Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Initial commit: breakpilot-compliance - Compliance SDK Platform

Browse Source 
Services: Admin-Compliance, Backend-Compliance,
AI-Compliance-SDK, Consent-SDK, Developer-Portal,
PCA-Platform, DSMS

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Benjamin Boenisch
2026-02-11 23:47:28 +01:00
commit 4435e7ea0a
734 changed files with 251369 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

889
ai-compliance-sdk/policies/controls_catalog.yaml Normal file
View File

@@ -0,0 +1,889 @@
# =============================================================================
# UCCA Controls Catalog v1.0
# Detaillierter Maßnahmenkatalog für DSGVO/AI Act Compliance
# =============================================================================
#
# STRUKTUR PRO CONTROL:
# id: Eindeutige ID (CTRL-xxx)
# title: Kurztitel
# category: Kategorie (DSGVO, AI_Act, Technical, Contractual)
# description: Was ist diese Maßnahme?
# when_applicable: Wann ist sie erforderlich?
# what_to_do: Konkrete Handlungsschritte
# evidence_needed: Erforderliche Nachweise/Dokumentation
# effort: low | medium | high
# gdpr_ref: Relevante Rechtsgrundlage
# related_controls: Verwandte Maßnahmen
#
# =============================================================================
version: "1.0"
name: "UCCA Controls Catalog"
description: "Detaillierter Maßnahmenkatalog für KI-Compliance"
last_updated: "2026-01-29"
# =============================================================================
# KATEGORIE: DSGVO GRUNDLAGEN
# =============================================================================
controls:
# ---------------------------------------------------------------------------
# 1. Rechtsgrundlagen & Einwilligung
# ---------------------------------------------------------------------------
CTRL-CONSENT-EXPLICIT:
id: CTRL-CONSENT-EXPLICIT
title: "Ausdrückliche Einwilligung"
category: DSGVO
description: |
Opt-in-Einwilligung mit klarer, verständlicher Information
über den Verarbeitungszweck.
when_applicable: |
- Verarbeitung basiert auf Einwilligung (Art. 6(1)(a))
- Besondere Datenkategorien (Art. 9(2)(a))
- Profiling oder automatisierte Entscheidungen
what_to_do: |
1. Einwilligungstext in klarer, einfacher Sprache formulieren
2. Zweck der Verarbeitung konkret benennen
3. Hinweis auf Widerrufsrecht aufnehmen
4. Aktive Handlung erforderlich (kein Pre-Checked)
5. Einwilligung nachweisbar speichern (Timestamp, IP, Version)
6. Widerrufsmöglichkeit technisch umsetzen
evidence_needed:
- "Einwilligungstext (alle Versionen)"
- "Technische Dokumentation Opt-in-Mechanismus"
- "Log der erteilten Einwilligungen"
- "Nachweis der Widerrufsmöglichkeit"
effort: medium
gdpr_ref: "Art. 6(1)(a), Art. 7 DSGVO"
related_controls: [CTRL-CONSENT-PARENTAL, CTRL-TRANSPARENCY-INFO]
CTRL-CONSENT-PARENTAL:
id: CTRL-CONSENT-PARENTAL
title: "Einwilligung der Erziehungsberechtigten"
category: DSGVO
description: |
Bei Minderjährigen unter 16 Jahren ist die Einwilligung der
Erziehungsberechtigten erforderlich.
when_applicable: |
- Nutzer sind oder können unter 16 Jahre sein
- Dienst richtet sich an Minderjährige
- Keine Altersverifikation vorhanden
what_to_do: |
1. Altersabfrage implementieren
2. Bei <16: Elterneinwilligung einholen
3. Verifikation der Elternschaft (z.B. Double-Opt-In an Eltern-E-Mail)
4. Kindgerechte Datenschutzerklärung bereitstellen
5. Besondere Löschrechte für Minderjährige beachten
evidence_needed:
- "Altersverifikationsprozess dokumentiert"
- "Elterneinwilligungs-Workflow"
- "Kindgerechte Datenschutzerklärung"
effort: high
gdpr_ref: "Art. 8 DSGVO"
related_controls: [CTRL-CONSENT-EXPLICIT, CTRL-MINOR-PROTECTION]
# ---------------------------------------------------------------------------
# 2. Informationspflichten & Transparenz
# ---------------------------------------------------------------------------
CTRL-TRANSPARENCY-INFO:
id: CTRL-TRANSPARENCY-INFO
title: "Informationspflichten erfüllen"
category: DSGVO
description: |
Betroffene über Datenverarbeitung informieren gemäß Art. 13/14 DSGVO.
when_applicable: |
- Immer bei personenbezogenen Daten
- Bei Direkterhebung (Art. 13)
- Bei Dritterhebung (Art. 14)
what_to_do: |
1. Datenschutzerklärung erstellen mit:
- Identität des Verantwortlichen
- Kontaktdaten DSB
- Verarbeitungszwecke und Rechtsgrundlagen
- Empfänger/Kategorien von Empfängern
- Drittlandtransfers (mit Garantien)
- Speicherdauer/Kriterien
- Betroffenenrechte
- Beschwerderecht bei Aufsichtsbehörde
2. Zum Zeitpunkt der Erhebung bereitstellen
3. Aktualisierungen kommunizieren
evidence_needed:
- "Aktuelle Datenschutzerklärung"
- "Changelog der Datenschutzerklärung"
- "Nachweis der Bereitstellung"
effort: medium
gdpr_ref: "Art. 13, Art. 14 DSGVO"
related_controls: [CTRL-AI-TRANSPARENCY, CTRL-VVT]
CTRL-AI-TRANSPARENCY:
id: CTRL-AI-TRANSPARENCY
title: "KI-Transparenz-Hinweis"
category: AI_Act
description: |
Nutzer darüber informieren, dass sie mit einem KI-System interagieren.
when_applicable: |
- Chatbots und virtuelle Assistenten
- KI-generierte Inhalte (Text, Bild, Audio)
- Automatisierte Entscheidungssysteme
what_to_do: |
1. Klare Kennzeichnung bei KI-Interaktion
- "Sie chatten mit einem KI-Assistenten"
- Badge/Label bei KI-generierten Inhalten
2. Information über Grenzen der KI
3. Möglichkeit zur menschlichen Unterstützung
4. Bei Deepfakes: Watermarking
evidence_needed:
- "Screenshots der KI-Hinweise"
- "Dokumentation der Kennzeichnungsstrategie"
effort: low
gdpr_ref: "Art. 52 AI Act, Art. 13/14 DSGVO"
related_controls: [CTRL-TRANSPARENCY-INFO, CTRL-CONTESTATION]
# ---------------------------------------------------------------------------
# 3. Betroffenenrechte
# ---------------------------------------------------------------------------
CTRL-CONTESTATION:
id: CTRL-CONTESTATION
title: "Anfechtungsrecht bei automatisierten Entscheidungen"
category: DSGVO
description: |
Betroffene können automatisierte Entscheidungen anfechten
und eine menschliche Überprüfung verlangen.
when_applicable: |
- Automatisierte Entscheidungen mit rechtlicher Wirkung
- Scoring/Profiling mit erheblicher Beeinträchtigung
- Auch bei teilautomatisierten Entscheidungen
what_to_do: |
1. Anfechtungsmechanismus bereitstellen
- Kontaktformular oder E-Mail
- Maximale Bearbeitungszeit: 1 Monat
2. Menschliche Überprüfung sicherstellen
3. Entscheidung erklären können
4. Prozess dokumentieren
evidence_needed:
- "Anfechtungsprozess dokumentiert"
- "Nachweis menschlicher Überprüfung"
- "Bearbeitungszeiten (SLA)"
effort: medium
gdpr_ref: "Art. 22(3) DSGVO"
related_controls: [CTRL-HITL, CTRL-AI-TRANSPARENCY]
CTRL-DSR-PROCESS:
id: CTRL-DSR-PROCESS
title: "Betroffenenrechte-Prozess"
category: DSGVO
description: |
Prozess zur Bearbeitung von Betroffenenanfragen
(Auskunft, Löschung, Berichtigung, etc.).
when_applicable: |
- Immer bei personenbezogenen Daten
- Anfragen nach Art. 15-22 DSGVO
what_to_do: |
1. Anfrage-Kanal bereitstellen (E-Mail, Formular)
2. Identitätsprüfung implementieren
3. Bearbeitungs-Workflow etablieren:
- Fristüberwachung (max. 1 Monat)
- Eskalation bei Verzögerung
- Dokumentation
4. Technische Umsetzung sicherstellen:
- Datenexport (Art. 15, Art. 20)
- Löschfunktion (Art. 17)
- Berichtigungsfunktion (Art. 16)
evidence_needed:
- "DSR-Workflow dokumentiert"
- "Bearbeitungsstatistiken"
- "Technische Export/Lösch-Dokumentation"
effort: medium
gdpr_ref: "Art. 15-22 DSGVO"
related_controls: [CTRL-RETENTION, CTRL-VVT]
# ---------------------------------------------------------------------------
# 4. Datenschutz-Folgenabschätzung
# ---------------------------------------------------------------------------
CTRL-DSFA:
id: CTRL-DSFA
title: "Datenschutz-Folgenabschätzung (DSFA)"
category: DSGVO
description: |
Formale Risikoanalyse vor Beginn einer Verarbeitung
mit voraussichtlich hohem Risiko.
when_applicable: |
- Systematische Bewertung/Scoring von Personen
- Umfangreiche Verarbeitung besonderer Kategorien
- Systematische Überwachung öffentlicher Bereiche
- Neue Technologien mit hohem Risiko
- Profiling mit erheblicher Auswirkung
what_to_do: |
1. Verarbeitung systematisch beschreiben
2. Notwendigkeit und Verhältnismäßigkeit prüfen
3. Risiken für Betroffene identifizieren
4. Maßnahmen zur Risikominderung festlegen
5. Bei hohem Restrisiko: Aufsichtsbehörde konsultieren
6. DSFA dokumentieren und regelmäßig überprüfen
evidence_needed:
- "DSFA-Dokument (ausgefüllt)"
- "Risikobewertungsmatrix"
- "Maßnahmenplan"
- "Ggf. Konsultationsnachweis"
effort: high
gdpr_ref: "Art. 35, Art. 36 DSGVO"
related_controls: [CTRL-VVT, CTRL-TOM]
# ---------------------------------------------------------------------------
# 5. Dokumentation & Nachweis
# ---------------------------------------------------------------------------
CTRL-VVT:
id: CTRL-VVT
title: "Verarbeitungsverzeichnis (VVT)"
category: DSGVO
description: |
Dokumentation aller Verarbeitungstätigkeiten
gemäß Art. 30 DSGVO.
when_applicable: |
- Ab 250 Mitarbeitern: Immer
- Unter 250 Mitarbeitern: Bei nicht nur gelegentlicher Verarbeitung
- Bei risikobehafteter Verarbeitung
- Bei Verarbeitung besonderer Kategorien
what_to_do: |
1. Für jede Verarbeitung dokumentieren:
- Name und Kontaktdaten des Verantwortlichen
- Verarbeitungszwecke
- Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Empfänger(-kategorien)
- Drittlandübermittlungen
- Löschfristen
- TOMs (allgemeine Beschreibung)
2. Regelmäßig aktualisieren
3. Auf Anfrage der Aufsichtsbehörde bereitstellen
evidence_needed:
- "Vollständiges VVT"
- "Änderungshistorie"
effort: medium
gdpr_ref: "Art. 30 DSGVO"
related_controls: [CTRL-DSFA, CTRL-TOM, CTRL-RETENTION]
CTRL-ACCESS-LOGGING:
id: CTRL-ACCESS-LOGGING
title: "Zugriffs-Protokollierung"
category: Technical
description: |
Revisionssichere Protokollierung aller Datenzugriffe.
when_applicable: |
- Personenbezogene Daten werden verarbeitet
- Sensible oder kritische Daten
- Anforderungen aus DSFA
what_to_do: |
1. Logging-System implementieren:
- Wer (User-ID)
- Wann (Timestamp UTC)
- Was (Aktion: read, write, delete)
- Welche Daten (Ressource)
- Ergebnis (success, failure)
2. Logs unveränderbar speichern
3. Aufbewahrungsdauer festlegen (z.B. 6 Monate)
4. Regelmäßige Überprüfung (Anomalien)
evidence_needed:
- "Logging-Konzept"
- "Beispiel-Logs"
- "Audit-Berichte"
effort: low
gdpr_ref: "Art. 5(2), Art. 32 DSGVO"
related_controls: [CTRL-TOM, CTRL-ENCRYPTION]
# ---------------------------------------------------------------------------
# 6. Technische und Organisatorische Maßnahmen (TOM)
# ---------------------------------------------------------------------------
CTRL-TOM:
id: CTRL-TOM
title: "Technische und Organisatorische Maßnahmen"
category: DSGVO
description: |
Geeignete Schutzmaßnahmen zur Gewährleistung
der Datensicherheit nach Art. 32 DSGVO.
when_applicable: |
- Immer bei personenbezogenen Daten
- Umfang richtet sich nach Risiko
what_to_do: |
1. Pseudonymisierung und Verschlüsselung
2. Vertraulichkeit, Integrität, Verfügbarkeit sichern
3. Belastbarkeit der Systeme
4. Wiederherstellbarkeit nach Vorfall
5. Regelmäßige Überprüfung und Evaluierung
evidence_needed:
- "TOM-Dokumentation"
- "Sicherheitskonzept"
- "Penetrationstest-Berichte"
effort: medium
gdpr_ref: "Art. 32 DSGVO"
related_controls: [CTRL-ENCRYPTION, CTRL-ACCESS-LOGGING, CTRL-PSEUDONYMIZATION]
CTRL-ENCRYPTION:
id: CTRL-ENCRYPTION
title: "Verschlüsselung"
category: Technical
description: |
Daten bei Übertragung und Speicherung verschlüsseln.
when_applicable: |
- Personenbezogene Daten
- Übertragung über öffentliche Netze
- Speicherung sensibler Daten
what_to_do: |
1. Transport-Verschlüsselung (TLS 1.3)
2. Speicher-Verschlüsselung (AES-256)
3. Schlüsselmanagement etablieren
4. End-to-End-Verschlüsselung bei Bedarf
evidence_needed:
- "TLS-Konfiguration"
- "Verschlüsselungskonzept"
- "Key-Management-Dokumentation"
effort: low
gdpr_ref: "Art. 32(1)(a) DSGVO"
related_controls: [CTRL-TOM, CTRL-TECHNICAL-SUPPLEMENTARY]
CTRL-PSEUDONYMIZATION:
id: CTRL-PSEUDONYMIZATION
title: "Pseudonymisierung"
category: Technical
description: |
Verarbeitung so, dass Daten ohne zusätzliche Informationen
nicht mehr einer Person zugeordnet werden können.
when_applicable: |
- Datensparsamkeit erhöhen
- Forschung/Statistik
- KI-Training (Alternative zu echten Daten)
what_to_do: |
1. Identifizierende Merkmale durch Pseudonyme ersetzen
2. Mapping-Tabelle separat und sicher speichern
3. Zugriff auf Mapping strikt beschränken
4. Re-Identifizierungsrisiko bewerten
evidence_needed:
- "Pseudonymisierungskonzept"
- "Zugriffsbeschränkungen dokumentiert"
effort: medium
gdpr_ref: "Art. 4(5), Art. 32(1)(a) DSGVO"
related_controls: [CTRL-ANONYMIZATION, CTRL-TOM]
CTRL-ANONYMIZATION:
id: CTRL-ANONYMIZATION
title: "Anonymisierung"
category: Technical
description: |
Irreversible Entfernung aller Personenbezüge,
sodass DSGVO nicht mehr anwendbar ist.
when_applicable: |
- Langfristige Speicherung für Statistik
- KI-Training ohne Personenbezug
- Veröffentlichung von Daten
what_to_do: |
1. Alle direkten Identifikatoren entfernen
2. Quasi-Identifikatoren prüfen (k-Anonymität)
3. Re-Identifizierungsrisiko bewerten
4. Aggregation oder Rauschen hinzufügen
5. Anonymisierung dokumentieren
evidence_needed:
- "Anonymisierungsverfahren dokumentiert"
- "Re-Identifizierungsrisiko-Bewertung"
effort: high
gdpr_ref: "ErwGr. 26 DSGVO"
related_controls: [CTRL-PSEUDONYMIZATION, CTRL-PII-GATEWAY]
# ---------------------------------------------------------------------------
# 7. Aufbewahrung & Löschung
# ---------------------------------------------------------------------------
CTRL-RETENTION:
id: CTRL-RETENTION
title: "Löschkonzept / Aufbewahrungsfristen"
category: DSGVO
description: |
Definierte Aufbewahrungsfristen mit automatischer Löschung
nach Ablauf.
when_applicable: |
- Immer bei personenbezogenen Daten
- Verschiedene Fristen je nach Datenart
what_to_do: |
1. Aufbewahrungsfristen je Datenart festlegen
- Gesetzliche Mindestfristen beachten
- Nicht länger als erforderlich
2. Automatische Löschroutinen implementieren
3. Löschprotokolle führen
4. Backup-Löschung nicht vergessen
evidence_needed:
- "Löschkonzept mit Fristen"
- "Löschprotokolle"
- "Technische Umsetzung dokumentiert"
effort: medium
gdpr_ref: "Art. 5(1)(e) DSGVO"
related_controls: [CTRL-VVT, CTRL-DSR-PROCESS]
# ---------------------------------------------------------------------------
# 8. Auftragsverarbeitung & Verträge
# ---------------------------------------------------------------------------
CTRL-AVV:
id: CTRL-AVV
title: "Auftragsverarbeitungsvertrag (AVV)"
category: Contractual
description: |
Vertrag nach Art. 28 DSGVO mit jedem Auftragsverarbeiter.
when_applicable: |
- Externe Dienstleister verarbeiten Daten in Ihrem Auftrag
- Cloud-Services
- KI-Provider
- Hosting-Anbieter
what_to_do: |
1. AVV abschließen mit:
- Gegenstand und Dauer
- Art und Zweck der Verarbeitung
- Kategorien von Daten und Betroffenen
- Weisungsbindung
- Vertraulichkeit
- TOMs
- Unterauftragsverarbeiter-Regelung
- Unterstützungspflichten
- Löschung/Rückgabe
2. Regelmäßig überprüfen
evidence_needed:
- "Unterzeichneter AVV"
- "TOM-Anlage"
- "Subprocessor-Liste"
effort: medium
gdpr_ref: "Art. 28 DSGVO"
related_controls: [CTRL-SCC, CTRL-SUBPROCESSOR-MANAGEMENT]
CTRL-SUBPROCESSOR-MANAGEMENT:
id: CTRL-SUBPROCESSOR-MANAGEMENT
title: "Unterauftragsverarbeiter-Management"
category: Contractual
description: |
Übersicht und Kontrolle aller Unterauftragsverarbeiter.
when_applicable: |
- Auftragsverarbeiter setzen Subunternehmer ein
- Cloud-Anbieter mit mehreren Subprocessors
what_to_do: |
1. Vollständige Liste aller Subprocessors einholen
2. Standorte und Zwecke dokumentieren
3. Änderungsbenachrichtigung vereinbaren
4. Widerspruchsrecht sichern
5. SCC-Kette bei Drittländern prüfen
evidence_needed:
- "Aktuelle Subprocessor-Liste"
- "Nachweis Änderungsbenachrichtigung"
effort: low
gdpr_ref: "Art. 28(2), Art. 28(4) DSGVO"
related_controls: [CTRL-AVV, CTRL-SCC-SUBPROCESSOR]
# ---------------------------------------------------------------------------
# 9. Drittlandtransfer & SCC
# ---------------------------------------------------------------------------
CTRL-SCC:
id: CTRL-SCC
title: "Standardvertragsklauseln (SCC)"
category: Contractual
description: |
EU-Standardvertragsklauseln für Drittlandtransfers
nach Art. 46(2)(c) DSGVO.
when_applicable: |
- Datenübermittlung in Drittländer ohne Angemessenheitsbeschluss
- US-Anbieter ohne DPF-Zertifizierung
- Drittland-Support mit Datenzugriff
what_to_do: |
1. Korrektes SCC-Modul wählen:
- Modul 1: C2C (Controller to Controller)
- Modul 2: C2P (Controller to Processor)
- Modul 3: P2P (Processor to Processor)
- Modul 4: P2C (Processor to Controller)
2. Annex I ausfüllen (Parteien, Datenexport)
3. Annex II ausfüllen (TOMs)
4. Von beiden Parteien unterzeichnen
5. Als Anlage zum AVV hinzufügen
evidence_needed:
- "Unterzeichnete SCC (PDF)"
- "Ausgefüllte Annexe"
- "Modulauswahl-Begründung"
effort: medium
gdpr_ref: "Art. 46(2)(c) DSGVO, EU 2021/914"
related_controls: [CTRL-TIA, CTRL-AVV, CTRL-SCC-VERSION]
CTRL-SCC-VERSION:
id: CTRL-SCC-VERSION
title: "Aktuelle SCC-Version prüfen"
category: Contractual
description: |
Sicherstellen, dass die neuen SCC von Juni 2021 verwendet werden.
when_applicable: |
- Bestehende SCC-Verträge prüfen
- Alte SCC (vor 2021) ersetzen
what_to_do: |
1. Prüfen welche SCC-Version im Einsatz
2. Alte Versionen identifizieren
3. Migration auf neue SCC (EU 2021/914) planen
4. Frist: Alte SCC sind seit 27.12.2022 ungültig!
evidence_needed:
- "Inventar aller SCC-Verträge"
- "Versionsnachweis"
effort: low
gdpr_ref: "EU 2021/914"
related_controls: [CTRL-SCC]
CTRL-TIA:
id: CTRL-TIA
title: "Transfer Impact Assessment (TIA)"
category: Contractual
description: |
Bewertung der Risiken bei Drittlandtransfer
(seit Schrems II Pflicht).
when_applicable: |
- Jeder Drittlandtransfer ohne Angemessenheitsbeschluss
- USA (auch mit DPF - empfohlen)
- Drittländer mit fraglicher Rechtslage
what_to_do: |
1. Transferumstände dokumentieren:
- Welche Daten?
- Welches Drittland?
- Welche Rechtsgrundlage (SCC, BCR)?
2. Rechtslage im Drittland prüfen:
- Behördenzugriff (z.B. FISA 702, Cloud Act)
- Rechtsschutzmöglichkeiten für EU-Bürger
3. Bewertung vornehmen:
- Reichen SCC allein?
- Zusatzmaßnahmen erforderlich?
4. Ergebnis dokumentieren
5. Regelmäßig (jährlich) überprüfen
evidence_needed:
- "TIA-Dokument (ausgefüllt)"
- "Länder-Risikobewertung"
- "Nachweis Zusatzmaßnahmen"
effort: high
gdpr_ref: "EuGH Schrems II (C-311/18), EDPB Recommendations 01/2020"
related_controls: [CTRL-SCC, CTRL-TECHNICAL-SUPPLEMENTARY]
CTRL-DPF-CHECK:
id: CTRL-DPF-CHECK
title: "Data Privacy Framework Zertifizierung prüfen"
category: Contractual
description: |
Prüfung ob US-Anbieter unter dem EU-US Data Privacy Framework
zertifiziert ist.
when_applicable: |
- Übermittlung an US-Empfänger
- US-Cloud-Anbieter
what_to_do: |
1. DPF-Liste auf dataprivacyframework.gov prüfen
2. Exakten Firmennamen suchen
3. Aktiven Zertifizierungsstatus bestätigen
4. Ergebnis dokumentieren mit Datum
5. Bei Zertifizierung: SCC optional (aber empfohlen)
6. Ohne Zertifizierung: SCC zwingend erforderlich
evidence_needed:
- "Screenshot DPF-Zertifizierungsstatus"
- "Prüfdatum dokumentiert"
effort: low
gdpr_ref: "EU-US Data Privacy Framework Beschluss 2023"
related_controls: [CTRL-SCC, CTRL-TIA]
CTRL-SCC-SUBPROCESSOR:
id: CTRL-SCC-SUBPROCESSOR
title: "SCC für Unterauftragsverarbeiter"
category: Contractual
description: |
SCC-Kette zu allen Unterauftragsverarbeitern im Drittland.
when_applicable: |
- Subprocessors im Drittland (z.B. US-Cloud-Infrastruktur)
- Multi-Cloud-Setups mit Drittland-Komponenten
what_to_do: |
1. Subprocessor-Liste mit Standorten einholen
2. Für jeden Drittland-Subprocessor prüfen:
- DPF-Zertifizierung?
- SCC vorhanden?
3. Vertragliche Weitergabe der Pflichten sicherstellen
4. Bei Lücken: Anbieter kontaktieren oder wechseln
evidence_needed:
- "Subprocessor-Liste mit Standorten"
- "SCC/DPF-Nachweis pro Drittland-Subprocessor"
effort: medium
gdpr_ref: "Art. 28(4), Art. 46 DSGVO"
related_controls: [CTRL-SCC, CTRL-SUBPROCESSOR-MANAGEMENT]
CTRL-TECHNICAL-SUPPLEMENTARY:
id: CTRL-TECHNICAL-SUPPLEMENTARY
title: "Technische Zusatzmaßnahmen bei Drittlandtransfer"
category: Technical
description: |
Ergänzende technische Schutzmaßnahmen wenn SCC allein
nicht ausreichen (TIA-Ergebnis: Defizite).
when_applicable: |
- TIA zeigt unzureichendes Schutzniveau
- Behördenzugriff im Drittland möglich
- Daten besonders schutzbedürftig
what_to_do: |
1. Ende-zu-Ende-Verschlüsselung implementieren
- Schlüssel nur beim Datenexporteur (EU)
- Importeur kann Klartext nicht lesen
2. Pseudonymisierung vor Transfer
- Mapping-Tabelle verbleibt im EWR
3. Logging aller Drittland-Zugriffe
4. Maßnahmen dokumentieren
evidence_needed:
- "Verschlüsselungskonzept"
- "Pseudonymisierungskonzept"
- "Zugriffsprotokollierung"
effort: high
gdpr_ref: "EDPB Recommendations 01/2020"
related_controls: [CTRL-TIA, CTRL-ENCRYPTION, CTRL-PSEUDONYMIZATION]
# ---------------------------------------------------------------------------
# 10. KI-spezifische Maßnahmen
# ---------------------------------------------------------------------------
CTRL-HITL:
id: CTRL-HITL
title: "Human-in-the-Loop erzwingen"
category: AI_Act
description: |
Technisch erzwungene menschliche Überprüfung
bei automatisierten Entscheidungen.
when_applicable: |
- Automatisierte Entscheidungen mit rechtlicher Wirkung
- Art. 22 DSGVO Risiko
- High-Risk AI nach AI Act
what_to_do: |
1. Workflow-Unterbrechung einbauen
- KI liefert Vorschlag
- Mensch muss bestätigen/ablehnen
2. Technische Umsetzung:
- Approval-Queue
- Keine automatische Weiterleitung
3. Nachweis der menschlichen Prüfung (Log)
4. Kompetenz der Prüfer sicherstellen
evidence_needed:
- "HITL-Workflow dokumentiert"
- "Technische Implementierung"
- "Prüfer-Logs"
effort: medium
gdpr_ref: "Art. 22(3) DSGVO, Art. 14 AI Act"
related_controls: [CTRL-CONTESTATION, CTRL-AI-TRANSPARENCY]
CTRL-NO-TRAINING:
id: CTRL-NO-TRAINING
title: "Kein Training mit Nutzerdaten"
category: AI_Act
description: |
Vertragliche Zusicherung, dass Anbieter Nutzerdaten
nicht für eigenes Modell-Training verwendet.
when_applicable: |
- KI-Provider (OpenAI, Anthropic, etc.)
- SaaS-KI-Dienste
- Chatbot-Plattformen
what_to_do: |
1. AGB/DPA prüfen auf Training-Klausel
2. Opt-Out beantragen wenn nicht Standard
3. Schriftliche Bestätigung einholen
4. Im AVV festhalten
evidence_needed:
- "Opt-Out-Bestätigung"
- "Relevante Vertragsklausel"
effort: low
gdpr_ref: "Art. 5(1)(b) DSGVO (Zweckbindung)"
related_controls: [CTRL-AVV, CTRL-PII-GATEWAY]
CTRL-PII-GATEWAY:
id: CTRL-PII-GATEWAY
title: "PII-Redaction Gateway"
category: Technical
description: |
Automatische Erkennung und Redaction personenbezogener
Daten vor Übermittlung an KI.
when_applicable: |
- KI-Prompts können PII enthalten
- Externe KI-APIs (OpenAI, etc.)
- Log-Analyse mit KI
what_to_do: |
1. PII-Detector implementieren (NER, Regex, ML)
2. Erkannte PII maskieren oder entfernen
3. Placeholder einfügen ("[NAME]", "[E-MAIL]")
4. Logging der Redactions
5. False-Positive-Rate überwachen
evidence_needed:
- "PII-Gateway-Dokumentation"
- "Erkennungsgenauigkeit"
- "Beispiel-Redactions"
effort: medium
gdpr_ref: "Art. 25, Art. 32 DSGVO"
related_controls: [CTRL-ANONYMIZATION, CTRL-PSEUDONYMIZATION]
CTRL-AI-RISK-CLASSIFICATION:
id: CTRL-AI-RISK-CLASSIFICATION
title: "KI-Risikoeinstufung nach AI Act"
category: AI_Act
description: |
Prüfung ob das KI-System unter die Hochrisiko-Kategorie
des AI Act fällt.
when_applicable: |
- Alle KI-Systeme in der EU
- Vor Inbetriebnahme prüfen
what_to_do: |
1. Anhang III AI Act prüfen:
- Biometrie, Kritische Infrastruktur
- Bildung, Beschäftigung
- Wesentliche Dienste, Strafverfolgung
- Migration, Justiz
2. Bei Hochrisiko: Konformitätsbewertung
3. Dokumentation der Einstufung
evidence_needed:
- "Risikoeinstufungs-Dokument"
- "Begründung bei Nicht-Hochrisiko"
effort: low
gdpr_ref: "Art. 6, Anhang III AI Act"
related_controls: [CTRL-DSFA, CTRL-HITL]
CTRL-AI-DOCUMENTATION:
id: CTRL-AI-DOCUMENTATION
title: "KI-System-Dokumentation"
category: AI_Act
description: |
Technische Dokumentation des KI-Systems
nach AI Act Anforderungen.
when_applicable: |
- High-Risk AI Systeme
- Empfohlen auch für andere KI
what_to_do: |
1. System-Beschreibung erstellen
2. Trainingsdaten dokumentieren
3. Leistungsmetriken festhalten
4. Risikomanagement dokumentieren
5. Qualitätsmanagement-System
6. Logs und Monitoring
evidence_needed:
- "Technische Dokumentation"
- "Trainingsdaten-Dokumentation"
- "Leistungskennzahlen"
effort: high
gdpr_ref: "Art. 11, Art. 12 AI Act"
related_controls: [CTRL-AI-RISK-CLASSIFICATION, CTRL-DSFA]
# ---------------------------------------------------------------------------
# 11. Branchenspezifische Maßnahmen
# ---------------------------------------------------------------------------
CTRL-MINOR-PROTECTION:
id: CTRL-MINOR-PROTECTION
title: "Minderjährigenschutz"
category: DSGVO
description: |
Besondere Schutzmaßnahmen für Daten von Minderjährigen.
when_applicable: |
- Dienste für Kinder/Jugendliche
- Bildungssektor
- Gaming/Social Media für unter 18
what_to_do: |
1. Kein Training mit Daten Minderjähriger
2. Erhöhte Löschpflichten beachten
3. Kindgerechte Kommunikation
4. Reduzierte Datenerhebung
5. Keine Profiling-Nutzung
evidence_needed:
- "Schutzkonzept Minderjährige"
- "Altersverifikation"
effort: medium
gdpr_ref: "Art. 8 DSGVO, ErwGr. 38"
related_controls: [CTRL-CONSENT-PARENTAL, CTRL-NO-TRAINING]
CTRL-CCTV-PRIVACY:
id: CTRL-CCTV-PRIVACY
title: "Videoüberwachung Datenschutz"
category: DSGVO
description: |
Datenschutzkonforme Gestaltung von Videoüberwachung.
when_applicable: |
- CCTV/Videoüberwachung
- Parkhaussysteme mit Kameras
- Arbeitsplatzüberwachung
what_to_do: |
1. Hinweisschilder aufstellen (vor Überwachungsbereich)
2. Interessenabwägung dokumentieren
3. Speicherdauer minimieren (max. 72h empfohlen)
4. Zugriff strikt beschränken
5. Bei Gesichtserkennung: Art. 9 beachten
evidence_needed:
- "Interessenabwägung dokumentiert"
- "Hinweisschild-Fotos"
- "Löschkonzept Video"
effort: medium
gdpr_ref: "Art. 6(1)(f) DSGVO, §4 BDSG"
related_controls: [CTRL-RETENTION, CTRL-FACE-BLURRING]
CTRL-FACE-BLURRING:
id: CTRL-FACE-BLURRING
title: "Gesichts-Unkenntlichmachung"
category: Technical
description: |
Automatische Verpixelung oder Unschärfung von Gesichtern
in Videoaufnahmen.
when_applicable: |
- Videoüberwachung öffentlicher Bereiche
- Gesichtserkennung nicht erforderlich
- Datensparsamkeit erhöhen
what_to_do: |
1. Gesichtserkennungs-Algorithmus einsetzen
2. Echtzeit-Blurring implementieren
3. Nur anonymisierte Aufnahmen speichern
4. Genauigkeit regelmäßig prüfen
evidence_needed:
- "Blurring-Lösung dokumentiert"
- "Beispiel-Screenshots"
effort: medium
gdpr_ref: "Art. 25 DSGVO (Privacy by Design)"
related_controls: [CTRL-CCTV-PRIVACY, CTRL-ANONYMIZATION]
CTRL-LP-ANONYMIZATION:
id: CTRL-LP-ANONYMIZATION
title: "Kennzeichen-Anonymisierung"
category: Technical
description: |
Automatische Unkenntlichmachung von KFZ-Kennzeichen.
when_applicable: |
- Parkhaus-Systeme
- Verkehrsüberwachung
- Wenn Halteridentifikation nicht erforderlich
what_to_do: |
1. OCR nur für Berechtigungsprüfung
2. Nach Prüfung: Kennzeichen löschen oder anonymisieren
3. Nur Hash oder Partial-Match speichern
4. Keine Bewegungsprofile erstellen
evidence_needed:
- "Anonymisierungskonzept"
- "Speicherfristen dokumentiert"
effort: low
gdpr_ref: "Art. 5(1)(c), (e) DSGVO"
related_controls: [CTRL-RETENTION, CTRL-CCTV-PRIVACY]
# =============================================================================
# METADATA
# =============================================================================
metadata:
total_controls: 30
categories:
- DSGVO
- AI_Act
- Technical
- Contractual
effort_distribution:
low: 8
medium: 14
high: 8
primary_regulations:
- "DSGVO (EU 2016/679)"
- "AI Act (EU 2024/xxx)"
- "BDSG"
- "EU 2021/914 (SCC)"

801
ai-compliance-sdk/policies/eprivacy_corpus.yaml Normal file
View File

@@ -0,0 +1,801 @@
# =============================================================================
# ePrivacy Corpus - Richtlinie 2002/58/EG
# Fuer Legal RAG Integration
# Version: 1.0
# Stand: Januar 2026
# =============================================================================
version: "1.0"
jurisdiction: EU
last_updated: "2026-01-29"
description: "Rechtliche Informationen zur ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ueber die Verarbeitung personenbezogener Daten und den Schutz der Privatsphaere in der elektronischen Kommunikation"
# =============================================================================
# GRUNDLAGEN
# =============================================================================
fundamentals:
eprivacy_definition:
id: EPRIV-DEF-001
topic: "Was ist die ePrivacy-Richtlinie?"
content: |
Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ist eine EU-Richtlinie, die
spezifische Datenschutzregeln fuer den Bereich der elektronischen Kommunikation
festlegt. Sie ergaenzt die DSGVO als "lex specialis" fuer diesen Bereich.
Offizieller Titel: "Richtlinie 2002/58/EG des Europaeischen Parlaments und
des Rates vom 12. Juli 2002 ueber die Verarbeitung personenbezogener Daten
und den Schutz der Privatsphaere in der elektronischen Kommunikation"
Die Richtlinie wurde mehrfach geaendert:
- 2006 durch Richtlinie 2006/24/EG (Vorratsdatenspeicherung, spaeter aufgehoben)
- 2009 durch Richtlinie 2009/136/EG ("Cookie-Richtlinie")
WICHTIG: Die ePrivacy-Verordnung (ePVO) soll die Richtlinie ersetzen,
ist aber Stand 2026 noch nicht in Kraft getreten.
legal_refs:
- "Richtlinie 2002/58/EG"
- "Richtlinie 2009/136/EG"
- "DSGVO Art. 95 (Verhaeltnis zu ePrivacy)"
keywords: ["ePrivacy", "E-Privacy", "2002/58/EG", "Cookie-Richtlinie"]
scope_of_application:
id: EPRIV-DEF-002
topic: "Anwendungsbereich der ePrivacy-Richtlinie"
content: |
Die ePrivacy-Richtlinie gilt fuer:
1. ANBIETER OEFFENTLICHER KOMMUNIKATIONSDIENSTE
- Telekommunikationsunternehmen
- Internet Service Provider
- E-Mail-Dienste
- Messenger-Dienste (umstritten)
2. BETREIBER VON WEBSITES UND APPS
- Cookies und aehnliche Technologien
- Online-Tracking
- Direktwerbung per E-Mail
3. JEDE VERARBEITUNG VON
- Verkehrsdaten
- Standortdaten
- Kommunikationsinhalten
NICHT anwendbar auf:
- Rein unternehmensinterne Kommunikationssysteme
- Nationale Sicherheit und Strafverfolgung (Ausnahmen)
legal_refs:
- "Art. 3 Richtlinie 2002/58/EG"
keywords: ["Anwendungsbereich", "Telekommunikation", "ISP"]
relationship_gdpr:
id: EPRIV-DEF-003
topic: "Verhaeltnis zur DSGVO"
content: |
Die ePrivacy-Richtlinie steht in einem besonderen Verhaeltnis zur DSGVO:
GRUNDSATZ (Art. 95 DSGVO):
Die DSGVO erlegt Anbietern oeffentlicher Kommunikationsdienste keine
zusaetzlichen Pflichten auf, soweit die ePrivacy-Richtlinie dieselbe
Zielsetzung verfolgt.
PRAKTISCHE BEDEUTUNG:
1. ePrivacy als "lex specialis"
- Fuer elektronische Kommunikation gelten primaer ePrivacy-Regeln
- DSGVO gilt ergaenzend, wo ePrivacy keine Regelung trifft
2. Cookie-Consent
- Art. 5 Abs. 3 ePrivacy regelt Cookies VORRANGIG
- DSGVO-Einwilligung gilt ZUSAETZLICH fuer personenbezogene Daten
3. Sanktionen
- DSGVO-Bussgelder (bis 20 Mio. / 4% Umsatz) gelten NICHT direkt
- Nationale Umsetzungsgesetze haben eigene Sanktionen
WICHTIG: Bei Cookies ist BEIDES erforderlich:
- ePrivacy-Einwilligung (fuer Zugriff auf Geraet)
- DSGVO-Rechtsgrundlage (fuer Verarbeitung personenbezogener Daten)
legal_refs:
- "DSGVO Art. 95"
- "ErwGr. 173 DSGVO"
- "EuGH Planet49 (C-673/17)"
keywords: ["DSGVO", "lex specialis", "Art. 95"]
# =============================================================================
# COOKIES UND TRACKING (Art. 5 Abs. 3)
# =============================================================================
cookies:
cookie_consent_rule:
id: EPRIV-COOK-001
topic: "Cookie-Einwilligungsregel (Art. 5 Abs. 3)"
content: |
Art. 5 Abs. 3 der ePrivacy-Richtlinie regelt den Zugriff auf Endgeraete:
GRUNDSATZ:
Die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte
Informationen im Endgeraet eines Nutzers ist NUR zulaessig, wenn:
1. Der Nutzer VORHER informiert wurde (Transparenz)
2. Der Nutzer seine EINWILLIGUNG gegeben hat (Opt-In)
AUSNAHMEN (KEINE Einwilligung erforderlich):
a) TECHNISCH NOTWENDIGE COOKIES
- Fuer die Uebertragung einer Nachricht erforderlich
- Beispiel: Load Balancer Cookies
b) UNBEDINGT ERFORDERLICHE COOKIES
- Vom Nutzer ausdruecklich gewuenscht
- Fuer einen Dienst, den der Nutzer ausdruecklich angefordert hat
- Beispiele:
* Warenkorb-Cookies
* Login-Session-Cookies
* Spracheinstellungen
* Cookie-Consent-Cookie selbst
WICHTIG: Die Ausnahmen sind ENG auszulegen!
- Analytics-Cookies: KEINE Ausnahme, Einwilligung erforderlich
- Marketing-Cookies: KEINE Ausnahme, Einwilligung erforderlich
- Social Media Plugins: KEINE Ausnahme, Einwilligung erforderlich
legal_refs:
- "Art. 5 Abs. 3 Richtlinie 2002/58/EG"
- "EuGH Planet49 (C-673/17)"
- "ErwGr. 66 Richtlinie 2009/136/EG"
keywords: ["Cookie", "Einwilligung", "Art. 5 Abs. 3", "technisch notwendig"]
cookie_consent_requirements:
id: EPRIV-COOK-002
topic: "Anforderungen an Cookie-Einwilligung"
content: |
Die Einwilligung nach Art. 5 Abs. 3 ePrivacy muss den DSGVO-Standards
entsprechen (Verweis auf Definition in DSGVO):
ANFORDERUNGEN:
1. FREIWILLIG
- Keine Nachteile bei Ablehnung
- Kein "Cookie Wall" (umstritten, nationale Unterschiede)
- Gleichwertige Ablehnungsoption
2. INFORMIERT
- Klare Information VORHER
- Welche Cookies, welcher Zweck
- Wer erhaelt Zugriff (Dritte)
- Speicherdauer
3. AKTIVE HANDLUNG
- Opt-In erforderlich (EuGH Planet49)
- Vorausgewaehlte Checkboxen sind UNGUELTIG
- Weitersurfen ist KEINE Einwilligung
4. SPEZIFISCH
- Getrennte Einwilligung pro Zweck
- "Alle akzeptieren" muss gleichwertig zu "Alle ablehnen" sein
5. WIDERRUFBAR
- Jederzeitiger Widerruf muss moeglich sein
- So einfach wie die Erteilung
CONSENT MANAGEMENT PLATFORM (CMP):
Professionelle Cookie-Banner muessen:
- Alle Kategorien einzeln anwaehlbar machen
- "Ablehnen" gleichwertig prominent anbieten
- Consent dokumentieren (Nachweis)
- Widerruf ermoeglichen
legal_refs:
- "Art. 5 Abs. 3 i.V.m. Art. 2 lit. f Richtlinie 2002/58/EG"
- "DSGVO Art. 4 Nr. 11 (Definition Einwilligung)"
- "DSGVO Art. 7 (Bedingungen Einwilligung)"
- "EuGH Planet49 (C-673/17)"
keywords: ["Einwilligung", "Opt-In", "Cookie-Banner", "CMP"]
cookie_categories:
id: EPRIV-COOK-003
topic: "Cookie-Kategorien und Einwilligungspflicht"
content: |
Uebersicht der Cookie-Kategorien und Einwilligungspflicht:
KATEGORIE 1: TECHNISCH NOTWENDIG (KEINE Einwilligung)
- Session-Cookies fuer Login
- Warenkorb-Cookies
- Load-Balancer-Cookies
- CSRF-Token-Cookies
- Cookie-Consent-Cookie
- Spracheinstellungs-Cookies
- Barrierefreiheits-Cookies
KATEGORIE 2: FUNKTIONAL (Einwilligung ERFORDERLICH)
- Praeferenz-Cookies (Design, Layout)
- Video-Player-Einstellungen
- Chat-Widget-Cookies
- Formular-Autofill-Cookies
KATEGORIE 3: ANALYTICS (Einwilligung ERFORDERLICH)
- Google Analytics
- Matomo/Piwik
- Hotjar, Crazy Egg
- Performance-Messung
SONDERFALL: Analytics ohne Einwilligung (UMSTRITTEN!)
- Matomo ohne Cookies und mit IP-Anonymisierung
- Serverseitige Analytics
- Aggregierte Statistiken
- Nationale Behoerden haben unterschiedliche Meinungen!
KATEGORIE 4: MARKETING/WERBUNG (Einwilligung ERFORDERLICH)
- Retargeting-Cookies
- Google Ads/Meta Pixel
- Affiliate-Tracking
- Cross-Site-Tracking
KATEGORIE 5: SOCIAL MEDIA (Einwilligung ERFORDERLICH)
- Facebook Like Button
- Twitter Widgets
- LinkedIn Plugins
- Embedded Content von Dritten
legal_refs:
- "Art. 5 Abs. 3 Richtlinie 2002/58/EG"
- "DSK Orientierungshilfe Telemedien (2022)"
- "CNIL Guidelines on Cookies (2020)"
keywords: ["Cookie-Kategorien", "Analytics", "Marketing", "Social Media"]
local_ai_scenario:
id: EPRIV-COOK-004
topic: "Szenario: Lokale KI-Anwendung (On-Premises)"
content: |
Bei einer lokalen KI-Anwendung wie BreakPilot (On-Premises auf Mac Studio):
GRUNDSAETZLICH:
1. KEIN externer Cookie-Zugriff
- Alle Verarbeitung lokal auf Schulserver
- Keine Cookies an Dritte
- Keine Tracking-Pixel
2. TECHNISCH NOTWENDIGE COOKIES
- Session-Cookies fuer Login: KEINE Einwilligung
- CSRF-Schutz: KEINE Einwilligung
- Benutzereinstellungen (Sprache): Grauzone, besser Einwilligung
3. ANALYTICS
- Interne Nutzungsstatistiken (serverseitig): Kein ePrivacy-Problem
- Falls Cookie-basiert: Einwilligung erforderlich
- Empfehlung: Serverseitige Logs statt Cookies
EMPFEHLUNG FUER BREAKPILOT:
□ Nur Session-Cookies fuer Login verwenden
□ Keine Analytics-Cookies
□ Keine Third-Party-Einbindungen
□ Einfaches Cookie-Banner mit Hinweis auf notwendige Cookies
□ Datenschutzerklaerung mit Cookie-Informationen
VORTEIL:
Durch rein lokale Verarbeitung entfallen die meisten
ePrivacy-Probleme automatisch!
legal_refs:
- "Art. 5 Abs. 3 Richtlinie 2002/58/EG"
keywords: ["lokal", "On-Premises", "Session-Cookie"]
# =============================================================================
# VERKEHRSDATEN (Art. 6)
# =============================================================================
traffic_data:
traffic_data_definition:
id: EPRIV-TRAF-001
topic: "Was sind Verkehrsdaten?"
content: |
Verkehrsdaten (Art. 2 lit. b) sind Daten, die zum Zwecke der Weiterleitung
einer Nachricht oder zum Zwecke der Fakturierung verarbeitet werden:
BEISPIELE:
1. Bei TELEFONIE
- Rufnummern (Anrufer und Angerufener)
- Datum und Uhrzeit
- Dauer des Gespraechs
- Art des Dienstes (Sprache, SMS)
2. Bei INTERNET
- IP-Adressen (dynamisch und statisch)
- Zeitpunkt der Verbindung
- Datenvolumen
- Geraetekennungen (MAC-Adresse, IMEI)
3. Bei E-MAIL
- E-Mail-Adressen (Sender, Empfaenger)
- Zeitstempel
- Betreffzeile (umstritten - eher Inhaltsdaten)
ABGRENZUNG:
- INHALTSDATEN: Der eigentliche Inhalt der Kommunikation (strenger Schutz)
- VERKEHRSDATEN: Metadaten der Kommunikation (weniger streng)
- STANDORTDATEN: Geografische Position (gesondert geregelt)
legal_refs:
- "Art. 2 lit. b Richtlinie 2002/58/EG"
- "Art. 6 Richtlinie 2002/58/EG"
keywords: ["Verkehrsdaten", "Metadaten", "IP-Adresse", "Traffic Data"]
traffic_data_processing:
id: EPRIV-TRAF-002
topic: "Verarbeitung von Verkehrsdaten (Art. 6)"
content: |
Die Verarbeitung von Verkehrsdaten ist streng geregelt:
GRUNDSATZ (Art. 6 Abs. 1):
Verkehrsdaten muessen GELOESCHT oder ANONYMISIERT werden,
sobald sie fuer die Uebertragung nicht mehr benoetigt werden.
AUSNAHMEN:
1. ABRECHNUNG (Art. 6 Abs. 2)
- Verarbeitung fuer Rechnungsstellung zulaessig
- Nur bis Ende der Frist fuer Rechnungsanfechtung
- In Deutschland: 6 Monate
2. VERMARKTUNG VON DIENSTEN (Art. 6 Abs. 3)
- Nur mit EINWILLIGUNG des Teilnehmers
- Nur fuer Vermarktung von Telekommunikationsdiensten
- Jederzeit widerrufbar
3. MEHRWERTDIENSTE (Art. 6 Abs. 4)
- Mit Einwilligung fuer elektronische Mehrwertdienste
- Nutzer muss informiert werden
- Zeitlicher Rahmen definiert
WICHTIG FUER ANBIETER:
- Technische Vorkehrungen zur automatischen Loeschung
- Dokumentation der Loeschfristen
- Keine Speicherung "auf Vorrat" ohne Rechtsgrundlage
legal_refs:
- "Art. 6 Richtlinie 2002/58/EG"
- "EuGH Vorratsdatenspeicherung (verbundene Rs. C-293/12 und C-594/12)"
keywords: ["Verkehrsdaten", "Loeschung", "Abrechnung"]
# =============================================================================
# STANDORTDATEN (Art. 9)
# =============================================================================
location_data:
location_data_rules:
id: EPRIV-LOC-001
topic: "Verarbeitung von Standortdaten (Art. 9)"
content: |
Standortdaten, die ueber Verkehrsdaten hinausgehen, unterliegen
besonderen Regeln nach Art. 9:
DEFINITION (Art. 2 lit. c):
Daten, die den geografischen Standort des Endgeraets eines Nutzers angeben.
GRUNDSATZ:
Verarbeitung von Standortdaten NUR zulaessig wenn:
- Anonymisiert, ODER
- Mit EINWILLIGUNG des Nutzers
ANFORDERUNGEN BEI EINWILLIGUNG:
1. VOR der Verarbeitung einzuholen
2. Umfang und Dauer der Verarbeitung angeben
3. Zweck der Verarbeitung angeben
4. Ob Daten an Dritte weitergegeben werden
5. Widerruf jederzeit moeglich
PRAKTISCHE ANWENDUNG:
- Navigationsdienste: Einwilligung erforderlich
- Standortbasierte Werbung: Einwilligung erforderlich
- Flottenmanagement: Einwilligung der Fahrer
- Find-my-Device: Einwilligung (oft Teil der Nutzungsbedingungen)
SONDERFALL: Notrufe
Standortdaten duerfen fuer Notrufdienste ohne Einwilligung
verarbeitet werden (Art. 10).
legal_refs:
- "Art. 9 Richtlinie 2002/58/EG"
- "Art. 2 lit. c Richtlinie 2002/58/EG"
keywords: ["Standortdaten", "Location Data", "GPS", "Geolocation"]
# =============================================================================
# UNERBETENE NACHRICHTEN - SPAM (Art. 13)
# =============================================================================
spam:
email_marketing_rules:
id: EPRIV-SPAM-001
topic: "E-Mail-Marketing und Direktwerbung (Art. 13)"
content: |
Art. 13 regelt die Verwendung elektronischer Kommunikation fuer
Direktwerbung:
GRUNDSATZ (Opt-In):
Die Verwendung von E-Mail, SMS, Fax oder automatischen Anrufsystemen
fuer Direktwerbung ist NUR zulaessig mit VORHERIGER EINWILLIGUNG.
AUSNAHME - BESTANDSKUNDEN (Art. 13 Abs. 2):
E-Mail-Werbung OHNE Einwilligung ist zulaessig wenn ALLE Bedingungen erfuellt:
1. Der Absender hat die E-Mail-Adresse vom Kunden selbst erhalten
2. Im Zusammenhang mit einem KAUF von Waren/Dienstleistungen
3. Die Werbung bezieht sich auf AEHNLICHE Produkte/Dienstleistungen
4. Der Kunde hatte bei Erhebung die Moeglichkeit zu widersprechen
5. Bei JEDER weiteren Nachricht: Widerspruchsmoeglichkeit (Opt-Out)
WICHTIG: Die Ausnahme ist ENG auszulegen!
- Newsletter: Einwilligung erforderlich (kein "aehnliches Produkt")
- Werbung fuer Dritte: Einwilligung erforderlich
- B2B-Kaltakquise per E-Mail: Umstritten, nationale Unterschiede
TELEFON-WERBUNG:
- Automatische Anrufsysteme: Immer Einwilligung
- Manuelle Anrufe: Nationale Regelung (in D: Einwilligung erforderlich)
ABSENDERKENNUNG:
Die Identitaet des Absenders darf NICHT verschleiert werden!
Eine gueltige Antwortadresse muss vorhanden sein.
legal_refs:
- "Art. 13 Richtlinie 2002/58/EG"
- "§ 7 UWG (Deutschland)"
- "EuGH StWL Staedtische Werke Lauf (C-102/20)"
keywords: ["E-Mail-Marketing", "Spam", "Direktwerbung", "Newsletter", "Opt-In"]
double_opt_in:
id: EPRIV-SPAM-002
topic: "Double Opt-In fuer Newsletter"
content: |
Das Double Opt-In Verfahren ist Best Practice fuer Newsletter-Anmeldungen:
ABLAUF:
1. Nutzer gibt E-Mail-Adresse ein (Single Opt-In)
2. System sendet Bestaetigungs-E-Mail mit Link
3. Nutzer klickt Link zur Bestaetigung (Double Opt-In)
4. Erst dann: Eintrag in Newsletter-Liste
VORTEILE:
- Nachweis der Einwilligung
- Schutz vor Missbrauch (fremde E-Mail-Adressen)
- Reduziert Spam-Beschwerden
- Bessere Zustellraten
ANFORDERUNGEN AN BESTAETIGUNGS-E-MAIL:
- KEINE Werbung enthalten (nur Bestaetigung)
- Klarer Hinweis auf den Zweck
- Bestaetigung muss aktiv erfolgen
- Protokollierung: IP, Zeitstempel, User-Agent
RECHTLICHE EINORDNUNG:
- Die Bestaetigungs-E-Mail selbst ist KEINE Werbung
- Aber: Nur EINE Erinnerung zulaessig
- Nach Nicht-Bestaetigung: Adresse loeschen
SPEICHERDAUER NACHWEIS:
- Einwilligungsnachweis aufbewahren
- Mindestens bis Widerruf + Verjaehrungsfrist
- In Deutschland: 3 Jahre empfohlen
legal_refs:
- "BGH I ZR 164/09 (Double Opt-In)"
- "Art. 7 Abs. 1 DSGVO (Nachweis)"
keywords: ["Double Opt-In", "Newsletter", "Bestaetigung"]
# =============================================================================
# KOMMUNIKATIONSGEHEIMNIS (Art. 5)
# =============================================================================
confidentiality:
communication_secrecy:
id: EPRIV-CONF-001
topic: "Vertraulichkeit der Kommunikation (Art. 5 Abs. 1)"
content: |
Art. 5 Abs. 1 schuetzt die Vertraulichkeit elektronischer Kommunikation:
GRUNDSATZ:
Die Mitgliedstaaten stellen die Vertraulichkeit der mit oeffentlichen
Kommunikationsnetzen uebertragenen Nachrichten sicher.
VERBOTEN IST:
- Abhoeren von Nachrichten
- Anzapfen von Leitungen
- Speicherung von Kommunikation durch Unbefugte
- Jede andere Art des Abfangens
AUSNAHMEN:
- Mit Einwilligung der betroffenen Nutzer
- Gesetzlich erlaubte Ueberwachung (Strafverfolgung)
- Technische Speicherung fuer Uebertragungszwecke
PRAKTISCHE BEDEUTUNG:
1. ARBEITGEBER
- Abhoeren von Mitarbeiter-E-Mails problematisch
- Private Nutzung verboten → mehr Spielraum
- Betriebsvereinbarung empfohlen
2. E-MAIL-PROVIDER
- Automatische Spam-Filter: Zulaessig (technisch notwendig)
- Werbefinanzierte Analyse: Einwilligung erforderlich
3. MESSENGER-DIENSTE
- Ende-zu-Ende-Verschluesselung schuetzt Vertraulichkeit
- "Client-Side Scanning" (geplant) hochumstritten
legal_refs:
- "Art. 5 Abs. 1 Richtlinie 2002/58/EG"
- "Art. 10 GG (Fernmeldegeheimnis)"
- "§ 88 TKG (Deutschland)"
keywords: ["Kommunikationsgeheimnis", "Vertraulichkeit", "Abhoeren"]
# =============================================================================
# NATIONALE UMSETZUNG (DEUTSCHLAND)
# =============================================================================
national_implementation:
germany_ttdsg:
id: EPRIV-NAT-001
topic: "Umsetzung in Deutschland: TTDSG"
content: |
In Deutschland wurde die ePrivacy-Richtlinie durch das
Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) umgesetzt.
TTDSG (seit 01.12.2021):
§ 25 TTDSG - COOKIES UND AEHNLICHE TECHNOLOGIEN:
Entspricht Art. 5 Abs. 3 ePrivacy-Richtlinie
- Einwilligung erforderlich fuer nicht-notwendige Cookies
- Ausnahme: Technisch notwendige Speicherung/Zugriff
§ 26 TTDSG - ANERKANNTE DIENSTE (PIMS):
Personal Information Management Services
- Nutzer kann zentral Einstellungen verwalten
- Websites muessen PIMS-Signale beachten
- Noch kaum praktische Umsetzung
WEITERE RELEVANTE GESETZE:
TKG (Telekommunikationsgesetz):
- § 88 TKG: Fernmeldegeheimnis
- § 96ff TKG: Verkehrsdaten
UWG (Gesetz gegen unlauteren Wettbewerb):
- § 7 UWG: Unzumutbare Belaestigungen
- Spam-Verbot, Telefon-Werbung
SANKTIONEN (§ 28 TTDSG):
- Verstoss gegen § 25: Bussgeld bis 300.000 EUR
- Verstoss gegen § 26: Bussgeld bis 50.000 EUR
legal_refs:
- "TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz)"
- "§ 25 TTDSG"
- "§ 7 UWG"
keywords: ["TTDSG", "Deutschland", "§ 25", "PIMS", "UWG"]
dsk_guidance:
id: EPRIV-NAT-002
topic: "Orientierungshilfe der DSK zu Telemedien"
content: |
Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe fuer
Anbieter von Telemedien veroeffentlicht:
KERNAUSSAGEN:
1. EINWILLIGUNG
- Muss VOR dem Setzen von Cookies eingeholt werden
- Vorausgewaehlte Checkboxen sind unwirksam
- "Nur notwendige akzeptieren" muss gleichwertig sein
2. TECHNISCH NOTWENDIG
- Enger Auslegung
- Session-Cookies: Ja
- Persistente Praeferenz-Cookies: Nein
3. INFORMATIONSPFLICHTEN
- Zweck jedes Cookies angeben
- Speicherdauer angeben
- Dritte benennen
4. DOKUMENTATION
- Einwilligungen dokumentieren
- Mindestens: Zeitstempel, Umfang, Version
5. WIDERRUF
- Jederzeit moeglich
- So einfach wie Erteilung
- Link im Footer oder Cookie-Banner
PRAXISTIPP:
Die DSK-Orientierungshilfe ist nicht rechtlich bindend,
wird aber von Aufsichtsbehoerden als Massstab herangezogen.
legal_refs:
- "DSK Orientierungshilfe fuer Anbieter von Telemedien (2022)"
- "DSK Beschluss zu Tracking (2021)"
keywords: ["DSK", "Orientierungshilfe", "Telemedien"]
# =============================================================================
# EPRIVACY-VERORDNUNG (AUSBLICK)
# =============================================================================
future:
eprivacy_regulation:
id: EPRIV-FUT-001
topic: "ePrivacy-Verordnung (ePVO) - Ausblick"
content: |
Die ePrivacy-Verordnung (ePVO) soll die Richtlinie 2002/58/EG ersetzen:
STATUS (Stand 2026):
- Kommissionsvorschlag: Januar 2017
- Rat: Kein Konsens erreicht
- Mehrere Kompromissvorschlaege gescheitert
- Inkrafttreten: Weiterhin unklar
GEPLANTE AENDERUNGEN:
1. VERORDNUNG STATT RICHTLINIE
- Direkt anwendbar in allen Mitgliedstaaten
- Keine Umsetzung erforderlich
- Einheitliche Regeln in der EU
2. ERWEITERTER ANWENDUNGSBEREICH
- Auch OTT-Dienste (WhatsApp, Zoom, etc.)
- Auch Maschine-zu-Maschine-Kommunikation (IoT)
3. COOKIE-WALLS
- Verschiedene Positionen
- Evtl. unter bestimmten Bedingungen zulaessig
4. BROWSER-EINSTELLUNGEN
- "Privacy by Default" im Browser
- Zentrale Einwilligungsverwaltung
5. HARMONISIERTE SANKTIONEN
- DSGVO-aehnliche Bussgelder
BIS ZUR EPVO:
Die Richtlinie 2002/58/EG und nationale Umsetzungen bleiben in Kraft!
legal_refs:
- "COM(2017) 10 final (Kommissionsvorschlag)"
- "Verschiedene Ratsdokumente"
keywords: ["ePVO", "ePrivacy-Verordnung", "Zukunft"]
# =============================================================================
# PRAKTISCHE CHECKLISTEN
# =============================================================================
checklists:
website_checklist:
id: EPRIV-CHECK-001
topic: "ePrivacy-Checkliste fuer Websites"
content: |
Checkliste fuer Website-Betreiber:
COOKIES:
□ Cookie-Audit durchgefuehrt (alle Cookies identifiziert)
□ Kategorisierung (technisch notwendig vs. einwilligungspflichtig)
□ Cookie-Banner implementiert
□ Opt-In vor Setzen von nicht-notwendigen Cookies
□ "Ablehnen" gleichwertig zu "Akzeptieren"
□ Granulare Auswahlmoeglichkeit (Kategorien)
□ Speicherdauer dokumentiert
□ Einwilligungen protokolliert
□ Widerruf jederzeit moeglich
DATENSCHUTZERKLAERUNG:
□ Cookie-Informationen enthalten
□ Alle Cookies mit Zweck aufgelistet
□ Drittanbieter benannt
□ Speicherdauer angegeben
E-MAIL-MARKETING:
□ Double Opt-In implementiert
□ Abmelde-Link in jeder E-Mail
□ Einwilligungen dokumentiert
□ Bei Bestandskunden: Widerspruchsmoeglichkeit
TRACKING/ANALYTICS:
□ Nur mit Einwilligung aktiv
□ Oder: Einwilligungsfreie Alternative (z.B. serverseitig)
□ IP-Anonymisierung aktiviert
□ Datenverarbeitung dokumentiert
legal_refs:
- "Art. 5 Abs. 3 Richtlinie 2002/58/EG"
- "§ 25 TTDSG"
keywords: ["Checkliste", "Website", "Cookie-Banner"]
local_app_checklist:
id: EPRIV-CHECK-002
topic: "ePrivacy-Checkliste fuer lokale Anwendungen"
content: |
Checkliste fuer lokale Anwendungen (On-Premises):
GRUNDSAETZE:
□ Alle Daten bleiben lokal
□ Keine Cloud-Anbindung fuer Nutzerdaten
□ Keine Third-Party-Tracker
COOKIES/LOKALE SPEICHERUNG:
□ Nur Session-Cookies fuer Login
□ Keine persistenten Tracking-Cookies
□ Keine Local Storage fuer Tracking
□ Kein Fingerprinting
ANALYTICS:
□ Serverseitige Logs statt Cookies
□ Keine personenbezogenen Daten in Logs
□ Oder: Einwilligung fuer Cookie-Analytics
KOMMUNIKATION:
□ Keine automatisierten Werbe-E-Mails ohne Einwilligung
□ Abmelde-Moeglichkeit bei Benachrichtigungen
□ Push-Benachrichtigungen nur mit Zustimmung
DOKUMENTATION:
□ Datenschutzerklaerung aktuell
□ Cookie-Informationen (falls Cookies)
□ Technische Dokumentation der Datenverarbeitung
VORTEIL LOKALER VERARBEITUNG:
Die meisten ePrivacy-Anforderungen entfallen bei rein
lokaler Verarbeitung ohne externe Dienste!
legal_refs:
- "Art. 5 Abs. 3 Richtlinie 2002/58/EG"
keywords: ["lokal", "On-Premises", "Checkliste"]
# =============================================================================
# KEYWORDS FUER RAG RETRIEVAL
# =============================================================================
rag_keywords:
primary:
- "ePrivacy"
- "E-Privacy"
- "2002/58/EG"
- "Cookie"
- "Cookie-Richtlinie"
- "Cookie-Banner"
- "Cookie-Consent"
- "Einwilligung"
- "Opt-In"
- "Tracking"
- "TTDSG"
- "§ 25 TTDSG"
- "Art. 5 Abs. 3"
- "Verkehrsdaten"
- "Standortdaten"
- "Spam"
- "E-Mail-Marketing"
- "Newsletter"
- "Direktwerbung"
secondary:
- "Planet49"
- "Kommunikationsgeheimnis"
- "Telekommunikation"
- "OTT-Dienste"
- "Analytics"
- "Google Analytics"
- "Matomo"
- "Retargeting"
- "Double Opt-In"
- "Cookie-Wall"
- "PIMS"
- "DSK"
- "Orientierungshilfe"
- "ePVO"
- "ePrivacy-Verordnung"
- "technisch notwendig"
- "Session-Cookie"
- "Local Storage"
- "Fingerprinting"
- "Third-Party"
- "Cross-Site-Tracking"

613
ai-compliance-sdk/policies/financial_regulations_corpus.yaml Normal file
View File

@@ -0,0 +1,613 @@
# =============================================================================
# Financial Regulations Legal Corpus
# For Legal RAG Integration
# =============================================================================
#
# Enthält Kernpassagen aus:
# - DORA (EU 2022/2554)
# - MaRisk (BaFin)
# - BAIT (BaFin)
#
# Diese Passagen werden in den Qdrant Vector Store geladen
# und für Legal RAG Erklärungen verwendet.
#
# =============================================================================
metadata:
version: "1.0.0"
created: "2026-01-29"
sources:
- name: "DORA"
reference: "Verordnung (EU) 2022/2554"
effective_date: "2025-01-17"
- name: "MaRisk"
reference: "Rundschreiben 10/2021 (BA)"
version: "7. MaRisk-Novelle"
- name: "BAIT"
reference: "Rundschreiben 10/2017 (BA)"
version: "2021"
# =============================================================================
# DORA - Digital Operational Resilience Act
# =============================================================================
dora_passages:
# --- Anwendungsbereich ---
- id: DORA-ART-2
article: "Artikel 2"
title: "Anwendungsbereich"
category: scope
text: |
(1) Diese Verordnung gilt für folgende Finanzunternehmen:
a) Kreditinstitute,
b) Zahlungsinstitute,
c) Kontoinformationsdienstleister,
d) E-Geld-Institute,
e) Wertpapierfirmen,
f) Anbieter von Krypto-Dienstleistungen,
g) Zentralverwahrer,
h) zentrale Gegenparteien,
i) Handelsplätze,
j) Transaktionsregister,
k) Verwalter alternativer Investmentfonds und Verwaltungsgesellschaften,
l) Datenbereitstellungsdienste,
m) Versicherungs- und Rückversicherungsunternehmen,
n) Versicherungsvermittler, Rückversicherungsvermittler und
Versicherungsvermittler in Nebentätigkeit,
o) Einrichtungen der betrieblichen Altersversorgung,
p) Ratingagenturen,
q) Administratoren kritischer Referenzwerte,
r) Schwarmfinanzierungsdienstleister,
s) Verbriefungsregister.
legal_refs:
- "DORA Art. 2(1)"
keywords:
- Anwendungsbereich
- Finanzunternehmen
- Kreditinstitute
- Versicherungen
- Krypto
# --- IKT-Risikomanagement ---
- id: DORA-ART-6
article: "Artikel 6"
title: "IKT-Risikomanagementrahmen"
category: ict_risk_management
text: |
(1) Finanzunternehmen verfügen über einen soliden, umfassenden und gut
dokumentierten IKT-Risikomanagementrahmen, der ihnen ermöglicht,
IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes
Maß an digitaler operationaler Resilienz zu gewährleisten.
(2) Der IKT-Risikomanagementrahmen umfasst mindestens Strategien,
Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools,
die zum angemessenen Schutz aller Informations- und IKT-Assets
erforderlich sind.
(3) Das Leitungsorgan des Finanzunternehmens ist für die Festlegung,
Genehmigung, Überwachung und Verantwortung der Umsetzung aller
Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen
verantwortlich.
legal_refs:
- "DORA Art. 6"
keywords:
- IKT-Risikomanagement
- Governance
- Leitungsorgan
- digitale Resilienz
- id: DORA-ART-8
article: "Artikel 8"
title: "Identifizierung"
category: ict_risk_management
text: |
(1) Finanzunternehmen identifizieren, klassifizieren und dokumentieren
alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten,
die Informations- und IKT-Assets, die diese Funktionen unterstützen,
sowie deren Abhängigkeiten in Bezug auf IKT-Risiken.
(2) Finanzunternehmen identifizieren alle Quellen von IKT-Risiken,
insbesondere das Risiko gegenüber und von anderen Finanzunternehmen,
und bewerten Cyberbedrohungen und IKT-Schwachstellen, die für ihre
IKT-gestützten Unternehmensfunktionen, Informations- und IKT-Assets
relevant sind.
legal_refs:
- "DORA Art. 8"
keywords:
- Identifizierung
- IKT-Assets
- Cyberbedrohungen
- Schwachstellen
- id: DORA-ART-9
article: "Artikel 9"
title: "Schutz und Prävention"
category: ict_risk_management
text: |
(1) Um einen angemessenen Schutz der IKT-Systeme zu gewährleisten und
Maßnahmen zur Reaktion auf IKT-bezogene Vorfälle zu organisieren,
überwachen und kontrollieren Finanzunternehmen kontinuierlich die
Sicherheit und das Funktionieren der IKT-Systeme und -Tools.
(2) Finanzunternehmen konzipieren und implementieren
IKT-Sicherheitsmaßnahmen, einschließlich Leit- und Richtlinien,
Verfahren, Protokolle und Tools zum Schutz aller IKT-Assets.
legal_refs:
- "DORA Art. 9"
keywords:
- Schutz
- Prävention
- IKT-Sicherheit
- Überwachung
# --- IKT-Vorfälle ---
- id: DORA-ART-17
article: "Artikel 17"
title: "IKT-bezogenes Vorfallmanagement"
category: incident_management
text: |
(1) Finanzunternehmen definieren, erstellen und implementieren einen
IKT-bezogenen Vorfallmanagementprozess zur Erkennung, Verwaltung und
Meldung von IKT-bezogenen Vorfällen.
(2) Finanzunternehmen zeichnen alle IKT-bezogenen Vorfälle und
erheblichen Cyberbedrohungen auf. Finanzunternehmen richten geeignete
Verfahren und Prozesse ein, um eine kohärente und integrierte
Überwachung, Handhabung und Nachverfolgung von IKT-bezogenen Vorfällen
zu gewährleisten.
legal_refs:
- "DORA Art. 17"
keywords:
- Vorfallmanagement
- Incident Response
- Meldepflicht
- Cyberbedrohungen
- id: DORA-ART-19
article: "Artikel 19"
title: "Meldung schwerwiegender IKT-bezogener Vorfälle"
category: incident_management
text: |
(1) Finanzunternehmen melden schwerwiegende IKT-bezogene Vorfälle der
nach Artikel 46 zuständigen Behörde.
(2) Bei der Klassifizierung von IKT-bezogenen Vorfällen und der
Bestimmung der Auswirkungen eines IKT-bezogenen Vorfalls wenden
Finanzunternehmen folgende Kriterien an:
a) die Anzahl und/oder Relevanz der betroffenen Kunden oder
Finanzgegenparteien,
b) die Dauer des IKT-bezogenen Vorfalls,
c) die geografische Ausbreitung,
d) die Datenverluste,
e) die Kritikalität der betroffenen Dienste,
f) die wirtschaftlichen Auswirkungen.
legal_refs:
- "DORA Art. 19"
keywords:
- Meldepflicht
- BaFin
- schwerwiegende Vorfälle
- Klassifizierung
# --- Digitale Resilienz-Tests ---
- id: DORA-ART-24
article: "Artikel 24"
title: "Allgemeine Anforderungen für Resilienz-Tests"
category: resilience_testing
text: |
(1) Finanzunternehmen richten ein solides und umfassendes Programm für
das Testen der digitalen operationalen Resilienz ein, das als integraler
Bestandteil des IKT-Risikomanagementrahmens Teil des Programms ist.
(2) Das Programm für das Testen der digitalen operationalen Resilienz
umfasst eine Reihe von Bewertungen, Tests, Methoden, Verfahren und
Tools, die gemäß den Artikeln 25 und 26 anzuwenden sind.
legal_refs:
- "DORA Art. 24"
keywords:
- Resilienz-Tests
- Penetrationstests
- Vulnerability Assessment
- Testprogramm
- id: DORA-ART-26
article: "Artikel 26"
title: "Erweiterte Tests von IKT-Tools"
category: resilience_testing
text: |
(1) Finanzunternehmen, die keine Kleinstunternehmen sind, führen
mindestens alle drei Jahre erweiterte Tests durch bedrohungsgeleitete
Penetrationstests (TLPT) durch.
(2) Der bedrohungsgeleitete Penetrationstest deckt mehrere oder alle
kritischen oder wichtigen Funktionen eines Finanzunternehmens ab und
wird an Live-Produktionssystemen durchgeführt, die diese Funktionen
unterstützen.
legal_refs:
- "DORA Art. 26"
keywords:
- TLPT
- Penetrationstest
- Red Teaming
- kritische Funktionen
# --- IKT-Drittparteirisiko ---
- id: DORA-ART-28
article: "Artikel 28"
title: "Allgemeine Grundsätze"
category: third_party_risk
text: |
(1) Finanzunternehmen verwalten das IKT-Drittparteirisiko als integralen
Bestandteil des IKT-Risikos innerhalb ihres IKT-Risikomanagementrahmens
und im Einklang mit folgenden Grundsätzen:
a) Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung
von IKT-Diensten mit IKT-Drittdienstleistern geschlossen haben,
bleiben jederzeit uneingeschränkt für die Einhaltung und Erfüllung
aller Verpflichtungen nach dieser Verordnung und dem geltenden
Finanzdienstleistungsrecht verantwortlich.
b) Das Leitungsorgan des Finanzunternehmens ist für die Überwachung
des IKT-Drittparteirisikos verantwortlich.
legal_refs:
- "DORA Art. 28"
keywords:
- Drittparteirisiko
- Outsourcing
- IKT-Dienstleister
- Verantwortlichkeit
- id: DORA-ART-30
article: "Artikel 30"
title: "Wesentliche Vertragsbestimmungen"
category: third_party_risk
text: |
(1) Die Rechte und Pflichten des Finanzunternehmens und des
IKT-Drittdienstleisters werden klar in einem schriftlichen Vertrag
festgelegt und zugewiesen.
(2) Vertragliche Vereinbarungen über die Nutzung von IKT-Diensten
enthalten mindestens folgende Elemente:
a) eine klare und vollständige Beschreibung aller Funktionen und
IKT-Dienste,
b) die Standorte, an denen Dienste erbracht werden und Daten
verarbeitet werden,
c) Bestimmungen über die Verfügbarkeit, Authentizität, Integrität
und Vertraulichkeit in Bezug auf den Datenschutz,
d) Bestimmungen über die Gewährleistung des Zugangs, der Wiederherstellung
und der Rückgabe von Daten,
e) Service Level Agreements,
f) Unterstützungspflichten bei IKT-Vorfällen,
g) Kündigungsfristen und Berichtspflichten.
legal_refs:
- "DORA Art. 30"
keywords:
- Vertragsbestimmungen
- SLA
- Auslagerungsvertrag
- Mindestanforderungen
- id: DORA-ART-29
article: "Artikel 29"
title: "Vorläufige Bewertung des IKT-Konzentrationsrisikos"
category: third_party_risk
text: |
(2) Finanzunternehmen identifizieren und bewerten das
IKT-Konzentrationsrisiko auf Ebene des Finanzunternehmens unter
Berücksichtigung:
a) des Umfangs der kritischen oder wichtigen Funktionen, die
gegenüber jedem IKT-Drittdienstleister bestehen,
b) des Grades der Substituierbarkeit jedes IKT-Drittdienstleisters,
c) des Anteils von IKT-Drittdienstleistern an einem begrenzten
Markt.
legal_refs:
- "DORA Art. 29"
keywords:
- Konzentrationsrisiko
- Substituierbarkeit
- kritische Dienstleister
- Marktkonzentration
# --- Sanktionen ---
- id: DORA-ART-50
article: "Artikel 50"
title: "Verwaltungsrechtliche Sanktionen"
category: sanctions
text: |
(1) Unbeschadet etwaiger strafrechtlicher Sanktionen und unbeschadet
der Aufsichtsbefugnisse der zuständigen Behörden stellen die
Mitgliedstaaten sicher, dass ihre zuständigen Behörden befugt sind,
verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen zu verhängen.
(4) Die Mitgliedstaaten können vorsehen, dass die zuständigen Behörden
befugt sind, gegen juristische Personen Geldbußen zu verhängen,
die einen Höchstbetrag von mindestens 1 % des gesamten weltweiten
Jahresumsatzes erreichen.
legal_refs:
- "DORA Art. 50"
keywords:
- Sanktionen
- Bußgelder
- Compliance
- Durchsetzung
# =============================================================================
# MaRisk - Mindestanforderungen an das Risikomanagement
# =============================================================================
marisk_passages:
- id: MARISK-AT-4.3.5
section: "AT 4.3.5"
title: "Verwendung von Modellen"
category: model_risk
text: |
(1) Bei der Verwendung von Risikomodellen oder Risikomessverfahren
sind die mit der Verwendung von Modellen verbundenen Risiken
(Modellrisiken) zu identifizieren, zu überwachen und zu steuern.
(2) Für wesentliche Risikomodelle ist eine unabhängige Validierung
durchzuführen. Die Validierung umfasst mindestens:
- die Überprüfung der konzeptionellen Grundlagen,
- die Überprüfung der Datenqualität,
- das Backtesting,
- die Überprüfung der Modellanwendung.
(3) Die Ergebnisse der Validierung sind zu dokumentieren und der
Geschäftsleitung sowie dem zuständigen Aufsichtsorgan zu berichten.
(4) Bei wesentlichen Defiziten sind unverzüglich Maßnahmen zu
ergreifen und das Ergebnis der Maßnahmen zu dokumentieren.
legal_refs:
- "MaRisk AT 4.3.5"
keywords:
- Modellvalidierung
- Risikomodelle
- Backtesting
- KI-Modelle
- id: MARISK-AT-9
section: "AT 9"
title: "Auslagerung"
category: outsourcing
text: |
(1) Bei Auslagerungen hat das Institut vorab eine Risikoanalyse
durchzuführen. Die Risikoanalyse hat insbesondere zu umfassen:
- die strategische Bedeutung der Aktivitäten und Prozesse,
- die Auswirkungen auf das Risikoprofil des Instituts,
- die Qualifikation und Zuverlässigkeit des Auslagerungsunternehmens,
- die Wirtschaftlichkeit.
(2) Bei wesentlichen Auslagerungen sind die folgenden zusätzlichen
Anforderungen einzuhalten:
- schriftliche Auslagerungsvereinbarung mit Mindestinhalt,
- Sicherstellung von Weisungs-, Prüfungs- und Kontrollrechten,
- Gewährleistung von Zugangs- und Informationsrechten der Aufsicht,
- Einbeziehung in das Notfallmanagement,
- angemessene Exit-Strategien.
(3) Ein Auslagerungsregister ist zu führen und regelmäßig zu
aktualisieren.
legal_refs:
- "MaRisk AT 9"
keywords:
- Auslagerung
- Outsourcing
- Risikoanalyse
- Exit-Strategie
- id: MARISK-AT-4.3.2
section: "AT 4.3.2"
title: "Risikoberichterstattung"
category: risk_reporting
text: |
(1) Die Risikoberichterstattung hat die Geschäftsleitung und
gegebenenfalls das Aufsichtsorgan über die Risikosituation des
Instituts zu informieren.
(2) Die Berichte müssen:
- regelmäßig erstellt werden,
- aussagekräftig und für die Empfänger verständlich sein,
- die wesentlichen Risiken umfassen,
- Veränderungen der Risikosituation aufzeigen.
(3) Bei wesentlichen Ereignissen ist eine Ad-hoc-Berichterstattung
sicherzustellen.
legal_refs:
- "MaRisk AT 4.3.2"
keywords:
- Risikoberichterstattung
- Geschäftsleitung
- Monitoring
- Ad-hoc-Meldung
- id: MARISK-BTO-1.2
section: "BTO 1.2"
title: "Kreditrisikosteuerung"
category: credit_risk
text: |
(1) Die Kreditrisikosteuerung hat sicherzustellen, dass die aus der
Risikostrategie abgeleiteten Limite eingehalten werden.
(2) Bei der Verwendung von Scoring-Modellen für Kreditentscheidungen
ist deren Trennschärfe regelmäßig zu überprüfen (Backtesting).
(3) Die Entscheidungsprozesse bei Kreditvergaben müssen so gestaltet
sein, dass eine angemessene Kreditwürdigkeitsprüfung gewährleistet ist.
legal_refs:
- "MaRisk BTO 1.2"
keywords:
- Kreditrisiko
- Scoring
- Kreditentscheidung
- Backtesting
# =============================================================================
# BAIT - Bankaufsichtliche Anforderungen an die IT
# =============================================================================
bait_passages:
- id: BAIT-TZ-1-9
section: "Tz. 1-9"
title: "IT-Strategie"
category: it_strategy
text: |
(1) Das Institut hat eine mit der Geschäftsstrategie konsistente
IT-Strategie festzulegen. Die IT-Strategie hat mindestens folgende
Aspekte zu umfassen:
- strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation,
- strategische Entwicklung der IT-Architektur,
- Aussagen zu Standards für IT-Sicherheit,
- Aussagen zum Notfallmanagement.
(2) Die IT-Strategie ist regelmäßig und anlassbezogen zu überprüfen
und bei Bedarf anzupassen.
(3) Die IT-Strategie ist von der Geschäftsleitung zu genehmigen.
legal_refs:
- "BAIT Tz. 1-9"
keywords:
- IT-Strategie
- Geschäftsleitung
- IT-Architektur
- IT-Sicherheit
- id: BAIT-TZ-10-21
section: "Tz. 10-21"
title: "IT-Governance"
category: it_governance
text: |
(1) Das Institut hat aufbau- und ablauforganisatorische Regelungen
zur IT-Governance zu treffen. Diese müssen insbesondere:
- Rollen und Verantwortlichkeiten klar definieren,
- die IT-bezogenen Aufgaben der Geschäftsleitung festlegen,
- Regelungen zur IT-bezogenen Risikosteuerung umfassen.
(2) Die IT-Governance hat sicherzustellen, dass:
- Interessenkonflikte vermieden werden,
- ein Informationsrisikomanagement implementiert ist,
- Ressourcen für die IT-Sicherheit bereitgestellt werden.
(3) Das Drei-Linien-Modell ist auf die IT-Risiken anzuwenden.
legal_refs:
- "BAIT Tz. 10-21"
keywords:
- IT-Governance
- Rollen
- Verantwortlichkeiten
- Drei-Linien-Modell
- id: BAIT-TZ-27-42
section: "Tz. 27-42"
title: "Anwendungsentwicklung (Projektmanagement, SDLC)"
category: development
text: |
(1) Bei der Entwicklung von Anwendungen sind angemessene Verfahren
und Schutzmaßnahmen zu implementieren. Dies umfasst:
- Anforderungsmanagement,
- Entwicklungsrichtlinien,
- Testverfahren,
- Abnahme- und Freigabeverfahren.
(2) Die Entwicklung hat in kontrollierten Umgebungen zu erfolgen.
Testdaten dürfen keine produktiven Echtdaten enthalten, sofern
diese nicht angemessen anonymisiert oder pseudonymisiert sind.
(3) Änderungen an Anwendungen sind über ein Änderungsmanagement
zu steuern. Notfalländerungen sind nachträglich zu dokumentieren
und zu genehmigen.
legal_refs:
- "BAIT Tz. 27-42"
keywords:
- SDLC
- Anwendungsentwicklung
- Testverfahren
- Änderungsmanagement
- id: BAIT-TZ-58-66
section: "Tz. 58-66"
title: "Benutzerberechtigungsmanagement"
category: access_management
text: |
(1) Das Institut hat ein Berechtigungskonzept zu erstellen und
umzusetzen. Das Berechtigungskonzept hat mindestens zu umfassen:
- die Festlegung von Rollen und Berechtigungsprofilen,
- die Definition von Prozessen zur Vergabe, Änderung und
Entziehung von Berechtigungen,
- die Regelung zu privilegierten Berechtigungen.
(2) Berechtigungen sind nach dem Prinzip der minimalen Rechte
(Least-Privilege-Prinzip) zu vergeben.
(3) Berechtigungen sind regelmäßig (mindestens jährlich) zu
überprüfen und zu rezertifizieren.
legal_refs:
- "BAIT Tz. 58-66"
keywords:
- IAM
- Berechtigungen
- Least Privilege
- Rezertifizierung
- id: BAIT-TZ-67-72
section: "Tz. 67-72"
title: "IT-Betrieb (Protokollierung)"
category: logging
text: |
(1) Sicherheitsrelevante Ereignisse sind zu protokollieren. Die
Protokollierung umfasst mindestens:
- Anmeldeversuche (erfolgreich und fehlgeschlagen),
- Änderungen an Berechtigungen,
- Zugriffe auf sensitive Daten,
- administrative Tätigkeiten.
(2) Die Protokollierungsdaten sind vor unbefugter Veränderung zu
schützen und entsprechend den regulatorischen Anforderungen
aufzubewahren.
(3) Die Protokollierungsdaten sind regelmäßig auszuwerten.
legal_refs:
- "BAIT Tz. 67-72"
keywords:
- Protokollierung
- Logging
- Audit-Trail
- Auswertung
# =============================================================================
# Verknüpfungen (für Cross-Referencing)
# =============================================================================
cross_references:
# DORA verweist auf MaRisk-ähnliche Anforderungen
- from: DORA-ART-6
to: MARISK-AT-4.3.5
relation: "extends"
note: "DORA erweitert MaRisk-Anforderungen um IKT-spezifische Aspekte"
# DORA-Drittparteirisiko baut auf MaRisk-Auslagerung auf
- from: DORA-ART-28
to: MARISK-AT-9
relation: "extends"
note: "DORA konkretisiert Auslagerungsanforderungen für IKT"
# BAIT-SDLC ist relevant für DORA-Testanforderungen
- from: DORA-ART-24
to: BAIT-TZ-27-42
relation: "complements"
note: "BAIT-SDLC-Anforderungen unterstützen DORA-Testprogramm"
# MaRisk-Modellvalidierung gilt auch für KI-Modelle
- from: MARISK-AT-4.3.5
to: AI_ACT
relation: "applies_to"
note: "Modellvalidierung gilt auch für KI-Risikomodelle"

946
ai-compliance-sdk/policies/financial_regulations_policy.yaml Normal file
View File

@@ -0,0 +1,946 @@
# =============================================================================
# Financial Regulations Policy
# DORA, MaRisk, BAIT Compliance for AI Use Cases
# =============================================================================
#
# Regulierungen:
# - DORA (Digital Operational Resilience Act) - EU 2022/2554
# - MaRisk (Mindestanforderungen Risikomanagement) - BaFin
# - BAIT (Bankaufsichtliche Anforderungen an die IT) - BaFin
#
# Anwendungsbereich:
# - Kreditinstitute (CRR)
# - Zahlungsdienstleister
# - E-Geld-Institute
# - Wertpapierfirmen
# - Versicherungen (teilweise)
# - Krypto-Asset-Dienstleister
#
# =============================================================================
metadata:
version: "1.0.0"
effective_date: "2025-01-17" # DORA Geltungsbeginn
author: "Compliance Team"
jurisdiction: "EU/DE"
regulations:
- name: "DORA"
full_name: "Digital Operational Resilience Act"
reference: "EU 2022/2554"
effective: "2025-01-17"
- name: "MaRisk"
full_name: "Mindestanforderungen an das Risikomanagement"
authority: "BaFin"
version: "7. MaRisk-Novelle (2023)"
- name: "BAIT"
full_name: "Bankaufsichtliche Anforderungen an die IT"
authority: "BaFin"
version: "2021"
# =============================================================================
# Anwendbare Domains
# =============================================================================
applicable_domains:
- banking
- finance
- insurance
- investment
- payment_services
- crypto_assets
# =============================================================================
# Facts Schema - Finanzspezifische Eingabefelder
# =============================================================================
facts_schema:
financial_entity:
type:
type: enum
values:
- CREDIT_INSTITUTION # Kreditinstitut nach CRR
- PAYMENT_SERVICE_PROVIDER # Zahlungsdienstleister (PSD2)
- E_MONEY_INSTITUTION # E-Geld-Institut
- INVESTMENT_FIRM # Wertpapierfirma (MiFID II)
- INSURANCE_COMPANY # Versicherungsunternehmen
- CRYPTO_ASSET_PROVIDER # CASP nach MiCA
- OTHER_FINANCIAL # Sonstige Finanzunternehmen
default: OTHER_FINANCIAL
regulated:
type: boolean
default: true
description: "Unterliegt BaFin-Aufsicht"
size_category:
type: enum
values:
- SIGNIFICANT # Bedeutendes Institut
- LESS_SIGNIFICANT # Weniger bedeutendes Institut
- SMALL # Kleines Institut
default: LESS_SIGNIFICANT
ict_service:
is_critical:
type: boolean
default: false
description: "Kritische/wichtige IKT-Dienstleistung nach DORA Art. 3(21)"
is_outsourced:
type: boolean
default: false
description: "IKT-Auslagerung an Dritte"
provider_location:
type: enum
values:
- EU
- EEA
- ADEQUACY_DECISION
- THIRD_COUNTRY
default: EU
concentration_risk:
type: boolean
default: false
description: "Konzentrationsrisiko bei IKT-Drittanbietern"
ai_application:
affects_customer_decisions:
type: boolean
default: false
description: "KI beeinflusst Kundenentscheidungen (Kredit, Versicherung)"
algorithmic_trading:
type: boolean
default: false
description: "Algorithmischer Handel"
risk_assessment:
type: boolean
default: false
description: "KI für Risikobewertung (Kredit-Scoring, Fraud)"
aml_kyc:
type: boolean
default: false
description: "KI für AML/KYC-Prozesse"
model_validation_done:
type: boolean
default: false
description: "Modellvalidierung nach MaRisk AT 4.3.5 durchgeführt"
# =============================================================================
# DORA-spezifische Controls
# =============================================================================
controls:
# --- IKT-Risikomanagement (DORA Kap. II) ---
CTRL-DORA-ICT-RISK-FRAMEWORK:
id: CTRL-DORA-ICT-RISK-FRAMEWORK
title: "IKT-Risikomanagementrahmen"
category: DORA
dora_ref: "Art. 6-16"
description: "Umfassendes IKT-Risikomanagement nach DORA"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. IKT-Risikomanagementrahmen dokumentieren
2. Governance-Struktur mit klaren Verantwortlichkeiten
3. IKT-Risikoidentifikation, -bewertung, -steuerung
4. Regelmäßige Überprüfung (mindestens jährlich)
evidence_needed:
- IKT-Risikomanagement-Policy
- Governance-Dokumentation
- Risikobewertungsberichte
- Audit-Protokolle
effort: high
CTRL-DORA-ICT-INCIDENT-MANAGEMENT:
id: CTRL-DORA-ICT-INCIDENT-MANAGEMENT
title: "IKT-Vorfallmanagement"
category: DORA
dora_ref: "Art. 17-23"
description: "Erkennung, Management und Meldung von IKT-Vorfällen"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. Incident-Response-Prozess etablieren
2. Klassifikation nach DORA-Kriterien
3. Meldepflichten einhalten (BaFin, ECB)
4. Post-Incident-Review durchführen
evidence_needed:
- Incident-Response-Plan
- Meldeprozess-Dokumentation
- Incident-Register
- Post-Mortem-Berichte
effort: high
CTRL-DORA-DIGITAL-RESILIENCE-TESTING:
id: CTRL-DORA-DIGITAL-RESILIENCE-TESTING
title: "Digitale Resilienz-Tests"
category: DORA
dora_ref: "Art. 24-27"
description: "Regelmäßige Tests der digitalen operationalen Resilienz"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. Jährliche Vulnerability Assessments
2. Penetrationstests (risikobasiert)
3. TLPT (Threat-Led Penetration Testing) für bedeutende Institute
4. Szenariobasierte Tests für kritische Funktionen
evidence_needed:
- Test-Policy
- Test-Berichte
- Behebungsnachweise
- TLPT-Berichte (falls zutreffend)
effort: high
CTRL-DORA-TPP-RISK-MANAGEMENT:
id: CTRL-DORA-TPP-RISK-MANAGEMENT
title: "IKT-Drittparteirisikomanagement"
category: DORA
dora_ref: "Art. 28-44"
description: "Management von Risiken aus IKT-Drittanbieterbeziehungen"
when_applicable:
- ict_service.is_outsourced == true
what_to_do: |
1. Due Diligence vor Vertragsabschluss
2. Vertragliche Mindestanforderungen nach Art. 30
3. Register aller IKT-Drittanbieter führen
4. Exit-Strategien für kritische Dienste
5. Konzentrationsrisiken überwachen
evidence_needed:
- Outsourcing-Policy
- Due-Diligence-Berichte
- Vertragsregister
- Exit-Pläne
- Konzentrationsrisiko-Analyse
effort: high
CTRL-DORA-INFORMATION-SHARING:
id: CTRL-DORA-INFORMATION-SHARING
title: "Informationsaustausch"
category: DORA
dora_ref: "Art. 45"
description: "Teilnahme am Austausch von Bedrohungsinformationen"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. Teilnahme an Threat-Intelligence-Netzwerken prüfen
2. Vertraulichkeitsvereinbarungen abschließen
3. Informationsaustausch-Prozess etablieren
evidence_needed:
- Teilnahme-Dokumentation
- NDAs
effort: low
# --- MaRisk-spezifische Controls ---
CTRL-MARISK-MODEL-VALIDATION:
id: CTRL-MARISK-MODEL-VALIDATION
title: "Modellvalidierung nach MaRisk"
category: MaRisk
marisk_ref: "AT 4.3.5"
description: "Validierung von Risikomodellen inkl. KI-Modelle"
when_applicable:
- ai_application.risk_assessment == true
- ai_application.affects_customer_decisions == true
what_to_do: |
1. Initiale Validierung vor Produktiveinsatz
2. Regelmäßige Backtesting
3. Dokumentation der Modellannahmen
4. Unabhängige Validierungsstelle
5. Eskalation bei Modellschwächen
evidence_needed:
- Validierungsbericht
- Backtesting-Ergebnisse
- Modelldokumentation
- Genehmigung durch Geschäftsleitung
effort: high
CTRL-MARISK-OUTSOURCING:
id: CTRL-MARISK-OUTSOURCING
title: "Auslagerungsmanagement nach MaRisk"
category: MaRisk
marisk_ref: "AT 9"
description: "Anforderungen an Auslagerungen"
when_applicable:
- ict_service.is_outsourced == true
what_to_do: |
1. Risikoanalyse vor Auslagerung
2. Schriftliche Auslagerungsvereinbarung
3. Weisungs- und Kontrollrechte sichern
4. Auslagerungsregister führen
5. BaFin-Anzeige bei wesentlichen Auslagerungen
evidence_needed:
- Auslagerungsvereinbarung
- Risikoanalyse
- Auslagerungsregister
- BaFin-Anzeige (falls zutreffend)
effort: high
CTRL-MARISK-RISK-REPORTING:
id: CTRL-MARISK-RISK-REPORTING
title: "Risiko-Reporting"
category: MaRisk
marisk_ref: "AT 4.3.2"
description: "Risikoberichterstattung an Geschäftsleitung"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. Regelmäßige Risikoberichte erstellen
2. Ad-hoc-Berichterstattung bei wesentlichen Ereignissen
3. KI-Risiken in Gesamtrisikobericht integrieren
evidence_needed:
- Risikoberichte
- Eskalationsprotokolle
effort: medium
# --- BAIT-spezifische Controls ---
CTRL-BAIT-IT-STRATEGY:
id: CTRL-BAIT-IT-STRATEGY
title: "IT-Strategie nach BAIT"
category: BAIT
bait_ref: "Tz. 1-9"
description: "IT-Strategie mit KI-Komponenten"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. IT-Strategie dokumentieren
2. KI-Einsatz in IT-Strategie berücksichtigen
3. Abstimmung mit Geschäftsstrategie
4. Regelmäßige Überprüfung
evidence_needed:
- IT-Strategie-Dokument
- Vorstandsbeschlüsse
effort: medium
CTRL-BAIT-IT-GOVERNANCE:
id: CTRL-BAIT-IT-GOVERNANCE
title: "IT-Governance nach BAIT"
category: BAIT
bait_ref: "Tz. 10-21"
description: "IT-Governance-Rahmenwerk"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. IT-Governance-Struktur etablieren
2. Rollen und Verantwortlichkeiten definieren
3. IT-Risikomanagement integrieren
4. Drei-Linien-Modell umsetzen
evidence_needed:
- Governance-Framework
- Organigramm IT
- Rollenbeschreibungen
effort: high
CTRL-BAIT-IT-PROJECT-MANAGEMENT:
id: CTRL-BAIT-IT-PROJECT-MANAGEMENT
title: "IT-Projektmanagement nach BAIT"
category: BAIT
bait_ref: "Tz. 22-26"
description: "Anforderungen an IT-Projekte (inkl. KI-Projekte)"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. Projektmanagement-Standards definieren
2. Risikobewertung für KI-Projekte
3. Go-Live-Kriterien festlegen
4. Post-Implementation-Review
evidence_needed:
- Projektmanagement-Handbuch
- Projektdokumentation
- Go-Live-Protokolle
effort: medium
CTRL-BAIT-SDLC:
id: CTRL-BAIT-SDLC
title: "Anwendungsentwicklung nach BAIT"
category: BAIT
bait_ref: "Tz. 27-42"
description: "Secure Development Lifecycle für KI-Anwendungen"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. SDLC-Prozess dokumentieren
2. Sicherheitsanforderungen in Requirements
3. Code-Reviews durchführen
4. Testkonzept mit Security-Tests
5. Änderungsmanagement etablieren
evidence_needed:
- SDLC-Dokumentation
- Test-Berichte
- Code-Review-Protokolle
- Change-Management-Records
effort: high
CTRL-BAIT-IT-OPERATIONS:
id: CTRL-BAIT-IT-OPERATIONS
title: "IT-Betrieb nach BAIT"
category: BAIT
bait_ref: "Tz. 43-57"
description: "Anforderungen an den IT-Betrieb"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. IT-Betriebsprozesse dokumentieren
2. Kapazitätsmanagement
3. Monitoring und Logging
4. Backup und Recovery
evidence_needed:
- Betriebshandbuch
- Monitoring-Dashboards
- Backup-Konzept
effort: medium
CTRL-BAIT-IAM:
id: CTRL-BAIT-IAM
title: "Benutzerberechtigungsmanagement nach BAIT"
category: BAIT
bait_ref: "Tz. 58-66"
description: "Identity and Access Management"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. Berechtigungskonzept erstellen
2. Least-Privilege-Prinzip umsetzen
3. Regelmäßige Berechtigungsrezertifizierung
4. Privileged Access Management
evidence_needed:
- Berechtigungskonzept
- Rezertifizierungsprotokolle
- PAM-Logs
effort: medium
CTRL-BAIT-LOGGING:
id: CTRL-BAIT-LOGGING
title: "Protokollierung nach BAIT"
category: BAIT
bait_ref: "Tz. 67-72"
description: "Anforderungen an Protokollierung und Audit-Trail"
when_applicable:
- financial_entity.regulated == true
what_to_do: |
1. Logging-Konzept erstellen
2. Sicherheitsrelevante Ereignisse protokollieren
3. Manipulationssichere Speicherung
4. Aufbewahrungsfristen einhalten
evidence_needed:
- Logging-Policy
- Log-Konfiguration
- Aufbewahrungsnachweis
effort: medium
# --- KI-spezifische Controls für Finanzsektor ---
CTRL-FIN-AI-EXPLAINABILITY:
id: CTRL-FIN-AI-EXPLAINABILITY
title: "KI-Erklärbarkeit im Finanzsektor"
category: Financial_AI
description: "Erklärbare KI für Kundenentscheidungen"
when_applicable:
- ai_application.affects_customer_decisions == true
what_to_do: |
1. Erklärbare Modelle bevorzugen
2. Feature-Importance dokumentieren
3. Ablehnungsgründe nachvollziehbar machen
4. Kunden-Auskunftsrecht erfüllen (Art. 22 DSGVO)
evidence_needed:
- Modell-Dokumentation
- Erklärbarkeitsbericht
- Beispiel-Erklärungen
effort: high
CTRL-FIN-AI-BIAS-MONITORING:
id: CTRL-FIN-AI-BIAS-MONITORING
title: "Bias-Monitoring für Finanz-KI"
category: Financial_AI
description: "Überwachung auf Diskriminierung"
when_applicable:
- ai_application.affects_customer_decisions == true
- ai_application.risk_assessment == true
what_to_do: |
1. Fairness-Metriken definieren
2. Regelmäßiges Bias-Testing
3. Gruppenvergleiche durchführen
4. Korrekturmaßnahmen bei Bias
evidence_needed:
- Fairness-Report
- Test-Ergebnisse
- Korrekturmaßnahmen-Protokoll
effort: high
CTRL-FIN-ALGO-TRADING:
id: CTRL-FIN-ALGO-TRADING
title: "Algorithmischer Handel nach MiFID II"
category: Financial_AI
mifid_ref: "Art. 17 MiFID II"
description: "Anforderungen an algorithmischen Handel"
when_applicable:
- ai_application.algorithmic_trading == true
what_to_do: |
1. Algorithmen genehmigen lassen
2. Kill-Switch implementieren
3. Realtime-Überwachung
4. Jährliche Selbstbewertung
5. BaFin-Anzeigepflicht
evidence_needed:
- Algorithmus-Genehmigung
- Kill-Switch-Dokumentation
- Überwachungs-Logs
- BaFin-Anzeige
effort: high
CTRL-FIN-AML-AI:
id: CTRL-FIN-AML-AI
title: "KI für AML/KYC"
category: Financial_AI
gwg_ref: "GwG"
description: "KI-Einsatz für Geldwäscheprävention"
when_applicable:
- ai_application.aml_kyc == true
what_to_do: |
1. Risikobasierter Ansatz
2. False-Positive-Management
3. Menschliche Überprüfung bei Alerts
4. Regelmäßige Modellvalidierung
evidence_needed:
- AML-Policy
- Validierungsbericht
- Alert-Statistiken
effort: high
# =============================================================================
# Gaps (Lücken-Identifikation)
# =============================================================================
gaps:
GAP_DORA_NOT_IMPLEMENTED:
id: GAP_DORA_NOT_IMPLEMENTED
title: "DORA-Anforderungen nicht erfüllt"
description: "IKT-Risikomanagement nach DORA fehlt oder unvollständig"
severity: BLOCK
escalation: E3
when:
- financial_entity.regulated == true
- ict_service.is_critical == true
controls:
- CTRL-DORA-ICT-RISK-FRAMEWORK
- CTRL-DORA-ICT-INCIDENT-MANAGEMENT
legal_refs:
- "DORA Art. 6-16"
- "Sanktionen nach Art. 50-52 DORA"
GAP_DORA_TPP_UNMANAGED:
id: GAP_DORA_TPP_UNMANAGED
title: "IKT-Drittanbieterrisiko nicht gemanagt"
description: "Fehlende Due Diligence und Vertragsgestaltung für IKT-Auslagerungen"
severity: BLOCK
escalation: E3
when:
- ict_service.is_outsourced == true
- ict_service.is_critical == true
controls:
- CTRL-DORA-TPP-RISK-MANAGEMENT
- CTRL-MARISK-OUTSOURCING
legal_refs:
- "DORA Art. 28-30"
- "MaRisk AT 9"
GAP_DORA_CONCENTRATION_RISK:
id: GAP_DORA_CONCENTRATION_RISK
title: "Konzentrationsrisiko bei IKT-Drittanbietern"
description: "Zu starke Abhängigkeit von einzelnen IKT-Dienstleistern"
severity: WARN
escalation: E2
when:
- ict_service.concentration_risk == true
controls:
- CTRL-DORA-TPP-RISK-MANAGEMENT
legal_refs:
- "DORA Art. 29(2)"
GAP_MARISK_MODEL_NOT_VALIDATED:
id: GAP_MARISK_MODEL_NOT_VALIDATED
title: "KI-Modell nicht validiert"
description: "Risikomodell ohne Validierung nach MaRisk AT 4.3.5"
severity: BLOCK
escalation: E3
when:
- ai_application.risk_assessment == true
- ai_application.model_validation_done == false
controls:
- CTRL-MARISK-MODEL-VALIDATION
legal_refs:
- "MaRisk AT 4.3.5"
- "EBA Guidelines on IRB"
GAP_BAIT_SDLC_MISSING:
id: GAP_BAIT_SDLC_MISSING
title: "Kein SDLC für KI-Entwicklung"
description: "Fehlender Secure Development Lifecycle für KI-Anwendungen"
severity: WARN
escalation: E2
when:
- financial_entity.regulated == true
controls:
- CTRL-BAIT-SDLC
legal_refs:
- "BAIT Tz. 27-42"
GAP_FIN_AI_NOT_EXPLAINABLE:
id: GAP_FIN_AI_NOT_EXPLAINABLE
title: "KI-Entscheidungen nicht erklärbar"
description: "Fehlende Erklärbarkeit bei kundenrelevanten KI-Entscheidungen"
severity: WARN
escalation: E2
when:
- ai_application.affects_customer_decisions == true
controls:
- CTRL-FIN-AI-EXPLAINABILITY
legal_refs:
- "Art. 22(3) DSGVO"
- "MaRisk AT 4.3.5"
GAP_ALGO_TRADING_UNREGISTERED:
id: GAP_ALGO_TRADING_UNREGISTERED
title: "Algorithmischer Handel nicht angezeigt"
description: "Fehlende BaFin-Anzeige für algorithmischen Handel"
severity: BLOCK
escalation: E3
when:
- ai_application.algorithmic_trading == true
controls:
- CTRL-FIN-ALGO-TRADING
legal_refs:
- "Art. 17 MiFID II"
- "WpHG §80"
# =============================================================================
# Stop-Lines (Harte Sperren)
# =============================================================================
stop_lines:
STOP_DORA_CRITICAL_ICT_UNMANAGED:
id: STOP_DORA_CRITICAL_ICT_UNMANAGED
title: "Kritische IKT ohne DORA-Compliance"
description: "Kritische IKT-Dienste ohne ausreichendes Risikomanagement"
outcome: NOT_ALLOWED
when:
- "financial_entity.regulated == true"
- "ict_service.is_critical == true"
message: |
Kritische IKT-Dienste dürfen ohne vollständiges DORA-Compliance-Framework
nicht eingeführt werden. DORA gilt seit 17.01.2025 und sieht erhebliche
Sanktionen bei Verstößen vor (bis zu 1% des weltweiten Jahresumsatzes).
STOP_MARISK_UNVALIDATED_RISK_MODEL:
id: STOP_MARISK_UNVALIDATED_RISK_MODEL
title: "Nicht-validiertes Risikomodell"
description: "KI-Risikomodell ohne MaRisk-konforme Validierung"
outcome: NOT_ALLOWED
when:
- ai_application.risk_assessment == true
- ai_application.model_validation_done == false
message: |
KI-Modelle für Risikobewertungen (Kredit-Scoring, Fraud Detection)
müssen vor dem produktiven Einsatz nach MaRisk AT 4.3.5 validiert werden.
Dies umfasst initiale Validierung, Backtesting und unabhängige Prüfung.
STOP_ALGO_TRADING_WITHOUT_APPROVAL:
id: STOP_ALGO_TRADING_WITHOUT_APPROVAL
title: "Algorithmischer Handel ohne Genehmigung"
description: "KI-basierter Handel ohne aufsichtsrechtliche Genehmigung"
outcome: NOT_ALLOWED
when:
- ai_application.algorithmic_trading == true
message: |
Algorithmischer Handel mit KI erfordert nach MiFID II Art. 17 eine
Genehmigung durch die Geschäftsleitung, Anzeige bei der BaFin und
Implementierung von Kill-Switches. Der Einsatz ohne diese Maßnahmen
ist aufsichtsrechtlich nicht zulässig.
STOP_TPP_THIRD_COUNTRY_CRITICAL:
id: STOP_TPP_THIRD_COUNTRY_CRITICAL
title: "Kritische IKT-Auslagerung in Drittland"
description: "Kritische IKT-Dienste bei Drittland-Anbieter ohne Schutzmaßnahmen"
outcome: NOT_ALLOWED_UNTIL_CLEARED
when:
- ict_service.is_critical == true
- ict_service.is_outsourced == true
- ict_service.provider_location == THIRD_COUNTRY
message: |
Die Auslagerung kritischer IKT-Dienste an Anbieter in Drittländern
erfordert zusätzliche Schutzmaßnahmen nach DORA Art. 31. Eine
vertiefte Risikoanalyse und Genehmigung durch die Geschäftsleitung
ist erforderlich.
# =============================================================================
# Regeln (deterministische Auswertung)
# =============================================================================
rules:
# --- DORA-Regeln ---
- id: R-FIN-DORA-001
category: "H. Financial Regulations"
title: "DORA-Pflichtigkeit"
description: "Prüfung ob DORA-Anforderungen greifen"
condition:
all_of:
- field: domain
operator: in
value: [banking, finance, insurance, investment, payment_services, crypto_assets]
- field: financial_entity.regulated
operator: equals
value: true
effect:
controls_add:
- CTRL-DORA-ICT-RISK-FRAMEWORK
- CTRL-DORA-ICT-INCIDENT-MANAGEMENT
- CTRL-DORA-DIGITAL-RESILIENCE-TESTING
risk_add: 15
severity: WARN
dora_ref: "DORA Art. 2"
rationale: "Regulierte Finanzunternehmen unterliegen DORA"
- id: R-FIN-DORA-002
category: "H. Financial Regulations"
title: "Kritische IKT-Auslagerung"
description: "Erhöhte Anforderungen bei kritischen IKT-Diensten"
condition:
all_of:
- field: ict_service.is_critical
operator: equals
value: true
- field: ict_service.is_outsourced
operator: equals
value: true
effect:
controls_add:
- CTRL-DORA-TPP-RISK-MANAGEMENT
- CTRL-MARISK-OUTSOURCING
risk_add: 25
escalation: true
severity: WARN
dora_ref: "DORA Art. 28-30"
rationale: "Kritische IKT-Auslagerungen erfordern verstärkte Kontrollen"
- id: R-FIN-DORA-003
category: "H. Financial Regulations"
title: "Konzentrationsrisiko IKT"
description: "Warnung bei hoher Abhängigkeit von einzelnen IKT-Anbietern"
condition:
field: ict_service.concentration_risk
operator: equals
value: true
effect:
controls_add:
- CTRL-DORA-TPP-RISK-MANAGEMENT
risk_add: 20
escalation: true
severity: WARN
dora_ref: "DORA Art. 29(2)"
rationale: "Konzentrationsrisiken können systemische Auswirkungen haben"
# --- MaRisk-Regeln ---
- id: R-FIN-MARISK-001
category: "H. Financial Regulations"
title: "KI-Risikomodell Validierung"
description: "Validierungspflicht für KI-Risikomodelle"
condition:
all_of:
- field: ai_application.risk_assessment
operator: equals
value: true
- field: ai_application.model_validation_done
operator: equals
value: false
effect:
feasibility: NO
controls_add:
- CTRL-MARISK-MODEL-VALIDATION
severity: BLOCK
marisk_ref: "MaRisk AT 4.3.5"
rationale: "Nicht-validierte Risikomodelle dürfen nicht produktiv eingesetzt werden"
- id: R-FIN-MARISK-002
category: "H. Financial Regulations"
title: "Validiertes Risikomodell"
description: "KI-Risikomodell mit abgeschlossener Validierung"
condition:
all_of:
- field: ai_application.risk_assessment
operator: equals
value: true
- field: ai_application.model_validation_done
operator: equals
value: true
effect:
controls_add:
- CTRL-MARISK-RISK-REPORTING
risk_add: 10
severity: INFO
marisk_ref: "MaRisk AT 4.3.5"
rationale: "Validiertes Modell erfordert weiterhin laufende Überwachung"
# --- BAIT-Regeln ---
- id: R-FIN-BAIT-001
category: "H. Financial Regulations"
title: "BAIT-Grundanforderungen"
description: "IT-Governance nach BAIT"
condition:
all_of:
- field: domain
operator: in
value: [banking, finance]
- field: financial_entity.regulated
operator: equals
value: true
effect:
controls_add:
- CTRL-BAIT-IT-STRATEGY
- CTRL-BAIT-IT-GOVERNANCE
- CTRL-BAIT-IAM
- CTRL-BAIT-LOGGING
risk_add: 10
severity: INFO
bait_ref: "BAIT"
rationale: "Regulierte Banken müssen BAIT einhalten"
- id: R-FIN-BAIT-002
category: "H. Financial Regulations"
title: "KI-Anwendungsentwicklung"
description: "SDLC-Anforderungen für KI-Projekte"
condition:
all_of:
- field: financial_entity.regulated
operator: equals
value: true
- field: model_usage.training
operator: equals
value: true
effect:
controls_add:
- CTRL-BAIT-SDLC
- CTRL-BAIT-IT-PROJECT-MANAGEMENT
risk_add: 15
severity: WARN
bait_ref: "BAIT Tz. 27-42"
rationale: "Eigenentwicklung von KI erfordert SDLC-Konformität"
# --- KI-spezifische Finanzregeln ---
- id: R-FIN-AI-001
category: "H. Financial Regulations"
title: "KI für Kundenentscheidungen"
description: "Erklärbarkeitsanforderungen bei Kundenentscheidungen"
condition:
field: ai_application.affects_customer_decisions
operator: equals
value: true
effect:
controls_add:
- CTRL-FIN-AI-EXPLAINABILITY
- CTRL-FIN-AI-BIAS-MONITORING
- CTRL-CONTESTATION
risk_add: 20
escalation: true
severity: WARN
rationale: "Kundenentscheidungen per KI erfordern Erklärbarkeit und Fairness"
- id: R-FIN-AI-002
category: "H. Financial Regulations"
title: "Algorithmischer Handel"
description: "Anforderungen an KI-gestützten Handel"
condition:
field: ai_application.algorithmic_trading
operator: equals
value: true
effect:
controls_add:
- CTRL-FIN-ALGO-TRADING
risk_add: 30
escalation: true
severity: WARN
mifid_ref: "Art. 17 MiFID II"
rationale: "Algorithmischer Handel unterliegt besonderen Anforderungen"
- id: R-FIN-AI-003
category: "H. Financial Regulations"
title: "KI für AML/KYC"
description: "Anforderungen an KI in der Geldwäscheprävention"
condition:
field: ai_application.aml_kyc
operator: equals
value: true
effect:
controls_add:
- CTRL-FIN-AML-AI
- CTRL-HITL_ENFORCED
risk_add: 15
severity: WARN
gwg_ref: "GwG"
rationale: "AML-Entscheidungen erfordern menschliche Überprüfung"
# --- Drittland-Regeln ---
- id: R-FIN-TPP-001
category: "H. Financial Regulations"
title: "IKT-Auslagerung Drittland"
description: "Kritische IKT in Drittländern"
condition:
all_of:
- field: ict_service.is_critical
operator: equals
value: true
- field: ict_service.provider_location
operator: equals
value: THIRD_COUNTRY
effect:
feasibility: CONDITIONAL
controls_add:
- CTRL-DORA-TPP-RISK-MANAGEMENT
- CTRL-SCC
- CTRL-TIA
risk_add: 30
escalation: true
severity: WARN
dora_ref: "DORA Art. 31"
rationale: "Drittland-Auslagerungen erfordern zusätzliche Prüfung"
# =============================================================================
# Eskalations-Trigger für Finanzsektor
# =============================================================================
escalation_triggers:
- id: ESC_FIN_CRITICAL_ICT
trigger:
- "ict_service.is_critical == true"
- "ict_service.is_outsourced == true"
level: E3
reason: "Kritische IKT-Auslagerung erfordert Geschäftsleitungsentscheidung"
- id: ESC_FIN_ALGO_TRADING
trigger:
- "ai_application.algorithmic_trading == true"
level: E3
reason: "Algorithmischer Handel erfordert aufsichtsrechtliche Prüfung"
- id: ESC_FIN_RISK_MODEL
trigger:
- "ai_application.risk_assessment == true"
level: E2
reason: "KI-Risikomodelle erfordern Validierung und Genehmigung"
- id: ESC_FIN_CUSTOMER_DECISIONS
trigger:
- "ai_application.affects_customer_decisions == true"
level: E2
reason: "KI-Kundenentscheidungen erfordern Fairness-Prüfung"

598
ai-compliance-sdk/policies/funding/bundesland_profiles.yaml Normal file
View File

@@ -0,0 +1,598 @@
# ============================================================================
# Bundesland-Profile fuer Foerderantraege
# ============================================================================
# Landesspezifische Konfigurationen fuer 16 Bundeslaender
# Erstellt: 2026-01-29
# ============================================================================
metadata:
version: "1.0.0"
description: "Bundesland-spezifische Foerderungsprofile"
last_updated: "2026-01-29"
# ============================================================================
# Bundeslaender
# ============================================================================
bundeslaender:
# --------------------------------------------------------------------------
# Niedersachsen (Pilot)
# --------------------------------------------------------------------------
NI:
name: "Niedersachsen"
short: "NI"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
mep_mandatory_sections:
- "Paedagogisches Konzept"
- "Technische Ausstattung"
- "Fortbildungsplanung"
min_quote_amount: 1000
max_application_amount: null # Kein Limit
contact_authority:
name: "Niedersaechsisches Landesinstitut fuer schulische Qualitaetsentwicklung (NLQ)"
department: "Abteilung 3 - Medienberatung"
website: "https://www.nibis.de/digitalpakt"
email: "digitalpakt@nlq.nibis.de"
special_requirements:
- "Medienentwicklungsplan (MEP) erforderlich"
- "Genehmigung durch Schultraeger"
- "Antragstellung ueber Online-Portal"
submission_portal:
type: "online"
url: "https://www.nibis.de/digitalpakt-antraege"
format: "online_form"
deadlines:
digitalpakt_2:
application_deadline: "2027-12-31"
implementation_deadline: "2028-12-31"
report_deadline: "2029-06-30"
documents_required:
- id: "mep"
name: "Medienentwicklungsplan"
mandatory: true
format: ["pdf"]
- id: "kostenplan"
name: "Detaillierter Kostenplan"
mandatory: true
format: ["xlsx", "pdf"]
- id: "angebote"
name: "Kostenvoranschlaege/Angebote"
mandatory: false
min_amount_for_mandatory: 5000
format: ["pdf"]
notes: |
Niedersachsen ist der Pilotstandort fuer den Foerderantrag-Wizard.
Der MEP kann im Wizard-Format eingereicht werden.
# --------------------------------------------------------------------------
# Nordrhein-Westfalen
# --------------------------------------------------------------------------
NRW:
name: "Nordrhein-Westfalen"
short: "NRW"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
mep_mandatory_sections:
- "Bestandsaufnahme"
- "Paedagogisches Konzept"
- "Qualifizierungskonzept"
- "Technische Planung"
min_quote_amount: 1000
max_application_amount: null
contact_authority:
name: "Bezirksregierungen NRW"
department: "Dezernat 48 - Schulfoerderung"
website: "https://www.schulministerium.nrw/digitalpakt"
special_requirements:
- "Medienkonzept erforderlich"
- "LOGINEO NRW LMS empfohlen"
- "Abstimmung mit kommunalem Medienentwicklungsplan"
submission_portal:
type: "online"
url: "https://www.schulministerium.nrw/digitalpakt-antrag"
format: "online_form"
documents_required:
- id: "medienkonzept"
name: "Medienkonzept der Schule"
mandatory: true
format: ["pdf"]
- id: "kostenplan"
name: "Kostenaufstellung"
mandatory: true
format: ["xlsx", "pdf"]
# --------------------------------------------------------------------------
# Bayern
# --------------------------------------------------------------------------
BAY:
name: "Bayern"
short: "BAY"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Bayerisches Staatsministerium fuer Unterricht und Kultus"
website: "https://www.km.bayern.de/digitalpakt"
special_requirements:
- "Medienkonzept erforderlich"
- "Abstimmung mit Sachaufwandstraeger"
submission_portal:
type: "online"
format: "online_form"
documents_required:
- id: "medienkonzept"
name: "Medienkonzept"
mandatory: true
format: ["pdf"]
# --------------------------------------------------------------------------
# Baden-Wuerttemberg
# --------------------------------------------------------------------------
BW:
name: "Baden-Wuerttemberg"
short: "BW"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Ministerium fuer Kultus, Jugend und Sport"
website: "https://km-bw.de/digitalpakt"
special_requirements:
- "Medienentwicklungsplan erforderlich"
- "Paedagogisches Konzept"
documents_required:
- id: "mep"
name: "Medienentwicklungsplan"
mandatory: true
format: ["pdf"]
# --------------------------------------------------------------------------
# Hessen
# --------------------------------------------------------------------------
HE:
name: "Hessen"
short: "HE"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Hessisches Kultusministerium"
website: "https://kultusministerium.hessen.de/digitalpakt"
special_requirements:
- "Schulisches Medienbildungskonzept"
documents_required:
- id: "medienbildungskonzept"
name: "Medienbildungskonzept"
mandatory: true
format: ["pdf"]
# --------------------------------------------------------------------------
# Sachsen
# --------------------------------------------------------------------------
SN:
name: "Sachsen"
short: "SN"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Saechsisches Staatsministerium fuer Kultus"
website: "https://www.bildung.sachsen.de/digitalpakt"
special_requirements:
- "Medienentwicklungsplanung"
# --------------------------------------------------------------------------
# Thueringen
# --------------------------------------------------------------------------
TH:
name: "Thueringen"
short: "TH"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Thueringer Ministerium fuer Bildung, Jugend und Sport"
website: "https://bildung.thueringen.de/digitalpakt"
# --------------------------------------------------------------------------
# Sachsen-Anhalt
# --------------------------------------------------------------------------
SA:
name: "Sachsen-Anhalt"
short: "SA"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Ministerium fuer Bildung Sachsen-Anhalt"
website: "https://mb.sachsen-anhalt.de/digitalpakt"
# --------------------------------------------------------------------------
# Brandenburg
# --------------------------------------------------------------------------
BB:
name: "Brandenburg"
short: "BB"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Ministerium fuer Bildung, Jugend und Sport Brandenburg"
website: "https://mbjs.brandenburg.de/digitalpakt"
# --------------------------------------------------------------------------
# Mecklenburg-Vorpommern
# --------------------------------------------------------------------------
MV:
name: "Mecklenburg-Vorpommern"
short: "MV"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Ministerium fuer Bildung und Kindertagesfoerderung MV"
website: "https://www.bildung-mv.de/digitalpakt"
# --------------------------------------------------------------------------
# Schleswig-Holstein
# --------------------------------------------------------------------------
SH:
name: "Schleswig-Holstein"
short: "SH"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Ministerium fuer Allgemeine und Berufliche Bildung SH"
website: "https://www.schleswig-holstein.de/digitalpakt"
# --------------------------------------------------------------------------
# Hamburg
# --------------------------------------------------------------------------
HH:
name: "Hamburg"
short: "HH"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Behoerde fuer Schule und Berufsbildung Hamburg"
website: "https://www.hamburg.de/digitalpakt"
notes: |
Hamburg als Stadtstaat hat ein zentrales Antragsverfahren.
Schultraeger ist die Stadt Hamburg.
# --------------------------------------------------------------------------
# Bremen
# --------------------------------------------------------------------------
HB:
name: "Bremen"
short: "HB"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Die Senatorin fuer Kinder und Bildung Bremen"
website: "https://www.bildung.bremen.de/digitalpakt"
notes: |
Bremen als Stadtstaat hat ein zentrales Antragsverfahren.
# --------------------------------------------------------------------------
# Berlin
# --------------------------------------------------------------------------
BE:
name: "Berlin"
short: "BE"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Senatsverwaltung fuer Bildung, Jugend und Familie"
website: "https://www.berlin.de/sen/bildung/digitalpakt"
notes: |
Berlin als Stadtstaat hat ein zentrales Antragsverfahren.
Bezirke sind Schultraeger.
# --------------------------------------------------------------------------
# Saarland
# --------------------------------------------------------------------------
SL:
name: "Saarland"
short: "SL"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Ministerium fuer Bildung und Kultur Saarland"
website: "https://www.saarland.de/mbk/digitalpakt"
# --------------------------------------------------------------------------
# Rheinland-Pfalz
# --------------------------------------------------------------------------
RP:
name: "Rheinland-Pfalz"
short: "RP"
funding_programs:
- DIGITALPAKT_1
- DIGITALPAKT_2
- LANDESFOERDERUNG
default_funding_rate: 0.90
max_funding_rate: 0.90
min_own_contribution: 0.10
requires_mep: true
contact_authority:
name: "Ministerium fuer Bildung Rheinland-Pfalz"
website: "https://bm.rlp.de/digitalpakt"
# ============================================================================
# Foerderprogramm-Uebersicht
# ============================================================================
funding_programs:
DIGITALPAKT_1:
name: "DigitalPakt Schule 1.0"
description: "Erste Phase des DigitalPakts (2019-2024)"
status: "auslaufend"
total_budget_billion: 5.0
funding_areas:
- "IT-Grundinfrastruktur"
- "Digitale Lerninfrastruktur"
- "Digitale Arbeitsgeraete"
notes: "Restmittel koennen noch abgerufen werden"
DIGITALPAKT_2:
name: "DigitalPakt Schule 2.0"
description: "Zweite Phase des DigitalPakts (2025-2030)"
status: "aktiv"
total_budget_billion: 5.5
funding_areas:
- "Digitale Bildungsinfrastruktur"
- "IT-Administration"
- "Fortbildung"
- "Endgeraete (erweitert)"
- "Lokale KI-Systeme"
focus_areas:
- "KI in der Bildung"
- "Datenschutzkonforme Loesungen"
- "Nachhaltige IT-Infrastruktur"
LANDESFOERDERUNG:
name: "Landesspezifische Foerderung"
description: "Ergaenzende Programme der Bundeslaender"
status: "variabel"
notes: "Details je nach Bundesland unterschiedlich"
SCHULTRAEGER:
name: "Schultraegerfoerderung"
description: "Investitionen durch Schultraeger"
status: "dauerhaft"
notes: "Eigenmittel der Kommunen/Landkreise"
# ============================================================================
# Foerderfahige Kategorien
# ============================================================================
fundable_categories:
digitalpakt_2:
included:
- category: "NETWORK"
description: "Aufbau/Erweiterung digitaler Vernetzung"
examples:
- "Strukturierte Verkabelung"
- "Netzwerkkomponenten"
- "Glasfaseranschluss schulintern"
- category: "WLAN"
description: "WLAN-Infrastruktur"
examples:
- "Access Points"
- "Controller"
- "Antennen"
- category: "DEVICES"
description: "Digitale Lerngeraete"
examples:
- "Tablets"
- "Laptops"
- "Convertibles"
limits:
max_per_device: 800
ratio_student: "1:3"
- category: "PRESENTATION"
description: "Praesentationstechnik"
examples:
- "Interaktive Displays"
- "Beamer"
- "Dokumentenkameras"
- category: "SOFTWARE"
description: "Software-Lizenzen"
examples:
- "Lernmanagementsysteme"
- "Office-Lizenzen"
- "Sicherheitssoftware"
conditions:
- "Max. 5 Jahre Laufzeit"
- "Bildungslizenz erforderlich"
- category: "SERVER"
description: "Server und lokale Rechenzentren"
examples:
- "Schulserver"
- "NAS-Systeme"
- "Lokale KI-Arbeitsstation"
focus_digitalpakt_2:
- "Datenschutzkonforme lokale Verarbeitung"
- "KI-Systeme ohne Cloud-Anbindung"
- category: "SERVICES"
description: "Dienstleistungen"
examples:
- "Installation"
- "Konfiguration"
- "Projektmanagement"
conditions:
- "Max. 20% der Gesamtsumme"
- category: "TRAINING"
description: "Fortbildungen"
examples:
- "Technische Schulungen"
- "Paedagogische Fortbildung"
limits:
max_percentage: 10
excluded:
- "Verbrauchsmaterial"
- "Laufende Betriebskosten"
- "Personalkosten (ausser projektbezogen)"
- "Moebel (ausser IT-spezifisch)"
- "Cloud-Abonnements ohne lokale Alternative"

893
ai-compliance-sdk/policies/funding/foerderantrag_wizard_v1.yaml Normal file
View File

@@ -0,0 +1,893 @@
# ============================================================================
# Foerderantrag Wizard Schema v1.0
# ============================================================================
# 8-Schritt-Wizard fuer Schulfoerderantraege
# Erstellt: 2026-01-29
# ============================================================================
metadata:
version: "1.0.0"
name: "Foerderantrag-Wizard"
description: "Wizard fuer Schulfoerderantraege (DigitalPakt, Landesfoerderungen)"
total_steps: 8
language: "de"
# ============================================================================
# Wizard Steps
# ============================================================================
steps:
# --------------------------------------------------------------------------
# Step 1: Foerderprogramm & Grunddaten
# --------------------------------------------------------------------------
- number: 1
id: "foerderprogramm"
title: "Foerderprogramm"
subtitle: "Waehlen Sie das passende Foerderprogramm"
description: "Waehlen Sie das Foerderprogramm, Ihr Bundesland und geben Sie einen Projekttitel ein."
icon: "document-text"
is_required: true
fields:
- id: "funding_program"
type: "select"
label: "Foerderprogramm"
required: true
options:
- value: "DIGITALPAKT_2"
label: "DigitalPakt 2.0"
description: "Foerderung digitaler Bildungsinfrastruktur"
- value: "DIGITALPAKT_1"
label: "DigitalPakt 1.0 (Restmittel)"
description: "Restmittel aus DigitalPakt 1.0"
- value: "LANDESFOERDERUNG"
label: "Landesfoerderung"
description: "Landesspezifische Foerderprogramme"
- value: "SCHULTRAEGER"
label: "Schultraegerfoerderung"
description: "Foerderung durch Schultraeger"
- id: "federal_state"
type: "select"
label: "Bundesland"
required: true
options:
- value: "NI"
label: "Niedersachsen"
- value: "NRW"
label: "Nordrhein-Westfalen"
- value: "BAY"
label: "Bayern"
- value: "BW"
label: "Baden-Wuerttemberg"
- value: "HE"
label: "Hessen"
- value: "SN"
label: "Sachsen"
- value: "TH"
label: "Thueringen"
- value: "SA"
label: "Sachsen-Anhalt"
- value: "BB"
label: "Brandenburg"
- value: "MV"
label: "Mecklenburg-Vorpommern"
- value: "SH"
label: "Schleswig-Holstein"
- value: "HH"
label: "Hamburg"
- value: "HB"
label: "Bremen"
- value: "BE"
label: "Berlin"
- value: "SL"
label: "Saarland"
- value: "RP"
label: "Rheinland-Pfalz"
- id: "project_title"
type: "text"
label: "Projekttitel"
placeholder: "z.B. Digitale Lernumgebung fuer differenzierten Unterricht"
required: true
max_length: 200
help_text: "Ein aussagekraeftiger Titel fuer Ihr Projekt"
- id: "use_preset"
type: "checkbox"
label: "BreakPilot-Preset verwenden"
default: false
help_text: "Vorausgefuellte Daten fuer BreakPilot KI-Arbeitsstation"
- id: "preset_id"
type: "select"
label: "Preset waehlen"
conditional: "use_preset === true"
options:
- value: "breakpilot_basic"
label: "BreakPilot Basis"
description: "Lokale KI-Arbeitsstation fuer eine Schule"
- value: "breakpilot_cluster"
label: "BreakPilot Schulverbund"
description: "Zentrale KI-Infrastruktur fuer mehrere Schulen"
assistant_context: |
Erklaere die Unterschiede zwischen DigitalPakt 1.0 und 2.0.
DigitalPakt 2.0 hat hoehere Foerdersummen und erweiterte Foerderbereiche.
Hilf bei der Wahl des richtigen Programms basierend auf dem Vorhaben.
# --------------------------------------------------------------------------
# Step 2: Schulinformationen
# --------------------------------------------------------------------------
- number: 2
id: "schulinformationen"
title: "Schulinformationen"
subtitle: "Angaben zur Schule und zum Schultraeger"
description: "Geben Sie die Daten Ihrer Schule und des Schultraegers ein. Diese koennen automatisch aus der Schulsuche uebernommen werden."
icon: "academic-cap"
is_required: true
fields:
- id: "school_search"
type: "autocomplete"
label: "Schule suchen"
placeholder: "Schulname oder Schulnummer eingeben..."
endpoint: "/sdk/v1/funding/schools/search"
help_text: "Tippen Sie den Namen oder die Schulnummer ein, um Ihre Schule zu finden"
- id: "school_name"
type: "text"
label: "Schulname"
required: true
max_length: 200
- id: "school_number"
type: "text"
label: "Schulnummer"
required: true
pattern: "^[0-9]{5,8}$"
help_text: "Die offizielle Schulnummer Ihres Bundeslandes"
- id: "school_type"
type: "select"
label: "Schulform"
required: true
options:
- value: "GRUNDSCHULE"
label: "Grundschule"
- value: "HAUPTSCHULE"
label: "Hauptschule"
- value: "REALSCHULE"
label: "Realschule"
- value: "GYMNASIUM"
label: "Gymnasium"
- value: "GESAMTSCHULE"
label: "Gesamtschule"
- value: "OBERSCHULE"
label: "Oberschule"
- value: "FOERDERSCHULE"
label: "Foerderschule"
- value: "BERUFSSCHULE"
label: "Berufsbildende Schule"
- value: "SONSTIGE"
label: "Sonstige"
- id: "school_address"
type: "address"
label: "Schuladresse"
required: true
- id: "contact_salutation"
type: "select"
label: "Anrede"
options:
- value: "Herr"
label: "Herr"
- value: "Frau"
label: "Frau"
- id: "contact_first_name"
type: "text"
label: "Vorname"
required: true
- id: "contact_last_name"
type: "text"
label: "Nachname"
required: true
- id: "contact_position"
type: "text"
label: "Position"
placeholder: "z.B. Schulleitung, IT-Beauftragter"
- id: "contact_email"
type: "email"
label: "E-Mail"
required: true
- id: "contact_phone"
type: "tel"
label: "Telefon"
- id: "student_count"
type: "number"
label: "Anzahl Schueler/innen"
min: 1
required: true
- id: "teacher_count"
type: "number"
label: "Anzahl Lehrkraefte"
min: 1
required: true
- id: "class_count"
type: "number"
label: "Anzahl Klassen"
min: 1
- id: "carrier_type"
type: "select"
label: "Schultraeger-Typ"
required: true
options:
- value: "PUBLIC"
label: "Oeffentlich (Kommune/Land)"
- value: "PRIVATE"
label: "Privat"
- value: "CHURCH"
label: "Kirchlich"
- value: "NON_PROFIT"
label: "Gemeinnuetzig"
- id: "carrier_name"
type: "text"
label: "Name des Schultraegers"
required: true
placeholder: "z.B. Stadt Hannover, Landkreis Goettingen"
assistant_context: |
Erklaere was eine Schulnummer ist und warum der Schultraeger wichtig ist.
Die Schulnummer ist eine eindeutige Kennung, die vom Kultusministerium vergeben wird.
Der Schultraeger ist fuer die finale Antragstellung und Unterschrift verantwortlich.
# --------------------------------------------------------------------------
# Step 3: IT-Bestandsaufnahme
# --------------------------------------------------------------------------
- number: 3
id: "bestandsaufnahme"
title: "IT-Bestandsaufnahme"
subtitle: "Aktuelle IT-Infrastruktur der Schule"
description: "Dokumentieren Sie den aktuellen Stand Ihrer IT-Infrastruktur. Dies hilft bei der Begruendung des Foerderbedarfs."
icon: "server"
is_required: true
fields:
- id: "has_wlan"
type: "checkbox"
label: "WLAN vorhanden"
default: false
- id: "wlan_coverage"
type: "slider"
label: "WLAN-Abdeckung"
min: 0
max: 100
step: 10
unit: "%"
conditional: "has_wlan === true"
help_text: "Prozentuale Abdeckung der Raeume mit WLAN"
- id: "has_structured_cabling"
type: "checkbox"
label: "Strukturierte Verkabelung vorhanden"
default: false
- id: "internet_bandwidth"
type: "select"
label: "Internet-Bandbreite"
options:
- value: "< 16 Mbit/s"
label: "Unter 16 Mbit/s"
- value: "16-50 Mbit/s"
label: "16-50 Mbit/s"
- value: "50-100 Mbit/s"
label: "50-100 Mbit/s"
- value: "100-250 Mbit/s"
label: "100-250 Mbit/s"
- value: "250-1000 Mbit/s"
label: "250 Mbit/s - 1 Gbit/s"
- value: "> 1 Gbit/s"
label: "Ueber 1 Gbit/s"
- id: "device_count"
type: "number"
label: "Vorhandene Endgeraete"
min: 0
help_text: "Aktuelle Anzahl digitaler Endgeraete (Tablets, Laptops, PCs)"
- id: "has_server_room"
type: "checkbox"
label: "Serverraum vorhanden"
default: false
- id: "infrastructure_notes"
type: "textarea"
label: "Anmerkungen zur Infrastruktur"
placeholder: "Besondere Gegebenheiten, Sanierungsbedarfe..."
max_length: 1000
assistant_context: |
Hilf bei der Einschaetzung der aktuellen IT-Infrastruktur.
Erklaere was strukturierte Verkabelung bedeutet (Cat5e, Cat6, Cat6a).
Gib Hinweise zu typischen Anforderungen fuer Schulnetze.
# --------------------------------------------------------------------------
# Step 4: Projektbeschreibung
# --------------------------------------------------------------------------
- number: 4
id: "projektbeschreibung"
title: "Projektbeschreibung"
subtitle: "Ziele, Didaktik und Bezug zum MEP"
description: "Beschreiben Sie Ihr Projekt, die paedagogischen Ziele und den Bezug zum Medienentwicklungsplan."
icon: "document-report"
is_required: true
fields:
- id: "project_summary"
type: "textarea"
label: "Kurzbeschreibung"
placeholder: "Beschreiben Sie Ihr Projekt in 2-3 Saetzen..."
required: true
max_length: 500
help_text: "Diese Zusammenfassung erscheint im Antragsschreiben"
- id: "project_goals"
type: "textarea"
label: "Projektziele"
placeholder: "Welche konkreten Ziele verfolgen Sie mit diesem Projekt?"
required: true
max_length: 2000
help_text: "Beschreiben Sie 3-5 messbare Ziele"
- id: "didactic_concept"
type: "textarea"
label: "Paedagogisches Konzept"
placeholder: "Wie wird die Technik im Unterricht eingesetzt?"
required: true
max_length: 3000
help_text: "Beschreiben Sie den paedagogischen Mehrwert"
- id: "mep_reference"
type: "textarea"
label: "Bezug zum Medienentwicklungsplan"
placeholder: "Wie fuegt sich das Projekt in den MEP ein?"
max_length: 1000
help_text: "Referenzieren Sie relevante Abschnitte Ihres MEP"
- id: "target_groups"
type: "multi_select"
label: "Zielgruppen"
required: true
options:
- value: "schueler"
label: "Schueler/innen"
- value: "lehrer"
label: "Lehrkraefte"
- value: "verwaltung"
label: "Schulverwaltung"
- value: "eltern"
label: "Eltern"
- id: "subjects_affected"
type: "multi_select"
label: "Betroffene Faecher"
options:
- value: "alle"
label: "Faecheruebergreifend"
- value: "mint"
label: "MINT-Faecher"
- value: "sprachen"
label: "Sprachen"
- value: "gesellschaft"
label: "Gesellschaftswissenschaften"
- value: "kunst"
label: "Kunst/Musik"
- value: "sport"
label: "Sport"
assistant_context: |
Hilf bei der Formulierung von paedagogischen Zielen.
Gib Beispiele fuer gute Projektbeschreibungen.
Erklaere was ein Medienentwicklungsplan (MEP) ist und warum er wichtig ist.
# --------------------------------------------------------------------------
# Step 5: Investitionen
# --------------------------------------------------------------------------
- number: 5
id: "investitionen"
title: "Investitionen"
subtitle: "Geplante Anschaffungen und Kategorien"
description: "Listen Sie alle geplanten Investitionen auf. Der Wizard berechnet automatisch die Summen."
icon: "currency-euro"
is_required: true
fields:
- id: "budget_items"
type: "budget_table"
label: "Kostenaufstellung"
required: true
categories:
- id: "NETWORK"
label: "Netzwerk/Verkabelung"
icon: "globe-alt"
color: "#3b82f6"
- id: "WLAN"
label: "WLAN-Infrastruktur"
icon: "wifi"
color: "#8b5cf6"
- id: "DEVICES"
label: "Endgeraete"
icon: "device-tablet"
color: "#10b981"
- id: "PRESENTATION"
label: "Praesentationstechnik"
icon: "presentation-chart-bar"
color: "#f59e0b"
- id: "SOFTWARE"
label: "Software-Lizenzen"
icon: "code"
color: "#ec4899"
- id: "SERVER"
label: "Server/Rechenzentrum"
icon: "server"
color: "#6366f1"
- id: "SERVICES"
label: "Dienstleistungen"
icon: "briefcase"
color: "#14b8a6"
- id: "TRAINING"
label: "Schulungen"
icon: "academic-cap"
color: "#f97316"
- id: "SONSTIGE"
label: "Sonstige"
icon: "dots-horizontal"
color: "#64748b"
columns:
- id: "description"
label: "Beschreibung"
type: "text"
width: 30
- id: "manufacturer"
label: "Hersteller"
type: "text"
width: 15
- id: "quantity"
label: "Anzahl"
type: "number"
width: 10
- id: "unit_price"
label: "Einzelpreis"
type: "currency"
width: 15
- id: "total_price"
label: "Gesamt"
type: "currency"
width: 15
calculated: true
- id: "is_fundable"
label: "Foerderfahig"
type: "checkbox"
width: 10
default: true
assistant_context: |
Hilf bei der Auswahl geeigneter Hardware und Software.
Erklaere was foerderfahig ist und was nicht (z.B. Verbrauchsmaterial).
Gib Orientierungswerte fuer uebliche Preise.
Bei BreakPilot-Preset: Erklaere die lokale KI-Arbeitsstation und ihre Vorteile.
# --------------------------------------------------------------------------
# Step 6: Finanzierungsplan
# --------------------------------------------------------------------------
- number: 6
id: "finanzierungsplan"
title: "Finanzierungsplan"
subtitle: "Foerderquote, Eigenanteil und Gesamtkosten"
description: "Der Finanzierungsplan wird automatisch berechnet. Pruefen Sie die Werte und passen Sie ggf. den Eigenanteil an."
icon: "calculator"
is_required: true
fields:
- id: "funding_rate"
type: "slider"
label: "Foerderquote"
min: 0
max: 100
step: 5
default: 90
unit: "%"
help_text: "Die uebliche Foerderquote betraegt 90% (10% Eigenanteil)"
- id: "total_cost"
type: "currency"
label: "Gesamtkosten"
readonly: true
calculated: true
help_text: "Summe aller Positionen aus Schritt 5"
- id: "requested_funding"
type: "currency"
label: "Beantragter Foerderbetrag"
readonly: true
calculated: true
help_text: "Gesamtkosten x Foerderquote"
- id: "own_contribution"
type: "currency"
label: "Eigenanteil"
readonly: true
calculated: true
help_text: "Gesamtkosten - Foerderbetrag"
- id: "other_funding"
type: "currency"
label: "Sonstige Finanzierung"
default: 0
help_text: "Weitere Foerdermittel oder Spenden"
- id: "budget_justification"
type: "textarea"
label: "Begruendung der Kosten"
placeholder: "Begruenden Sie die wesentlichen Kostenpositionen..."
max_length: 2000
help_text: "Kurze Begruendung fuer groessere Positionen"
assistant_context: |
Erklaere die Foerderquoten verschiedener Programme.
DigitalPakt 2.0: In der Regel 90%, aber je nach Bundesland unterschiedlich.
Hilf bei der Begruendung von Kostenansaetzen.
# --------------------------------------------------------------------------
# Step 7: Zeitplan
# --------------------------------------------------------------------------
- number: 7
id: "zeitplan"
title: "Zeitplan"
subtitle: "Projektlaufzeit und Meilensteine"
description: "Planen Sie die Projektlaufzeit und definieren Sie wichtige Meilensteine."
icon: "calendar"
is_required: true
fields:
- id: "planned_start"
type: "date"
label: "Geplanter Projektbeginn"
required: true
min_date: "today"
- id: "planned_end"
type: "date"
label: "Geplantes Projektende"
required: true
- id: "milestones"
type: "milestone_list"
label: "Meilensteine"
help_text: "Definieren Sie 3-5 wichtige Meilensteine"
suggested_milestones:
- title: "Ausschreibung/Angebote einholen"
offset_months: 1
- title: "Auftragserteilung"
offset_months: 2
- title: "Installation Infrastruktur"
offset_months: 3
- title: "Schulung Lehrkraefte"
offset_months: 4
- title: "Projektabschluss & Verwendungsnachweis"
offset_months: 6
- id: "project_phase"
type: "select"
label: "Aktuelle Projektphase"
options:
- value: "planning"
label: "Planung"
- value: "application"
label: "Antragstellung"
- value: "procurement"
label: "Beschaffung"
- value: "implementation"
label: "Umsetzung"
assistant_context: |
Gib Hinweise zu realistischen Projektlaufzeiten.
Erklaere typische Fristen bei Foerderantraegen.
Hilf bei der Definition sinnvoller Meilensteine.
# --------------------------------------------------------------------------
# Step 8: Dokumente & Abschluss
# --------------------------------------------------------------------------
- number: 8
id: "abschluss"
title: "Dokumente & Abschluss"
subtitle: "Upload, Pruefung und Zusammenfassung"
description: "Laden Sie erforderliche Dokumente hoch, pruefen Sie die Zusammenfassung und schliessen Sie den Antrag ab."
icon: "document-download"
is_required: true
fields:
- id: "data_protection_concept"
type: "textarea"
label: "Datenschutzkonzept"
required: true
max_length: 3000
help_text: "Beschreiben Sie die Massnahmen zum Datenschutz"
auto_fill_for_preset: |
Das Projekt setzt auf eine vollstaendig lokale Datenverarbeitung:
- Alle Daten werden ausschliesslich auf der lokalen KI-Arbeitsstation verarbeitet
- Keine Uebermittlung personenbezogener Daten an externe Dienste
- Keine Cloud-Speicherung
- Betrieb im Verantwortungsbereich der Schule
- Zugriffskontrolle ueber schuleigene Benutzerverwaltung
- id: "maintenance_plan"
type: "textarea"
label: "Wartungs- und Betriebskonzept"
required: true
max_length: 2000
help_text: "Wie wird die Technik gewartet und betrieben?"
- id: "attachments"
type: "file_upload"
label: "Anlagen hochladen"
accept: ".pdf,.doc,.docx,.xls,.xlsx,.jpg,.png"
max_files: 10
max_size_mb: 20
categories:
- id: "angebot"
label: "Kostenvoranschlaege/Angebote"
required: false
- id: "mep"
label: "Medienentwicklungsplan (Auszug)"
required_for: ["NI", "NRW"]
- id: "nachweis"
label: "Sonstige Nachweise"
required: false
- id: "summary_review"
type: "summary"
label: "Zusammenfassung"
readonly: true
sections:
- "foerderprogramm"
- "schulinformationen"
- "finanzierungsplan"
- "zeitplan"
- id: "carrier_review_note"
type: "info_box"
variant: "warning"
title: "Hinweis zur Traegerpruefung"
content: |
Der generierte Antrag ist ein antragsfaehiger ENTWURF.
Die finale Pruefung und Einreichung erfolgt durch den Schultraeger.
Folgende Felder muessen vom Traeger ergaenzt werden:
- Rechtsverbindliche Erklaerungen
- Unterschriften
- Haushaltsstellen (falls vorhanden)
- Bankverbindung
- id: "confirm_accuracy"
type: "checkbox"
label: "Ich bestaetige, dass alle Angaben nach bestem Wissen gemacht wurden"
required: true
- id: "confirm_carrier_review"
type: "checkbox"
label: "Ich habe verstanden, dass der Antrag vom Schultraeger geprueft werden muss"
required: true
assistant_context: |
Pruefe die Vollstaendigkeit des Antrags.
Erklaere den weiteren Ablauf nach Fertigstellung des Entwurfs.
Gib Hinweise zu typischen Ablehnungsgruenden und wie man sie vermeidet.
# ============================================================================
# LLM Funding Assistant Configuration
# ============================================================================
funding_assistant:
enabled: true
model: "internal-32b"
temperature: 0.3
max_tokens: 1000
system_prompt: |
Du bist ein freundlicher und kompetenter Foerderantrag-Assistent fuer Schulen.
Deine Aufgaben:
- Erklaere Fachbegriffe verstaendlich
- Gib konkrete Formulierungshilfen
- Schlage passende Texte fuer Antragsfelder vor
- Beantworte Fragen zu Foerderprogrammen
- Hilf bei der Kostenplanung
Wichtige Hinweise:
- Bleibe sachlich und hilfreich
- Verweise bei rechtlichen Fragen auf den Schultraeger
- Gib keine verbindlichen Zusagen zu Foerdermitteln
- Fokussiere auf den aktuellen Wizard-Schritt
Dein Wissen umfasst:
- DigitalPakt 2.0 Richtlinien
- Landesspezifische Foerderungen (16 Bundeslaender)
- Typische Kostenansaetze fuer Schul-IT
- Paedagogische Konzepte fuer digitale Bildung
- Datenschutz in Schulen
step_contexts:
1: "Erklaere Unterschiede zwischen DigitalPakt 1.0, 2.0 und Landesfoerderungen"
2: "Erklaere was eine Schulnummer ist und warum der Schultraeger wichtig ist"
3: "Hilf bei der Einschaetzung der aktuellen IT-Infrastruktur"
4: "Gib Formulierungshilfen fuer paedagogische Konzepte"
5: "Hilf bei der Auswahl und Preisschaetzung von Hardware/Software"
6: "Erklaere Foerderquoten und Eigenanteil"
7: "Gib Hinweise zu realistischen Projektlaufzeiten"
8: "Erklaere den weiteren Ablauf nach Fertigstellung"
quick_prompts:
- label: "Was ist foerderfahig?"
prompt: "Welche Kosten sind im DigitalPakt foerderfahig und welche nicht?"
- label: "Formulierungshilfe"
prompt: "Hilf mir bei der Formulierung fuer dieses Feld"
- label: "Kostenvoranschlag"
prompt: "Gib mir eine Orientierung fuer typische Kosten"
- label: "MEP erklaeren"
prompt: "Was ist ein Medienentwicklungsplan und brauche ich einen?"
# ============================================================================
# BreakPilot Presets
# ============================================================================
presets:
breakpilot_basic:
id: "breakpilot_basic"
name: "BreakPilot Basis"
description: "Lokale KI-Arbeitsstation fuer eine Schule"
suitable_for:
- "Einzelschule"
- "Bis 500 Schueler"
budget_items:
- category: "SERVER"
description: "BreakPilot KI-Arbeitsstation (On-Premise)"
manufacturer: "BreakPilot"
product_name: "KI-Arbeitsstation Pro"
quantity: 1
unit_price: 15000.00
is_fundable: true
funding_source: "digitalpakt"
notes: "Lokale KI-Verarbeitung, keine Cloud-Anbindung erforderlich"
- category: "SOFTWARE"
description: "BreakPilot Software-Lizenz (3 Jahre)"
manufacturer: "BreakPilot"
quantity: 1
unit_price: 3000.00
is_fundable: true
funding_source: "digitalpakt"
notes: "Inkl. Updates und Support"
- category: "TRAINING"
description: "Einweisungsschulung Lehrkraefte"
quantity: 1
unit_price: 1500.00
is_fundable: true
funding_source: "digitalpakt"
auto_fill:
data_protection: |
Das Projekt setzt auf vollstaendig lokale Datenverarbeitung:
- Alle Daten werden ausschliesslich auf der BreakPilot KI-Arbeitsstation verarbeitet
- KEINE Uebermittlung personenbezogener Daten an externe Server oder Cloud-Dienste
- KEINE Speicherung in der Cloud
- Betrieb im Verantwortungsbereich der Schule
- Zugriffskontrolle ueber schuleigene Benutzerverwaltung (LDAP/AD kompatibel)
- Verschluesselte lokale Datenspeicherung
- Automatische Loeschung nach konfigurierbaren Fristen
maintenance: |
Wartung und Betrieb sind im Leistungsumfang enthalten:
- 3 Jahre Software-Updates und technischer Support
- Fernwartung nur auf Anfrage und mit Freigabe durch die Schule
- Jaehrliche Sicherheitsupdates
- Dokumentation und Schulungsmaterialien fuer Administratoren
breakpilot_cluster:
id: "breakpilot_cluster"
name: "BreakPilot Schulverbund"
description: "Zentrale KI-Infrastruktur fuer mehrere Schulen"
suitable_for:
- "Schultraeger mit mehreren Schulen"
- "Schulverbund"
- "Ueber 1000 Schueler gesamt"
budget_items:
- category: "SERVER"
description: "BreakPilot Server-Cluster (Zentrale)"
manufacturer: "BreakPilot"
product_name: "KI-Cluster Enterprise"
quantity: 1
unit_price: 45000.00
is_fundable: true
funding_source: "digitalpakt"
- category: "SOFTWARE"
description: "BreakPilot Enterprise-Lizenz (3 Jahre, unbegrenzte Nutzer)"
manufacturer: "BreakPilot"
quantity: 1
unit_price: 9000.00
is_fundable: true
funding_source: "digitalpakt"
- category: "NETWORK"
description: "Dedizierte Netzwerkanbindung Schulen"
quantity: 5
unit_price: 2000.00
is_fundable: true
funding_source: "digitalpakt"
- category: "TRAINING"
description: "Train-the-Trainer Programm"
quantity: 1
unit_price: 4500.00
is_fundable: true
funding_source: "digitalpakt"
auto_fill:
data_protection: |
Das Projekt setzt auf eine zentrale, aber vollstaendig lokale Datenverarbeitung:
- Zentraler BreakPilot Cluster im Rechenzentrum des Schultraegers
- Sichere Verbindung der Schulen ueber dedizierte Leitungen oder VPN
- KEINE Uebermittlung an externe Cloud-Dienste
- Mandantenfaehigkeit: Daten der Schulen sind strikt getrennt
- Zentrale Administration durch Schultraeger, dezentrale Nutzerverwaltung
- Compliance mit DSGVO und Landesdatenschutzgesetzen
# ============================================================================
# Validation Rules
# ============================================================================
validation:
global:
- rule: "total_cost > 0"
message: "Die Gesamtkosten muessen groesser als 0 sein"
severity: "error"
- rule: "requested_funding <= total_cost"
message: "Der Foerderbetrag kann nicht hoeher sein als die Gesamtkosten"
severity: "error"
- rule: "planned_end > planned_start"
message: "Das Projektende muss nach dem Projektbeginn liegen"
severity: "error"
step_specific:
1:
- rule: "project_title.length >= 10"
message: "Der Projekttitel sollte mindestens 10 Zeichen haben"
severity: "warning"
5:
- rule: "budget_items.length > 0"
message: "Mindestens eine Kostenposition ist erforderlich"
severity: "error"
6:
- rule: "funding_rate >= 50 && funding_rate <= 100"
message: "Die Foerderquote muss zwischen 50% und 100% liegen"
severity: "warning"

794
ai-compliance-sdk/policies/gap_mapping.yaml Normal file
View File

@@ -0,0 +1,794 @@
# UCCA Gap-Mapping v1.0
# Deterministische Zuordnung: Facts → Gaps → Controls → Escalation
# Keine LLM-Abhängigkeit in der Entscheidungslogik
version: "1.0"
description: "Gap-Mapping für Use-Case Compliance Assessment"
last_updated: "2026-01-29"
# =============================================================================
# GAP DEFINITIONS
# Jeder Gap wird durch Fakten ausgelöst und führt zu Controls + Escalation
# =============================================================================
gaps:
# ---------------------------------------------------------------------------
# VERTRAGSBASIERTE GAPS
# ---------------------------------------------------------------------------
GAP_AVV_MISSING:
name: "Auftragsverarbeitungsvertrag fehlt"
description: "Kein AVV mit dem KI-Anbieter vorhanden oder Status unbekannt"
severity: critical
trigger_conditions:
# Wird ausgelöst wenn EINER dieser Conditions true ist
- field: "contracts.avv.present"
operator: "equals"
value: false
- field: "contracts.avv.present"
operator: "equals"
value: "unknown"
required_controls:
- CTRL_AVV
escalation:
level: E2
reason: "Verarbeitung ohne AVV ist DSGVO-Verstoß (Art. 28)"
auto_assign_to: "dpo"
legal_refs:
- "DSGVO Art. 28"
- "DSGVO Art. 82 Abs. 1"
GAP_AVV_INCOMPLETE:
name: "AVV unvollständig"
description: "AVV vorhanden, aber ohne erforderliche Klauseln"
severity: high
trigger_conditions:
- field: "contracts.avv.present"
operator: "equals"
value: true
- field: "contracts.avv.complete"
operator: "equals"
value: false
required_controls:
- CTRL_AVV
escalation:
level: E1
reason: "AVV muss Art. 28 Abs. 3 DSGVO Mindestinhalte enthalten"
auto_assign_to: "legal"
legal_refs:
- "DSGVO Art. 28 Abs. 3"
# ---------------------------------------------------------------------------
# DRITTLAND-TRANSFER GAPS
# ---------------------------------------------------------------------------
GAP_TRANSFER_NO_SCC:
name: "Drittlandtransfer ohne SCC"
description: "Datenübermittlung in Drittland ohne Standardvertragsklauseln"
severity: critical
trigger_conditions:
- field: "provider.location"
operator: "in"
value: ["us", "non_eu", "unknown"]
- field: "contracts.scc.present"
operator: "equals"
value: false
required_controls:
- CTRL_SCC
- CTRL_TIA
escalation:
level: E2
reason: "Drittlandtransfer ohne Garantien ist unzulässig (Schrems II)"
auto_assign_to: "dpo"
legal_refs:
- "DSGVO Art. 44-49"
- "EuGH Schrems II (C-311/18)"
GAP_TRANSFER_NO_TIA:
name: "Drittlandtransfer ohne TIA"
description: "SCC vorhanden, aber kein Transfer Impact Assessment"
severity: high
trigger_conditions:
- field: "provider.location"
operator: "in"
value: ["us", "non_eu"]
- field: "contracts.scc.present"
operator: "equals"
value: true
- field: "contracts.tia.present"
operator: "equals"
value: false
required_controls:
- CTRL_TIA
escalation:
level: E1
reason: "TIA erforderlich zur Bewertung des Schutzniveaus"
auto_assign_to: "legal"
legal_refs:
- "EDPB Recommendations 01/2020"
- "DSGVO Art. 46"
GAP_SUBPROCESSORS_UNKNOWN:
name: "Unterauftragsverarbeiter unbekannt"
description: "Liste der Subprocessors nicht bekannt oder nicht dokumentiert"
severity: high
trigger_conditions:
- field: "provider.subprocessors.known"
operator: "equals"
value: false
required_controls:
- CTRL_SUBPROCESSOR_LIST
- CTRL_AVV
escalation:
level: E1
reason: "Unterauftragsverarbeiter müssen gem. Art. 28 Abs. 2 DSGVO genehmigt werden"
auto_assign_to: "legal"
legal_refs:
- "DSGVO Art. 28 Abs. 2"
- "DSGVO Art. 28 Abs. 4"
GAP_SCC_OUTDATED:
name: "Veraltete SCC-Version"
description: "Standardvertragsklauseln sind nicht die aktuelle Version (2021)"
severity: high
trigger_conditions:
- field: "contracts.scc.present"
operator: "equals"
value: true
- field: "contracts.scc.version"
operator: "not_equals"
value: "new_scc_2021"
required_controls:
- CTRL_SCC_UPDATE
escalation:
level: E1
reason: "Alte SCC-Versionen sind seit Ende 2022 nicht mehr gültig"
auto_assign_to: "legal"
legal_refs:
- "EU 2021/914"
- "CNIL Transition Guidance"
GAP_US_NO_DPF:
name: "US-Provider ohne DPF-Zertifizierung"
description: "US-Anbieter ist nicht unter Data Privacy Framework zertifiziert"
severity: high
trigger_conditions:
- field: "provider.location"
operator: "equals"
value: "us"
- field: "provider.dpf_certified"
operator: "equals"
value: false
required_controls:
- CTRL_SCC
- CTRL_TIA
- CTRL_DPF_CHECK
escalation:
level: E2
reason: "US-Transfer ohne DPF erfordert SCC + TIA + ergänzende Maßnahmen"
auto_assign_to: "dpo"
legal_refs:
- "DSGVO Art. 44ff"
- "EuGH Schrems II (C-311/18)"
- "EU-US DPF Beschluss 2023"
GAP_SUPPORT_THIRD_COUNTRY:
name: "Support-Zugriff aus Drittland"
description: "Provider-Support kann von außerhalb des EWR auf Daten zugreifen"
severity: medium
trigger_conditions:
- field: "provider.support_location"
operator: "in"
value: ["us", "non_eu", "global", "unknown"]
- field: "data.contains_personal"
operator: "equals"
value: true
required_controls:
- CTRL_SCC
- CTRL_ACCESS_LOGGING
escalation:
level: E1
reason: "Remote-Zugriff aus Drittland = Datenübermittlung"
auto_assign_to: "legal"
legal_refs:
- "DSGVO Art. 44"
- "EDPB Guidelines on Data Transfers"
GAP_SUBPROCESSOR_THIRD_COUNTRY:
name: "Unterauftragsverarbeiter im Drittland"
description: "Provider nutzt Subprozessoren außerhalb des EWR"
severity: high
trigger_conditions:
- field: "provider.subprocessors.third_country"
operator: "equals"
value: true
required_controls:
- CTRL_SUBPROCESSOR_SCC
- CTRL_TIA
escalation:
level: E1
reason: "SCC-Kette zu Drittland-Subprozessoren erforderlich"
auto_assign_to: "legal"
legal_refs:
- "DSGVO Art. 28 Abs. 4"
- "DSGVO Art. 46"
GAP_TIA_INADEQUATE:
name: "TIA zeigt unzureichendes Schutzniveau"
description: "Transfer Impact Assessment ergibt Defizite im Datenschutzniveau"
severity: critical
trigger_conditions:
- field: "contracts.tia.result"
operator: "equals"
value: "inadequate"
required_controls:
- CTRL_TECHNICAL_SUPPLEMENTARY
- CTRL_ENCRYPTION_E2E
escalation:
level: E2
reason: "Zusätzliche technische Maßnahmen erforderlich um Transfer zu legitimieren"
auto_assign_to: "dpo"
legal_refs:
- "EDPB Recommendations 01/2020"
- "DSGVO Art. 32"
GAP_TIA_NOT_FEASIBLE:
name: "Transfer nicht möglich"
description: "TIA ergibt: angemessenes Schutzniveau nicht erreichbar"
severity: critical
trigger_conditions:
- field: "contracts.tia.result"
operator: "equals"
value: "not_feasible"
required_controls: []
escalation:
level: E3
reason: "Transfer muss unterbleiben - kein angemessenes Schutzniveau erreichbar"
auto_assign_to: "dpo"
requires_board_decision: true
blocks_processing: true
legal_refs:
- "DSGVO Art. 44"
- "EuGH Schrems II"
GAP_LOCAL_HOSTING_NOT_VERIFIED:
name: "Lokales Hosting nicht verifiziert"
description: "Behauptung lokales Hosting, aber keine Verifizierung"
severity: medium
trigger_conditions:
- field: "hosting.type"
operator: "equals"
value: "on_premises"
- field: "hosting.verified"
operator: "equals"
value: false
required_controls:
- CTRL_HOSTING_VERIFICATION
escalation:
level: E0
reason: "Hosting-Konfiguration sollte dokumentiert werden"
auto_assign_to: null
legal_refs:
- "DSGVO Art. 5 Abs. 2 (Rechenschaftspflicht)"
# ---------------------------------------------------------------------------
# DATENMINIMIERUNG GAPS
# ---------------------------------------------------------------------------
GAP_NO_TRAINING_CLAUSE:
name: "Keine Opt-Out-Klausel für KI-Training"
description: "Provider kann Daten für Modelltraining verwenden"
severity: high
trigger_conditions:
- field: "provider.uses_data_for_training"
operator: "equals"
value: true
- field: "contracts.no_training_clause"
operator: "equals"
value: false
required_controls:
- CTRL_NO_TRAINING_CLAUSE
escalation:
level: E1
reason: "Zweckbindung verletzt wenn Daten für Training verwendet werden"
auto_assign_to: "legal"
legal_refs:
- "DSGVO Art. 5 Abs. 1 lit. b"
GAP_RETENTION_UNKNOWN:
name: "Speicherdauer beim Provider unbekannt"
description: "Prompt/Response Retention Policy nicht dokumentiert"
severity: medium
trigger_conditions:
- field: "provider.prompt_retention.known"
operator: "equals"
value: false
required_controls:
- CTRL_RETENTION_POLICY
escalation:
level: E0
reason: "Speicherdauer muss dokumentiert werden"
auto_assign_to: null
legal_refs:
- "DSGVO Art. 5 Abs. 1 lit. e"
- "DSGVO Art. 13 Abs. 2 lit. a"
GAP_CHAT_LOGS_RAW:
name: "Chat-Logs im Klartext gespeichert"
description: "Benutzerfragen werden ohne Anonymisierung gespeichert"
severity: high
trigger_conditions:
- field: "logs.store_user_questions"
operator: "equals"
value: true
- field: "logs.anonymization"
operator: "equals"
value: false
required_controls:
- CTRL_PII_REDACTION_GATEWAY
- CTRL_RETENTION_POLICY
escalation:
level: E1
reason: "Klartext-Logs mit PII erfordern besondere Schutzmaßnahmen"
auto_assign_to: "security"
legal_refs:
- "DSGVO Art. 5 Abs. 1 lit. c"
- "DSGVO Art. 32"
GAP_NO_PII_FILTER:
name: "Kein PII-Filter vor LLM"
description: "Personenbezogene Daten werden ungefiltert an LLM gesendet"
severity: high
trigger_conditions:
- field: "data.contains_pii"
operator: "equals"
value: true
- field: "technical.pii_filter.enabled"
operator: "equals"
value: false
required_controls:
- CTRL_PII_REDACTION_GATEWAY
escalation:
level: E1
reason: "PII-Minimierung vor LLM-Verarbeitung erforderlich"
auto_assign_to: "security"
legal_refs:
- "DSGVO Art. 5 Abs. 1 lit. c"
- "DSGVO Art. 25"
# ---------------------------------------------------------------------------
# CCTV / VIDEO GAPS
# ---------------------------------------------------------------------------
GAP_CCTV_PUBLIC_NO_SIGN:
name: "CCTV im öffentlichen Bereich ohne Hinweisschild"
description: "Videoüberwachung ohne transparente Information"
severity: critical
trigger_conditions:
- field: "cctv.public_area"
operator: "equals"
value: true
- field: "cctv.signage_present"
operator: "equals"
value: false
required_controls:
- CTRL_CCTV_SIGNAGE
escalation:
level: E2
reason: "Verstoß gegen Informationspflichten (Art. 13 DSGVO)"
auto_assign_to: "dpo"
legal_refs:
- "DSGVO Art. 13"
- "EDPB Guidelines 3/2019"
GAP_CCTV_FACES_STORED:
name: "Gesichtserkennung mit Speicherung"
description: "CCTV erfasst Gesichter und speichert diese"
severity: critical
trigger_conditions:
- field: "cctv.contains_faces"
operator: "equals"
value: true
- field: "cctv.storage"
operator: "in"
value: ["local_7d", "local_30d", "cloud"]
required_controls:
- CTRL_FACE_BLURRING
- CTRL_DSFA
- CTRL_CCTV_POLICY
escalation:
level: E3
reason: "Biometrische Daten erfordern DSFA und besondere Rechtsgrundlage"
auto_assign_to: "dpo"
requires_board_decision: true
legal_refs:
- "DSGVO Art. 9"
- "DSGVO Art. 35"
- "EDPB Guidelines 3/2019"
GAP_CCTV_LICENSE_PLATES:
name: "Kennzeichenerfassung ohne Rechtsgrundlage"
description: "CCTV erfasst KFZ-Kennzeichen"
severity: high
trigger_conditions:
- field: "cctv.contains_license_plates"
operator: "equals"
value: true
- field: "cctv.license_plate_purpose"
operator: "equals"
value: "unknown"
required_controls:
- CTRL_ANPR_BLURRING
- CTRL_CCTV_POLICY
escalation:
level: E2
reason: "Kennzeichenerfassung erfordert spezifische Rechtsgrundlage"
auto_assign_to: "dpo"
legal_refs:
- "DSGVO Art. 6"
- "BDSG §4"
GAP_CCTV_CLOUD_STORAGE:
name: "CCTV-Aufnahmen in Cloud gespeichert"
description: "Videoaufnahmen werden bei Cloud-Anbieter gespeichert"
severity: high
trigger_conditions:
- field: "cctv.storage"
operator: "equals"
value: "cloud"
required_controls:
- CTRL_AVV
- CTRL_ENCRYPTION_TRANSIT
- CTRL_ENCRYPTION_REST
escalation:
level: E1
reason: "Cloud-Speicherung von Videoaufnahmen erfordert zusätzliche Garantien"
auto_assign_to: "security"
legal_refs:
- "DSGVO Art. 28"
- "DSGVO Art. 32"
# ---------------------------------------------------------------------------
# AI ACT GAPS
# ---------------------------------------------------------------------------
GAP_AIACT_HIGHRISK_NO_CONFORMITY:
name: "Hochrisiko-KI ohne Konformitätsbewertung"
description: "KI-System fällt unter Hochrisiko-Kategorie ohne CE-Kennzeichnung"
severity: critical
trigger_conditions:
- field: "aiact.risk_category"
operator: "equals"
value: "high"
- field: "aiact.conformity_assessment"
operator: "equals"
value: false
required_controls:
- CTRL_AI_CONFORMITY
- CTRL_AI_DOCUMENTATION
- CTRL_HITL_ENFORCED
escalation:
level: E3
reason: "Hochrisiko-KI erfordert Konformitätsbewertung gem. AI Act"
auto_assign_to: "dpo"
requires_board_decision: true
legal_refs:
- "AI Act Art. 6"
- "AI Act Annex III"
GAP_AIACT_NO_HITL:
name: "Hochrisiko-KI ohne Human Oversight"
description: "Kein menschlicher Eingriff bei automatisierten Entscheidungen"
severity: critical
trigger_conditions:
- field: "outputs.decision_with_legal_effect"
operator: "equals"
value: true
- field: "processing.human_oversight"
operator: "equals"
value: false
required_controls:
- CTRL_HITL_ENFORCED
escalation:
level: E2
reason: "Automatisierte Entscheidungen mit rechtlicher Wirkung erfordern menschliche Aufsicht"
auto_assign_to: "dpo"
legal_refs:
- "DSGVO Art. 22"
- "AI Act Art. 14"
GAP_AIACT_SYSTEMATIC_MONITORING:
name: "Systematische Überwachung ohne Transparenz"
description: "KI-System führt systematische Überwachung durch"
severity: critical
trigger_conditions:
- field: "processing.systematic_monitoring"
operator: "equals"
value: true
- field: "transparency.monitoring_disclosed"
operator: "equals"
value: false
required_controls:
- CTRL_DSFA
- CTRL_AI_TRANSPARENCY
escalation:
level: E3
reason: "Systematische Überwachung ist hochriskant und muss offengelegt werden"
auto_assign_to: "dpo"
requires_board_decision: true
legal_refs:
- "DSGVO Art. 35 Abs. 3 lit. c"
- "AI Act Art. 5"
# ---------------------------------------------------------------------------
# TRAINING / IMPROVEMENT GAPS
# ---------------------------------------------------------------------------
GAP_TRAINING_NO_CONSENT:
name: "Nutzerdaten für Training ohne Einwilligung"
description: "Chat-Logs werden für Modellverbesserung genutzt ohne explizite Zustimmung"
severity: high
trigger_conditions:
- field: "improvement.strategy"
operator: "in"
value: ["finetune", "curated_samples"]
- field: "improvement.user_consent"
operator: "equals"
value: false
required_controls:
- CTRL_TRAINING_CONSENT
- CTRL_DATA_SAMPLING_POLICY
escalation:
level: E2
reason: "Training auf Nutzerdaten erfordert informierte Einwilligung"
auto_assign_to: "dpo"
legal_refs:
- "DSGVO Art. 6 Abs. 1 lit. a"
- "DSGVO Art. 7"
GAP_TRAINING_NO_ANONYMIZATION:
name: "Training ohne Anonymisierung"
description: "Trainingsdaten enthalten personenbezogene Daten"
severity: high
trigger_conditions:
- field: "improvement.strategy"
operator: "in"
value: ["finetune", "curated_samples"]
- field: "improvement.anonymization"
operator: "equals"
value: false
required_controls:
- CTRL_PII_REDACTION_GATEWAY
- CTRL_SYNTHETIC_DATA
escalation:
level: E1
reason: "Trainingsdaten sollten anonymisiert oder synthetisch sein"
auto_assign_to: "security"
legal_refs:
- "DSGVO Art. 5 Abs. 1 lit. c"
- "DSGVO Art. 89"
# ---------------------------------------------------------------------------
# GOVERNANCE GAPS
# ---------------------------------------------------------------------------
GAP_NO_DSFA:
name: "Fehlende Datenschutz-Folgenabschätzung"
description: "Hohes Risiko für Betroffene ohne DSFA"
severity: critical
trigger_conditions:
- field: "risk.dsfa_required"
operator: "equals"
value: true
- field: "governance.dsfa_completed"
operator: "equals"
value: false
required_controls:
- CTRL_DSFA
escalation:
level: E2
reason: "DSFA ist gesetzlich vorgeschrieben bei hohem Risiko"
auto_assign_to: "dpo"
legal_refs:
- "DSGVO Art. 35"
- "DSK Blacklist"
GAP_NO_VVT_ENTRY:
name: "Kein Eintrag im Verarbeitungsverzeichnis"
description: "KI-Verarbeitung nicht im VVT dokumentiert"
severity: medium
trigger_conditions:
- field: "governance.vvt_entry"
operator: "equals"
value: false
required_controls:
- CTRL_VVT_ENTRY
escalation:
level: E0
reason: "VVT-Pflicht gem. Art. 30 DSGVO"
auto_assign_to: null
legal_refs:
- "DSGVO Art. 30"
# =============================================================================
# ESCALATION LEVEL DEFINITIONS
# =============================================================================
escalation_levels:
E0:
name: "Self-Service"
description: "Keine manuelle Prüfung erforderlich"
sla_hours: null
requires_approval: false
E1:
name: "Expert Review"
description: "Fachliche Prüfung durch Legal/Security"
sla_hours: 72
requires_approval: true
E2:
name: "DPO Review"
description: "Prüfung durch Datenschutzbeauftragten"
sla_hours: 48
requires_approval: true
E3:
name: "Advisory Board"
description: "Entscheidung durch Datenschutz-Gremium"
sla_hours: 120
requires_approval: true
requires_board_decision: true
# =============================================================================
# ROLE ASSIGNMENTS
# =============================================================================
role_assignments:
dpo:
name: "Datenschutzbeauftragter"
can_approve: [E1, E2, E3]
notification_channels: [email, webhook]
legal:
name: "Rechtsabteilung"
can_approve: [E1]
notification_channels: [email]
security:
name: "IT-Sicherheit"
can_approve: [E1]
notification_channels: [email, webhook]
# =============================================================================
# GAP AGGREGATION RULES
# =============================================================================
aggregation_rules:
# Wenn mehrere Gaps vorliegen, wie wird das Gesamtrisiko berechnet?
severity_order: [critical, high, medium, low]
escalation_promotion:
# Mehrere high-severity Gaps → höhere Escalation
- condition: "count(severity=critical) >= 2"
promote_to: E3
reason: "Mehrere kritische Gaps erfordern Gremiumsentscheidung"
- condition: "count(severity=high) >= 3"
promote_to: E2
reason: "Kumulation von Risiken erfordert DPO-Prüfung"
control_deduplication:
# Wenn derselbe Control von mehreren Gaps gefordert wird
strategy: "unique"
# Nur einmal in der finalen Liste aufführen

655
ai-compliance-sdk/policies/licensed_content_policy.yaml Normal file
View File

@@ -0,0 +1,655 @@
# =============================================================================
# UCCA Licensed Content Policy v1.0
# Lizenz- und Urheberrechts-Compliance fuer Standards/Normen
# =============================================================================
#
# HINTERGRUND:
# - DIN Media (ehem. Beuth) verbietet AI/TDM-Nutzung ohne explizite Erlaubnis
# - AI-Lizenzmodell erst ab Q4/2025 geplant (Stand: Jan 2026)
# - Single-Workstation vs Network/Intranet vs Enterprise Lizenzen
# - Technische Schutzmassnahmen und Anti-Crawler in AGB
#
# QUELLEN:
# - DIN Media Support: "AI use currently not permitted"
# - DIN Media AGB: TDM-Vorbehalt nach §44b UrhG
# - Urheberrecht.de: Zitatrecht ist begrenzt
#
# GRUNDPRINZIP:
# - Default bei Unklarheit: DENY / Link-only
# - Volltext-RAG nur mit nachweislicher Erlaubnis
# - Training auf Normen: Grundsaetzlich verboten ohne AI-Lizenz
#
# =============================================================================
policy:
name: "Breakpilot Licensed Content Policy"
version: "1.0.0"
jurisdiction: "DE/EU"
basis:
- "UrhG (Urheberrechtsgesetz)"
- "§44b UrhG (TDM-Vorbehalt)"
- "DIN Media Nutzungsbedingungen"
default_mode: "LINK_ONLY"
default_deny: true
# =============================================================================
# FACTS SCHEMA - Licensed Content
# =============================================================================
facts_schema:
licensed_content:
present:
type: boolean
default: false
description: |
Es werden lizenz-/urheberrechtlich eingeschraenkte Inhalte
(z.B. DIN Normen, VDI Richtlinien) verarbeitet.
simple_explanation: |
Haben Sie Dokumente wie DIN-Normen, ISO-Standards oder
VDI-Richtlinien, die Sie mit KI nutzen moechten?
publisher:
type: enum
values:
- "DIN_MEDIA" # DIN / DIN Media (ehem. Beuth Verlag)
- "VDI" # Verein Deutscher Ingenieure
- "VDE" # VDE/DKE Normen
- "ISO" # Internationale Organisation fuer Normung
- "IEC" # International Electrotechnical Commission
- "DGUV" # Deutsche Gesetzliche Unfallversicherung
- "VDMA" # Verband Deutscher Maschinen- und Anlagenbau
- "OTHER" # Sonstige
- "UNKNOWN" # Unbekannt
default: "UNKNOWN"
description: "Quelle/Herausgeber der Standards/Regelwerke"
simple_explanation: |
Von welchem Verlag/Herausgeber stammen Ihre Normen?
DIN-Normen kommen von DIN Media (frueher Beuth Verlag).
license_type:
type: enum
values:
- "SINGLE_WORKSTATION" # Einzelplatz-Lizenz
- "NETWORK_INTRANET" # Netzwerk/Intranet-Lizenz
- "ENTERPRISE" # Unternehmens-Flatrate
- "AI_LICENSE" # Explizite AI/TDM-Lizenz
- "AUSLEGESTELLE" # Oeffentliche Auslegestelle
- "UNKNOWN" # Nicht bekannt
default: "UNKNOWN"
description: "Lizenztyp laut Vertrag/Kaufbeleg"
simple_explanation: |
Welche Lizenz haben Sie fuer Ihre Normen erworben?
EINZELPLATZ: Die Norm darf nur an einem Arbeitsplatz genutzt werden.
NETZWERK/INTRANET: Mehrere Mitarbeiter duerfen zugreifen.
ENTERPRISE: Unternehmensweit nutzbar.
AI-LIZENZ: Spezielle Erlaubnis fuer KI-Nutzung (sehr selten).
ai_use_permitted:
type: enum
values:
- "YES" # Ja, schriftlich bestaetigt
- "NO" # Nein, explizit ausgeschlossen
- "UNKNOWN" # Unklar / keine Information
default: "UNKNOWN"
description: "Ist AI/TDM/LLM-Nutzung explizit erlaubt?"
simple_explanation: |
Duerfen Sie die Normen mit KI/LLM verarbeiten?
WICHTIG: DIN Media verbietet aktuell die KI-Nutzung von Normen
ohne explizite Genehmigung! Ein AI-Lizenzmodell ist erst ab
Ende 2025 geplant.
Wenn Sie "Unklar" waehlen, wird aus Sicherheitsgruenden
nur der Link-only oder Notes-only Modus freigeschaltet.
proof_uploaded:
type: boolean
default: false
description: "Liegt ein Lizenz-/Rechte-Nachweis vor?"
simple_explanation: |
Haben Sie einen Nachweis hochgeladen, der die KI-Nutzung erlaubt?
Das kann sein:
- Vertrag mit AI-Lizenz-Klausel
- Schriftliche Freigabe vom Verlag
- Enterprise-Lizenz mit TDM-Erlaubnis
operation_mode:
type: enum
values:
- "LINK_ONLY" # Nur Verweise, keine Inhalte
- "NOTES_ONLY" # Nur kundeneigene Notizen/Paraphrasen
- "EXCERPT_ONLY" # Nur kurze Zitate (Zitatrecht)
- "FULLTEXT_RAG" # Volltext-RAG (nur mit Lizenz)
- "TRAINING" # Modell-Training (sehr restriktiv)
default: "LINK_ONLY"
description: "Wie soll die KI diese Inhalte nutzen?"
simple_explanation: |
Wie moechten Sie Breakpilot mit Ihren Normen nutzen?
LINK-ONLY (empfohlen):
Breakpilot verweist auf relevante Abschnitte, zeigt aber keine
Normentexte an. Sie schauen selbst in der Norm nach.
Vorteil: Kein Lizenzrisiko.
NOTES-ONLY:
Sie erstellen eigene Zusammenfassungen und Checklisten.
Diese (nicht die Originaltexte) werden durchsuchbar gemacht.
VOLLTEXT-RAG (nur mit Lizenz!):
Die kompletten Normentexte werden indexiert und durchsuchbar.
NUR moeglich mit schriftlicher AI-Nutzungserlaubnis!
distribution_scope:
type: enum
values:
- "SINGLE_USER" # Nur ein Nutzer
- "COMPANY_INTERNAL" # Nur intern im Unternehmen
- "SUBSIDIARIES" # Inkl. Tochtergesellschaften
- "EXTERNAL_CUSTOMERS" # Auch an Kunden/Externe
- "UNKNOWN" # Nicht bekannt
default: "UNKNOWN"
description: "Wer soll Zugriff auf die Ergebnisse haben?"
simple_explanation: |
Wer soll die KI-generierten Antworten sehen koennen?
WICHTIG: Wenn Sie eine Einzelplatz-Lizenz haben, duerfen
Sie Inhalte nicht an Kollegen weitergeben!
content_type:
type: enum
values:
- "NORM_FULLTEXT" # Kompletter Normentext
- "NORM_EXCERPT" # Auszuege/Kapitel
- "TOC_ONLY" # Nur Inhaltsverzeichnis
- "METADATA_ONLY" # Nur Metadaten (Titel, Nummer, Datum)
- "CUSTOMER_NOTES" # Kundeneigene Zusammenfassungen
- "CHECKLISTS" # Abgeleitete Checklisten
default: "METADATA_ONLY"
description: "Art der zu verarbeitenden Inhalte"
# =============================================================================
# CONTROLS - Normen-Lizenz-Compliance
# =============================================================================
controls:
CTRL-LICENSE-PROOF:
id: CTRL-LICENSE-PROOF
title: "Lizenz-/Rechte-Nachweis einholen"
category: License_Compliance
description: |
Vor Nutzung urheberrechtlich geschuetzter Inhalte muss die
Berechtigung nachgewiesen werden.
when_applicable: |
- licensed_content.present = true
- licensed_content.proof_uploaded = false
- licensed_content.operation_mode in [FULLTEXT_RAG, TRAINING]
what_to_do: |
1. Lizenzvertrag/Kaufbeleg pruefen
2. AI/TDM-Klausel suchen (meist: nicht vorhanden!)
3. Bei DIN Media: Explizite Anfrage stellen
4. Schriftliche Freigabe einholen und hochladen
5. Bei Ablehnung: Auf LINK_ONLY oder NOTES_ONLY wechseln
evidence_needed:
- "Lizenzvertrag (PDF)"
- "Schriftliche AI-Freigabe"
- "E-Mail-Korrespondenz mit Verlag"
effort: medium
legal_refs:
- "UrhG §44b (TDM-Vorbehalt)"
- "DIN Media AGB"
CTRL-LINK-ONLY-MODE:
id: CTRL-LINK-ONLY-MODE
title: "Link-only / Evidence Navigator aktivieren"
category: License_Compliance
description: |
Sicherer Default-Modus: Keine Normen-Volltexte werden verarbeitet,
nur Verweise auf relevante Abschnitte.
when_applicable: |
- licensed_content.present = true
- licensed_content.ai_use_permitted in [NO, UNKNOWN]
what_to_do: |
1. operation_mode auf LINK_ONLY setzen
2. Nur Metadaten indexieren (Titel, Nummer, Ausgabe)
3. Antworten als Checklisten + Verweise formulieren
4. Keine Zitate oder Textpassagen ausgeben
evidence_needed:
- "System-Konfiguration: operation_mode=LINK_ONLY"
- "Stichproben-Audit der Antworten"
effort: low
legal_refs:
- "UrhG §15 (Verwertungsrechte)"
CTRL-NOTES-ONLY-RAG:
id: CTRL-NOTES-ONLY-RAG
title: "Notes-only RAG (kundeneigene Paraphrasen)"
category: License_Compliance
description: |
Indexiert werden nur kundeneigene Notizen und Zusammenfassungen,
nicht die Originaltexte der Normen.
when_applicable: |
- licensed_content.present = true
- licensed_content.operation_mode = NOTES_ONLY
what_to_do: |
1. UI-Flow fuer Notes-Erstellung bereitstellen
2. Kunde formuliert eigene Zusammenfassungen
3. KEIN Copy/Paste von Originaltexten erlauben
4. Notes als separate Kollektion indexieren
5. Provenance-Logging aktivieren
evidence_needed:
- "Notes-Provenance-Log"
- "Stichproben: keine Volltexte in Notes"
effort: medium
legal_refs:
- "UrhG §51 (Zitatrecht - sehr begrenzt)"
CTRL-LICENSE-GATED-INGEST:
id: CTRL-LICENSE-GATED-INGEST
title: "License-gated Ingest (technischer Schutz)"
category: Technical
description: |
Hard Gate vor Chunking/Indexierung: Ohne erlaubten Modus
wird kein Volltext in den Index aufgenommen.
when_applicable: |
- licensed_content.present = true
what_to_do: |
1. Ingest-Pipeline prueft license_policy.can_ingest(doc)
2. Bei deny: Nur Metadaten/Referenz registrieren
3. Audit-Log fuer alle Ingest-Entscheidungen
4. Regelmaessige Pruefung der Deny-Events
evidence_needed:
- "Ingest-Audit-Logs"
- "Denied-Ingest-Reports"
effort: medium
legal_refs:
- "Technische Schutzmassnahmen"
CTRL-OUTPUT-GUARD-QUOTES:
id: CTRL-OUTPUT-GUARD-QUOTES
title: "Output-Guard: Quote-Limits & Cite-only"
category: Technical
description: |
Antwortfilter zur Begrenzung von Zitaten und
Verhinderung unerlaubter Reproduktion.
when_applicable: |
- licensed_content.present = true
what_to_do: |
1. Max. Zitatlänge konfigurieren (z.B. 100 Zeichen)
2. Bei LINK_ONLY: Keine Zitate, nur Verweise
3. Bei NOTES_ONLY: Nur Notes paraphrasieren
4. Bei FULLTEXT_RAG: Kurze Zitate + Quellenangabe
5. Copy-Schutz in UI (wo rechtlich gefordert)
evidence_needed:
- "Output-Guard-Konfiguration"
- "Stichproben-Tests"
effort: low
legal_refs:
- "UrhG §51 (Zitatrecht)"
CTRL-NO-CRAWLING-DIN:
id: CTRL-NO-CRAWLING-DIN
title: "Crawler-/Scraper-Block fuer Normenverlage"
category: Technical
description: |
Automatisierte Abrufe von DIN Media und anderen Normenverlagen
sind in den AGB explizit untersagt.
when_applicable: |
- licensed_content.publisher in [DIN_MEDIA, VDI, VDE, ISO]
what_to_do: |
1. Domain-Denylist konfigurieren
2. Keine Crawler/Scraper auf Normenportale
3. Nur manueller File-Import (wenn lizenziert)
4. Link-only Verweise sind erlaubt
evidence_needed:
- "Domain-Denylist-Konfiguration"
- "Fetch-/Crawl-Logs"
effort: low
legal_refs:
- "DIN Media AGB - Anti-Crawler-Klausel"
- "UrhG §95a (Technische Schutzmassnahmen)"
CTRL-TENANT-ISOLATION-STANDARDS:
id: CTRL-TENANT-ISOLATION-STANDARDS
title: "Tenant-Isolation fuer lizenzierte Inhalte"
category: Technical
description: |
Strikte Trennung lizenzierter Inhalte zwischen Mandanten,
kein unberechtigter Zugriff oder Export.
when_applicable: |
- licensed_content.present = true
- licensed_content.operation_mode in [FULLTEXT_RAG, NOTES_ONLY]
what_to_do: |
1. Collection/Index pro Tenant isolieren
2. Keine Cross-Tenant-Suche
3. Export-Funktion einschraenken
4. Audit-Logging fuer alle Zugriffe
evidence_needed:
- "Tenant-Isolation-Architektur"
- "Zugriffs-Audit-Logs"
effort: medium
legal_refs:
- "Lizenzvertraege (Netzwerk vs. Single)"
CTRL-ONPREM-STANDARDS-VAULT:
id: CTRL-ONPREM-STANDARDS-VAULT
title: "On-Premises Standards Vault (Mac Studio)"
category: Technical
description: |
Lokale Speicherung und Verarbeitung lizenzierter Inhalte
auf kundeneigener Hardware (keine Cloud-Synchronisation).
when_applicable: |
- licensed_content.present = true
- licensed_content.operation_mode in [FULLTEXT_RAG]
- hosting.type = on_premises
what_to_do: |
1. Lokaler Vector Store (keine Cloud)
2. Lokale Embeddings + Inference
3. "No Cloud Sync" fuer lizenzierte Inhalte
4. Air-gapped Mode optional
5. Audit-Logs lokal speichern
evidence_needed:
- "Deployment-Dokumentation"
- "No-Sync-Konfiguration"
effort: medium
legal_refs:
- "Einzelplatz-/Netzwerk-Lizenzbedingungen"
# =============================================================================
# GAP MAPPING - Licensed Content
# =============================================================================
gaps:
GAP_LICENSE_UNKNOWN:
id: GAP_LICENSE_UNKNOWN
title: "Lizenzlage fuer Standards unklar"
description: |
Es werden Normen/Standards genutzt, aber die Lizenzlage
ist nicht geklaert. Default: Link-only Modus.
when:
all:
- licensed_content.present: true
- licensed_content.license_type: "UNKNOWN"
controls:
- CTRL-LICENSE-PROOF
- CTRL-LINK-ONLY-MODE
escalation_level: E2
risk_score: 30
message: |
Bitte klaeren Sie die Lizenzlage fuer Ihre Normen.
Bis dahin ist nur der Link-only Modus verfuegbar.
GAP_AI_USE_NOT_PERMITTED:
id: GAP_AI_USE_NOT_PERMITTED
title: "AI/TDM/LLM Nutzung nicht erlaubt"
description: |
Die KI-Nutzung der Normen ist explizit nicht erlaubt oder unklar.
Volltext-RAG und Training sind blockiert.
when:
all:
- licensed_content.present: true
- licensed_content.ai_use_permitted:
in: ["NO", "UNKNOWN"]
- licensed_content.operation_mode:
in: ["FULLTEXT_RAG", "TRAINING", "EXCERPT_ONLY"]
controls:
- CTRL-LINK-ONLY-MODE
- CTRL-OUTPUT-GUARD-QUOTES
- CTRL-LICENSE-PROOF
escalation_level: E3
risk_score: 50
message: |
ACHTUNG: DIN Media und andere Normenverlage verbieten aktuell
die AI/TDM-Nutzung ohne explizite Genehmigung!
Bitte wechseln Sie auf Link-only oder Notes-only Modus,
oder holen Sie eine schriftliche AI-Lizenz ein.
GAP_FULLTEXT_WITHOUT_PROOF:
id: GAP_FULLTEXT_WITHOUT_PROOF
title: "Volltext-RAG ohne Lizenznachweis"
description: |
Volltext-RAG ist konfiguriert, aber kein Nachweis
der AI-Nutzungserlaubnis liegt vor.
when:
all:
- licensed_content.present: true
- licensed_content.operation_mode: "FULLTEXT_RAG"
- licensed_content.proof_uploaded: false
controls:
- CTRL-LICENSE-PROOF
- CTRL-LICENSE-GATED-INGEST
escalation_level: E3
risk_score: 60
message: |
Volltext-RAG erfordert einen Nachweis der AI-Nutzungserlaubnis.
Bitte laden Sie den Lizenzvertrag oder die schriftliche
Freigabe hoch.
GAP_DISTRIBUTION_SCOPE_MISMATCH:
id: GAP_DISTRIBUTION_SCOPE_MISMATCH
title: "Verteilungsumfang passt nicht zur Lizenz"
description: |
Die geplante Nutzung (z.B. unternehmensweit) uebersteigt
den Lizenzumfang (z.B. Einzelplatz).
when:
all:
- licensed_content.present: true
- licensed_content.license_type: "SINGLE_WORKSTATION"
- licensed_content.distribution_scope:
in: ["COMPANY_INTERNAL", "SUBSIDIARIES", "EXTERNAL_CUSTOMERS"]
controls:
- CTRL-LICENSE-PROOF
- CTRL-LINK-ONLY-MODE
- CTRL-TENANT-ISOLATION-STANDARDS
escalation_level: E3
risk_score: 50
message: |
Ihre Einzelplatz-Lizenz erlaubt keine unternehmensweite Nutzung.
Bitte upgraden Sie auf eine Netzwerk-/Enterprise-Lizenz oder
beschraenken Sie die Nutzung auf einen Arbeitsplatz.
GAP_TRAINING_ON_STANDARDS:
id: GAP_TRAINING_ON_STANDARDS
title: "Training auf Normen ohne AI-Lizenz"
description: |
Modell-Training mit Normeninhalten ist ohne explizite
AI-Lizenz nicht zulaessig.
when:
all:
- licensed_content.present: true
- licensed_content.operation_mode: "TRAINING"
- licensed_content.ai_use_permitted:
in: ["NO", "UNKNOWN"]
controls:
- CTRL-LICENSE-PROOF
escalation_level: E3
risk_score: 80
message: |
STOP: Training auf Normen ist ohne explizite AI-Lizenz verboten!
DIN Media hat dies ausdruecklich ausgeschlossen.
Bitte aendern Sie den Modus auf Link-only oder Notes-only.
GAP_DIN_MEDIA_WITHOUT_AI_LICENSE:
id: GAP_DIN_MEDIA_WITHOUT_AI_LICENSE
title: "DIN Media Normen ohne AI-Lizenz"
description: |
DIN Media (ehem. Beuth) hat explizit festgelegt, dass
AI-Nutzung aktuell nicht erlaubt ist (Stand: 2026).
when:
all:
- licensed_content.present: true
- licensed_content.publisher: "DIN_MEDIA"
- licensed_content.ai_use_permitted:
in: ["NO", "UNKNOWN"]
- licensed_content.operation_mode:
in: ["FULLTEXT_RAG", "TRAINING"]
controls:
- CTRL-LINK-ONLY-MODE
- CTRL-NO-CRAWLING-DIN
- CTRL-LICENSE-PROOF
escalation_level: E3
risk_score: 70
message: |
DIN Media untersagt die AI-Nutzung von Normen ohne
explizite Genehmigung. Ein AI-Lizenzmodell ist erst
ab Q4/2025 geplant.
Verfuegbare Optionen:
1. Link-only Modus (empfohlen)
2. Notes-only Modus (eigene Zusammenfassungen)
3. AI-Lizenz bei DIN Media anfragen
# =============================================================================
# STOP-LINES (Hard Deny)
# =============================================================================
stop_lines:
STOP_DIN_FULLTEXT_AI_NOT_ALLOWED:
id: STOP_DIN_FULLTEXT_AI_NOT_ALLOWED
title: "DIN Media Volltext-RAG/Training ohne Erlaubnis"
description: |
Volltext-RAG oder Training auf DIN Media Standards ist
ohne explizite AI/TDM-Erlaubnis blockiert.
when:
all:
- licensed_content.present: true
- licensed_content.publisher: "DIN_MEDIA"
- licensed_content.operation_mode:
in: ["FULLTEXT_RAG", "TRAINING"]
- licensed_content.ai_use_permitted:
in: ["NO", "UNKNOWN"]
outcome: "NOT_ALLOWED_UNTIL_LICENSE_CLEARED"
feasibility: "NO"
escalation_level: E3
message: |
BLOCKIERT: Volltext-RAG/Training auf DIN Media Standards
ist ohne explizite AI/TDM-Erlaubnis nicht zulaessig.
Default: Link-only oder Notes-only bis Lizenz geklaert.
evidence_refs:
- "DIN Media Support: AI use currently not permitted"
- "DIN Media AGB: TDM-Vorbehalt nach §44b UrhG"
STOP_TRAINING_WITHOUT_PROOF:
id: STOP_TRAINING_WITHOUT_PROOF
title: "Training auf Standards ohne Nachweis"
description: |
Modell-Training mit lizenzierten Inhalten ist ohne
nachweisliche Erlaubnis grundsaetzlich blockiert.
when:
all:
- licensed_content.present: true
- licensed_content.operation_mode: "TRAINING"
- licensed_content.proof_uploaded: false
outcome: "NOT_ALLOWED"
feasibility: "NO"
escalation_level: E3
message: |
BLOCKIERT: Training auf lizenzierten Standards erfordert
einen Nachweis der expliziten AI/TDM-Erlaubnis.
# =============================================================================
# OPERATION MODES - Detaillierte Definition
# =============================================================================
operation_modes:
LINK_ONLY:
id: LINK_ONLY
name: "Evidence Navigator"
description: "Nur Verweise und Checklisten, kein Volltext"
license_requirement: "Keine spezielle Lizenz erforderlich"
features:
- "Verweise auf Normenabschnitte"
- "Strukturierte Checklisten"
- "CE-Dokumentations-Templates"
- "Hazard-Log-Generierung"
restrictions:
- "Keine Normtexte in Index"
- "Keine Zitate in Antworten"
- "Nur Metadaten speicherbar"
risk_level: "MINIMAL"
NOTES_ONLY:
id: NOTES_ONLY
name: "Customer Notes RAG"
description: "Nur kundeneigene Zusammenfassungen werden indexiert"
license_requirement: "Standard-Lizenz + eigene Paraphrasen"
features:
- "Indexierung kundeneigener Notes"
- "Suche in Zusammenfassungen"
- "Checklisten aus Notes generieren"
restrictions:
- "Kein Copy/Paste von Originaltexten"
- "Nur eigene Formulierungen"
- "Zitate nur im Zitatrecht-Rahmen"
risk_level: "LOW"
EXCERPT_ONLY:
id: EXCERPT_ONLY
name: "Zitat-Modus"
description: "Kurze Zitate im Rahmen des Zitatrechts"
license_requirement: "Standard-Lizenz + Zitatrecht"
features:
- "Kurze Zitate mit Quellenangabe"
- "Max. 100-200 Zeichen pro Zitat"
restrictions:
- "Keine umfangreichen Auszuege"
- "Zitatrecht ist begrenzt!"
risk_level: "MEDIUM"
FULLTEXT_RAG:
id: FULLTEXT_RAG
name: "Licensed Full-Text RAG"
description: "Volltext-Indexierung mit expliziter Lizenz"
license_requirement: "AI-Lizenz oder schriftliche Freigabe ERFORDERLICH"
features:
- "Volltext-Indexierung"
- "Semantische Suche"
- "Direkte Antworten mit Quellenangabe"
restrictions:
- "Nur mit Lizenznachweis"
- "Tenant-isoliert"
- "Kein Export erlaubt"
- "Copy-Schutz aktiv"
risk_level: "HIGH"
TRAINING:
id: TRAINING
name: "Model Training"
description: "Training/Fine-Tuning mit Normeninhalten"
license_requirement: "Explizite AI-Training-Lizenz ERFORDERLICH"
features:
- "Fine-Tuning-Daten"
- "Instruction-Tuning"
restrictions:
- "Nur mit expliziter AI-Lizenz"
- "Grundsaetzlich verboten bei DIN Media (aktuell)"
risk_level: "CRITICAL"
# =============================================================================
# METADATA
# =============================================================================
metadata:
created_at: "2026-01-29"
created_by: "AI Compliance SDK"
last_updated: "2026-01-29"
legal_sources:
- name: "DIN Media Wissensdatenbank"
url: "https://support.dinmedia.de/en/support/solutions/articles/80001170855"
note: "AI use currently not permitted; AI license model planned Q4/2025"
- name: "DIN Media AGB"
url: "https://www.dinmedia.de/en/general-terms-and-conditions"
note: "TDM-Vorbehalt, Anti-Crawler, technische Schutzmassnahmen"
- name: "Urheberrecht.de"
url: "https://www.urheberrecht.de/din-normen/"
note: "Zitatrecht ist begrenzt"

430
ai-compliance-sdk/policies/obligations/ai_act_obligations.yaml Normal file
View File

@@ -0,0 +1,430 @@
# AI Act (EU Regulation 2024/1689) Obligations
# EU Artificial Intelligence Act
regulation: ai_act
name: "AI Act (EU KI-Verordnung)"
description: "EU-Verordnung zur Festlegung harmonisierter Vorschriften fuer kuenstliche Intelligenz"
obligations:
# Prohibited AI Practices (Art. 5) - applies to all
- id: "AIACT-OBL-001"
title: "Verbotene KI-Praktiken vermeiden"
description: |
Sicherstellung, dass keine verbotenen KI-Praktiken eingesetzt werden:
- Social Scoring durch oeffentliche Stellen
- Ausnutzung von Schwaechen (Alter, Behinderung)
- Unterschwellige Manipulation
- Biometrische Echtzeit-Fernidentifizierung (mit Ausnahmen)
- Emotionserkennung am Arbeitsplatz/in Bildung
- Biometrische Kategorisierung nach sensitiven Merkmalen
applies_when: "uses_ai"
legal_basis:
- norm: "Art. 5 AI Act"
article: "Verbotene Praktiken im KI-Bereich"
category: "Compliance"
responsible: "Geschaeftsfuehrung"
deadline:
type: "absolute"
date: "2025-02-02"
sanctions:
max_fine: "35 Mio. EUR oder 7% Jahresumsatz"
criminal_liability: false
evidence:
- "KI-Inventar mit Risikobewertung"
- "Dokumentierte Pruefung auf verbotene Praktiken"
priority: "kritisch"
# High-Risk AI System Requirements (Art. 6-15)
- id: "AIACT-OBL-002"
title: "Risikomanagementsystem fuer Hochrisiko-KI"
description: |
Einrichtung eines Risikomanagementsystems fuer Hochrisiko-KI-Systeme:
- Ermittlung und Analyse bekannter und vorhersehbarer Risiken
- Schaetzung und Bewertung der Risiken
- Risikominderungsmassnahmen
- Kontinuierliche Ueberwachung und Aktualisierung
applies_when: "high_risk"
legal_basis:
- norm: "Art. 9 AI Act"
article: "Risikomanagementsystem"
category: "Governance"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
personal_liability: false
evidence:
- "Risikomanagement-Dokumentation"
- "Risikobewertungen pro KI-System"
- "Massnahmenplan"
priority: "kritisch"
iso27001_mapping: ["A.5.1.1", "A.8.2"]
- id: "AIACT-OBL-003"
title: "Daten-Governance fuer Hochrisiko-KI"
description: |
Anforderungen an Trainings-, Validierungs- und Testdaten:
- Relevante Design-Entscheidungen
- Datenerhebung und Datenherkunft
- Vorverarbeitung (Annotation, Labelling, Bereinigung)
- Erkennung und Behebung von Verzerrungen (Bias)
- Identifizierung von Datenluecken
applies_when: "high_risk_provider"
legal_basis:
- norm: "Art. 10 AI Act"
article: "Daten und Daten-Governance"
category: "Technisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Datensatzdokumentation"
- "Bias-Analyse-Berichte"
- "Datenqualitaetsnachweise"
priority: "hoch"
- id: "AIACT-OBL-004"
title: "Technische Dokumentation erstellen"
description: |
Erstellung umfassender technischer Dokumentation vor Inverkehrbringen:
- Allgemeine Beschreibung des KI-Systems
- Design-Spezifikationen
- Entwicklungsprozess
- Leistungsmetriken
- Risikomanagement-Dokumentation
applies_when: "high_risk_provider"
legal_basis:
- norm: "Art. 11 AI Act"
article: "Technische Dokumentation"
category: "Governance"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Technische Dokumentation nach Anhang IV"
- "Systemarchitektur-Dokumentation"
- "Algorithmus-Beschreibung"
priority: "hoch"
- id: "AIACT-OBL-005"
title: "Protokollierungsfunktion implementieren"
description: |
Hochrisiko-KI-Systeme muessen automatische Protokolle (Logs) erstellen:
- Nutzungszeitraum
- Referenzdatenbank
- Eingabedaten
- Identitaet der verifizierenden Personen
applies_when: "high_risk"
legal_basis:
- norm: "Art. 12 AI Act"
article: "Aufzeichnungspflichten"
category: "Technisch"
responsible: "IT-Leitung"
deadline:
type: "relative"
duration: "Aufbewahrung mindestens 6 Monate"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Log-System-Dokumentation"
- "Beispiel-Logs"
- "Aufbewahrungsrichtlinie"
priority: "hoch"
iso27001_mapping: ["A.12.4"]
- id: "AIACT-OBL-006"
title: "Transparenz und Nutzerinformation"
description: |
Bereitstellung klarer Informationen fuer Betreiber (Deployer):
- Gebrauchsanweisungen
- Eigenschaften und Grenzen des Systems
- Leistungsniveau und Genauigkeit
- Vorhersehbare Fehlnutzungen
applies_when: "high_risk_provider"
legal_basis:
- norm: "Art. 13 AI Act"
article: "Transparenz und Information"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Gebrauchsanweisung"
- "Leistungsdokumentation"
- "Warnhinweise"
priority: "hoch"
- id: "AIACT-OBL-007"
title: "Menschliche Aufsicht sicherstellen"
description: |
Hochrisiko-KI muss menschliche Aufsicht ermoeglichen:
- Faehigkeiten und Grenzen verstehen
- Ueberwachung des Betriebs
- Interpretation der Ausgaben
- Eingreifen oder Abbrechen koennen
applies_when: "high_risk"
legal_basis:
- norm: "Art. 14 AI Act"
article: "Menschliche Aufsicht"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Aufsichtskonzept"
- "Schulungsnachweise fuer Bediener"
- "Notfall-Abschaltprozedur"
priority: "kritisch"
- id: "AIACT-OBL-008"
title: "Genauigkeit, Robustheit und Cybersicherheit"
description: |
Hochrisiko-KI muss waehrend des gesamten Lebenszyklus:
- Angemessene Genauigkeit aufweisen
- Robust gegen Fehler und Inkonsistenzen sein
- Cyberangriffe verhindern koennen (Adversarial Attacks)
applies_when: "high_risk"
legal_basis:
- norm: "Art. 15 AI Act"
article: "Genauigkeit, Robustheit und Cybersicherheit"
category: "Technisch"
responsible: "IT-Leitung"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Genauigkeits-Metriken und Tests"
- "Robustheitstests"
- "Security-Assessment"
priority: "hoch"
iso27001_mapping: ["A.14.2", "A.18.2"]
# Deployer Obligations (Art. 26)
- id: "AIACT-OBL-009"
title: "Betreiberpflichten fuer Hochrisiko-KI"
description: |
Betreiber (Deployer) von Hochrisiko-KI muessen:
- Geeignete technische und organisatorische Massnahmen treffen
- Eingabedaten auf Relevanz pruefen
- Betrieb ueberwachen
- Protokolle aufbewahren
- Betroffene Personen informieren
applies_when: "high_risk_deployer"
legal_basis:
- norm: "Art. 26 AI Act"
article: "Pflichten der Betreiber"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Betriebskonzept"
- "Eingabedaten-Pruefung"
- "Monitoring-Dokumentation"
priority: "hoch"
- id: "AIACT-OBL-010"
title: "Grundrechte-Folgenabschaetzung"
description: |
Betreiber von Hochrisiko-KI in sensiblen Bereichen muessen vor Einsatz eine
Grundrechte-Folgenabschaetzung durchfuehren (FRIA - Fundamental Rights Impact Assessment).
Dies gilt fuer oeffentliche Stellen und private Betreiber in kritischen Bereichen.
applies_when: "high_risk_deployer_fria"
legal_basis:
- norm: "Art. 27 AI Act"
article: "Grundrechte-Folgenabschaetzung"
category: "Governance"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "FRIA-Dokumentation"
- "Risikobewertung Grundrechte"
- "Abhilfemassnahmen"
priority: "kritisch"
# Transparency Obligations for Limited Risk AI (Art. 50)
- id: "AIACT-OBL-011"
title: "Transparenzpflichten fuer KI-Interaktionen"
description: |
Bei KI-Systemen, die mit natuerlichen Personen interagieren:
- Kennzeichnung der KI-Interaktion
- Information, dass Inhalte KI-generiert sind
- Kennzeichnung von Deep Fakes
applies_when: "limited_risk"
legal_basis:
- norm: "Art. 50 AI Act"
article: "Transparenzpflichten"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
deadline:
type: "absolute"
date: "2026-08-02"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Kennzeichnungskonzept"
- "Nutzerhinweise"
- "Deep-Fake-Kennzeichnung"
priority: "hoch"
# GPAI Obligations (Art. 53)
- id: "AIACT-OBL-012"
title: "GPAI-Modell Dokumentation"
description: |
Anbieter von GPAI-Modellen (General Purpose AI) muessen:
- Technische Dokumentation erstellen und aktualisieren
- Informationen fuer nachgelagerte Anbieter bereitstellen
- Urheberrechtsrichtlinie einhalten
- Trainingsdaten-Zusammenfassung veroeffentlichen
applies_when: "gpai_provider"
legal_basis:
- norm: "Art. 53 AI Act"
article: "Pflichten der Anbieter von GPAI-Modellen"
category: "Governance"
responsible: "KI-Verantwortlicher"
deadline:
type: "absolute"
date: "2025-08-02"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "GPAI-Dokumentation"
- "Trainingsdaten-Summary"
- "Urheberrechts-Policy"
priority: "hoch"
- id: "AIACT-OBL-013"
title: "GPAI mit systemischem Risiko"
description: |
GPAI-Modelle mit systemischem Risiko (>10^25 FLOP Training) haben zusaetzliche Pflichten:
- Modellbewertung nach Protokollen
- Bewertung und Minderung systemischer Risiken
- Dokumentation von Vorfaellen
- Angemessene Cybersicherheit
applies_when: "gpai_systemic_risk"
legal_basis:
- norm: "Art. 55 AI Act"
article: "Pflichten bei systemischem Risiko"
category: "Technisch"
responsible: "KI-Verantwortlicher"
deadline:
type: "absolute"
date: "2025-08-02"
sanctions:
max_fine: "35 Mio. EUR oder 7% Jahresumsatz"
evidence:
- "Systemische Risikobewertung"
- "Red-Teaming-Berichte"
- "Incident-Dokumentation"
priority: "kritisch"
# Registration (Art. 49, 60)
- id: "AIACT-OBL-014"
title: "EU-Datenbank-Registrierung"
description: |
Registrierung in der EU-Datenbank fuer Hochrisiko-KI-Systeme:
- Anbieter: Vor Inverkehrbringen
- Betreiber: Vor Inbetriebnahme (bei bestimmten Kategorien)
applies_when: "high_risk"
legal_basis:
- norm: "Art. 49 AI Act"
article: "Registrierung"
category: "Meldepflicht"
responsible: "KI-Verantwortlicher"
deadline:
type: "relative"
duration: "Vor Inverkehrbringen/Inbetriebnahme"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Registrierungsbestaetigung"
- "EU-Datenbank-Eintrag"
priority: "hoch"
# AI Literacy (Art. 4)
- id: "AIACT-OBL-015"
title: "KI-Kompetenz sicherstellen"
description: |
Anbieter und Betreiber muessen sicherstellen, dass Personal mit ausreichender
KI-Kompetenz ausgestattet ist. Dies umfasst Schulungen und Sensibilisierung
fuer Risiken und ethische Aspekte.
applies_when: "uses_ai"
legal_basis:
- norm: "Art. 4 AI Act"
article: "KI-Kompetenz"
category: "Schulung"
responsible: "Geschaeftsfuehrung"
deadline:
type: "absolute"
date: "2025-02-02"
sanctions:
max_fine: "7,5 Mio. EUR oder 1% Jahresumsatz"
evidence:
- "Schulungsnachweise"
- "Kompetenzmatrix"
- "Awareness-Programm"
priority: "mittel"
controls:
- id: "AIACT-CTRL-001"
name: "KI-Inventar"
description: "Fuehrung eines vollstaendigen Inventars aller KI-Systeme"
category: "Governance"
what_to_do: "Erfassung aller KI-Systeme mit Risikoeinstufung, Zweck, Anbieter, Betreiber"
iso27001_mapping: ["A.8.1"]
priority: "kritisch"
- id: "AIACT-CTRL-002"
name: "KI-Governance-Struktur"
description: "Etablierung einer KI-Governance mit klaren Verantwortlichkeiten"
category: "Governance"
what_to_do: "Benennung eines KI-Verantwortlichen, Einrichtung eines KI-Boards"
priority: "hoch"
- id: "AIACT-CTRL-003"
name: "Bias-Testing und Fairness"
description: "Regelmaessige Pruefung auf Verzerrungen und Diskriminierung"
category: "Technisch"
what_to_do: "Implementierung von Bias-Detection, Fairness-Metriken, Datensatz-Audits"
priority: "hoch"
- id: "AIACT-CTRL-004"
name: "Model Monitoring"
description: "Kontinuierliche Ueberwachung der KI-Modellleistung"
category: "Technisch"
what_to_do: "Drift-Detection, Performance-Monitoring, Anomalie-Erkennung"
priority: "hoch"
- id: "AIACT-CTRL-005"
name: "KI-Risikobewertungs-Prozess"
description: "Etablierung eines strukturierten Prozesses zur Risikobewertung"
category: "Governance"
what_to_do: "Pre-Deployment Assessment, regelmaessige Re-Evaluation, Eskalationsprozess"
priority: "kritisch"
- id: "AIACT-CTRL-006"
name: "Explainability-Framework"
description: "Implementierung von Erklaerbarkeit fuer KI-Entscheidungen"
category: "Technisch"
what_to_do: "SHAP/LIME Integration, Entscheidungsprotokollierung, Nutzererklaerungen"
priority: "mittel"
incident_deadlines:
- phase: "Schwerwiegender Vorfall melden"
deadline: "unverzueglich"
content: |
Meldung schwerwiegender Vorfaelle bei Hochrisiko-KI-Systemen:
- Tod oder schwere Gesundheitsschaeden
- Schwerwiegende Grundrechtsverletzungen
- Schwere Schaeden an Eigentum oder Umwelt
recipient: "Zustaendige Marktaufsichtsbehoerde"
legal_basis:
- norm: "Art. 73 AI Act"
- phase: "Fehlfunktion melden (Anbieter)"
deadline: "15 Tage"
content: |
Anbieter von Hochrisiko-KI melden Fehlfunktionen, die einen
schwerwiegenden Vorfall darstellen koennten.
recipient: "Marktaufsichtsbehoerde des Herkunftslandes"
legal_basis:
- norm: "Art. 73 Abs. 1 AI Act"

321
ai-compliance-sdk/policies/obligations/dsgvo_obligations.yaml Normal file
View File

@@ -0,0 +1,321 @@
# DSGVO (Datenschutz-Grundverordnung) Obligations
# EU Verordnung 2016/679
regulation: dsgvo
name: "DSGVO (Datenschutz-Grundverordnung)"
description: "EU-Verordnung zum Schutz personenbezogener Daten"
obligations:
- id: "DSGVO-OBL-001"
title: "Verarbeitungsverzeichnis fuehren"
description: |
Fuehrung eines Verzeichnisses aller Verarbeitungstaetigkeiten mit Angabe der
Zwecke, Kategorien betroffener Personen, Empfaenger, Uebermittlungen in
Drittlaender und Loeschfristen.
applies_when: "always"
legal_basis:
- norm: "Art. 30 DSGVO"
article: "Verzeichnis von Verarbeitungstaetigkeiten"
category: "Governance"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "Verarbeitungsverzeichnis"
- "Regelmaessige Aktualisierung dokumentiert"
priority: "hoch"
iso27001_mapping: ["A.5.1.1"]
- id: "DSGVO-OBL-002"
title: "Technische und organisatorische Massnahmen (TOMs)"
description: |
Implementierung geeigneter technischer und organisatorischer Massnahmen zum
Schutz personenbezogener Daten unter Beruecksichtigung des Stands der Technik,
der Implementierungskosten und der Art, des Umfangs, der Umstaende und der
Zwecke der Verarbeitung.
applies_when: "always"
legal_basis:
- norm: "Art. 32 DSGVO"
article: "Sicherheit der Verarbeitung"
category: "Technisch"
responsible: "IT-Leitung"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "TOM-Dokumentation"
- "Risikoanalyse"
- "Verschluesselungskonzept"
- "Zugriffskontroll-Dokumentation"
priority: "hoch"
iso27001_mapping: ["A.8", "A.10", "A.12", "A.13"]
how_to_implement: |
1. Risikoanalyse fuer alle Verarbeitungen durchfuehren
2. Geeignete TOMs je nach Risikoniveau auswaehlen
3. Verschluesselung fuer Daten at rest und in transit
4. Zugriffskontrolle nach Need-to-know-Prinzip
5. Regelmaessige Ueberpruefung und Aktualisierung
- id: "DSGVO-OBL-003"
title: "Datenschutz-Folgenabschaetzung (DSFA)"
description: |
Durchfuehrung einer Datenschutz-Folgenabschaetzung bei Verarbeitungsvorgaengen,
die voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher
Personen zur Folge haben, insbesondere bei neuen Technologien.
applies_when: "high_risk"
legal_basis:
- norm: "Art. 35 DSGVO"
article: "Datenschutz-Folgenabschaetzung"
category: "Governance"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "DSFA-Dokumentation"
- "Risikobewertung"
- "Abhilfemassnahmen"
- "Stellungnahme DSB"
priority: "kritisch"
iso27001_mapping: ["A.5.1.1", "A.18.1"]
how_to_implement: |
1. Pruefen ob DSFA erforderlich (Blacklist der Aufsichtsbehoerde)
2. Systematische Beschreibung der Verarbeitung
3. Bewertung der Notwendigkeit und Verhaeltnismaessigkeit
4. Risiken fuer Rechte und Freiheiten bewerten
5. Abhilfemassnahmen festlegen
6. Bei hohem Restrisiko: Konsultation der Aufsichtsbehoerde
- id: "DSGVO-OBL-004"
title: "Datenschutzbeauftragten benennen"
description: |
Benennung eines Datenschutzbeauftragten bei oeffentlichen Stellen,
systematischer Ueberwachung im grossen Umfang oder Verarbeitung
besonderer Kategorien im grossen Umfang. In Deutschland: ab 20 MA.
applies_when: "needs_dpo"
legal_basis:
- norm: "Art. 37 DSGVO"
article: "Benennung eines Datenschutzbeauftragten"
- norm: "§ 38 BDSG"
article: "Datenschutzbeauftragte nichtoeffentlicher Stellen"
category: "Governance"
responsible: "Geschaeftsfuehrung"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "DSB-Bestellung"
- "Meldung an Aufsichtsbehoerde"
- "Veroeffentlichung Kontaktdaten"
priority: "hoch"
- id: "DSGVO-OBL-005"
title: "Auftragsverarbeitungsvertrag (AVV)"
description: |
Abschluss eines Auftragsverarbeitungsvertrags mit allen Auftragsverarbeitern,
der die Pflichten gemaess Art. 28 Abs. 3 DSGVO enthaelt.
applies_when: "uses_processors"
legal_basis:
- norm: "Art. 28 DSGVO"
article: "Auftragsverarbeiter"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "AVV-Vertrag"
- "TOM-Nachweis des Auftragsverarbeiters"
- "Verzeichnis der Auftragsverarbeiter"
priority: "hoch"
- id: "DSGVO-OBL-006"
title: "Informationspflichten erfuellen"
description: |
Information der betroffenen Personen ueber die Verarbeitung ihrer Daten
bei Erhebung (Art. 13) oder nachtraeglich (Art. 14). Mindestinhalt:
Identitaet Verantwortlicher, Zwecke, Rechtsgrundlage, Empfaenger,
Uebermittlung Drittland, Speicherdauer, Betroffenenrechte.
applies_when: "controller"
legal_basis:
- norm: "Art. 13 DSGVO"
article: "Informationspflicht bei Erhebung"
- norm: "Art. 14 DSGVO"
article: "Informationspflicht bei Dritterhebung"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "Datenschutzerklaerung Website"
- "Cookie-Banner"
- "Informationsblaetter Mitarbeiter"
- "Kundeninformationen"
priority: "hoch"
- id: "DSGVO-OBL-007"
title: "Betroffenenrechte umsetzen"
description: |
Einrichtung von Prozessen zur Bearbeitung von Betroffenenanfragen innerhalb
von 1 Monat: Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17),
Einschraenkung (Art. 18), Datenuebertragbarkeit (Art. 20), Widerspruch (Art. 21).
applies_when: "controller"
legal_basis:
- norm: "Art. 15-21 DSGVO"
article: "Betroffenenrechte"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
deadline:
type: "relative"
duration: "1 Monat nach Anfrage"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "DSR-Prozess dokumentiert"
- "Anfrageformulare"
- "Bearbeitungsprotokolle"
priority: "kritisch"
- id: "DSGVO-OBL-008"
title: "Einwilligungen dokumentieren"
description: |
Nachweis gueltiger Einwilligungen: freiwillig, informiert, spezifisch,
unmissverstaendlich, widerrufbar. Bei besonderen Kategorien: ausdruecklich.
applies_when: "controller"
legal_basis:
- norm: "Art. 7 DSGVO"
article: "Bedingungen fuer die Einwilligung"
- norm: "Art. 9 Abs. 2 lit. a DSGVO"
category: "Governance"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "Consent-Management-System"
- "Einwilligungsprotokolle"
- "Widerrufsprozess dokumentiert"
priority: "hoch"
- id: "DSGVO-OBL-009"
title: "Loeschkonzept umsetzen"
description: |
Implementierung eines Loeschkonzepts mit definierten Aufbewahrungsfristen
und automatisierten Loeschroutinen (Speicherbegrenzung).
applies_when: "always"
legal_basis:
- norm: "Art. 17 DSGVO"
article: "Recht auf Loeschung"
- norm: "Art. 5 Abs. 1 lit. e DSGVO"
article: "Speicherbegrenzung"
category: "Technisch"
responsible: "IT-Leitung"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "Loeschkonzept"
- "Aufbewahrungsfristen je Kategorie"
- "Loeschprotokolle"
priority: "hoch"
- id: "DSGVO-OBL-010"
title: "Drittlandtransfer absichern"
description: |
Bei Uebermittlung in Drittlaender ohne Angemessenheitsbeschluss:
Standardvertragsklauseln (SCCs), BCRs oder andere Garantien.
Transfer Impact Assessment durchfuehren.
applies_when: "cross_border"
legal_basis:
- norm: "Art. 44-49 DSGVO"
article: "Uebermittlung in Drittlaender"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "SCCs abgeschlossen"
- "Transfer Impact Assessment"
- "Dokumentation der Garantien"
priority: "kritisch"
- id: "DSGVO-OBL-011"
title: "Meldeprozess Datenschutzverletzungen"
description: |
Etablierung eines Prozesses zur Erkennung, Bewertung und Meldung von
Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehoerde
und ggf. unverzueglich an betroffene Personen.
applies_when: "always"
legal_basis:
- norm: "Art. 33 DSGVO"
article: "Meldung an Aufsichtsbehoerde"
- norm: "Art. 34 DSGVO"
article: "Benachrichtigung Betroffener"
category: "Meldepflicht"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "Breach-Notification-Prozess"
- "Meldevorlage"
- "Vorfallprotokoll"
priority: "kritisch"
controls:
- id: "DSGVO-CTRL-001"
name: "Consent-Management-System"
description: "Implementierung eines Systems zur Verwaltung von Einwilligungen"
category: "Technisch"
what_to_do: "Implementierung einer Consent-Management-Plattform mit Protokollierung, Widerrufsmoeglichkeit und Nachweis"
iso27001_mapping: ["A.18.1"]
priority: "hoch"
- id: "DSGVO-CTRL-002"
name: "Verschluesselung personenbezogener Daten"
description: "Verschluesselung ruhender und uebertragener Daten"
category: "Technisch"
what_to_do: "TLS 1.3 fuer Uebertragung, AES-256 fuer Speicherung, Key-Management implementieren"
iso27001_mapping: ["A.10.1"]
priority: "hoch"
- id: "DSGVO-CTRL-003"
name: "Zugriffskontrolle"
description: "Need-to-know-Prinzip fuer Zugriff auf personenbezogene Daten"
category: "Organisatorisch"
what_to_do: "RBAC implementieren, regelmaessige Berechtigungspruefung, Protokollierung aller Zugriffe"
iso27001_mapping: ["A.9.1", "A.9.2", "A.9.4"]
priority: "hoch"
- id: "DSGVO-CTRL-004"
name: "Pseudonymisierung/Anonymisierung"
description: "Anwendung von Pseudonymisierung wo moeglich, Anonymisierung fuer Analysen"
category: "Technisch"
what_to_do: "Pseudonymisierungsverfahren implementieren, Zuordnungstabellen getrennt speichern"
iso27001_mapping: ["A.8.2"]
priority: "mittel"
- id: "DSGVO-CTRL-005"
name: "Datenschutz-Schulungen"
description: "Regelmaessige Schulung aller Mitarbeiter zu Datenschutzthemen"
category: "Organisatorisch"
what_to_do: "Jaehrliche Pflichtschulungen, Awareness-Kampagnen, dokumentierte Nachweise"
iso27001_mapping: ["A.7.2.2"]
priority: "mittel"
incident_deadlines:
- phase: "Meldung an Aufsichtsbehoerde"
deadline: "72 Stunden"
content: |
Meldung bei Verletzung des Schutzes personenbezogener Daten,
es sei denn, die Verletzung fuehrt voraussichtlich nicht zu einem
Risiko fuer die Rechte und Freiheiten natuerlicher Personen.
Inhalt: Art der Verletzung, Kategorien/Anzahl Betroffener,
Kontakt DSB, Folgen, ergriffene Massnahmen.
recipient: "Zustaendige Datenschutz-Aufsichtsbehoerde"
legal_basis:
- norm: "Art. 33 DSGVO"
- phase: "Benachrichtigung Betroffener"
deadline: "unverzueglich"
content: |
Wenn die Verletzung voraussichtlich ein hohes Risiko fuer die
Rechte und Freiheiten natuerlicher Personen zur Folge hat.
In klarer und einfacher Sprache: Art der Verletzung, Kontakt DSB,
wahrscheinliche Folgen, ergriffene Abhilfemassnahmen.
recipient: "Betroffene Personen"
legal_basis:
- norm: "Art. 34 DSGVO"

556
ai-compliance-sdk/policies/obligations/nis2_obligations.yaml Normal file
View File

@@ -0,0 +1,556 @@
# NIS2 Obligations & Controls
# Version: 1.0
# Based on: EU Directive 2022/2555 (NIS2) and German BSIG-E (Draft)
regulation: nis2
name: "NIS2-Richtlinie / BSIG-E"
version: "1.0"
effective_date: "2024-10-18"
german_implementation: "BSIG-E (Entwurf)"
# ==============================================================================
# Pflichten (Obligations)
# ==============================================================================
obligations:
# ---------------------------------------------------------------------------
# Meldepflichten
# ---------------------------------------------------------------------------
- id: "NIS2-OBL-001"
title: "BSI-Registrierung"
description: |
Registrierung beim BSI über das Meldeportal innerhalb von 3 Monaten nach
Identifikation als betroffene Einrichtung. Anzugeben sind:
- Name und Anschrift der Einrichtung
- Kontaktdaten (E-Mail, Telefon) eines Ansprechpartners
- IP-Adressbereiche der Einrichtung
- Sektor und Tätigkeitsbereich
applies_when: "classification in ['wichtige_einrichtung', 'besonders_wichtige_einrichtung']"
legal_basis:
- norm: "§ 33 BSIG-E"
article: "Registrierungspflicht"
- norm: "Art. 3 Abs. 4 NIS2"
category: "Meldepflicht"
responsible: "Geschäftsführung"
deadline:
type: "absolute"
date: "2025-01-17"
sanctions:
max_fine: "500.000 EUR"
personal_liability: false
evidence:
- "Registrierungsbestätigung des BSI"
- "Dokumentierte Ansprechpartner mit Kontaktdaten"
- "Liste der registrierten IP-Bereiche"
priority: "critical"
how_to_implement: |
1. BSI-Meldeportal aufrufen (wird noch eingerichtet)
2. Unternehmensdaten eingeben
3. Technische Ansprechpartner benennen
4. IP-Bereiche dokumentieren und eintragen
5. Bestätigung archivieren
- id: "NIS2-OBL-002"
title: "Risikomanagement-Maßnahmen implementieren"
description: |
Umsetzung angemessener und verhältnismäßiger technischer, operativer und
organisatorischer Maßnahmen zur Beherrschung der Risiken für die Sicherheit
der Netz- und Informationssysteme. Die Maßnahmen müssen dem Stand der Technik
entsprechen und folgende Bereiche abdecken:
- Risikoanalyse und Sicherheitskonzepte
- Bewältigung von Sicherheitsvorfällen
- Betriebskontinuität und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung
- Bewertung der Wirksamkeit von Maßnahmen
- Cyberhygiene und Schulungen
- Kryptographie
- Personalsicherheit
- Zugangskontrollen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 NIS2"
article: "Risikomanagementmaßnahmen im Bereich der Cybersicherheit"
- norm: "§ 30 BSIG-E"
article: "Risikomanagementmaßnahmen"
category: "Governance"
responsible: "CISO"
deadline:
type: "relative"
duration: "18 Monate nach Inkrafttreten des BSIG-E"
sanctions:
max_fine: "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes"
personal_liability: true
evidence:
- "ISMS-Dokumentation"
- "Risikoanalyse und -bewertung"
- "Maßnahmenkatalog mit Umsetzungsstatus"
- "Sicherheitskonzept"
priority: "high"
iso27001_mapping: ["A.5", "A.6", "A.8"]
- id: "NIS2-OBL-003"
title: "Geschäftsführungs-Verantwortung und Genehmigung"
description: |
Die Leitungsorgane (Geschäftsführung, Vorstand) müssen die
Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen.
Bei Verstößen können sie persönlich haftbar gemacht werden. Die
Geschäftsführung ist verpflichtet:
- Risikomanagement-Maßnahmen zu genehmigen
- Umsetzung regelmäßig zu überprüfen
- Ausreichende Ressourcen bereitzustellen
- Cybersicherheit als strategisches Thema zu behandeln
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 20 NIS2"
article: "Governance"
- norm: "§ 38 BSIG-E"
article: "Billigung, Überwachung und Schulung"
category: "Governance"
responsible: "Geschäftsführung"
sanctions:
max_fine: "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes"
personal_liability: true
evidence:
- "Vorstandsbeschluss zur Cybersicherheitsstrategie"
- "Dokumentierte Genehmigung der Risikomanagement-Maßnahmen"
- "Protokolle der regelmäßigen Reviews"
- "Nachweis der Ressourcenbereitstellung"
priority: "critical"
- id: "NIS2-OBL-004"
title: "Cybersicherheits-Schulung der Geschäftsführung"
description: |
Mitglieder der Leitungsorgane müssen an regelmäßigen Schulungen teilnehmen,
um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von
Cybersicherheitsrisiken und deren Auswirkungen zu erlangen. Die Schulungen
müssen folgende Themen abdecken:
- Aktuelle Bedrohungslage
- Grundlagen der Informationssicherheit
- Relevante gesetzliche Anforderungen (NIS2, DSGVO, etc.)
- Risikobasierter Ansatz
- Incident Response und Krisenmanagement
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 20 Abs. 2 NIS2"
- norm: "§ 38 Abs. 3 BSIG-E"
category: "Schulung"
responsible: "Geschäftsführung"
deadline:
type: "recurring"
interval: "jährlich"
evidence:
- "Schulungsnachweise/Zertifikate der Geschäftsführung"
- "Schulungsplan mit Themen und Terminen"
- "Teilnahmelisten"
priority: "high"
- id: "NIS2-OBL-005"
title: "Incident-Response-Prozess und Meldepflichten"
description: |
Etablierung eines Prozesses zur Erkennung, Analyse, Eindämmung und Meldung
von erheblichen Sicherheitsvorfällen. Die Meldung muss in drei Phasen erfolgen:
1. Frühwarnung (24 Stunden): Unverzügliche Meldung, ob böswilliger Angriff
vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind
2. Vorfallmeldung (72 Stunden): Aktualisierung mit erster Bewertung,
Schweregrad, Auswirkungen und Kompromittierungsindikatoren
3. Abschlussbericht (1 Monat): Ausführliche Beschreibung, Ursachenanalyse,
ergriffene Maßnahmen und grenzüberschreitende Auswirkungen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 23 NIS2"
article: "Berichtspflichten"
- norm: "§ 32 BSIG-E"
article: "Meldepflichten"
category: "Meldepflicht"
responsible: "CISO"
evidence:
- "Incident-Response-Plan"
- "Meldeprozess-Dokumentation"
- "24/7-Erreichbarkeit der Ansprechpartner"
- "Kontaktdaten BSI und ggf. sektorale Behörden"
- "Vorlagen für Meldungen"
priority: "critical"
iso27001_mapping: ["A.16"]
- id: "NIS2-OBL-006"
title: "Business Continuity Management"
description: |
Implementierung von Maßnahmen zur Aufrechterhaltung des Betriebs:
- Backup-Management und -Strategie
- Notfallwiederherstellung (Disaster Recovery)
- Krisenmanagement
- Notfallplanung
Regelmäßige Tests der BCM-Maßnahmen sind durchzuführen.
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. c NIS2"
- norm: "§ 30 Abs. 2 Nr. 3 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "BCM-Dokumentation"
- "Backup-Konzept mit RTO/RPO"
- "Disaster-Recovery-Plan"
- "Krisenmanagement-Handbuch"
- "Testprotokolle (mindestens jährlich)"
priority: "high"
iso27001_mapping: ["A.17"]
- id: "NIS2-OBL-007"
title: "Lieferketten-Sicherheit"
description: |
Sicherstellung der Sicherheit in der Lieferkette, einschließlich:
- Bewertung der Sicherheitspraktiken von Lieferanten
- Vertragliche Sicherheitsanforderungen
- Regelmäßige Überprüfung der Lieferanten
- Berücksichtigung von Konzentrationsrisiken
- Dokumentation kritischer Lieferanten
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. d NIS2"
- norm: "§ 30 Abs. 2 Nr. 4 BSIG-E"
category: "Organisatorisch"
responsible: "CISO"
evidence:
- "Lieferanten-Risikobewertung"
- "Sicherheitsanforderungen in Verträgen"
- "Liste kritischer Lieferanten"
- "Audit-Berichte von Lieferanten"
priority: "medium"
iso27001_mapping: ["A.15"]
- id: "NIS2-OBL-008"
title: "Schwachstellenmanagement"
description: |
Etablierung von Prozessen zum Umgang mit Schwachstellen:
- Regelmäßige Schwachstellen-Scans
- Priorisierung nach Risiko
- Zeitnahe Behebung (Patch-Management)
- Koordinierte Offenlegung von Schwachstellen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. e NIS2"
- norm: "§ 30 Abs. 2 Nr. 5 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "Schwachstellen-Management-Prozess"
- "Patch-Management-Richtlinie"
- "Vulnerability-Scan-Berichte"
- "Statistiken zur Behebungszeit"
priority: "high"
iso27001_mapping: ["A.12.6"]
- id: "NIS2-OBL-009"
title: "Zugangs- und Identitätsmanagement"
description: |
Implementierung von Konzepten für:
- Zugangskontrolle (Need-to-know-Prinzip)
- Management von Benutzerkonten und Berechtigungen
- Multi-Faktor-Authentifizierung (MFA)
- Sichere Authentifizierungsmethoden
- Regelmäßige Überprüfung von Berechtigungen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. i NIS2"
- norm: "§ 30 Abs. 2 Nr. 9 BSIG-E"
category: "Technisch"
responsible: "IT-Leitung"
evidence:
- "Zugangskontroll-Richtlinie"
- "MFA-Implementierungsnachweis"
- "Identity-Management-Dokumentation"
- "Berechtigungsmatrix"
- "Review-Protokolle"
priority: "high"
iso27001_mapping: ["A.9"]
- id: "NIS2-OBL-010"
title: "Kryptographie und Verschlüsselung"
description: |
Konzepte und Verfahren für den Einsatz von Kryptographie:
- Verschlüsselung von Daten in Ruhe und Transit
- Sichere Schlüsselverwaltung
- Verwendung aktueller kryptographischer Standards
- Regelmäßige Überprüfung der eingesetzten Verfahren
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. h NIS2"
- norm: "§ 30 Abs. 2 Nr. 8 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "Kryptographie-Richtlinie"
- "Verschlüsselungskonzept"
- "Key-Management-Dokumentation"
- "Liste eingesetzter Algorithmen"
priority: "medium"
iso27001_mapping: ["A.10"]
- id: "NIS2-OBL-011"
title: "Personalsicherheit und Awareness"
description: |
Sicherstellung der Personalsicherheit:
- Hintergrundüberprüfungen für kritische Rollen
- Regelmäßige Sicherheitsschulungen für alle Mitarbeiter
- Awareness-Programme
- Klare Verantwortlichkeiten
- Prozesse bei Personalwechsel
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. g NIS2"
- norm: "Art. 21 Abs. 2 lit. j NIS2"
- norm: "§ 30 Abs. 2 Nr. 7 BSIG-E"
- norm: "§ 30 Abs. 2 Nr. 10 BSIG-E"
category: "Organisatorisch"
responsible: "Geschäftsführung"
evidence:
- "Personalsicherheits-Richtlinie"
- "Schulungskonzept und -nachweise"
- "Awareness-Materialien"
- "Onboarding/Offboarding-Prozesse"
priority: "medium"
iso27001_mapping: ["A.7"]
- id: "NIS2-OBL-012"
title: "Regelmäßige Sicherheitsaudits (besonders wichtige Einrichtungen)"
description: |
Besonders wichtige Einrichtungen unterliegen regelmäßigen
Sicherheitsüberprüfungen durch das BSI. Diese können umfassen:
- Vor-Ort-Prüfungen
- Remote-Audits
- Dokumentenprüfungen
- Technische Prüfungen
Die Einrichtungen müssen auf Anforderung Nachweise vorlegen.
applies_when: "classification == 'besonders_wichtige_einrichtung'"
legal_basis:
- norm: "Art. 32 NIS2"
article: "Aufsichtsmaßnahmen für besonders wichtige Einrichtungen"
- norm: "§ 39 BSIG-E"
category: "Audit"
responsible: "CISO"
deadline:
type: "recurring"
interval: "alle 2 Jahre"
evidence:
- "Audit-Berichte"
- "Maßnahmenpläne aus Audits"
- "Nachweise der Umsetzung"
priority: "high"
- id: "NIS2-OBL-013"
title: "Netzsegmentierung und Netzwerksicherheit"
description: |
Implementierung von Netzwerksicherheitsmaßnahmen:
- Segmentierung kritischer Systeme
- Firewalls und Zugangskontrolle
- Sichere Netzwerkarchitektur
- Überwachung des Netzwerkverkehrs
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. a NIS2"
- norm: "§ 30 Abs. 2 Nr. 1 BSIG-E"
category: "Technisch"
responsible: "IT-Leitung"
evidence:
- "Netzwerkarchitektur-Dokumentation"
- "Firewall-Regelwerke"
- "Segmentierungskonzept"
priority: "high"
iso27001_mapping: ["A.13.1"]
- id: "NIS2-OBL-014"
title: "Security Monitoring und Protokollierung"
description: |
Kontinuierliche Überwachung der IT-Sicherheit:
- Sicherheitsrelevante Protokollierung
- SIEM oder vergleichbare Lösung
- Anomalie-Erkennung
- Regelmäßige Auswertung der Logs
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. b NIS2"
- norm: "§ 30 Abs. 2 Nr. 2 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "Log-Management-Konzept"
- "SIEM-Dokumentation"
- "Monitoring-Dashboards"
- "Incident-Berichte aus Monitoring"
priority: "high"
iso27001_mapping: ["A.12.4"]
# ==============================================================================
# Controls (Maßnahmen)
# ==============================================================================
controls:
- id: "NIS2-CTRL-001"
name: "ISMS implementieren"
description: "Implementierung eines Informationssicherheits-Managementsystems nach anerkanntem Standard"
category: "Governance"
what_to_do: "Aufbau eines ISMS nach ISO 27001 oder BSI IT-Grundschutz"
iso27001_mapping: ["4", "5", "6", "7"]
priority: "high"
- id: "NIS2-CTRL-002"
name: "Netzwerksegmentierung"
description: "Segmentierung kritischer Netzwerkbereiche zur Reduzierung der Angriffsfläche"
category: "Technisch"
what_to_do: "Implementierung von VLANs, Firewalls und Mikrosegmentierung für kritische Systeme"
iso27001_mapping: ["A.13.1"]
priority: "high"
- id: "NIS2-CTRL-003"
name: "Security Monitoring"
description: "Kontinuierliche Überwachung der IT-Sicherheit"
category: "Technisch"
what_to_do: "Implementierung von SIEM, Log-Management und Anomalie-Erkennung"
iso27001_mapping: ["A.12.4"]
priority: "high"
- id: "NIS2-CTRL-004"
name: "Awareness-Programm"
description: "Regelmäßige Sicherheitsschulungen für alle Mitarbeiter"
category: "Organisatorisch"
what_to_do: "Durchführung von Phishing-Simulationen, E-Learning und Präsenzschulungen"
iso27001_mapping: ["A.7.2.2"]
priority: "medium"
- id: "NIS2-CTRL-005"
name: "Multi-Faktor-Authentifizierung"
description: "MFA für alle administrativen Zugänge und kritischen Systeme"
category: "Technisch"
what_to_do: "Einführung von MFA für VPN, E-Mail, Admin-Zugänge und kritische Anwendungen"
iso27001_mapping: ["A.9.4"]
priority: "high"
- id: "NIS2-CTRL-006"
name: "Backup & Recovery"
description: "Regelmäßige Backups und getestete Wiederherstellung"
category: "Technisch"
what_to_do: "Implementierung von 3-2-1 Backup-Strategie mit regelmäßigen Recovery-Tests"
iso27001_mapping: ["A.12.3"]
priority: "high"
- id: "NIS2-CTRL-007"
name: "Vulnerability Management"
description: "Systematisches Schwachstellenmanagement"
category: "Technisch"
what_to_do: "Regelmäßige Scans, Priorisierung nach CVSS, zeitnahe Patches"
iso27001_mapping: ["A.12.6"]
priority: "high"
- id: "NIS2-CTRL-008"
name: "Incident Response Team"
description: "Dediziertes Team für Sicherheitsvorfälle"
category: "Organisatorisch"
what_to_do: "Aufbau eines CSIRT/CERT mit klaren Rollen und Eskalationspfaden"
iso27001_mapping: ["A.16.1"]
priority: "high"
# ==============================================================================
# Incident Deadlines (Meldefristen)
# ==============================================================================
incident_deadlines:
- phase: "Frühwarnung"
deadline: "24 Stunden"
content: |
Unverzügliche Meldung erheblicher Sicherheitsvorfälle. Angabe:
- Ob böswilliger Angriff vermutet wird
- Ob grenzüberschreitende Auswirkungen möglich sind
recipient: "BSI"
legal_basis:
- norm: "§ 32 Abs. 1 BSIG-E"
- phase: "Vorfallmeldung"
deadline: "72 Stunden"
content: |
Aktualisierung der Frühwarnung mit:
- Erste Bewertung des Vorfalls
- Schweregrad und Auswirkungen
- Kompromittierungsindikatoren (IoCs)
recipient: "BSI"
legal_basis:
- norm: "§ 32 Abs. 2 BSIG-E"
- phase: "Abschlussbericht"
deadline: "1 Monat"
content: |
Ausführlicher Bericht mit:
- Ausführliche Beschreibung des Vorfalls
- Ursachenanalyse (Root Cause)
- Ergriffene Abhilfemaßnahmen
- Grenzüberschreitende Auswirkungen
recipient: "BSI"
legal_basis:
- norm: "§ 32 Abs. 3 BSIG-E"
# ==============================================================================
# Sector Classification (NIS2 Annexes)
# ==============================================================================
sectors:
annex_i:
name: "Sektoren mit hoher Kritikalität"
description: "Anhang I der NIS2-Richtlinie"
sectors:
- id: "energy"
name: "Energie"
subsectors: ["Elektrizität", "Fernwärme/-kälte", "Erdöl", "Erdgas", "Wasserstoff"]
- id: "transport"
name: "Verkehr"
subsectors: ["Luftverkehr", "Schienenverkehr", "Schifffahrt", "Straßenverkehr"]
- id: "banking_financial"
name: "Bankwesen"
subsectors: ["Kreditinstitute"]
- id: "financial_market"
name: "Finanzmarktinfrastrukturen"
subsectors: ["Betreiber von Handelsplätzen", "Zentrale Gegenparteien"]
- id: "health"
name: "Gesundheitswesen"
subsectors: ["Gesundheitsdienstleister", "EU-Referenzlaboratorien", "Arzneimittelhersteller", "Medizinproduktehersteller"]
- id: "drinking_water"
name: "Trinkwasser"
subsectors: ["Lieferanten und Verteiler von Trinkwasser"]
- id: "wastewater"
name: "Abwasser"
subsectors: ["Unternehmen, die kommunales Abwasser sammeln, entsorgen oder behandeln"]
- id: "digital_infrastructure"
name: "Digitale Infrastruktur"
subsectors: ["IXPs", "DNS-Dienste", "TLD-Namenregister", "Cloud-Computing", "Rechenzentren", "CDNs", "Vertrauensdienste", "Öffentliche Kommunikationsnetze"]
- id: "ict_service_mgmt"
name: "Verwaltung von IKT-Diensten (B2B)"
subsectors: ["Managed Service Provider", "Managed Security Service Provider"]
- id: "public_administration"
name: "Öffentliche Verwaltung"
subsectors: ["Zentralregierung", "Regionale Behörden"]
- id: "space"
name: "Weltraum"
subsectors: ["Betreiber von Bodeninfrastrukturen"]
annex_ii:
name: "Sonstige kritische Sektoren"
description: "Anhang II der NIS2-Richtlinie"
sectors:
- id: "postal"
name: "Post- und Kurierdienste"
- id: "waste"
name: "Abfallbewirtschaftung"
- id: "chemicals"
name: "Herstellung, Produktion und Vertrieb von Chemikalien"
- id: "food"
name: "Produktion, Verarbeitung und Vertrieb von Lebensmitteln"
- id: "manufacturing"
name: "Verarbeitendes Gewerbe/Herstellung von Waren"
subsectors: ["Medizinprodukte", "DV-Geräte", "Elektrische Ausrüstungen", "Maschinenbau", "Kraftwagen", "Sonstiger Fahrzeugbau"]
- id: "digital_providers"
name: "Anbieter digitaler Dienste"
subsectors: ["Online-Marktplätze", "Online-Suchmaschinen", "Soziale Netzwerke"]
- id: "research"
name: "Forschung"
subsectors: ["Forschungseinrichtungen"]

458
ai-compliance-sdk/policies/scc_legal_corpus.yaml Normal file
View File

@@ -0,0 +1,458 @@
# =============================================================================
# SCC Legal Corpus - Standardvertragsklauseln & Drittlandtransfers
# Für Legal RAG Integration
# Version: 1.0
# Stand: Januar 2026
# =============================================================================
version: "1.0"
jurisdiction: EU
last_updated: "2026-01-29"
description: "Rechtliche Informationen zu Standardvertragsklauseln und internationalen Datentransfers"
# =============================================================================
# GRUNDLAGEN
# =============================================================================
fundamentals:
scc_definition:
id: SCC-DEF-001
topic: "Was sind Standardvertragsklauseln?"
content: |
Standardvertragsklauseln (Standard Contractual Clauses - SCC) sind von der
EU-Kommission verabschiedete Musterverträge, die eine rechtliche Grundlage
für Datenübermittlungen personenbezogener Daten in Länder außerhalb des
Europäischen Wirtschaftsraums (EWR) schaffen.
Sie gelten als Instrument nach Art. 46 Abs. 2 lit. c DSGVO, wenn für das
Empfängerland kein Angemessenheitsbeschluss der EU-Kommission besteht.
legal_refs:
- "DSGVO Art. 46 Abs. 2 lit. c"
- "EU-Kommission Durchführungsbeschluss (EU) 2021/914"
keywords: ["SCC", "Standardvertragsklauseln", "Drittlandtransfer", "Art. 46"]
new_scc_2021:
id: SCC-DEF-002
topic: "Neue SCC seit Juni 2021"
content: |
Die EU-Kommission hat im Juni 2021 modernisierte Standardvertragsklauseln
veröffentlicht, die alte Versionen seit dem 27. Dezember 2022 vollständig
abgelöst haben. Die neuen SCC sind modular aufgebaut und decken vier
verschiedene Transfer-Szenarien ab:
- Modul 1: Controller zu Controller (C2C)
- Modul 2: Controller zu Processor (C2P)
- Modul 3: Processor zu Processor (P2P)
- Modul 4: Processor zu Controller (P2C)
WICHTIG: Alte SCC-Versionen (von 2001, 2004, 2010) sind seit Ende 2022
nicht mehr gültig für neue oder andauernde Transfers.
legal_refs:
- "EU-Kommission Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021"
- "CNIL Guidance on SCC transition"
keywords: ["neue SCC", "2021", "Module", "C2C", "C2P", "P2P"]
adequacy_decisions:
id: SCC-DEF-003
topic: "Angemessenheitsbeschlüsse"
content: |
Für einige Drittländer hat die EU-Kommission Angemessenheitsbeschlüsse
erlassen, die ein dem EU-Recht vergleichbares Datenschutzniveau bestätigen.
In diesen Fällen sind KEINE SCC erforderlich.
Länder mit Angemessenheitsbeschluss (Stand 2026):
- Andorra, Argentinien, Kanada (nur PIPEDA), Färöer-Inseln
- Guernsey, Israel, Isle of Man, Japan, Jersey
- Neuseeland, Schweiz, Südkorea, Uruguay
- Vereinigtes Königreich (UK)
- USA (nur für Unternehmen unter dem EU-US Data Privacy Framework)
ACHTUNG: Der USA-Angemessenheitsbeschluss (Data Privacy Framework) gilt
NUR für US-Unternehmen, die beim DPF zertifiziert sind!
legal_refs:
- "DSGVO Art. 45"
- "EU-Kommission Angemessenheitsbeschlüsse"
- "EU-US Data Privacy Framework Beschluss vom 10. Juli 2023"
keywords: ["Angemessenheitsbeschluss", "adequacy", "Art. 45", "DPF"]
# =============================================================================
# WANN SIND SCC ERFORDERLICH?
# =============================================================================
requirements:
when_scc_required:
id: SCC-REQ-001
topic: "Wann sind SCC erforderlich?"
content: |
SCC sind erforderlich wenn ALLE folgenden Bedingungen erfüllt sind:
1. Es werden personenbezogene Daten übermittelt
2. Der Empfänger befindet sich außerhalb des EWR
3. Für das Empfängerland besteht KEIN Angemessenheitsbeschluss
(oder der Empfänger ist nicht unter einem solchen zertifiziert)
WICHTIG: Als "Übermittlung" gilt auch:
- Remote-Zugriff auf EU-Daten von einem Drittland aus
- Support/Wartungszugriffe von Mitarbeitern im Drittland
- Backup-Speicherung in Drittland-Rechenzentren
- Nutzung von Cloud-Diensten mit Drittland-Verarbeitung
legal_refs:
- "DSGVO Art. 44"
- "DSGVO Art. 46"
keywords: ["Übermittlung", "Drittland", "Transfer"]
when_scc_not_required:
id: SCC-REQ-002
topic: "Wann sind SCC NICHT erforderlich?"
content: |
SCC sind NICHT erforderlich in folgenden Fällen:
1. Rein lokale Verarbeitung (On-Premises im EWR)
- Alle Daten bleiben im EWR
- Kein Zugriff von Drittländern
- Keine Cloud-Dienste mit Drittland-Verarbeitung
2. Angemessenheitsbeschluss vorhanden
- Empfängerland hat EU-Angemessenheitsbeschluss
- Bei USA: Empfänger ist DPF-zertifiziert
3. Keine personenbezogenen Daten
- Vollständig anonymisierte Daten (irreversibel!)
- Nur aggregierte Statistiken
4. Binding Corporate Rules (BCR)
- Konzerninterner Transfer mit genehmigten BCR
legal_refs:
- "DSGVO Art. 44"
- "DSGVO Art. 45"
- "ErwGr. 26 DSGVO (Anonymisierung)"
keywords: ["lokal", "On-Premises", "anonymisiert", "BCR"]
local_hosting_scenario:
id: SCC-REQ-003
topic: "Szenario: Lokales Hosting (Mac Studio)"
content: |
Bei lokalem Hosting auf kundeneigener Hardware (z.B. Mac Studio):
KEINE SCC erforderlich wenn:
- Software/LLM läuft vollständig lokal
- Alle personenbezogenen Daten bleiben auf der lokalen Hardware
- Wartung/Support erfolgt OHNE Zugriff auf personenbezogene Daten
- Fehlerberichte/Logs enthalten KEINE personenbezogenen Daten
- Keine Cloud-Synchronisation mit Drittländern
AVV WEITERHIN ERFORDERLICH wenn:
- Der Software-Anbieter als Auftragsverarbeiter agiert
- Im Rahmen von Wartung/Support Zugriff auf Daten möglich ist
ACHTUNG: Sobald Support-Mitarbeiter von außerhalb des EWR auf
personenbezogene Daten zugreifen können, liegt ein Drittlandtransfer vor!
legal_refs:
- "DSGVO Art. 28 (AVV-Pflicht)"
- "DSGVO Art. 44ff (Drittlandtransfer)"
keywords: ["lokal", "On-Premises", "Mac Studio", "AVV"]
cloud_hosting_scenario:
id: SCC-REQ-004
topic: "Szenario: Cloud-Hosting"
content: |
Bei Cloud-Hosting (z.B. SysEleven, AWS, Azure, GCP):
Prüfschema:
1. Wo befinden sich die Rechenzentren?
→ EU-only: Grundsätzlich keine SCC nötig
→ Weltweit/USA: Weitere Prüfung erforderlich
2. Wer hat Zugriff auf die Daten?
→ Nur EU-Personal: Keine SCC
→ Drittland-Support möglich: SCC erforderlich
3. Gibt es Unterauftragsverarbeiter im Drittland?
→ Ja: SCC mit diesen erforderlich
→ Nein: Dokumentation ausreichend
4. USA-Cloud-Provider mit EU-Rechenzentren:
→ Prüfen ob DPF-zertifiziert
→ Prüfen ob US-Behördenzugriff technisch möglich (FISA 702)
→ Ggf. zusätzliche technische Maßnahmen (Verschlüsselung)
legal_refs:
- "DSGVO Art. 28 Abs. 2 (Unterauftragsverarbeiter)"
- "DSGVO Art. 44ff"
- "EuGH Schrems II (C-311/18)"
keywords: ["Cloud", "SysEleven", "AWS", "Azure", "GCP"]
# =============================================================================
# TRANSFER IMPACT ASSESSMENT (TIA)
# =============================================================================
tia:
tia_requirement:
id: SCC-TIA-001
topic: "Transfer Impact Assessment"
content: |
Nach dem Schrems II-Urteil des EuGH müssen Datenexporteure vor jedem
Drittlandtransfer ein Transfer Impact Assessment (TIA) durchführen.
Das TIA muss bewerten:
1. Rechtslage im Empfängerland
- Behördenzugriffsrechte (z.B. FISA 702 in USA)
- Rechtsschutz für EU-Bürger
- Datenschutzaufsicht
2. Praktische Anwendung der Gesetze
- Werden Zugriffsrechte tatsächlich genutzt?
- Gibt es dokumentierte Fälle?
3. Vertragliche Garantien
- Reichen die SCC allein aus?
- Werden zusätzliche Schutzmaßnahmen benötigt?
4. Zusätzliche Schutzmaßnahmen
- Technische Maßnahmen (Verschlüsselung, Pseudonymisierung)
- Organisatorische Maßnahmen
- Vertragliche Maßnahmen
legal_refs:
- "EuGH Schrems II (C-311/18)"
- "EDPB Recommendations 01/2020"
- "EDPB Recommendations 02/2020"
keywords: ["TIA", "Transfer Impact Assessment", "Schrems II"]
supplementary_measures:
id: SCC-TIA-002
topic: "Ergänzende Schutzmaßnahmen"
content: |
Wenn das TIA ergibt, dass SCC allein kein angemessenes Schutzniveau
gewährleisten, sind ergänzende Maßnahmen erforderlich:
TECHNISCHE MAßNAHMEN:
- Ende-zu-Ende-Verschlüsselung (Schlüssel nur beim Exporteur)
- Pseudonymisierung (Zuordnungstabelle im EWR)
- Split Processing (sensible Teile nur im EWR)
VERTRAGLICHE MAßNAHMEN:
- Benachrichtigung bei Behördenanfragen
- Verpflichtung zur Anfechtung rechtswidriger Anfragen
- Verbot der Schlüsselherausgabe
ORGANISATORISCHE MAßNAHMEN:
- Strikte Zugriffskontrollen
- Dokumentation aller Zugriffe
- Regelmäßige Audits
WICHTIG: Wenn auch mit Zusatzmaßnahmen kein angemessenes Niveau
erreichbar ist, muss der Transfer unterbleiben!
legal_refs:
- "EDPB Recommendations 01/2020 on supplementary measures"
- "DSGVO Art. 32"
keywords: ["Verschlüsselung", "Pseudonymisierung", "Zusatzmaßnahmen"]
# =============================================================================
# AVV vs. SCC
# =============================================================================
avv_scc:
avv_definition:
id: SCC-AVV-001
topic: "AVV vs. SCC - Unterschiede"
content: |
AVV und SCC sind VERSCHIEDENE Instrumente mit UNTERSCHIEDLICHEN Zwecken:
AUFTRAGSVERARBEITUNGSVERTRAG (AVV):
- Rechtsgrundlage: Art. 28 DSGVO
- Zweck: Regelung der Verarbeitung durch einen Auftragsverarbeiter
- Erforderlich: Bei JEDER Auftragsverarbeitung
- Unabhängig vom Ort: Auch bei EU-internen Verarbeitungen
STANDARDVERTRAGSKLAUSELN (SCC):
- Rechtsgrundlage: Art. 46 Abs. 2 lit. c DSGVO
- Zweck: Absicherung von Drittlandtransfers
- Erforderlich: NUR bei Übermittlung in Drittländer ohne Angemessenheit
KOMBINATION:
Bei Drittland-Auftragsverarbeitern sind BEIDE erforderlich:
- AVV für die Auftragsverarbeitung an sich
- SCC für den Drittlandtransfer
Die neuen SCC (2021) können beides kombinieren, indem sie sowohl
Art. 28-Anforderungen als auch Art. 46-Anforderungen erfüllen.
legal_refs:
- "DSGVO Art. 28"
- "DSGVO Art. 46"
- "EU-Kommission Durchführungsbeschluss (EU) 2021/914"
keywords: ["AVV", "SCC", "Art. 28", "Art. 46"]
# =============================================================================
# PRAKTISCHE UMSETZUNG
# =============================================================================
implementation:
scc_checklist:
id: SCC-IMP-001
topic: "SCC-Implementierung: Checkliste"
content: |
Checkliste für die SCC-Implementierung:
VOR DEM TRANSFER:
□ Prüfung ob Angemessenheitsbeschluss besteht
□ Identifikation des korrekten SCC-Moduls (C2C, C2P, P2P, P2C)
□ Durchführung des Transfer Impact Assessment (TIA)
□ Dokumentation der Rechtsgrundlage
VERTRAGSABSCHLUSS:
□ Verwendung der aktuellen SCC-Version (2021)
□ Auswahl der relevanten Module
□ Ergänzung der erforderlichen Anhänge (Annex I, II)
□ Definition der technischen/organisatorischen Maßnahmen
□ Benennung der Kontaktpersonen
NACH DEM TRANSFER:
□ Regelmäßige Überprüfung der Rechtslage im Drittland
□ Aktualisierung des TIA bei Änderungen
□ Dokumentation aller Transfers
□ Information der Aufsichtsbehörde auf Anfrage
legal_refs:
- "DSGVO Art. 46"
- "EDPB Recommendations 01/2020"
keywords: ["Checkliste", "Implementierung", "Dokumentation"]
scc_modules:
id: SCC-IMP-002
topic: "SCC-Module im Überblick"
content: |
Die neuen SCC (2021) umfassen vier Module:
MODUL 1: Controller zu Controller (C2C)
- Anwendung: Zwei unabhängige Verantwortliche
- Beispiel: Unternehmensgruppe mit gemeinsamer Kundendatenbank
MODUL 2: Controller zu Processor (C2P)
- Anwendung: Verantwortlicher beauftragt Auftragsverarbeiter im Drittland
- Beispiel: EU-Unternehmen nutzt US-Cloud-Provider
- HÄUFIGSTER ANWENDUNGSFALL
MODUL 3: Processor zu Processor (P2P)
- Anwendung: EU-Auftragsverarbeiter nutzt Unterauftragsverarbeiter im Drittland
- Beispiel: EU-IT-Dienstleister nutzt US-Sub-Contractor
MODUL 4: Processor zu Controller (P2C)
- Anwendung: Drittland-Auftragsverarbeiter gibt Daten an EU-Verantwortlichen zurück
- Beispiel: Rückübermittlung nach Datenanalyse im Drittland
- SELTEN
Die Module können kombiniert werden (Docking Clause für nachträgliche Beitritte).
legal_refs:
- "EU-Kommission Durchführungsbeschluss (EU) 2021/914"
keywords: ["Module", "C2C", "C2P", "P2P", "P2C"]
# =============================================================================
# BSI C5 UND SCC
# =============================================================================
bsi_c5:
bsi_c5_scc_relation:
id: SCC-BSI-001
topic: "BSI C5 Zertifizierung und SCC"
content: |
Eine BSI C5 Zertifizierung ist KEIN Ersatz für SCC!
BSI C5 belegt:
- Technische Sicherheit des Cloud-Dienstes
- Organisatorische Maßnahmen
- Compliance mit deutschen Sicherheitsstandards
BSI C5 belegt NICHT:
- Rechtliche Grundlage für Drittlandtransfers
- Angemessenes Datenschutzniveau im Drittland
- Schutz vor Behördenzugriffen
Konsequenz:
Auch ein BSI C5-zertifizierter Cloud-Provider benötigt SCC, wenn:
- Daten in Drittländer übermittelt werden
- Support/Zugriff aus Drittländern erfolgt
- Unterauftragsverarbeiter im Drittland eingesetzt werden
legal_refs:
- "BSI C5:2020"
- "DSGVO Art. 46"
keywords: ["BSI C5", "Zertifizierung", "Cloud"]
# =============================================================================
# ENTSCHEIDUNGSMATRIX
# =============================================================================
decision_matrix:
transfer_decision:
id: SCC-DEC-001
topic: "Entscheidungsmatrix: SCC erforderlich?"
content: |
ENTSCHEIDUNGSBAUM:
1. Werden personenbezogene Daten verarbeitet?
→ Nein: Keine SCC erforderlich (DSGVO nicht anwendbar)
→ Ja: Weiter zu 2.
2. Werden Daten außerhalb des EWR verarbeitet oder ist Zugriff möglich?
→ Nein (rein lokale Verarbeitung im EWR): Keine SCC (nur AVV)
→ Ja: Weiter zu 3.
3. Besteht ein Angemessenheitsbeschluss für das Drittland?
→ Ja: Keine SCC erforderlich
→ Nein: Weiter zu 4.
4. Ist der Empfänger DPF-zertifiziert (bei USA)?
→ Ja: Keine SCC für diesen Empfänger
→ Nein: SCC ERFORDERLICH
5. Bei SCC-Erforderlichkeit:
→ TIA durchführen
→ Ggf. ergänzende Maßnahmen implementieren
→ Wenn angemessenes Niveau nicht erreichbar: Transfer NICHT zulässig
legal_refs:
- "DSGVO Art. 44-49"
keywords: ["Entscheidungsbaum", "Prüfschema"]
# =============================================================================
# KEYWORDS FÜR RAG RETRIEVAL
# =============================================================================
rag_keywords:
primary:
- "SCC"
- "Standardvertragsklauseln"
- "Standard Contractual Clauses"
- "Drittlandtransfer"
- "Drittland"
- "Art. 44"
- "Art. 46"
- "Transfer"
- "Datenübermittlung"
- "EU-Kommission"
- "TIA"
- "Transfer Impact Assessment"
- "Schrems II"
- "Angemessenheitsbeschluss"
- "adequacy"
secondary:
- "USA"
- "Cloud"
- "AWS"
- "Azure"
- "GCP"
- "FISA"
- "DPF"
- "Data Privacy Framework"
- "BCR"
- "Binding Corporate Rules"
- "Auftragsverarbeitung"
- "AVV"
- "Unterauftragsverarbeiter"
- "Subprocessor"

1144
ai-compliance-sdk/policies/ucca_policy_v1.yaml Normal file
View File

File diff suppressed because it is too large Load Diff

1396
ai-compliance-sdk/policies/wizard_schema_v1.yaml Normal file
View File

File diff suppressed because it is too large Load Diff