Das Kernmodul des Compliance Hub ist die UCCA Engine (Unified Compliance Control Assessment). Sie bewertet, ob ein geplanter KI-Anwendungsfall zulaessig ist.
| Bereich | Typische Fragen | Warum relevant? |
|---|---|---|
| Datentypen | Werden personenbezogene Daten verarbeitet? Besondere Kategorien (Art. 9)? | Art. 9-Daten (Gesundheit, Religion, etc.) erfordern besondere Schutzmassnahmen |
| Verarbeitungszweck | Wird Profiling betrieben? Scoring? Automatisierte Entscheidungen? | Art. 22 DSGVO schuetzt vor vollautomatischen Entscheidungen |
| Modellnutzung | Wird das Modell nur genutzt (Inference) oder mit Nutzerdaten trainiert (Fine-Tuning)? | Training mit personenbezogenen Daten erfordert besondere Rechtsgrundlage |
| Automatisierungsgrad | Assistenzsystem, teil- oder vollautomatisch? | Vollautomatische Systeme unterliegen strengeren Auflagen |
| Datenspeicherung | Wie lange werden Daten gespeichert? Wo? | DSGVO Art. 5: Speicherbegrenzung / Zweckbindung |
| Hosting-Standort | EU, USA, oder anderswo? | Drittlandtransfers erfordern zusaetzliche Garantien (SCC, DPF) |
| Branche | Gesundheit, Finanzen, Bildung, Automotive, ...? | Bestimmte Branchen unterliegen zusaetzlichen Regulierungen |
| Menschliche Aufsicht | Gibt es einen Human-in-the-Loop? | AI Act fordert menschliche Aufsicht fuer Hochrisiko-KI |
Die Antworten des Fragebogens werden gegen ein Regelwerk von ueber 45 Regeln geprueft. Jede Regel ist in einer YAML-Datei definiert. Die Regeln sind in 10 Kategorien organisiert:
| Kategorie | Regel-IDs | Prueft | Beispiel |
|---|---|---|---|
| A. Datenklassifikation | R-001 bis R-006 | Welche Daten werden verarbeitet? | R-001: Werden personenbezogene Daten verarbeitet? → +10 Risiko |
| B. Zweck & Kontext | R-010 bis R-013 | Warum und wie werden Daten genutzt? | R-011: Profiling? → DSFA empfohlen |
| C. Automatisierung | R-020 bis R-025 | Wie stark ist die Automatisierung? | R-023: Vollautomatisch? → Art. 22 Risiko |
| D. Training vs. Nutzung | R-030 bis R-035 | Wird das Modell trainiert? | R-035: Training + Art. 9-Daten? → BLOCK |
| E. Speicherung | R-040 bis R-042 | Wie lange werden Daten gespeichert? | R-041: Unbegrenzte Speicherung? → WARN |
| F. Hosting | R-050 bis R-052 | Wo werden Daten gehostet? | R-051: Hosting in USA? → SCC/DPF pruefen |
| G. Transparenz | R-060 bis R-062 | Werden Nutzer informiert? | R-060: Keine Offenlegung? → AI Act Verstoss |
| H. Branchenspezifisch | R-070 bis R-074 | Gelten Sonderregeln fuer die Branche? | R-070: Gesundheitsbranche? → zusaetzliche Anforderungen |
| I. Aggregation | R-090 bis R-092 | Meta-Regeln ueber andere Regeln | R-090: Zu viele WARN-Regeln? → Gesamtrisiko erhoeht |
| J. Erklaerung | R-100 | Warum hat das System so entschieden? | Automatisch generierte Begruendung |
| Ergebnis | Beschreibung |
|---|---|
| Machbarkeit | YES CONDITIONAL NO |
| Risikoscore | 0-100 Punkte. Je hoeher, desto mehr Massnahmen sind erforderlich. |
| Risikostufe | MINIMAL / LOW / MEDIUM / HIGH / UNACCEPTABLE |
| Ausgeloeste Regeln | Liste aller Regeln, die angeschlagen haben, mit Schweregrad und Gesetzesreferenz |
| Erforderliche Controls | Konkrete Massnahmen, die umgesetzt werden muessen |
| DSFA erforderlich? | Ob eine Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchgefuehrt werden muss |