test(dse): adopt canonical v3 tests + criteria/GT/validation

Replace the reconstructed test_dse_agent.py with the canonical version and add
the companion unit tests (classification_gate, embedding_recall) covering the
recovered v3 modules. Include the curated DSE criteria backup + changelog
(legal-note rationale per control), the v1 validation writeup, and the
multi-company DSE ground-truth fulltexts (elli/eto/mercedes/safetykon) used
for threshold calibration.

18 DSE tests green offline (DB/embedding/LLM stubbed).

dev-only, no deploy.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

dse_criteria_backup.json

@@ -0,0 +1,68 @@
+{
+ "DATA-2260-A01": {
+  "title": "Primären Verarbeitungszweck schriftlich und verständlich dokumentieren",
+  "check_question": "Ist der primäre Verarbeitungszweck schriftlich und verständlich dokumentiert?",
+  "pass_criteria": "[\"primärer Verarbeitungszweck verständlich beschrieben\", \"Zweck der Datenerhebung nachvollziehbar genannt\"]",
+  "fail_criteria": "[\"Primärzweck nicht schriftlich dokumentiert\", \"Unverständliche oder zu technische Formulierung\", \"Zu allgemeine Beschreibung ohne konkrete Bezüge\"]"
+ },
+ "AUTH-3737-A06": {
+  "title": "Zwecke von Datenübermittlungen dokumentieren",
+  "check_question": "Sind die Zwecke aller Datenübermittlungen transparent und nachvollziehbar dokumentiert?",
+  "pass_criteria": "[\"Explizite Zweckangabe für jede Datenübermittlung (z.B. 'Vertragserfüllung', 'Rechtliche Verpflichtung')\", \"Rechtsgrundlage für die jeweilige Übermittlung (Art. 6 DSGVO oder spezifische Norm)\", \"Empfänger und Empfängerkategorie mit Zweckbindung\", \"Dokumentation der Zwecke in verständlicher Form für Betroffene\", \"Unterscheidung zwischen verschiedenen Übermittlungszwecken\"]",
+  "fail_criteria": "[\"Generische Zweckangaben wie 'geschäftliche Zwecke' ohne Konkretisierung\", \"Fehlende Rechtsgrundlage für die Übermittlung\", \"Keine Dokumentation der Zwecke oder nur mündliche Absprachen\"]"
+ },
+ "DATA-2992-A03": {
+  "title": "Weiterübertragung an Drittparteien dokumentieren (Zweck, Rechtsgrundlage)",
+  "check_question": "Dokumentiert die Datenschutzinformation für jede Weiterübertragung an Drittparteien den Zweck und die Rechtsgrundlage?",
+  "pass_criteria": "[\"Für jeden Drittpartner-Transfer: Expliziter Zweck dokumentiert (z.B. 'Zahlungsabwicklung', 'Kundenservice')\", \"Rechtsgrundlage für die Weiterübertragung genannt (z.B. 'Vertragserfüllung mit Kunde', 'Einwilligung des Betroffenen')\", \"Unterscheidung zwischen Auftragsverarbeiter und eigenverantwortlichem Verantwortlicher\", \"Informationen zu Weitergabebeschränkungen oder Vertraulichkeitsverpflichtungen\"]",
+  "fail_criteria": "[\"Drittparteien genannt, aber Zweck oder Rechtsgrundlage fehlt\", \"Pauschalaussage wie 'Daten werden an Partner weitergegeben' ohne Spezifizierung\", \"Keine Unterscheidung zwischen verschiedenen Weiterübertragungsszenarien\"]"
+ },
+ "DATA-1624-A03": {
+  "title": "Verweis auf Garantien für Drittlandtransfer bereitstellen",
+  "check_question": "Werden betroffene Personen über alternative Garantien für Drittlandtransfers (falls kein Angemessenheitsbeschluss) informiert und auf diese verwiesen?",
+  "pass_criteria": "[\"Aufzählung der angewendeten Transfermechanismen (z.B. 'Standardvertragsklauseln', 'Binding Corporate Rules', 'Zertifizierungen')\", \"Konkrete Beschreibung jedes Mechanismus und dessen Schutzwirkung in verständlicher Sprache\", \"Angabe, wie Betroffene die Garantiedokumente einsehen können (mit Kontaktdaten oder Link)\", \"Hinweis auf Rechte der Betroffenen (z.B. Recht auf Beschwerde, Recht auf Auskunft über Schutzmaßnahmen)\"]",
+  "fail_criteria": "[\"Nur Nennung von Transfermechanismen ohne Erklärung oder Zugriff auf Dokumente\", \"Unvollständige Aufzählung (z.B. nur SCCs erwähnt, aber auch BCR verwendet)\", \"Garantien werden erwähnt, sind aber nicht tatsächlich implementiert oder dokumentiert\"]"
+ },
+ "DATA-1619-A03": {
+  "title": "Verarbeitungszwecke und Rechtsgrundlage offenlegen",
+  "check_question": "Sind Verarbeitungszwecke und Rechtsgrundlagen klar und verständlich offengelegt?",
+  "pass_criteria": "[\"Konkrete Verarbeitungszwecke benannt (z.B. 'Vertragserfüllung', 'Rechnungsstellung', 'Kundenservice')\", \"Spezifische Rechtsgrundlage mit Artikel genannt (z.B. 'Art. 6 Abs. 1 Buchstabe b DSGVO')\", \"Unterscheidung zwischen verschiedenen Verarbeitungszwecken mit jeweiliger Rechtsgrundlage\", \"Verständliche Sprache ohne juristische Fachbegriffe oder mit Erklärung\", \"Trennung von Pflichtangaben und freiwilligen Verarbeitungen\"]",
+  "fail_criteria": "[\"Zweck nur allgemein formuliert ('geschäftliche Zwecke', 'interne Nutzung')\", \"Rechtsgrundlage fehlt oder nur 'DSGVO' ohne Artikel und Absatz\", \"Mehrere Zwecke ohne klare Zuordnung zu Rechtsgrundlagen\", \"Unverständliche juristische Formulierungen ohne Erklärung\"]"
+ },
+ "DATA-424-A09": {
+  "title": "Datenübertragbarkeit bei Einwilligung oder Vertrag ermöglichen",
+  "check_question": "Dokumentiert die Datenschutzinformation die Bereitstellung von Daten in maschinenlesbarem Format für Fälle mit Einwilligung oder Vertrag als Rechtsgrundlage?",
+  "pass_criteria": "[\"Datenübertragbarkeit bei Einwilligung oder Vertrag erwähnt\", \"maschinenlesbares Format genannt\"]",
+  "fail_criteria": "[\"Maschinenlesbare Formate werden nicht angeboten\", \"Keine Differenzierung nach Rechtsgrundlagen\", \"Abruf nur in unstrukturierten Formaten (z.B. PDF) möglich\"]"
+ },
+ "GOV-3300-A06": {
+  "title": "Daten in maschinenlesbaren Formaten bei Datenportierung bereitstellen",
+  "check_question": "Stellt die Datenschutzinformation sicher, dass Betroffene ihre Daten bei Datenportierungsanfragen in maschinenlesbaren Formaten erhalten?",
+  "pass_criteria": "[\"Recht auf Datenübertragbarkeit erwähnt\", \"strukturiertes oder maschinenlesbares Format genannt\"]",
+  "fail_criteria": "[\"Nur Bereitstellung in nicht-maschinenlesbaren Formaten (PDF, Papier)\", \"Vage Aussagen zu 'gängigen Formaten' ohne konkrete Nennung\", \"Einschränkung auf proprietäre oder nicht-standardisierte Formate\"]"
+ },
+ "AI-1560-A01": {
+  "title": "Zwecke der Datenverwendung dokumentieren",
+  "check_question": "Sind die Zwecke der Datenverwendung transparent und DSGVO-konform dokumentiert?",
+  "pass_criteria": "[\"Schriftliche Dokumentation aller Verarbeitungszwecke\", \"Verständliche Darstellung für Betroffene (keine Fachjargon ohne Erklärung)\", \"Einhaltung des Zweckbindungsprinzips (Zwecke sind spezifisch und nicht beliebig erweiterbar)\", \"Dokumentation der Zwecke in der Datenschutzerklärung oder Datenschutzinformation\", \"Angabe von Speicherdauer in Bezug auf Verarbeitungszwecke\"]",
+  "fail_criteria": "[\"Unklare oder mehrdeutige Zweckbeschreibungen\", \"Fehlende Dokumentation in Datenschutzerklärung\", \"Zu breite Zweckdefinitionen, die Zweckentfremdung ermöglichen\"]"
+ },
+ "SEC-3444-A04": {
+  "title": "Sekundärverarbeitungen auf Notwendigkeit beschränken",
+  "check_question": "Beschränkt die Datenschutzinformation Sekundärverarbeitungen von Adressendaten auf die ursprünglichen Zwecke und notwendige Folgemaßnahmen?",
+  "pass_criteria": "[\"ursprünglicher Verarbeitungszweck benannt\", \"Zweckbindung der Daten angegeben\"]",
+  "fail_criteria": "[\"Uneingeschränkte Erlaubnis zur Datennutzung für beliebige Zwecke\", \"Keine Differenzierung zwischen ursprünglichem und neuem Zweck\", \"Fehlende Nennung konkreter Folgemaßnahmen\"]"
+ },
+ "DATA-1624-A06": {
+  "title": "Übermittlung von Drittland-Schutzgarantie-Informationen verifizieren",
+  "check_question": "Informiert die Datenschutzinformation betroffene Personen über die angewendeten Schutzmechanismen bei Datenübermittlungen in Drittländer (Adequacy Decisions, SCCs, BCRs)?",
+  "pass_criteria": "[\"Explizite Nennung der angewendeten Schutzmechanismen (z.B. 'Adequacy Decision der EU-Kommission', 'Standarddatenschutzklauseln', 'Binding Corporate Rules')\", \"Angabe der betroffenen Drittländer oder Regionen\", \"Beschreibung der Garantien und Schutzmaßnahmen für die Datenübermittlung\", \"Verweis auf Dokumentation oder Rechtsgrundlagen (z.B. Verträge, Entscheidungen)\", \"Information über Rechte der betroffenen Person bei Drittlandtransfers\"]",
+  "fail_criteria": "[\"Nur pauschale Aussage 'Daten werden geschützt übermittelt' ohne Nennung konkreter Mechanismen\", \"Aufzählung von Drittländern ohne Angabe der Schutzmechanismen\", \"Fehlende Differenzierung zwischen verschiedenen Übermittlungsszenarien\"]"
+ },
+ "DATA-2812-A05": {
+  "title": "Löschungsrecht für Cookies und Speicherdaten implementieren",
+  "check_question": "Wird in der Datenschutzinformation das Recht auf Löschung von in Cookies und Speichermechanismen abgelegten personenbezogenen Daten beschrieben?",
+  "pass_criteria": "[\"Recht auf Löschung von Cookie- oder Speicherdaten beschrieben\", \"Verwaltung oder Löschung von Cookies angesprochen\"]",
+  "fail_criteria": "[\"Cookies werden nicht erwähnt oder als unvermeidbar dargestellt\", \"Keine Anleitung zur Löschung oder Verwaltung von Cookies\", \"Keine Möglichkeit zur Ablehnung oder zum Widerruf von Cookies beschrieben\"]"
+ }
+}