Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Initial commit: breakpilot-compliance - Compliance SDK Platform

Browse Source 
Services: Admin-Compliance, Backend-Compliance,
AI-Compliance-SDK, Consent-SDK, Developer-Portal,
PCA-Platform, DSMS

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Benjamin Boenisch
2026-02-11 23:47:28 +01:00
commit 4435e7ea0a
734 changed files with 251369 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

458
ai-compliance-sdk/policies/scc_legal_corpus.yaml Normal file
View File

@@ -0,0 +1,458 @@
# =============================================================================
# SCC Legal Corpus - Standardvertragsklauseln & Drittlandtransfers
# Für Legal RAG Integration
# Version: 1.0
# Stand: Januar 2026
# =============================================================================
version: "1.0"
jurisdiction: EU
last_updated: "2026-01-29"
description: "Rechtliche Informationen zu Standardvertragsklauseln und internationalen Datentransfers"
# =============================================================================
# GRUNDLAGEN
# =============================================================================
fundamentals:
scc_definition:
id: SCC-DEF-001
topic: "Was sind Standardvertragsklauseln?"
content: |
Standardvertragsklauseln (Standard Contractual Clauses - SCC) sind von der
EU-Kommission verabschiedete Musterverträge, die eine rechtliche Grundlage
für Datenübermittlungen personenbezogener Daten in Länder außerhalb des
Europäischen Wirtschaftsraums (EWR) schaffen.
Sie gelten als Instrument nach Art. 46 Abs. 2 lit. c DSGVO, wenn für das
Empfängerland kein Angemessenheitsbeschluss der EU-Kommission besteht.
legal_refs:
- "DSGVO Art. 46 Abs. 2 lit. c"
- "EU-Kommission Durchführungsbeschluss (EU) 2021/914"
keywords: ["SCC", "Standardvertragsklauseln", "Drittlandtransfer", "Art. 46"]
new_scc_2021:
id: SCC-DEF-002
topic: "Neue SCC seit Juni 2021"
content: |
Die EU-Kommission hat im Juni 2021 modernisierte Standardvertragsklauseln
veröffentlicht, die alte Versionen seit dem 27. Dezember 2022 vollständig
abgelöst haben. Die neuen SCC sind modular aufgebaut und decken vier
verschiedene Transfer-Szenarien ab:
- Modul 1: Controller zu Controller (C2C)
- Modul 2: Controller zu Processor (C2P)
- Modul 3: Processor zu Processor (P2P)
- Modul 4: Processor zu Controller (P2C)
WICHTIG: Alte SCC-Versionen (von 2001, 2004, 2010) sind seit Ende 2022
nicht mehr gültig für neue oder andauernde Transfers.
legal_refs:
- "EU-Kommission Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021"
- "CNIL Guidance on SCC transition"
keywords: ["neue SCC", "2021", "Module", "C2C", "C2P", "P2P"]
adequacy_decisions:
id: SCC-DEF-003
topic: "Angemessenheitsbeschlüsse"
content: |
Für einige Drittländer hat die EU-Kommission Angemessenheitsbeschlüsse
erlassen, die ein dem EU-Recht vergleichbares Datenschutzniveau bestätigen.
In diesen Fällen sind KEINE SCC erforderlich.
Länder mit Angemessenheitsbeschluss (Stand 2026):
- Andorra, Argentinien, Kanada (nur PIPEDA), Färöer-Inseln
- Guernsey, Israel, Isle of Man, Japan, Jersey
- Neuseeland, Schweiz, Südkorea, Uruguay
- Vereinigtes Königreich (UK)
- USA (nur für Unternehmen unter dem EU-US Data Privacy Framework)
ACHTUNG: Der USA-Angemessenheitsbeschluss (Data Privacy Framework) gilt
NUR für US-Unternehmen, die beim DPF zertifiziert sind!
legal_refs:
- "DSGVO Art. 45"
- "EU-Kommission Angemessenheitsbeschlüsse"
- "EU-US Data Privacy Framework Beschluss vom 10. Juli 2023"
keywords: ["Angemessenheitsbeschluss", "adequacy", "Art. 45", "DPF"]
# =============================================================================
# WANN SIND SCC ERFORDERLICH?
# =============================================================================
requirements:
when_scc_required:
id: SCC-REQ-001
topic: "Wann sind SCC erforderlich?"
content: |
SCC sind erforderlich wenn ALLE folgenden Bedingungen erfüllt sind:
1. Es werden personenbezogene Daten übermittelt
2. Der Empfänger befindet sich außerhalb des EWR
3. Für das Empfängerland besteht KEIN Angemessenheitsbeschluss
(oder der Empfänger ist nicht unter einem solchen zertifiziert)
WICHTIG: Als "Übermittlung" gilt auch:
- Remote-Zugriff auf EU-Daten von einem Drittland aus
- Support/Wartungszugriffe von Mitarbeitern im Drittland
- Backup-Speicherung in Drittland-Rechenzentren
- Nutzung von Cloud-Diensten mit Drittland-Verarbeitung
legal_refs:
- "DSGVO Art. 44"
- "DSGVO Art. 46"
keywords: ["Übermittlung", "Drittland", "Transfer"]
when_scc_not_required:
id: SCC-REQ-002
topic: "Wann sind SCC NICHT erforderlich?"
content: |
SCC sind NICHT erforderlich in folgenden Fällen:
1. Rein lokale Verarbeitung (On-Premises im EWR)
- Alle Daten bleiben im EWR
- Kein Zugriff von Drittländern
- Keine Cloud-Dienste mit Drittland-Verarbeitung
2. Angemessenheitsbeschluss vorhanden
- Empfängerland hat EU-Angemessenheitsbeschluss
- Bei USA: Empfänger ist DPF-zertifiziert
3. Keine personenbezogenen Daten
- Vollständig anonymisierte Daten (irreversibel!)
- Nur aggregierte Statistiken
4. Binding Corporate Rules (BCR)
- Konzerninterner Transfer mit genehmigten BCR
legal_refs:
- "DSGVO Art. 44"
- "DSGVO Art. 45"
- "ErwGr. 26 DSGVO (Anonymisierung)"
keywords: ["lokal", "On-Premises", "anonymisiert", "BCR"]
local_hosting_scenario:
id: SCC-REQ-003
topic: "Szenario: Lokales Hosting (Mac Studio)"
content: |
Bei lokalem Hosting auf kundeneigener Hardware (z.B. Mac Studio):
KEINE SCC erforderlich wenn:
- Software/LLM läuft vollständig lokal
- Alle personenbezogenen Daten bleiben auf der lokalen Hardware
- Wartung/Support erfolgt OHNE Zugriff auf personenbezogene Daten
- Fehlerberichte/Logs enthalten KEINE personenbezogenen Daten
- Keine Cloud-Synchronisation mit Drittländern
AVV WEITERHIN ERFORDERLICH wenn:
- Der Software-Anbieter als Auftragsverarbeiter agiert
- Im Rahmen von Wartung/Support Zugriff auf Daten möglich ist
ACHTUNG: Sobald Support-Mitarbeiter von außerhalb des EWR auf
personenbezogene Daten zugreifen können, liegt ein Drittlandtransfer vor!
legal_refs:
- "DSGVO Art. 28 (AVV-Pflicht)"
- "DSGVO Art. 44ff (Drittlandtransfer)"
keywords: ["lokal", "On-Premises", "Mac Studio", "AVV"]
cloud_hosting_scenario:
id: SCC-REQ-004
topic: "Szenario: Cloud-Hosting"
content: |
Bei Cloud-Hosting (z.B. SysEleven, AWS, Azure, GCP):
Prüfschema:
1. Wo befinden sich die Rechenzentren?
→ EU-only: Grundsätzlich keine SCC nötig
→ Weltweit/USA: Weitere Prüfung erforderlich
2. Wer hat Zugriff auf die Daten?
→ Nur EU-Personal: Keine SCC
→ Drittland-Support möglich: SCC erforderlich
3. Gibt es Unterauftragsverarbeiter im Drittland?
→ Ja: SCC mit diesen erforderlich
→ Nein: Dokumentation ausreichend
4. USA-Cloud-Provider mit EU-Rechenzentren:
→ Prüfen ob DPF-zertifiziert
→ Prüfen ob US-Behördenzugriff technisch möglich (FISA 702)
→ Ggf. zusätzliche technische Maßnahmen (Verschlüsselung)
legal_refs:
- "DSGVO Art. 28 Abs. 2 (Unterauftragsverarbeiter)"
- "DSGVO Art. 44ff"
- "EuGH Schrems II (C-311/18)"
keywords: ["Cloud", "SysEleven", "AWS", "Azure", "GCP"]
# =============================================================================
# TRANSFER IMPACT ASSESSMENT (TIA)
# =============================================================================
tia:
tia_requirement:
id: SCC-TIA-001
topic: "Transfer Impact Assessment"
content: |
Nach dem Schrems II-Urteil des EuGH müssen Datenexporteure vor jedem
Drittlandtransfer ein Transfer Impact Assessment (TIA) durchführen.
Das TIA muss bewerten:
1. Rechtslage im Empfängerland
- Behördenzugriffsrechte (z.B. FISA 702 in USA)
- Rechtsschutz für EU-Bürger
- Datenschutzaufsicht
2. Praktische Anwendung der Gesetze
- Werden Zugriffsrechte tatsächlich genutzt?
- Gibt es dokumentierte Fälle?
3. Vertragliche Garantien
- Reichen die SCC allein aus?
- Werden zusätzliche Schutzmaßnahmen benötigt?
4. Zusätzliche Schutzmaßnahmen
- Technische Maßnahmen (Verschlüsselung, Pseudonymisierung)
- Organisatorische Maßnahmen
- Vertragliche Maßnahmen
legal_refs:
- "EuGH Schrems II (C-311/18)"
- "EDPB Recommendations 01/2020"
- "EDPB Recommendations 02/2020"
keywords: ["TIA", "Transfer Impact Assessment", "Schrems II"]
supplementary_measures:
id: SCC-TIA-002
topic: "Ergänzende Schutzmaßnahmen"
content: |
Wenn das TIA ergibt, dass SCC allein kein angemessenes Schutzniveau
gewährleisten, sind ergänzende Maßnahmen erforderlich:
TECHNISCHE MAßNAHMEN:
- Ende-zu-Ende-Verschlüsselung (Schlüssel nur beim Exporteur)
- Pseudonymisierung (Zuordnungstabelle im EWR)
- Split Processing (sensible Teile nur im EWR)
VERTRAGLICHE MAßNAHMEN:
- Benachrichtigung bei Behördenanfragen
- Verpflichtung zur Anfechtung rechtswidriger Anfragen
- Verbot der Schlüsselherausgabe
ORGANISATORISCHE MAßNAHMEN:
- Strikte Zugriffskontrollen
- Dokumentation aller Zugriffe
- Regelmäßige Audits
WICHTIG: Wenn auch mit Zusatzmaßnahmen kein angemessenes Niveau
erreichbar ist, muss der Transfer unterbleiben!
legal_refs:
- "EDPB Recommendations 01/2020 on supplementary measures"
- "DSGVO Art. 32"
keywords: ["Verschlüsselung", "Pseudonymisierung", "Zusatzmaßnahmen"]
# =============================================================================
# AVV vs. SCC
# =============================================================================
avv_scc:
avv_definition:
id: SCC-AVV-001
topic: "AVV vs. SCC - Unterschiede"
content: |
AVV und SCC sind VERSCHIEDENE Instrumente mit UNTERSCHIEDLICHEN Zwecken:
AUFTRAGSVERARBEITUNGSVERTRAG (AVV):
- Rechtsgrundlage: Art. 28 DSGVO
- Zweck: Regelung der Verarbeitung durch einen Auftragsverarbeiter
- Erforderlich: Bei JEDER Auftragsverarbeitung
- Unabhängig vom Ort: Auch bei EU-internen Verarbeitungen
STANDARDVERTRAGSKLAUSELN (SCC):
- Rechtsgrundlage: Art. 46 Abs. 2 lit. c DSGVO
- Zweck: Absicherung von Drittlandtransfers
- Erforderlich: NUR bei Übermittlung in Drittländer ohne Angemessenheit
KOMBINATION:
Bei Drittland-Auftragsverarbeitern sind BEIDE erforderlich:
- AVV für die Auftragsverarbeitung an sich
- SCC für den Drittlandtransfer
Die neuen SCC (2021) können beides kombinieren, indem sie sowohl
Art. 28-Anforderungen als auch Art. 46-Anforderungen erfüllen.
legal_refs:
- "DSGVO Art. 28"
- "DSGVO Art. 46"
- "EU-Kommission Durchführungsbeschluss (EU) 2021/914"
keywords: ["AVV", "SCC", "Art. 28", "Art. 46"]
# =============================================================================
# PRAKTISCHE UMSETZUNG
# =============================================================================
implementation:
scc_checklist:
id: SCC-IMP-001
topic: "SCC-Implementierung: Checkliste"
content: |
Checkliste für die SCC-Implementierung:
VOR DEM TRANSFER:
□ Prüfung ob Angemessenheitsbeschluss besteht
□ Identifikation des korrekten SCC-Moduls (C2C, C2P, P2P, P2C)
□ Durchführung des Transfer Impact Assessment (TIA)
□ Dokumentation der Rechtsgrundlage
VERTRAGSABSCHLUSS:
□ Verwendung der aktuellen SCC-Version (2021)
□ Auswahl der relevanten Module
□ Ergänzung der erforderlichen Anhänge (Annex I, II)
□ Definition der technischen/organisatorischen Maßnahmen
□ Benennung der Kontaktpersonen
NACH DEM TRANSFER:
□ Regelmäßige Überprüfung der Rechtslage im Drittland
□ Aktualisierung des TIA bei Änderungen
□ Dokumentation aller Transfers
□ Information der Aufsichtsbehörde auf Anfrage
legal_refs:
- "DSGVO Art. 46"
- "EDPB Recommendations 01/2020"
keywords: ["Checkliste", "Implementierung", "Dokumentation"]
scc_modules:
id: SCC-IMP-002
topic: "SCC-Module im Überblick"
content: |
Die neuen SCC (2021) umfassen vier Module:
MODUL 1: Controller zu Controller (C2C)
- Anwendung: Zwei unabhängige Verantwortliche
- Beispiel: Unternehmensgruppe mit gemeinsamer Kundendatenbank
MODUL 2: Controller zu Processor (C2P)
- Anwendung: Verantwortlicher beauftragt Auftragsverarbeiter im Drittland
- Beispiel: EU-Unternehmen nutzt US-Cloud-Provider
- HÄUFIGSTER ANWENDUNGSFALL
MODUL 3: Processor zu Processor (P2P)
- Anwendung: EU-Auftragsverarbeiter nutzt Unterauftragsverarbeiter im Drittland
- Beispiel: EU-IT-Dienstleister nutzt US-Sub-Contractor
MODUL 4: Processor zu Controller (P2C)
- Anwendung: Drittland-Auftragsverarbeiter gibt Daten an EU-Verantwortlichen zurück
- Beispiel: Rückübermittlung nach Datenanalyse im Drittland
- SELTEN
Die Module können kombiniert werden (Docking Clause für nachträgliche Beitritte).
legal_refs:
- "EU-Kommission Durchführungsbeschluss (EU) 2021/914"
keywords: ["Module", "C2C", "C2P", "P2P", "P2C"]
# =============================================================================
# BSI C5 UND SCC
# =============================================================================
bsi_c5:
bsi_c5_scc_relation:
id: SCC-BSI-001
topic: "BSI C5 Zertifizierung und SCC"
content: |
Eine BSI C5 Zertifizierung ist KEIN Ersatz für SCC!
BSI C5 belegt:
- Technische Sicherheit des Cloud-Dienstes
- Organisatorische Maßnahmen
- Compliance mit deutschen Sicherheitsstandards
BSI C5 belegt NICHT:
- Rechtliche Grundlage für Drittlandtransfers
- Angemessenes Datenschutzniveau im Drittland
- Schutz vor Behördenzugriffen
Konsequenz:
Auch ein BSI C5-zertifizierter Cloud-Provider benötigt SCC, wenn:
- Daten in Drittländer übermittelt werden
- Support/Zugriff aus Drittländern erfolgt
- Unterauftragsverarbeiter im Drittland eingesetzt werden
legal_refs:
- "BSI C5:2020"
- "DSGVO Art. 46"
keywords: ["BSI C5", "Zertifizierung", "Cloud"]
# =============================================================================
# ENTSCHEIDUNGSMATRIX
# =============================================================================
decision_matrix:
transfer_decision:
id: SCC-DEC-001
topic: "Entscheidungsmatrix: SCC erforderlich?"
content: |
ENTSCHEIDUNGSBAUM:
1. Werden personenbezogene Daten verarbeitet?
→ Nein: Keine SCC erforderlich (DSGVO nicht anwendbar)
→ Ja: Weiter zu 2.
2. Werden Daten außerhalb des EWR verarbeitet oder ist Zugriff möglich?
→ Nein (rein lokale Verarbeitung im EWR): Keine SCC (nur AVV)
→ Ja: Weiter zu 3.
3. Besteht ein Angemessenheitsbeschluss für das Drittland?
→ Ja: Keine SCC erforderlich
→ Nein: Weiter zu 4.
4. Ist der Empfänger DPF-zertifiziert (bei USA)?
→ Ja: Keine SCC für diesen Empfänger
→ Nein: SCC ERFORDERLICH
5. Bei SCC-Erforderlichkeit:
→ TIA durchführen
→ Ggf. ergänzende Maßnahmen implementieren
→ Wenn angemessenes Niveau nicht erreichbar: Transfer NICHT zulässig
legal_refs:
- "DSGVO Art. 44-49"
keywords: ["Entscheidungsbaum", "Prüfschema"]
# =============================================================================
# KEYWORDS FÜR RAG RETRIEVAL
# =============================================================================
rag_keywords:
primary:
- "SCC"
- "Standardvertragsklauseln"
- "Standard Contractual Clauses"
- "Drittlandtransfer"
- "Drittland"
- "Art. 44"
- "Art. 46"
- "Transfer"
- "Datenübermittlung"
- "EU-Kommission"
- "TIA"
- "Transfer Impact Assessment"
- "Schrems II"
- "Angemessenheitsbeschluss"
- "adequacy"
secondary:
- "USA"
- "Cloud"
- "AWS"
- "Azure"
- "GCP"
- "FISA"
- "DPF"
- "Data Privacy Framework"
- "BCR"
- "Binding Corporate Rules"
- "Auftragsverarbeitung"
- "AVV"
- "Unterauftragsverarbeiter"
- "Subprocessor"