package iace // ComplianceFAQEntry represents a frequently asked question about // the intersection of CE marking and data protection / AI regulation. type ComplianceFAQEntry struct { ID string `json:"id"` QuestionDE string `json:"question_de"` AnswerDE string `json:"answer_de"` Category string `json:"category"` // "dsfa", "ai_act", "cra", "ce_general" Tags []string `json:"tags"` } // GetComplianceFAQ returns CE × Compliance FAQ entries. func GetComplianceFAQ() []ComplianceFAQEntry { return []ComplianceFAQEntry{ { ID: "FAQ-001", Category: "dsfa", Tags: []string{"kamera", "cobot", "pii", "dsfa", "edge-processing"}, QuestionDE: "Muss fuer eine Kamera am Cobot eine DSFA durchgefuehrt werden?", AnswerDE: `Nicht automatisch. Eine Kamera verarbeitet nicht zwangslaeufig personenbezogene Daten (PII). Entscheidend ist die Art der Verarbeitung: - Reine Anwesenheitserkennung (ja/nein) mit Edge-Processing ohne Speicherung: KEIN PII → keine DSFA - Objekterkennung ohne Personenbezug (Werkstuecke, Positionen): KEIN PII → keine DSFA - Personenerkennung oder Bildspeicherung/-uebertragung: PII → DSFA pruefen - Gesichts-/Koerpererkennung: Biometrische Daten → DSFA PFLICHT Der Hersteller muss in der Betriebsanleitung dokumentieren, welche Datenverarbeitung stattfindet. Diese Herstellererklaerung ist massgeblich fuer die datenschutzrechtliche Bewertung. WICHTIG: Die Formulierungen der Kamerahersteller variieren stark. Eine rein stichwortbasierte Pruefung reicht nicht — der Text muss inhaltlich analysiert werden.`, }, { ID: "FAQ-002", Category: "ce_general", Tags: []string{"zugekauft", "baugruppe", "ce-kennzeichnung", "schnittstelle"}, QuestionDE: "Muessen zugekaufte Baugruppen mit eigener CE-Kennzeichnung neu bewertet werden?", AnswerDE: `Nein — Baugruppen mit eigener CE-Konformitaetserklaerung muessen NICHT intern neu bewertet werden. ABER: Folgendes MUSS bewertet werden: 1. Schnittstellen zwischen den Baugruppen (mechanisch, elektrisch, steuerungstechnisch) 2. Neue Gefaehrdungen die durch die Kombination entstehen 3. Wechselwirkungen zwischen den Baugruppen (z.B. Schwingungen, EMV, thermisch) Die CE-Erklaerung des Zulieferers deckt nur die INTERNE Sicherheit der Baugruppe ab. Die Gesamtanlage als Verkettung braucht eine eigene Risikobeurteilung fuer die Schnittstellen. Praxis: Bei Aenderungen an Schnittstellen oder der Einbausituation muss geprueft werden, ob die CE-Erklaerung des Zulieferers noch gueltig ist.`, }, { ID: "FAQ-003", Category: "dsfa", Tags: []string{"herstellererklaerung", "kamera", "datenschutz", "llm"}, QuestionDE: "Wie pruefe ich die Herstellererklaerung einer Kamera auf PII-Relevanz?", AnswerDE: `Die Herstellererklaerungen variieren stark in Formulierung und Detail. Eine reine Stichwortsuche reicht nicht. Indikatoren fuer KEIN PII: - "keine Speicherung von Bilddaten" - "lokale Verarbeitung / Edge-Processing" - "Daten werden nach Auswertung sofort geloescht" - "keine Personenerkennung / nur Anwesenheitserkennung" - "keine Uebertragung von Bilddaten" Indikatoren fuer PII: - "Personenerkennung / Gesichtserkennung" - "Bilddaten werden gespeichert / uebertragen" - "Cloud-basierte Verarbeitung" - "Tracking / Verfolgung von Personen" - "biometrische Merkmale" Bei unklarer Formulierung: LLM-basierte Textanalyse durchfuehren oder Rueckfrage an den Hersteller stellen.`, }, { ID: "FAQ-004", Category: "ai_act", Tags: []string{"ki", "sicherheitsfunktion", "hochrisiko", "ai-act"}, QuestionDE: "Wann ist eine KI-basierte Sicherheitsfunktion ein Hochrisiko-KI-System?", AnswerDE: `Gemaess AI Act Art. 6 + Anhang I ist ein KI-System Hochrisiko wenn: 1. Es als Sicherheitskomponente in ein Produkt eingebaut ist (z.B. Maschinensteuerung) 2. Das Produkt selbst einer EU-Harmonisierungsvorschrift unterliegt (z.B. Maschinenverordnung) Beispiele fuer Hochrisiko: - KI-basierte Kollisionsvermeidung am Cobot (Sicherheitsfunktion) - KI-basierte Qualitaetskontrolle die Sicherheitsentscheidungen beeinflusst - Predictive Maintenance die Sicherheitsintervalle veraendert NICHT Hochrisiko: - KI fuer reine Prozessoptimierung ohne Sicherheitsbezug - KI fuer Energiemanagement - KI fuer Logistikplanung`, }, { ID: "FAQ-005", Category: "cra", Tags: []string{"software-update", "cra", "schwachstelle", "ota"}, QuestionDE: "Welche CRA-Pflichten gelten fuer OTA-Updates an Maschinen?", AnswerDE: `Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen: 1. Schwachstellenmanagement (Art. 10): Bekannte Schwachstellen zeitnah beheben 2. Sicherheitsupdates (Art. 13): Mindestens 5 Jahre kostenlose Sicherheitsupdates 3. Meldepflicht (Art. 11): Aktiv ausgenutzte Schwachstellen binnen 24h an ENISA melden 4. SBOM (Art. 13): Software-Stueckliste bereitstellen Bei OTA-Updates speziell: - Update darf Sicherheitsfunktionen nicht beeintraechtigen (Validierung vor Rollout) - Rollback-Moeglichkeit vorsehen - Update-Integritaet sicherstellen (signierte Updates) - Nutzer ueber sicherheitsrelevante Updates informieren`, }, { ID: "FAQ-006", Category: "ce_general", Tags: []string{"gesamtanlage", "verkettung", "produktionslinie", "schnittstelle"}, QuestionDE: "Braucht eine verkettete Produktionslinie eine eigene CE-Kennzeichnung?", AnswerDE: `Ja — wenn Maschinen zu einer Gesamtanlage verkettet werden, gilt die Gesamtheit als neue Maschine im Sinne der Maschinenverordnung. Der Integrator/Anlagenbauer ist dann Hersteller der Gesamtanlage. Pflichten des Integrators: 1. Risikobeurteilung fuer die Gesamtanlage (Schnittstellen, Verkettung, Transfersysteme) 2. CE-Kennzeichnung fuer die Gesamtanlage 3. Betriebsanleitung fuer die Gesamtanlage 4. EU-Konformitaetserklaerung Die CE-Erklaerungen der Einzelmaschinen bleiben gueltig, decken aber NUR die interne Sicherheit ab. Die Schnittstellen-Risiken muessen separat bewertet werden.`, }, } }