feat: FISA 702 / Drittlandrisiko — YAML-Regeln + DSGVO Obligations

1. YAML Policy: 3 neue Regeln (Kategorie J. Drittlandrisiko)
   - R-FISA-001: US-Cloud-Provider = FISA 702 Exposure (+20 Risk, DSFA empfohlen)
   - R-FISA-002: PII bei US-Provider ohne E2EE (+15 Risk)
   - R-FISA-003: Art. 9 Daten bei US-Provider (+25 Risk, CONDITIONAL)
   - Erkennt: aws, azure, google, microsoft, amazon, openai, anthropic, oracle

2. DSGVO Obligations: 4 neue Drittland-Pflichten (OBL-081 bis OBL-084)
   - Art. 44-49: Drittlanduebermittlung nur mit Garantien
   - Transfer Impact Assessment (TIA) bei US-Anbietern (Schrems II)
   - Zusaetzliche technische Massnahmen (EDPB Recommendations 01/2020)
   - Informationspflicht bei Drittlanduebermittlung (Art. 13)

370 Obligations total (war 366)

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

ai-compliance-sdk/policies/ucca_policy_v1.yaml

@@ -941,6 +941,64 @@ rules:
     gdpr_ref: "Art. 9(2)(h) DSGVO"
     rationale: "Gesundheitsdaten nur mit besonderen Schutzmaßnahmen"
 
+  # ---------------------------------------------------------------------------
+  # J. Drittlandtransfer / FISA 702
+  # ---------------------------------------------------------------------------
+
+  - id: R-FISA-001
+    category: "J. Drittlandrisiko"
+    title: "US-Cloud-Provider: FISA 702 Exposure"
+    description: "Der Hosting-Provider unterliegt US-Recht (FISA 702, Cloud Act). Ein Zugriff durch US-Behoerden auf EU-Daten ist nicht ausschliessbar, unabhaengig vom Serverstandort."
+    condition:
+      field: "hosting.provider"
+      operator: "in"
+      value: ["aws", "azure", "google", "microsoft", "amazon", "openai", "anthropic", "oracle"]
+    effect:
+      risk_add: 20
+      dsfa_recommended: true
+    severity: WARN
+    gdpr_ref: "Art. 44-49 DSGVO, Schrems II (C-311/18)"
+    rationale: "FISA 702 erlaubt US-Behoerden Zugriff auf Daten von Nicht-US-Personen ohne richterlichen Beschluss. EU-Serverstandort schuetzt nicht."
+
+  - id: R-FISA-002
+    category: "J. Drittlandrisiko"
+    title: "Personenbezogene Daten bei US-Provider ohne E2EE"
+    description: "Personenbezogene Daten werden bei einem US-Provider verarbeitet ohne dass eine Ende-zu-Ende-Verschluesselung mit kundenseitiger Schluesselhoheit vorliegt."
+    condition:
+      all_of:
+        - field: "hosting.provider"
+          operator: "in"
+          value: ["aws", "azure", "google", "microsoft", "amazon", "openai", "anthropic", "oracle"]
+        - field: "data_types.personal_data"
+          operator: "equals"
+          value: true
+    effect:
+      risk_add: 15
+      controls_add: [C_ENCRYPTION]
+    severity: WARN
+    gdpr_ref: "Art. 32 DSGVO i.V.m. Art. 44 ff. DSGVO"
+    rationale: "Ohne E2EE mit eigener Schluesselhoheit kann der Provider technisch auf Daten zugreifen und muss sie bei US-Anordnung herausgeben."
+
+  - id: R-FISA-003
+    category: "J. Drittlandrisiko"
+    title: "Besondere Datenkategorien bei US-Provider"
+    description: "Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden bei einem US-Provider verarbeitet."
+    condition:
+      all_of:
+        - field: "hosting.provider"
+          operator: "in"
+          value: ["aws", "azure", "google", "microsoft", "amazon", "openai", "anthropic", "oracle"]
+        - field: "data_types.article_9_data"
+          operator: "equals"
+          value: true
+    effect:
+      risk_add: 25
+      feasibility: CONDITIONAL
+      dsfa_recommended: true
+    severity: WARN
+    gdpr_ref: "Art. 9 DSGVO i.V.m. Art. 49 DSGVO"
+    rationale: "Besondere Kategorien bei FISA-exponierten Anbietern sind hochriskant. DSFA ist Pflicht."
+
   # ---------------------------------------------------------------------------
   # K. Domain-spezifische Hochrisiko-Fragen (Annex III)
   # ---------------------------------------------------------------------------