Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

merge into: Benjamin_Boenisch:feature/payment-compliance-module
Branches Tags
Benjamin_Boenisch:main Benjamin_Boenisch:coolify Benjamin_Boenisch:feature/fisa-702-drittland-risiko Benjamin_Boenisch:feature/payment-compliance-module Benjamin_Boenisch:feature/betriebsrat-compliance-module
...
pull from: Benjamin_Boenisch:feature/fisa-702-drittland-risiko
Branches Tags
Benjamin_Boenisch:coolify Benjamin_Boenisch:feature/fisa-702-drittland-risiko Benjamin_Boenisch:feature/payment-compliance-module Benjamin_Boenisch:feature/betriebsrat-compliance-module Benjamin_Boenisch:main

1 Commits
feature/pa ... feature/fi

Author SHA1 Message Date
Benjamin Admin
824b1be6a4 feat: FISA 702 / Drittlandrisiko — YAML-Regeln + DSGVO Obligations 
1. YAML Policy: 3 neue Regeln (Kategorie J. Drittlandrisiko)
   - R-FISA-001: US-Cloud-Provider = FISA 702 Exposure (+20 Risk, DSFA empfohlen)
   - R-FISA-002: PII bei US-Provider ohne E2EE (+15 Risk)
   - R-FISA-003: Art. 9 Daten bei US-Provider (+25 Risk, CONDITIONAL)
   - Erkennt: aws, azure, google, microsoft, amazon, openai, anthropic, oracle

2. DSGVO Obligations: 4 neue Drittland-Pflichten (OBL-081 bis OBL-084)
   - Art. 44-49: Drittlanduebermittlung nur mit Garantien
   - Transfer Impact Assessment (TIA) bei US-Anbietern (Schrems II)
   - Zusaetzliche technische Massnahmen (EDPB Recommendations 01/2020)
   - Informationspflicht bei Drittlanduebermittlung (Art. 13)

370 Obligations total (war 366)

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
 2026-04-15 00:39:30 +02:00
3 changed files with 263 additions and 2 deletions
Expand all files Collapse all files

4
ai-compliance-sdk/policies/obligations/v2/_manifest.json
View File

@@ -5,7 +5,7 @@
"id": "dsgvo", "id": "dsgvo",
"file": "dsgvo_v2.json", "file": "dsgvo_v2.json",
"version": "1.0", "version": "1.0",
"count": 80 "count": 84
}, },
{ {
"id": "ai_act", "id": "ai_act",
@@ -69,5 +69,5 @@
} }
], ],
"tom_mapping_file": "_tom_mapping.json", "tom_mapping_file": "_tom_mapping.json",
"total_obligations": 366 "total_obligations": 370
} }

203
ai-compliance-sdk/policies/obligations/v2/dsgvo_v2.json
View File

@@ -4591,6 +4591,209 @@
"valid_from": "2018-05-25", "valid_from": "2018-05-25",
"valid_until": null, "valid_until": null,
"version": "1.0" "version": "1.0"
},
{
"id": "DSGVO-OBL-081",
"title": "Drittlanduebermittlung nur mit geeigneten Garantien",
"description": "Die Uebermittlung personenbezogener Daten in Drittlaender (insbesondere USA) ist nur zulaessig, wenn ein Angemessenheitsbeschluss vorliegt oder geeignete Garantien (z.B. Standardvertragsklauseln) implementiert sind. Nach Schrems II (C-311/18) muessen zusaetzliche Massnahmen geprueft werden.",
"applies_when": "data transferred to third country or US provider used",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 44",
"title": "Allgemeine Grundsaetze der Datenuebermittlung"
},
{
"norm": "DSGVO",
"article": "Art. 46",
"title": "Datenuebermittlung vorbehaltlich geeigneter Garantien"
}
],
"sources": [
{
"type": "regulation",
"ref": "Art. 44-49 DSGVO"
},
{
"type": "court_decision",
"ref": "EuGH C-311/18 (Schrems II)"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "on_event",
"event": "Vor Beginn der Datenuebermittlung"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Transfer Impact Assessment (TIA)",
"required": true
},
"Standardvertragsklauseln (SCC)",
"Dokumentation zusaetzlicher Massnahmen"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.CRY.01"
],
"valid_from": "2018-05-25",
"version": "1.0"
},
{
"id": "DSGVO-OBL-082",
"title": "Transfer Impact Assessment (TIA) bei US-Anbietern",
"description": "Bei Nutzung von US-Cloud-Anbietern (AWS, Azure, Google etc.) muss ein Transfer Impact Assessment durchgefuehrt werden, das FISA 702 und Cloud Act Risiken bewertet und dokumentiert, ob die Standardvertragsklauseln wirksam schuetzen.",
"applies_when": "US cloud provider used for personal data",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 46 Abs. 1",
"title": "Geeignete Garantien"
},
{
"norm": "EuGH",
"article": "C-311/18",
"title": "Schrems II — Wirksamkeit von SCCs pruefen"
}
],
"sources": [
{
"type": "court_decision",
"ref": "EuGH C-311/18 (Schrems II)"
},
{
"type": "guidance",
"ref": "EDPB Recommendations 01/2020 Supplementary Measures"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter / Legal",
"deadline": {
"type": "on_event",
"event": "Vor Vertragsschluss mit US-Anbieter"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Transfer Impact Assessment",
"required": true
},
"FISA 702 Risikobewertung"
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01"
],
"valid_from": "2020-07-16",
"version": "1.0"
},
{
"id": "DSGVO-OBL-083",
"title": "Zusaetzliche technische Massnahmen bei Drittlanduebermittlung",
"description": "Wenn Standardvertragsklauseln allein nicht ausreichen (z.B. bei FISA 702 Exposure), muessen zusaetzliche technische Massnahmen implementiert werden: E2EE mit eigener Schluesselhoheit, Pseudonymisierung vor Uebermittlung, oder Verzicht auf den US-Anbieter.",
"applies_when": "SCC alone insufficient due to surveillance laws",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 46 Abs. 1",
"title": "Zusaetzliche Massnahmen"
},
{
"norm": "EDPB",
"article": "Recommendations 01/2020",
"title": "Supplementary Measures"
}
],
"sources": [
{
"type": "guidance",
"ref": "EDPB Recommendations 01/2020"
}
],
"category": "Technisch",
"responsible": "IT-Sicherheit / Datenschutzbeauftragter",
"priority": "hoch",
"evidence": [
{
"name": "Nachweis zusaetzlicher Schutzmassnahmen",
"required": true
},
"E2EE Dokumentation oder Pseudonymisierungskonzept"
],
"tom_control_ids": [
"TOM.CRY.01",
"TOM.GOV.01"
],
"valid_from": "2020-07-16",
"version": "1.0"
},
{
"id": "DSGVO-OBL-084",
"title": "Informationspflicht bei Drittlanduebermittlung",
"description": "Betroffene Personen muessen darueber informiert werden, dass ihre Daten in ein Drittland uebermittelt werden, einschliesslich der Angabe des Drittlands und der genutzten Garantien (Art. 13 Abs. 1 lit. f DSGVO).",
"applies_when": "personal data transferred to third country",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 13 Abs. 1 lit. f",
"title": "Informationspflicht bei Drittlanduebermittlung"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"priority": "hoch",
"evidence": [
{
"name": "Datenschutzerklaerung mit Drittland-Hinweis",
"required": true
}
],
"tom_control_ids": [],
"valid_from": "2018-05-25",
"version": "1.0"
} }
], ],
"controls": [ "controls": [

58
ai-compliance-sdk/policies/ucca_policy_v1.yaml
View File

@@ -941,6 +941,64 @@ rules:
gdpr_ref: "Art. 9(2)(h) DSGVO" gdpr_ref: "Art. 9(2)(h) DSGVO"
rationale: "Gesundheitsdaten nur mit besonderen Schutzmaßnahmen" rationale: "Gesundheitsdaten nur mit besonderen Schutzmaßnahmen"
# ---------------------------------------------------------------------------
# J. Drittlandtransfer / FISA 702
# ---------------------------------------------------------------------------
- id: R-FISA-001
category: "J. Drittlandrisiko"
title: "US-Cloud-Provider: FISA 702 Exposure"
description: "Der Hosting-Provider unterliegt US-Recht (FISA 702, Cloud Act). Ein Zugriff durch US-Behoerden auf EU-Daten ist nicht ausschliessbar, unabhaengig vom Serverstandort."
condition:
field: "hosting.provider"
operator: "in"
value: ["aws", "azure", "google", "microsoft", "amazon", "openai", "anthropic", "oracle"]
effect:
risk_add: 20
dsfa_recommended: true
severity: WARN
gdpr_ref: "Art. 44-49 DSGVO, Schrems II (C-311/18)"
rationale: "FISA 702 erlaubt US-Behoerden Zugriff auf Daten von Nicht-US-Personen ohne richterlichen Beschluss. EU-Serverstandort schuetzt nicht."
- id: R-FISA-002
category: "J. Drittlandrisiko"
title: "Personenbezogene Daten bei US-Provider ohne E2EE"
description: "Personenbezogene Daten werden bei einem US-Provider verarbeitet ohne dass eine Ende-zu-Ende-Verschluesselung mit kundenseitiger Schluesselhoheit vorliegt."
condition:
all_of:
- field: "hosting.provider"
operator: "in"
value: ["aws", "azure", "google", "microsoft", "amazon", "openai", "anthropic", "oracle"]
- field: "data_types.personal_data"
operator: "equals"
value: true
effect:
risk_add: 15
controls_add: [C_ENCRYPTION]
severity: WARN
gdpr_ref: "Art. 32 DSGVO i.V.m. Art. 44 ff. DSGVO"
rationale: "Ohne E2EE mit eigener Schluesselhoheit kann der Provider technisch auf Daten zugreifen und muss sie bei US-Anordnung herausgeben."
- id: R-FISA-003
category: "J. Drittlandrisiko"
title: "Besondere Datenkategorien bei US-Provider"
description: "Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden bei einem US-Provider verarbeitet."
condition:
all_of:
- field: "hosting.provider"
operator: "in"
value: ["aws", "azure", "google", "microsoft", "amazon", "openai", "anthropic", "oracle"]
- field: "data_types.article_9_data"
operator: "equals"
value: true
effect:
risk_add: 25
feasibility: CONDITIONAL
dsfa_recommended: true
severity: WARN
gdpr_ref: "Art. 9 DSGVO i.V.m. Art. 49 DSGVO"
rationale: "Besondere Kategorien bei FISA-exponierten Anbietern sind hochriskant. DSFA ist Pflicht."
# --------------------------------------------------------------------------- # ---------------------------------------------------------------------------
# K. Domain-spezifische Hochrisiko-Fragen (Annex III) # K. Domain-spezifische Hochrisiko-Fragen (Annex III)
# --------------------------------------------------------------------------- # ---------------------------------------------------------------------------