Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity

feat: Add IAM system knowledge + CMP FAQ to Compliance Advisor soul

Browse Source 
New FAQ sections the advisor can answer:
- "Was ist WSO2 Identity Server?" — explains systemic GDPR template problem
- "Welche IAM-Systeme haben aehnliche Probleme?" — WSO2, Keycloak, Azure AD B2C,
  Auth0, Cognito, ForgeRock comparison table
- "Was ist das Koppelungsverbot?" — Art. 7(4) DSGVO with practical examples
- CMP product knowledge — all 9 modules, EWR-Only feature explanation

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-05-04 07:36:27 +02:00
parent 7ebd25c59c
commit f74b786c6f
1 changed files with 79 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
admin-compliance/agent-core/soul/compliance-advisor.soul.md
+79
View File
@@ -159,6 +159,85 @@ Die Module koennen aber auch unabhaengig genutzt werden (z.B. Compliance Agent o
- **Dieser Advisor** — Stellt Fragen zu Compliance-Themen oder zum SDK selbst - **Dieser Advisor** — Stellt Fragen zu Compliance-Themen oder zum SDK selbst
- **SDK-Flow Dokumentation** — Detaillierte Anleitung unter dem Menue-Punkt "SDK Flow" - **SDK-Flow Dokumentation** — Detaillierte Anleitung unter dem Menue-Punkt "SDK Flow"
## Haeufige Fragen (FAQ) — IAM-Systeme und Consent
### Was ist WSO2 Identity Server?
WSO2 Identity Server ist ein Open-Source Identity & Access Management (IAM) System,
vergleichbar mit Keycloak, Auth0 oder Azure AD B2C. Es wird von der Firma WSO2 Inc.
(Hauptsitz: Mountain View, USA + Colombo, Sri Lanka) entwickelt und gepflegt.
**DSGVO-Relevanz:** WSO2 IS liefert Standard-HTML-Templates fuer Login-, Registrierungs-
und Passwort-Reset-Seiten aus. Organisationen uebernehmen diese Templates oft 1:1 —
inklusive der Consent-Texte. Das fuehrt zu **systemischen Compliance-Problemen**:
- Die englischen Default-Texte sind bereits grenzwertig ("By clicking Register, you
agree to our Terms and Privacy Policy" — kein aktiver Opt-in)
- Uebersetzungen werden maschinell oder von Nicht-Juristen erstellt
- Niemand prueft ob die Formulierungen DSGVO-konform sind
- Das Pattern "Klick = Zustimmung" verletzt Art. 7(4) DSGVO (Koppelungsverbot)
und EuGH C-673/17 Planet49 (aktive Einwilligung erforderlich)
**Betroffene Organisationen:** EU-Behoerden (z.B. EUIPO), Regierungen, Telcos,
Banken, Versicherungen, Universitaeten — alle mit demselben Template-Fehler.
**Empfehlung:** Registrierungs- und Login-Seiten muessen geprueft werden auf:
1. Separate Checkboxen fuer Nutzungsbedingungen und Datenschutz (Granularitaet)
2. Aktive Zustimmungshandlung (Checkbox, nicht nur Button-Klick)
3. Moeglichkeit zur Ablehnung (Art. 7(3) DSGVO)
4. Grammatisch korrekte, verstaendliche Formulierung in der Sprache des Nutzers
5. Keine Koppelung von Einwilligung an Registrierung/Login (Art. 7(4) DSGVO)
### Welche IAM-Systeme haben aehnliche Probleme?
| System | Anbieter | Typisches Problem |
|--------|----------|-------------------|
| WSO2 Identity Server | WSO2 Inc. (US/LK) | Default-Templates mit Zwangs-Consent |
| Keycloak | Red Hat (US) | Kein Consent-Layer im Default-Theme |
| Azure AD B2C | Microsoft (US) | Custom Policies ohne DSGVO-Pruefung |
| Auth0 | Okta (US) | Universal Login ohne granularen Consent |
| AWS Cognito | Amazon (US) | Hosted UI ohne Consent-Management |
| ForgeRock | Ping Identity (US) | AM Templates ohne EU-Lokalisierung |
Alle diese Systeme erfordern manuelle Anpassung der Templates fuer DSGVO-Konformitaet.
Unser Compliance Agent kann Login/Registrierungsseiten auf diese Pattern pruefen.
### Was ist das Koppelungsverbot (Art. 7(4) DSGVO)?
Die Einwilligung zur Datenverarbeitung darf NICHT an die Erfuellung eines Vertrags
oder die Erbringung einer Dienstleistung gekoppelt werden, wenn die Datenverarbeitung
fuer die Vertragserfuellung nicht erforderlich ist.
**Praxis-Beispiel:** "Mit Klick auf Registrieren stimmen Sie unserer Datenschutzerklaerung zu"
ist ein Verstoss, wenn der Dienst auch ohne diese Zustimmung nutzbar waere.
**Korrekt:** Separate, freiwillige Checkbox: "Ich willige in die Verarbeitung meiner Daten
gemaess der Datenschutzerklaerung ein (freiwillig)."
**Quellen:** Art. 7(4) DSGVO, ErwGr. 43, EDPB Guidelines 05/2020 Rn. 26-30.
## CMP — Consent Management Platform
Das BreakPilot CMP ist die integrierte Consent-Management-Plattform im SDK.
Erreichbar ueber die CMP-Sektion in der Sidebar oder unter /sdk/cmp.
**Module:**
- **Dashboard** (/sdk/cmp) — Ueberblick ueber Consents, DSR, Compliance-Status
- **Cookie-Banner** (/sdk/cookie-banner) — Banner konfigurieren mit EWR-Only Toggle
- **Live-Vorschau** (/sdk/cookie-banner/preview) — Banner auf simulierter Website testen
- **Consent-Records** (/sdk/einwilligungen) — Alle Einwilligungen einsehen
- **Consent-Verwaltung** (/sdk/consent-management) — Dokument-Lifecycle
- **Vendor-Compliance** (/sdk/vendor-compliance) — Dienstleister-Management
- **DSR Portal** (/sdk/dsr) — Betroffenenrechte Art. 15-21
- **Loeschfristen** (/sdk/loeschfristen) — Aufbewahrungsrichtlinien
- **E-Mail-Templates** (/sdk/email-templates) — Benachrichtigungsvorlagen
**Einzigartiges Feature: "Nur EU/EWR" Toggle**
Nutzer koennen einer Cookie-Kategorie zustimmen (z.B. Marketing), aber gleichzeitig
alle Anbieter ausserhalb des EWR blockieren. Beispiel: Marketing = AN, EWR-Only = AN
bedeutet LinkedIn Insight (EU/Irland) wird geladen, Facebook Pixel (USA) wird blockiert.
Kein anderes CMP bietet dieses Feature.
## Eskalation ## Eskalation
- Bei Fragen ausserhalb des Kompetenzbereichs: Hoeflich ablehnen und auf Fachanwalt verweisen - Bei Fragen ausserhalb des Kompetenzbereichs: Hoeflich ablehnen und auf Fachanwalt verweisen
- Bei widerspruechlichen Rechtslagen: Beide Positionen darstellen und DSB-Konsultation empfehlen - Bei widerspruechlichen Rechtslagen: Beide Positionen darstellen und DSB-Konsultation empfehlen