{"type": "article", "ref": "Art. 31 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Nicht-profilbasierte Empfehlungsoption", "Nutzerauswahl-UI"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-025",
"title": "VLOP/VLOSE — Datenzugang fuer Forscher",
"description": "Sehr grosse Plattformen muessen zugelassenen Forschern auf Antrag Zugang zu Daten gewaehren, um systemische Risiken zu erforschen. Der Zugang erfolgt ueber technische Schnittstellen.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 32", "title": "Datenzugang fuer Forscher"}],
"sources": [{"type": "article", "ref": "Art. 32 DSA"}],
"category": "Technisch",
"responsible": "CTO",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Forschungsdaten-API", "Antragsverfahren dokumentiert", "Datenschutzkonzept fuer Forschungsdaten"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.03"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-026",
"title": "VLOP/VLOSE — Systemische Risikobewertung",
"description": "Jaehrliche Bewertung systemischer Risiken wie illegale Inhalte, Grundrechtsbeeintraechtigungen, Manipulation von Wahlen und Auswirkungen auf Minderjaehrige. Die Bewertung muss dokumentiert und der Aufsichtsbehoerde vorgelegt werden.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 33", "title": "Bewertung systemischer Risiken"}],
"sources": [{"type": "article", "ref": "Art. 33 DSA"}],
"category": "Governance",
"responsible": "Compliance-Beauftragter",
"deadline": {"type": "recurring", "interval": "P1Y"},
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true},
"evidence": ["Systemische Risikobewertung", "Massnahmenplan", "Vorlage bei Aufsichtsbehoerde"],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02", "TOM.GOV.03"],
"breakpilot_feature": "/sdk/risk-assessment",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-027",
"title": "VLOP/VLOSE — Risikominderungsmassnahmen",
"description": "Ergreifung angemessener, verhaeltnismaessiger und wirksamer Risikominderungsmassnahmen fuer die identifizierten systemischen Risiken. Massnahmen muessen regelmaessig ueberprueft und angepasst werden.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 34", "title": "Risikominderung"}],
"sources": [{"type": "article", "ref": "Art. 34 DSA"}],
"category": "Governance",
"responsible": "Compliance-Beauftragter",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true},
"evidence": ["Risikominderungsplan", "Wirksamkeitsbewertung", "Anpassungsdokumentation"],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
"breakpilot_feature": "/sdk/risk-assessment",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-028",
"title": "VLOP/VLOSE — Unabhaengige Audits",
"description": "Jaehrliche unabhaengige Audits auf eigene Kosten zur Bewertung der Einhaltung der DSA-Pflichten. Der Auditbericht wird der Aufsichtsbehoerde uebermittelt und ein Zusammenfassung veroeffentlicht.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 35", "title": "Unabhaengige Pruefung"}],
"sources": [{"type": "article", "ref": "Art. 35 DSA"}],
"category": "Audit",
"responsible": "Geschaeftsfuehrung",
"deadline": {"type": "recurring", "interval": "P1Y"},
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true},
"evidence": ["Auditbericht", "Massnahmenplan aus Audit-Ergebnissen", "Veroeffentlichte Zusammenfassung"],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"],
"breakpilot_feature": "/sdk/audit",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-029",
"title": "Compliance-Beauftragter (VLOP/VLOSE)",
"description": "Sehr grosse Plattformen muessen einen oder mehrere Compliance-Beauftragte benennen, die die Einhaltung des DSA ueberwachen. Der Beauftragte berichtet direkt an die Leitungsebene.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 37", "title": "Compliance-Funktion"}],
"sources": [{"type": "article", "ref": "Art. 37 DSA"}],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Benennungsurkunde", "Berichtsstruktur", "Kompetenznachweis"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-030",
"title": "Datenzugang fuer Aufsichtsbehoerden",
"description": "Auf Anfrage muessen Plattformen den Koordinatoren fuer digitale Dienste und der Kommission Zugang zu relevanten Daten gewaehren, die zur Ueberwachung der DSA-Einhaltung erforderlich sind.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 38", "title": "Datenzugang und Datenueberpruefung"}],
"sources": [{"type": "article", "ref": "Art. 38 DSA"}],
"category": "Compliance",
"responsible": "Compliance-Beauftragter",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Datenzugangsprozess dokumentiert", "Technische Schnittstelle fuer Behoerden"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-031",
"title": "VLOP/VLOSE — Datenzugang fuer ueberprueften Forscher",
"description": "Gewaehrung eines angemessenen Datenzugangs fuer von der Aufsichtsbehoerde ueberprueften Forscher zur Erforschung systemischer Risiken. Personenbezogene Daten nur anonymisiert oder pseudonymisiert.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 39", "title": "Datenzugang fuer ueberprueften Forscher"}],
"sources": [{"type": "article", "ref": "Art. 39 DSA"}],
"category": "Technisch",
"responsible": "CTO",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Pseudonymisierungskonzept", "Forschungsdaten-Zugangsverfahren"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.03"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-032",
"title": "Verhaltenskodizes",
"description": "Unterstuetzung und Einhaltung freiwilliger Verhaltenskodizes auf EU-Ebene zur Bekaempfung rechtswidriger Inhalte und zum Schutz der Nutzer. Die Kommission foerdert die Erarbeitung solcher Kodizes.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 40", "title": "Verhaltenskodizes"}],
"sources": [{"type": "article", "ref": "Art. 40 DSA"}],
"category": "Governance",
"responsible": "Compliance-Beauftragter",
"sanctions": {"max_fine": "1% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Beitrittserklarung zu Verhaltenskodizes", "Umsetzungsbericht"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-033",
"title": "Krisenreaktionsprotokolle",
"description": "Bei aussergewoehnlichen Umstaenden (z.B. Pandemie, bewaffnete Konflikte) kann die Kommission VLOPs/VLOSEs zur Teilnahme an Krisenprotokollen verpflichten. Schnelle Reaktionsmechanismen muessen vorbereitet sein.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 42", "title": "Krisenreaktionsprotokolle"}],
"sources": [{"type": "article", "ref": "Art. 42 DSA"}],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true},
"evidence": ["Krisenreaktionsplan", "Ansprechpartner fuer Krisenkoordination"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
"breakpilot_feature": "/sdk/notfallplan",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-034",
"title": "Koordinator fuer digitale Dienste — Kooperation",
"description": "Plattformen muessen mit dem nationalen Koordinator fuer digitale Dienste (DSC) kooperieren, Informationen bereitstellen und Anordnungen fristgerecht umsetzen.",
"applies_when": "organization.operates_platform == true AND organization.eu_member == true",
"applies_when_condition": {
"all_of": [
{"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
{"field": "organization.eu_member", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [{"norm": "DSA", "article": "Art. 44", "title": "Koordinatoren fuer digitale Dienste"}],
"sources": [{"type": "article", "ref": "Art. 44 DSA"}],
"category": "Compliance",
"responsible": "Compliance-Beauftragter",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Kooperationsprotokolle mit DSC", "Fristenkontrolle fuer Anordnungen"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-035",
"title": "Aufsichtsgebuehr (VLOP/VLOSE)",
"description": "Sehr grosse Plattformen und Suchmaschinen muessen eine jaehrliche Aufsichtsgebuehr an die Kommission entrichten. Die Hoehe wird auf Basis des Umsatzes berechnet.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 47", "title": "Aufsichtsgebuehr"}],
"sources": [{"type": "article", "ref": "Art. 47 DSA"}],
"category": "Compliance",
"responsible": "Finanzabteilung",
"deadline": {"type": "recurring", "interval": "P1Y"},
"sanctions": {"max_fine": "1% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Zahlungsnachweis Aufsichtsgebuehr", "Umsatzberechnung"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "DSA-CTRL-001",
"name": "Notice-and-Action-System",
"description": "Technisches System zur Entgegennahme, Bearbeitung und Dokumentation von Meldungen rechtswidriger Inhalte",
"category": "Technisch",
"what_to_do": "Implementierung eines elektronischen Meldeformulars mit Eingangsbestaetigung, Bearbeitungs-Tracking und Begruendungsgenerierung",
"priority": "kritisch"
},
{
"id": "DSA-CTRL-002",
"name": "Transparenzberichts-Framework",
"description": "Prozess und Tooling fuer die regelmaessige Erstellung und Veroeffentlichung von Transparenzberichten",
"category": "Organisatorisch",
"what_to_do": "Aufbau eines Daten-Pipelines zur automatisierten Erfassung von Moderationsstatistiken, Beschwerden und behoerdlichen Anordnungen",
"priority": "hoch"
},
{
"id": "DSA-CTRL-003",
"name": "Internes Beschwerdemanagement",
"description": "Elektronisches System fuer Nutzerbeschwerden gegen Moderationsentscheidungen mit Human-Review-Garantie",
"category": "Technisch",
"what_to_do": "Bereitstellung eines Beschwerdeformulars mit Eskalationsstufen, SLA-Tracking und Nachweis menschlicher Ueberpruefung",
"priority": "kritisch"
},
{
"id": "DSA-CTRL-004",
"name": "Werbetransparenz-Archiv",
"description": "Oeffentlich zugaengliches Repository aller geschalteten Werbeanzeigen mit Targeting- und Auftraggeberinformationen",
"category": "Technisch",
"what_to_do": "Implementierung eines durchsuchbaren Werbearchivs mit API-Zugang, Aufbewahrungsfrist mindestens 1 Jahr nach letzter Ausspielung",
"priority": "hoch"
},
{
"id": "DSA-CTRL-005",
"name": "Systemische Risikobewertung",
"description": "Jaehrlicher Prozess zur Identifikation und Bewertung systemischer Risiken fuer VLOPs/VLOSEs",
"category": "Governance",
"what_to_do": "Durchfuehrung einer strukturierten Risikobewertung zu illegalen Inhalten, Grundrechtsbeeintraechtigungen, Wahlmanipulation und Auswirkungen auf Minderjaehrige",
"priority": "kritisch"
}
],
"incident_deadlines": [
{
"phase": "Kenntniserlangung rechtswidriger Inhalte",
"deadline": "Unverzueglich (ohne schuldhaftes Zoegern)",
"content": "Entfernung oder Sperrung des Zugangs zu rechtswidrigen Inhalten",
"recipient": "Intern — Content-Moderation-Team",
"legal_basis": [{"norm": "DSA", "article": "Art. 8"}]
},
{
"phase": "Meldung strafbarer Inhalte",
"deadline": "Unverzueglich nach Kenntniserlangung",
"content": "Information der zustaendigen Strafverfolgungsbehoerden bei Verdacht auf Straftaten gegen Leben oder Sicherheit",
"recipient": "Zustaendige Strafverfolgungsbehoerde",
"legal_basis": [{"norm": "DSA", "article": "Art. 18"}]
},
{
"phase": "Reaktion auf behoerdliche Anordnung",
"deadline": "Frist gemaess Anordnung, spaetestens 72 Stunden",
"content": "Umsetzung der angeordneten Massnahme und Bestaetigung an die anordnende Behoerde",
"recipient": "Anordnende Behoerde / DSC",
"legal_basis": [{"norm": "DSA", "article": "Art. 24"}]
},
{
"phase": "Transparenzbericht (Vermittlungsdienste)",
"deadline": "Jaehrlich, spaetestens 2 Monate nach Berichtszeitraum",
"content": "Veroeffentlichung des Transparenzberichts zu Inhaltsmoderation, Anordnungen und Beschwerden",
"recipient": "Oeffentlichkeit / DSC",
"legal_basis": [{"norm": "DSA", "article": "Art. 14"}]
},
{
"phase": "Transparenzbericht (VLOP/VLOSE)",
"deadline": "Halbjaehrlich",
"content": "Erweiterter Transparenzbericht mit automatisierter Moderation, Trusted Flagger und Forschungsdaten",
"recipient": "Oeffentlichkeit / Kommission / DSC",
"legal_basis": [{"norm": "DSA", "article": "Art. 15"}]
}
]
}

4678
ai-compliance-sdk/policies/obligations/v2/dsgvo_v2.json Normal file
View File

File diff suppressed because it is too large Load Diff

426
ai-compliance-sdk/policies/obligations/v2/eu_machinery_v2.json Normal file
View File

@@ -0,0 +1,426 @@
{
"regulation": "eu_machinery",
"name": "EU-Maschinenverordnung (EU) 2023/1230",
"description": "Verordnung (EU) 2023/1230 ueber Maschinen und zur Aufhebung der Richtlinie 2006/42/EG — harmonisierte Vorschriften fuer das Inverkehrbringen und die Inbetriebnahme von Maschinen und zugehoerigen Produkten im Binnenmarkt",
"version": "1.0",
"effective_date": "2027-01-20",
"obligations": [
{
"id": "EUMACH-OBL-001",
"title": "Inverkehrbringen von Maschinen",
"description": "Sicherstellung, dass nur konforme Maschinen auf dem Unionsmarkt bereitgestellt werden. Maschinen duerfen nur in Verkehr gebracht werden, wenn sie bei ordnungsgemaesser Installation, Wartung und bestimmungsgemaesser Verwendung die Sicherheits- und Gesundheitsanforderungen erfuellen.",
"applies_when": "manufacturer_or_importer",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 4", "title": "Anforderungen an das Inverkehrbringen"}
],
"sources": [
{"type": "article", "ref": "Art. 4 VO (EU) 2023/1230"}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "Marktzuruecknahme, Vertriebsverbot", "personal_liability": true},
"evidence": ["Konformitaetsbewertung", "Technische Dokumentation"],
"priority": "kritisch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-002",
"title": "Inbetriebnahme konformer Maschinen",
"description": "Maschinen duerfen erst in Betrieb genommen werden, wenn die Konformitaet nachgewiesen ist und alle Sicherheitsanforderungen laut Anhang III erfuellt sind. Betreiber muessen vor der Inbetriebnahme die Konformitaetserklaerung und CE-Kennzeichnung pruefen.",
"applies_when": "operator",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 5", "title": "Inbetriebnahme"}
],
"sources": [
{"type": "article", "ref": "Art. 5 VO (EU) 2023/1230"}
],
"category": "Compliance",
"responsible": "Betriebsleiter",
"evidence": ["Inbetriebnahmeprotokoll", "CE-Konformitaetserklaerung"],
"priority": "kritisch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-003",
"title": "Freier Warenverkehr sicherstellen",
"description": "Mitgliedstaaten duerfen das Inverkehrbringen konformer Maschinen nicht behindern. Hersteller muessen sicherstellen, dass ihre Produkte die harmonisierten Normen einhalten, um den freien Warenverkehr zu gewaehrleisten.",
"applies_when": "manufacturer_eu_market",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 6", "title": "Freier Warenverkehr"}
],
"sources": [
{"type": "article", "ref": "Art. 6 VO (EU) 2023/1230"}
],
"category": "Compliance",
"responsible": "Regulatory-Affairs",
"evidence": ["Nachweis harmonisierter Normen", "EU-Konformitaetserklaerung"],
"priority": "mittel",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-004",
"title": "Konformitaetsvermutung durch harmonisierte Normen",
"description": "Anwendung harmonisierter Normen begruendet eine Konformitaetsvermutung. Hersteller sollen relevante EN-Normen anwenden und dokumentieren, welche Normen angewandt wurden und wo Abweichungen bestehen.",
"applies_when": "manufacturer",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 7", "title": "Konformitaetsvermutung"}
],
"sources": [
{"type": "article", "ref": "Art. 7 VO (EU) 2023/1230"}
],
"category": "Dokumentation",
"responsible": "Qualitaetsmanagement",
"evidence": ["Normenverzeichnis", "Abweichungsanalyse"],
"priority": "hoch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-005",
"title": "Allgemeine Herstellerpflichten",
"description": "Hersteller muessen sicherstellen, dass Maschinen in Uebereinstimmung mit den grundlegenden Sicherheits- und Gesundheitsanforderungen entworfen und gebaut werden. Erstellung der technischen Dokumentation, Konformitaetsbewertung und CE-Kennzeichnung.",
"applies_when": "manufacturer",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 10", "title": "Pflichten der Hersteller"}
],
"sources": [
{"type": "article", "ref": "Art. 10 VO (EU) 2023/1230"}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "Marktzuruecknahme, Bussgeld nach nationalem Recht", "personal_liability": true},
"evidence": ["Technische Dokumentation", "Konformitaetsbewertung", "Betriebsanleitung"],
"priority": "kritisch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-006",
"title": "Technische Dokumentation erstellen",
"description": "Erstellung und Pflege der technischen Dokumentation gemaess Anhang IV: Konstruktionsunterlagen, Risikobeurteilung, angewandte Normen, Pruefberichte. Dokumentation muss 10 Jahre nach Inverkehrbringen aufbewahrt werden.",
"applies_when": "manufacturer",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 10 Abs. 2", "title": "Technische Dokumentation"},
{"norm": "EU-Maschinenverordnung", "article": "Art. 11", "title": "Verfahren der Konformitaetsbewertung"}
],
"sources": [
{"type": "article", "ref": "Art. 10-11 VO (EU) 2023/1230"}
],
"category": "Dokumentation",
"responsible": "Konstruktionsleiter",
"deadline": {"type": "recurring", "interval": "P1Y", "event": "Jaehrliche Aktualisierung"},
"evidence": ["Technische Dokumentation Anhang IV", "Risikobeurteilung", "Pruefberichte"],
"priority": "kritisch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-007",
"title": "Konformitaetsbewertung durchfuehren",
"description": "Durchfuehrung des geeigneten Konformitaetsbewertungsverfahrens gemaess Art. 12 und Anhang V-IX. Fuer bestimmte Maschinenkategorien (Anhang I) ist die Einschaltung einer notifizierten Stelle erforderlich.",
"applies_when": "manufacturer",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 12", "title": "Konformitaetsbewertungsverfahren"}
],
"sources": [
{"type": "article", "ref": "Art. 12 VO (EU) 2023/1230"}
],
"category": "Audit",
"responsible": "Qualitaetsmanagement",
"evidence": ["Konformitaetszertifikat", "Pruefbericht notifizierte Stelle"],
"priority": "kritisch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-008",
"title": "Bevollmaechtigter im EU-Raum",
"description": "Hersteller ausserhalb der EU muessen einen Bevollmaechtigten in der Union benennen. Dieser ist verantwortlich fuer die Bereitstellung der Konformitaetserklaerung und technischen Dokumentation an Marktaufsichtsbehoerden.",
"applies_when": "non_eu_manufacturer",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]},
{"field": "organization.hq_outside_eu", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 13", "title": "Bevollmaechtigte"}
],
"sources": [
{"type": "article", "ref": "Art. 13 VO (EU) 2023/1230"}
],
"category": "Governance",
"responsible": "Regulatory-Affairs",
"evidence": ["Bevollmaechtigungsvertrag", "Kontaktdaten Bevollmaechtigter"],
"priority": "hoch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-009",
"title": "Einfuehrerpflichten",
"description": "Einfuehrer muessen vor dem Inverkehrbringen pruefen, dass der Hersteller die Konformitaetsbewertung durchgefuehrt hat, die technische Dokumentation vorliegt und die CE-Kennzeichnung angebracht ist. Name und Anschrift des Einfuehrers muessen auf der Maschine angegeben sein.",
"applies_when": "importer",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "import_trade"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 14", "title": "Pflichten der Einfuehrer"}
],
"sources": [
{"type": "article", "ref": "Art. 14 VO (EU) 2023/1230"}
],
"category": "Compliance",
"responsible": "Importleiter",
"evidence": ["Einfuehrerpruefprotokoll", "Kopie der Konformitaetserklaerung"],
"priority": "hoch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-010",
"title": "EU-Konformitaetserklaerung ausstellen",
"description": "Ausstellung der EU-Konformitaetserklaerung gemaess Anhang V mit Angaben zu Hersteller, Maschine, angewandten Normen und notifizierter Stelle. Die Erklaerung muss in der Amtssprache des Mitgliedstaats verfuegbar sein.",
"applies_when": "manufacturer",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 18", "title": "EU-Konformitaetserklaerung"}
],
"sources": [
{"type": "article", "ref": "Art. 18 VO (EU) 2023/1230"}
],
"category": "Dokumentation",
"responsible": "Qualitaetsmanagement",
"evidence": ["EU-Konformitaetserklaerung", "Uebersetzungen Amtssprachen"],
"priority": "kritisch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-011",
"title": "CE-Kennzeichnung anbringen",
"description": "Anbringung der CE-Kennzeichnung auf der Maschine gemaess Art. 19 — sichtbar, lesbar und dauerhaft. Die CE-Kennzeichnung wird vor dem Inverkehrbringen angebracht und setzt die Konformitaetsbewertung voraus.",
"applies_when": "manufacturer",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 19", "title": "CE-Kennzeichnung"}
],
"sources": [
{"type": "article", "ref": "Art. 19 VO (EU) 2023/1230"}
],
"category": "Compliance",
"responsible": "Produktion",
"evidence": ["Foto CE-Kennzeichnung", "Pruefprotokoll Kennzeichnung"],
"priority": "kritisch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-012",
"title": "KI-Systeme in Maschinen — besondere Anforderungen",
"description": "Maschinen mit eingebetteten KI-Systemen muessen zusaetzliche Anforderungen erfuellen: Sicherheitsfunktionen duerfen nicht allein von KI abhaengen, Mensch-Maschine-Interaktion muss transparent sein, KI-bedingte Risiken muessen in der Risikobeurteilung beruecksichtigt werden.",
"applies_when": "ai_machinery",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]},
{"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 21", "title": "KI-Systeme in Maschinen"},
{"norm": "AI Act", "article": "Art. 6", "title": "Klassifikation Hochrisiko-KI"}
],
"sources": [
{"type": "article", "ref": "Art. 21 VO (EU) 2023/1230"},
{"type": "eu_guidance", "ref": "Leitlinien KI in Maschinen"}
],
"category": "Technisch",
"responsible": "KI-Verantwortlicher",
"sanctions": {"max_fine": "Marktzuruecknahme, Bussgeld", "personal_liability": true},
"evidence": ["KI-Risikobeurteilung", "Sicherheitskonzept KI-Funktionen", "Human-Oversight-Nachweis"],
"priority": "kritisch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-013",
"title": "Sicherheitsbauteile mit digitaler Funktion",
"description": "Sicherheitsbauteile mit Software oder digitalen Elementen muessen ueber ihren Lebenszyklus aktuell gehalten werden. Sicherheitsupdates sind bereitzustellen und Cybersecurity-Risiken in der Risikobeurteilung zu beruecksichtigen.",
"applies_when": "digital_safety_components",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment"]},
{"field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 22", "title": "Sicherheitsbauteile"}
],
"sources": [
{"type": "article", "ref": "Art. 22 VO (EU) 2023/1230"}
],
"category": "Technisch",
"responsible": "Entwicklungsleiter",
"evidence": ["Sicherheitsbauteil-Register", "Update-Konzept", "Cybersecurity-Risikobeurteilung"],
"priority": "hoch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-014",
"title": "Zusammenarbeit mit Marktueberwachungsbehoerden",
"description": "Wirtschaftsakteure muessen mit Marktueberwachungsbehoerden zusammenarbeiten und auf Verlangen alle erforderlichen Informationen und Unterlagen bereitstellen. Bei Nichtkonformitaet sind unverzueglich Korrekturmassnahmen zu ergreifen.",
"applies_when": "all_economic_operators",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment", "import_trade"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 25", "title": "Marktueberwachung"}
],
"sources": [
{"type": "article", "ref": "Art. 25 VO (EU) 2023/1230"}
],
"category": "Organisatorisch",
"responsible": "Regulatory-Affairs",
"evidence": ["Kommunikationsprotokoll Behoerden", "Korrekturmassnahmenplan"],
"priority": "hoch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
},
{
"id": "EUMACH-OBL-015",
"title": "Meldepflicht bei Nichtkonformitaet",
"description": "Hersteller und Einfuehrer muessen die Marktueberwachungsbehoerden unverzueglich informieren, wenn sie Grund zur Annahme haben, dass eine Maschine nicht konform ist oder ein Risiko darstellt. Dokumentation aller Korrekturmassnahmen.",
"applies_when": "manufacturer_or_importer",
"applies_when_condition": {
"all_of": [
{"field": "organization.industry", "operator": "IN", "value": ["manufacturing", "machinery", "industrial_equipment", "import_trade"]}
]
},
"legal_basis": [
{"norm": "EU-Maschinenverordnung", "article": "Art. 25 Abs. 4", "title": "Meldepflicht Nichtkonformitaet"}
],
"sources": [
{"type": "article", "ref": "Art. 25 VO (EU) 2023/1230"}
],
"category": "Meldepflicht",
"responsible": "Geschaeftsfuehrung",
"deadline": {"type": "on_event", "event": "Feststellung der Nichtkonformitaet", "duration": "P0D"},
"sanctions": {"max_fine": "Bussgeld nach nationalem Recht, Marktzuruecknahme", "personal_liability": true},
"evidence": ["Meldung an Behoerde", "Korrekturmassnahmen-Dokumentation"],
"priority": "kritisch",
"valid_from": "2027-01-20",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "EUMACH-CTRL-001",
"name": "Risikobeurteilung Maschinen",
"description": "Systematische Risikobeurteilung aller Maschinen nach EN ISO 12100 mit Dokumentation der Gefahrenanalyse, Risikoeinschaetzung und Risikominderungsmassnahmen.",
"category": "Technisch",
"what_to_do": "EN ISO 12100 Risikobeurteilung fuer jede Maschine durchfuehren, Ergebnisse dokumentieren und Schutzmassnahmen implementieren.",
"iso27001_mapping": [],
"priority": "kritisch"
},
{
"id": "EUMACH-CTRL-002",
"name": "Technische Dokumentation Lifecycle",
"description": "Verwaltung der technischen Dokumentation ueber den gesamten Produktlebenszyklus: Erstellung, Aktualisierung, Archivierung (mind. 10 Jahre), Bereitstellung fuer Behoerden.",
"category": "Dokumentation",
"what_to_do": "Dokumentenmanagementsystem einrichten, Verantwortlichkeiten definieren, Aufbewahrungsfristen ueberwachen.",
"iso27001_mapping": ["A.5.37"],
"priority": "hoch"
},
{
"id": "EUMACH-CTRL-003",
"name": "KI-Sicherheitsvalidierung",
"description": "Spezifische Validierung von KI-Komponenten in Maschinen: Funktionale Sicherheit, Robustheit gegen Stoerungen, Nachvollziehbarkeit von KI-Entscheidungen in sicherheitsrelevanten Funktionen.",
"category": "Technisch",
"what_to_do": "KI-Sicherheitstests definieren und durchfuehren, Human-Oversight fuer sicherheitskritische KI-Funktionen implementieren.",
"iso27001_mapping": ["A.8.25", "A.8.29"],
"priority": "kritisch"
}
],
"incident_deadlines": [
{
"phase": "Sofortmeldung",
"deadline": "Unverzueglich nach Kenntnis",
"content": "Meldung an zustaendige Marktueberwachungsbehoerde bei Kenntnis eines schwerwiegenden Unfalls oder einer Nichtkonformitaet",
"recipient": "Marktueberwachungsbehoerde",
"legal_basis": [{"norm": "EU-Maschinenverordnung", "article": "Art. 25"}]
},
{
"phase": "Korrekturmassnahmen",
"deadline": "Ohne ungebuerliche Verzoegerung",
"content": "Ergreifen aller erforderlichen Korrekturmassnahmen zur Herstellung der Konformitaet oder Ruecknahme/Rueckruf",
"recipient": "Marktueberwachungsbehoerde + betroffene Wirtschaftsakteure",
"legal_basis": [{"norm": "EU-Maschinenverordnung", "article": "Art. 25"}]
}
]
}

1425
ai-compliance-sdk/policies/obligations/v2/nis2_v2.json Normal file
View File

File diff suppressed because it is too large Load Diff

459
ai-compliance-sdk/policies/obligations/v2/ttdsg_v2.json Normal file
View File

@@ -0,0 +1,459 @@
{
"regulation": "ttdsg",
"regulation_full_name": "Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)",
"version": "1.0",
"obligations": [
{
"id": "TTDSG-OBL-001",
"title": "Wahrung des Fernmeldegeheimnisses",
"description": "Der Inhalt der Telekommunikation und ihre naeheren Umstaende unterliegen dem Fernmeldegeheimnis. Diensteanbieter sind zur Wahrung verpflichtet.",
"applies_when": "organization provides telecommunication services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 3", "title": "Vertraulichkeit der Kommunikation" }],
"sources": [{ "type": "national_law", "ref": "§ 3 TTDSG" }],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR", "criminal_liability": true },
"evidence": [{ "name": "Fernmeldegeheimnis-Richtlinie", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.CRY.01", "TOM.AC.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-002",
"title": "Technische Schutzmassnahmen Fernmeldegeheimnis",
"description": "Diensteanbieter muessen technische Vorkehrungen zum Schutz des Fernmeldegeheimnisses treffen, insbesondere gegen unbefugtes Abhoeren und Mitlesen.",
"applies_when": "organization provides telecommunication services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 4", "title": "Durchsetzung des Fernmeldegeheimnisses" }],
"sources": [{ "type": "national_law", "ref": "§ 4 TTDSG" }],
"category": "Technisch",
"responsible": "IT-Sicherheitsbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Verschluesselungskonzept TK", "required": true }, "Penetrationstest-Bericht"],
"priority": "kritisch",
"tom_control_ids": ["TOM.CRY.01", "TOM.NET.01"],
"breakpilot_feature": "/sdk/tom",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-003",
"title": "Bestandsdatenauskunft TK-Dienste",
"description": "Bestandsdaten der Teilnehmer duerfen nur erhoben und verwendet werden, soweit dies zur Begruendung, Ausgestaltung oder Aenderung eines Vertragsverhaeltnisses erforderlich ist.",
"applies_when": "organization provides telecommunication services with subscriber data",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 7", "title": "Bestandsdaten TK-Anbieter" }],
"sources": [{ "type": "national_law", "ref": "§ 7 TTDSG" }],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Bestandsdaten-Verarbeitungskonzept", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.AC.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-004",
"title": "Bestandsdatenauskunft an Behoerden",
"description": "Die Erteilung von Auskuenften ueber Bestandsdaten an Sicherheitsbehoerden ist nur unter den Voraussetzungen des § 8 TTDSG zulaessig.",
"applies_when": "organization provides telecom and receives authority requests",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 8", "title": "Bestandsdatenauskunft Behoerden" }],
"sources": [{ "type": "national_law", "ref": "§ 8 TTDSG" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Bei Behoerdenanfrage" },
"sanctions": { "max_fine": "300.000 EUR", "personal_liability": true },
"evidence": [{ "name": "Auskunftserteilungs-Protokoll", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.02", "TOM.LOG.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-005",
"title": "Verkehrsdaten — Zweckbindung und Loeschung",
"description": "Verkehrsdaten duerfen nur fuer Abrechnungszwecke, Stoerungsbeseitigung und Missbrauchsbekaempfung gespeichert werden und sind nach Zweckerfuellung unverzueglich zu loeschen.",
"applies_when": "organization collects traffic data from telecom services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }, { "field": "data_protection.collects_traffic_data", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 9", "title": "Verkehrsdaten" }],
"sources": [{ "type": "national_law", "ref": "§ 9 TTDSG" }],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": { "type": "on_event", "event": "Nach Rechnungsstellung/Zweckerfuellung" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Loeschkonzept Verkehrsdaten", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.DEL.01", "TOM.GOV.01"],
"breakpilot_feature": "/sdk/loeschfristen",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-006",
"title": "Standortdaten — Einwilligung erforderlich",
"description": "Standortdaten duerfen nur mit ausdruecklicher Einwilligung des Nutzers verarbeitet werden. Die Einwilligung muss jederzeit widerrufbar sein.",
"applies_when": "organization processes location data",
"applies_when_condition": { "all_of": [{ "field": "data_protection.processes_location_data", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 10", "title": "Standortdaten" }],
"sources": [{ "type": "national_law", "ref": "§ 10 TTDSG" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Vor Verarbeitung von Standortdaten" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Einwilligungsnachweis Standortdaten", "required": true }, "Widerrufsmechanismus"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": "/sdk/consent",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-007",
"title": "Anonymisierung von Standortdaten",
"description": "Wenn Standortdaten fuer Mehrwertdienste verwendet werden, muessen sie anonymisiert oder pseudonymisiert werden, sofern der Zweck dies erlaubt.",
"applies_when": "organization uses location data for value-added services",
"applies_when_condition": { "all_of": [{ "field": "data_protection.processes_location_data", "operator": "EQUALS", "value": true }, { "field": "organization.offers_value_added_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 10 Abs. 2", "title": "Standortdaten Mehrwertdienste" }],
"sources": [{ "type": "national_law", "ref": "§ 10 TTDSG" }],
"category": "Technisch",
"responsible": "IT-Sicherheitsbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Anonymisierungskonzept Standortdaten", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.CRY.02"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-008",
"title": "Bestandsdaten Telemedien — Erhebung und Verwendung",
"description": "Anbieter von Telemedien duerfen Bestandsdaten nur erheben und verwenden, soweit sie fuer die Begruendung, Ausgestaltung oder Aenderung eines Vertragsverhaeltnisses erforderlich sind.",
"applies_when": "organization provides telemedia services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telemedia_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 13", "title": "Bestandsdaten Telemedien" }],
"sources": [{ "type": "national_law", "ref": "§ 13 TTDSG" }],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Datenschutzerklaerung Telemedien", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-009",
"title": "Nutzungsdaten Telemedien — Zweckbindung",
"description": "Nutzungsdaten duerfen nur erhoben werden, soweit dies zur Ermogeglichung der Inanspruchnahme von Telemedien erforderlich ist. Profilerstellung bedarf der Einwilligung.",
"applies_when": "organization collects telemedia usage data",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telemedia_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 15", "title": "Nutzungsdaten Telemedien" }],
"sources": [{ "type": "national_law", "ref": "§ 15 TTDSG" }],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Nutzungsdaten-Konzept", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.DEL.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-010",
"title": "Vertraulichkeit Nachrichteninhalte",
"description": "Anbieter von interpersonellen TK-Diensten muessen die Vertraulichkeit der uebermittelten Nachrichteninhalte gewaehrleisten (§ 19 TTDSG).",
"applies_when": "organization provides messaging or communication services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_messaging_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 19", "title": "Nachrichteninhalte" }],
"sources": [{ "type": "national_law", "ref": "§ 19 TTDSG" }],
"category": "Technisch",
"responsible": "IT-Sicherheitsbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR", "criminal_liability": true },
"evidence": [{ "name": "Ende-zu-Ende-Verschluesselungsnachweis", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.CRY.01", "TOM.NET.01"],
"breakpilot_feature": "/sdk/tom",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-011",
"title": "Schutz vor Spam und unerwuenschten Nachrichten",
"description": "Anbieter nummernunabhaengiger interpersoneller TK-Dienste muessen Massnahmen gegen unerwuenschte Nachrichten (Spam) ergreifen.",
"applies_when": "organization provides interpersonal communication services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_messaging_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 19 Abs. 2", "title": "Spam-Schutz" }],
"sources": [{ "type": "national_law", "ref": "§ 19 TTDSG" }],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Anti-Spam-Massnahmen Dokumentation", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.NET.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-012",
"title": "Einwilligung fuer Cookies und Tracking",
"description": "Die Speicherung von Informationen in der Endeinrichtung des Nutzers oder der Zugriff auf dort gespeicherte Informationen ist nur mit Einwilligung des Nutzers zulaessig (§ 25 Abs. 1 TTDSG).",
"applies_when": "organization uses cookies or similar tracking technologies",
"applies_when_condition": { "any_of": [{ "field": "data_protection.uses_cookies", "operator": "EQUALS", "value": true }, { "field": "data_protection.uses_tracking", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 25 Abs. 1", "title": "Schutz der Privatsphaere bei Endeinrichtungen" }],
"sources": [{ "type": "national_law", "ref": "§ 25 TTDSG" }, { "type": "eu_guidance", "ref": "ePrivacy-Richtlinie Art. 5 Abs. 3" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Vor Setzen von Cookies/Trackern" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Cookie-Consent-Banner", "required": true }, { "name": "Consent-Management-Platform Nachweis", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.02", "TOM.WEB.01"],
"breakpilot_feature": "/sdk/cookie-banner",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-013",
"title": "Ausnahmen von der Cookie-Einwilligung",
"description": "Keine Einwilligung ist erforderlich, wenn die Speicherung/der Zugriff technisch erforderlich ist, um den vom Nutzer ausdruecklich gewuenschten Dienst bereitzustellen (§ 25 Abs. 2 TTDSG).",
"applies_when": "organization uses technically necessary cookies",
"applies_when_condition": { "all_of": [{ "field": "data_protection.uses_cookies", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 25 Abs. 2", "title": "Ausnahme technisch notwendige Cookies" }],
"sources": [{ "type": "national_law", "ref": "§ 25 Abs. 2 TTDSG" }, { "type": "dsk_kurzpapier", "ref": "DSK Orientierungshilfe Telemedien 2021" }],
"category": "Dokumentation",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "jaehrlich" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Cookie-Klassifizierung (notwendig vs. optional)", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.WEB.01"],
"breakpilot_feature": "/sdk/cookie-banner",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-014",
"title": "Cookie-Consent Anforderungen — Informiertheit",
"description": "Die Einwilligung nach § 25 Abs. 1 TTDSG muss informiert erfolgen. Der Nutzer muss klar und umfassend ueber Zweck, Dauer und Empfaenger informiert werden.",
"applies_when": "organization collects cookie consent",
"applies_when_condition": { "all_of": [{ "field": "data_protection.uses_cookies", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 25 Abs. 1", "title": "Informierte Einwilligung" }, { "norm": "DSGVO", "article": "Art. 7", "title": "Bedingungen fuer die Einwilligung" }],
"sources": [{ "type": "national_law", "ref": "§ 25 TTDSG" }, { "type": "case_law", "ref": "BGH I ZR 7/16 — Planet49" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Cookie-Banner mit vollstaendiger Information", "required": true }, "Dokumentation Consent-Flow"],
"priority": "kritisch",
"tom_control_ids": ["TOM.WEB.01", "TOM.GOV.02"],
"breakpilot_feature": "/sdk/cookie-banner",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-015",
"title": "Anerkannte Dienste zur Einwilligungsverwaltung",
"description": "Die Bundesregierung kann durch Rechtsverordnung Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung (PIMS) festlegen (§ 26 TTDSG).",
"applies_when": "organization provides or uses a Personal Information Management Service",
"applies_when_condition": { "all_of": [{ "field": "organization.uses_pims", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 26", "title": "Anerkannte Dienste zur Einwilligungsverwaltung" }],
"sources": [{ "type": "national_law", "ref": "§ 26 TTDSG" }],
"category": "Compliance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "jaehrlich" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "PIMS-Zertifizierung/Anerkennung", "required": false }],
"priority": "niedrig",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": "/sdk/consent",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-016",
"title": "Endnutzerinformation bei Rufnummernanzeige",
"description": "Bei der Anzeige von Rufnummern muessen Diensteanbieter den Endnutzer ueber die Moeglichkeit der Unterdrueckung informieren (§ 11 TTDSG).",
"applies_when": "organization provides telephony services with caller ID",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 11", "title": "Rufnummernanzeige" }],
"sources": [{ "type": "national_law", "ref": "§ 11 TTDSG" }],
"category": "Organisatorisch",
"responsible": "Produktmanagement",
"deadline": { "type": "on_event", "event": "Bei Vertragsschluss" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Kundeninformation Rufnummernanzeige", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-017",
"title": "Automatische Anrufweiterleitung — Einwilligung",
"description": "Automatische Anrufweiterleitungen duerfen nur mit Einwilligung des Anschlussinhabers eingerichtet werden (§ 12 TTDSG).",
"applies_when": "organization provides call forwarding services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 12", "title": "Anrufweiterschaltung" }],
"sources": [{ "type": "national_law", "ref": "§ 12 TTDSG" }],
"category": "Organisatorisch",
"responsible": "Produktmanagement",
"deadline": { "type": "on_event", "event": "Vor Einrichtung der Weiterleitung" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Einwilligungsnachweis Anrufweiterleitung", "required": true }],
"priority": "niedrig",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-018",
"title": "Bussgeldvorschriften TTDSG",
"description": "Verstoesse gegen die Vorschriften des TTDSG koennen als Ordnungswidrigkeiten mit Bussgeldern bis zu 300.000 EUR geahndet werden (§ 28 TTDSG).",
"applies_when": "always for organizations under TTDSG scope",
"applies_when_condition": { "any_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }, { "field": "organization.provides_telemedia_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 28", "title": "Bussgeldvorschriften" }],
"sources": [{ "type": "national_law", "ref": "§ 28 TTDSG" }],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR", "personal_liability": true },
"evidence": [{ "name": "TTDSG-Compliance-Pruefbericht", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"breakpilot_feature": "/sdk/risk-assessment",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-019",
"title": "Strafvorschriften — Verstoesse Fernmeldegeheimnis",
"description": "Wer unbefugt einer anderen Person Kenntnis vom Inhalt oder den naeheren Umstaenden der Telekommunikation verschafft, wird strafrechtlich verfolgt (§ 27 TTDSG).",
"applies_when": "organization handles telecommunication data",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 27", "title": "Strafvorschriften" }],
"sources": [{ "type": "national_law", "ref": "§ 27 TTDSG" }],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "Freiheitsstrafe bis 2 Jahre oder Geldstrafe", "personal_liability": true, "criminal_liability": true },
"evidence": [{ "name": "Schulungsnachweis Fernmeldegeheimnis", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.HR.02", "TOM.AC.01"],
"breakpilot_feature": "/sdk/training",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-020",
"title": "Teilnehmerverzeichnisse — Einwilligung",
"description": "Die Aufnahme in oeffentliche Teilnehmerverzeichnisse und die Bereitstellung von Auskunftsdiensten bedarf der vorherigen Einwilligung des Teilnehmers (§ 17 TTDSG).",
"applies_when": "organization maintains subscriber directories",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }, { "field": "organization.maintains_directories", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 17", "title": "Teilnehmerverzeichnisse" }],
"sources": [{ "type": "national_law", "ref": "§ 17 TTDSG" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Vor Aufnahme in Verzeichnis" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Einwilligungsnachweis Verzeichniseintrag", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": "/sdk/consent",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "TTDSG-CTRL-001",
"name": "Cookie-Consent-Management",
"description": "Kontrolle zur Sicherstellung der gesetzeskonformen Einholung und Verwaltung von Cookie-Einwilligungen nach § 25 TTDSG.",
"category": "Organisatorisch",
"what_to_do": "Cookie-Banner implementieren, Cookie-Klassifizierung durchfuehren, Consent-Log fuehren, regelmaessige Audits der Cookie-Nutzung.",
"iso27001_mapping": ["A.5.34"],
"priority": "kritisch"
},
{
"id": "TTDSG-CTRL-002",
"name": "Fernmeldegeheimnis-Schutz",
"description": "Kontrolle zur Gewaehrleistung des Fernmeldegeheimnisses durch technische und organisatorische Massnahmen.",
"category": "Technisch",
"what_to_do": "Verschluesselung implementieren, Zugriffskontrolle auf TK-Daten, Mitarbeiterschulung zum Fernmeldegeheimnis, Protokollierung.",
"iso27001_mapping": ["A.8.24", "A.5.14"],
"priority": "kritisch"
},
{
"id": "TTDSG-CTRL-003",
"name": "Verkehrs- und Standortdaten-Governance",
"description": "Kontrolle zur Einhaltung der Zweckbindung und Loeschpflichten fuer Verkehrs- und Standortdaten.",
"category": "Governance",
"what_to_do": "Datenklassifizierung erstellen, automatische Loeschmechanismen implementieren, Einwilligungsprozesse fuer Standortdaten pruefen.",
"iso27001_mapping": ["A.5.33", "A.8.10"],
"priority": "hoch"
}
],
"incident_deadlines": [
{
"phase": "Meldung TK-Sicherheitsvorfall an BNetzA",
"deadline": "Unverzueglich (i.d.R. 24 Stunden)",
"content": "Art und Umfang des Vorfalls, betroffene Dienste, ergriffene Massnahmen",
"recipient": "Bundesnetzagentur (BNetzA)",
"legal_basis": [{ "norm": "TKG", "article": "§ 168" }]
},
{
"phase": "Benachrichtigung betroffener Teilnehmer",
"deadline": "Unverzueglich bei Risiko fuer persoenliche Daten",
"content": "Art des Vorfalls, Kontaktdaten, empfohlene Schutzmassnahmen",
"recipient": "Betroffene Teilnehmer",
"legal_basis": [{ "norm": "DSGVO", "article": "Art. 34" }]
},
{
"phase": "Meldung an BSI bei erheblichen Stoerungen",
"deadline": "Unverzueglich",
"content": "Technische Rahmenbedingungen, vermutete Ursache, Auswirkungen",
"recipient": "Bundesamt fuer Sicherheit in der Informationstechnik (BSI)",
"legal_basis": [{ "norm": "TKG", "article": "§ 169" }]
}
]
}

6523
ai-compliance-sdk/policies/tom_controls_v1.json Normal file
View File

File diff suppressed because it is too large Load Diff