/** * DSFA Risikokatalog — Verfuegbarkeit, Rechte & Freiheiten, Drittlandtransfer, Auto/KI, Org */ import type { CatalogRisk } from './types' export const AVAILABILITY_RISKS: CatalogRisk[] = [ { id: 'R-AVAIL-01', category: 'availability', sdmGoal: 'verfuegbarkeit', title: 'Ransomware-Angriff mit Datenverschluesselung', description: 'Schadsoftware verschluesselt personenbezogene Daten und macht sie unzugaenglich. Die Wiederherstellung erfordert entweder Loesegeldzahlung oder Backup-Restore.', impactExamples: ['Verlust des Zugangs zu eigenen Daten', 'Betriebsunterbrechung', 'Loesegeld-Erpressung'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K5', 'K8'], applicableTo: ['cloud_storage', 'database', 'erp', 'web_application'], mitigationIds: ['M-AVAIL-01', 'M-AVAIL-02', 'M-AVAIL-03'], }, { id: 'R-AVAIL-02', category: 'availability', sdmGoal: 'verfuegbarkeit', title: 'Provider-Ausfall / Cloud-Service Nichtverfuegbarkeit', description: 'Der Cloud-/Hosting-Provider faellt aus, was den Zugang zu personenbezogenen Daten verhindert. Betroffene koennen ihre Rechte nicht ausueben.', impactExamples: ['Keine Auskunft moeglich', 'Vertragsverletzung', 'Geschaeftsunterbrechung'], typicalLikelihood: 'low', typicalImpact: 'high', wp248Criteria: ['K5', 'K9'], applicableTo: ['cloud_storage', 'web_application', 'api_service'], mitigationIds: ['M-AVAIL-04', 'M-AVAIL-05'], }, { id: 'R-AVAIL-03', category: 'availability', sdmGoal: 'verfuegbarkeit', title: 'Datenverlust durch fehlende oder ungetestete Backups', description: 'Personenbezogene Daten gehen unwiederbringlich verloren, weil keine ausreichenden Backups existieren oder Restore-Prozesse nicht getestet werden.', impactExamples: ['Unwiderruflicher Datenverlust', 'Verlust von Beweismitteln', 'Compliance-Verstoss'], typicalLikelihood: 'low', typicalImpact: 'high', wp248Criteria: ['K5'], applicableTo: ['database', 'cloud_storage', 'erp'], mitigationIds: ['M-AVAIL-01', 'M-AVAIL-02'], }, { id: 'R-AVAIL-04', category: 'availability', sdmGoal: 'verfuegbarkeit', title: 'DDoS-Angriff auf oeffentliche Dienste', description: 'Ein Distributed-Denial-of-Service-Angriff verhindert den Zugang zu Systemen, die personenbezogene Daten verarbeiten.', impactExamples: ['Betroffene koennen Rechte nicht ausueben', 'Geschaeftsausfall'], typicalLikelihood: 'medium', typicalImpact: 'medium', wp248Criteria: ['K5', 'K9'], applicableTo: ['web_application', 'api_service'], mitigationIds: ['M-AVAIL-06', 'M-AVAIL-04'], }, { id: 'R-AVAIL-05', category: 'availability', sdmGoal: 'verfuegbarkeit', title: 'Vendor Lock-in mit Kontrollverlust', description: 'Abhaengigkeit von einem einzelnen Anbieter erschwert oder verhindert den Zugang zu personenbezogenen Daten bei Vertragsbeendigung oder Anbieterwechsel.', impactExamples: ['Datenexport nicht moeglich', 'Erzwungene Weiternutzung', 'Datenverlust bei Kuendigung'], typicalLikelihood: 'medium', typicalImpact: 'medium', wp248Criteria: ['K9'], applicableTo: ['cloud_storage', 'erp', 'crm'], mitigationIds: ['M-AVAIL-05', 'M-INTERV-01'], }, ] export const RIGHTS_FREEDOMS_RISKS: CatalogRisk[] = [ { id: 'R-RIGHTS-01', category: 'rights_freedoms', sdmGoal: 'nichtverkettung', title: 'Diskriminierung durch automatisierte Verarbeitung', description: 'Automatisierte Entscheidungssysteme fuehren zu einer diskriminierenden Behandlung bestimmter Personengruppen aufgrund von Merkmalen wie Alter, Geschlecht, Herkunft oder Gesundheitszustand.', impactExamples: ['Benachteiligung bei Kreditvergabe', 'Ausschluss von Dienstleistungen', 'Ungleichbehandlung'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K1', 'K2', 'K7'], applicableTo: ['ai_ml', 'scoring', 'identity'], mitigationIds: ['M-AUTO-01', 'M-AUTO-02', 'M-TRANS-03'], }, { id: 'R-RIGHTS-02', category: 'rights_freedoms', sdmGoal: 'nichtverkettung', title: 'Unzulaessiges Profiling ohne Einwilligung', description: 'Nutzerverhalten wird systematisch analysiert und zu Profilen zusammengefuehrt, ohne dass eine Rechtsgrundlage oder Einwilligung vorliegt.', impactExamples: ['Persoenlichkeitsprofile ohne Wissen', 'Gezielte Manipulation', 'Filterblase'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K1', 'K3', 'K6'], applicableTo: ['analytics', 'marketing', 'web_application', 'ai_ml'], mitigationIds: ['M-NONL-01', 'M-NONL-02', 'M-TRANS-01'], }, { id: 'R-RIGHTS-03', category: 'rights_freedoms', sdmGoal: 'transparenz', title: 'Systematische Ueberwachung von Betroffenen', description: 'Betroffene werden systematisch ueberwacht (z.B. durch Standorttracking, E-Mail-Monitoring, Videoueberwachung), ohne angemessene Transparenz oder Rechtsgrundlage.', impactExamples: ['Einschuechterungseffekt (Chilling Effect)', 'Verletzung der Privatsphaere', 'Vertrauensverlust'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K3', 'K4', 'K7'], applicableTo: ['monitoring', 'hr_system', 'mobile_app'], mitigationIds: ['M-TRANS-01', 'M-TRANS-04', 'M-NONL-01'], }, { id: 'R-RIGHTS-04', category: 'rights_freedoms', sdmGoal: 'nichtverkettung', title: 'Re-Identifizierung pseudonymisierter Daten', description: 'Pseudonymisierte oder anonymisierte Daten werden durch Zusammenfuehrung mit anderen Datenquellen re-identifiziert, wodurch der Schutz der Betroffenen aufgehoben wird.', impactExamples: ['Verlust der Anonymitaet', 'Unerwuenschte Identifizierung', 'Zweckentfremdung'], typicalLikelihood: 'low', typicalImpact: 'high', wp248Criteria: ['K1', 'K6', 'K8'], applicableTo: ['analytics', 'ai_ml', 'research'], mitigationIds: ['M-NONL-03', 'M-NONL-04', 'M-DMIN-02'], }, { id: 'R-RIGHTS-05', category: 'rights_freedoms', sdmGoal: 'intervenierbarkeit', title: 'Hinderung bei Ausuebung von Betroffenenrechten', description: 'Betroffene werden an der Ausuebung ihrer Rechte (Auskunft, Loeschung, Berichtigung, Widerspruch) gehindert — z.B. durch fehlende Prozesse, technische Huerden oder Verzoegerungen.', impactExamples: ['Keine Loeschung moeglich', 'Verzoegerte Auskunft', 'Bussgeld gem. Art. 83'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K9'], applicableTo: ['web_application', 'crm', 'identity', 'cloud_storage'], mitigationIds: ['M-INTERV-01', 'M-INTERV-02', 'M-INTERV-03'], }, { id: 'R-RIGHTS-06', category: 'rights_freedoms', sdmGoal: 'transparenz', title: 'Fehlende oder unzureichende Informationspflichten', description: 'Betroffene werden nicht oder unzureichend ueber die Verarbeitung ihrer Daten informiert (Verstoss gegen Art. 13/14 DSGVO).', impactExamples: ['Keine informierte Einwilligung moeglich', 'Vertrauensverlust', 'Bussgeld'], typicalLikelihood: 'medium', typicalImpact: 'medium', wp248Criteria: ['K9'], applicableTo: ['web_application', 'mobile_app', 'marketing'], mitigationIds: ['M-TRANS-01', 'M-TRANS-05'], }, { id: 'R-RIGHTS-07', category: 'rights_freedoms', sdmGoal: 'datenminimierung', title: 'Uebermassige Datenerhebung (Verstoss Datenminimierung)', description: 'Es werden mehr personenbezogene Daten erhoben als fuer den Verarbeitungszweck notwendig (Verstoss gegen Art. 5 Abs. 1 lit. c DSGVO).', impactExamples: ['Unnoetige Risikoexposition', 'Hoeherer Schaden bei Datenpanne'], typicalLikelihood: 'medium', typicalImpact: 'medium', wp248Criteria: ['K5'], applicableTo: ['web_application', 'mobile_app', 'crm', 'hr_system'], mitigationIds: ['M-DMIN-01', 'M-DMIN-02', 'M-DMIN-03'], }, { id: 'R-TRANS-01', category: 'rights_freedoms', sdmGoal: 'vertraulichkeit', title: 'Zugriff durch Drittland-Behoerden (FISA/CLOUD Act)', description: 'Behoerden eines Drittlandes (z.B. USA) greifen auf personenbezogene Daten zu, die bei einem Cloud-Provider in der EU oder im Drittland gespeichert sind.', impactExamples: ['Ueberwachung ohne Wissen', 'Kein Rechtsschutz', 'Schrems-II-Risiko'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K4', 'K5', 'K7'], applicableTo: ['cloud_storage', 'email_service', 'crm', 'analytics'], mitigationIds: ['M-TRANS-06', 'M-TRANS-07', 'M-CONF-06'], }, { id: 'R-TRANS-02', category: 'rights_freedoms', sdmGoal: 'vertraulichkeit', title: 'Unzureichende Schutzgarantien bei Drittlandtransfer', description: 'Personenbezogene Daten werden in Drittlaender uebermittelt, ohne dass angemessene Garantien (SCC, BCR, Angemessenheitsbeschluss) vorhanden sind.', impactExamples: ['Rechtswidriger Transfer', 'Bussgeld', 'Untersagung der Verarbeitung'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K5', 'K7'], applicableTo: ['cloud_storage', 'email_service', 'crm', 'analytics'], mitigationIds: ['M-TRANS-06', 'M-TRANS-07', 'M-LEGAL-01'], }, { id: 'R-TRANS-03', category: 'rights_freedoms', sdmGoal: 'transparenz', title: 'Intransparente Sub-Auftragsverarbeiter-Kette', description: 'Die Kette der Sub-Auftragsverarbeiter ist nicht transparent. Betroffene und Verantwortliche wissen nicht, wo ihre Daten tatsaechlich verarbeitet werden.', impactExamples: ['Unkontrollierte Datenweitergabe', 'Unbekannter Verarbeitungsort'], typicalLikelihood: 'medium', typicalImpact: 'medium', wp248Criteria: ['K5'], applicableTo: ['cloud_storage', 'crm', 'analytics'], mitigationIds: ['M-TRANS-01', 'M-LEGAL-02'], }, { id: 'R-AUTO-01', category: 'rights_freedoms', sdmGoal: 'transparenz', title: 'KI-Fehlentscheidung mit erheblicher Auswirkung', description: 'Ein KI-System trifft eine fehlerhafte automatisierte Entscheidung (z.B. Ablehnung, Sperrung, Bewertung), die erhebliche Auswirkungen auf eine betroffene Person hat.', impactExamples: ['Unrechtmaessige Ablehnung', 'Falsche Risikoeinstufung', 'Benachteiligung'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K1', 'K2', 'K8'], applicableTo: ['ai_ml', 'scoring', 'hr_system'], mitigationIds: ['M-AUTO-01', 'M-AUTO-02', 'M-AUTO-03'], }, { id: 'R-AUTO-02', category: 'rights_freedoms', sdmGoal: 'nichtverkettung', title: 'Algorithmischer Bias in Trainingsdaten', description: 'KI-Modelle spiegeln Vorurteile in den Trainingsdaten wider und treffen diskriminierende Entscheidungen bezueglich geschuetzter Merkmale.', impactExamples: ['Diskriminierung nach Geschlecht/Herkunft', 'Systematische Benachteiligung'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K1', 'K2', 'K7', 'K8'], applicableTo: ['ai_ml', 'scoring'], mitigationIds: ['M-AUTO-01', 'M-AUTO-04'], }, { id: 'R-AUTO-03', category: 'rights_freedoms', sdmGoal: 'transparenz', title: 'Fehlende Erklaerbarkeit automatisierter Entscheidungen', description: 'Automatisierte Entscheidungen koennen den Betroffenen nicht erklaert werden ("Black Box"), sodass der Anspruch auf aussagekraeftige Informationen (Art. 22 Abs. 3) nicht erfuellt wird.', impactExamples: ['Keine Anfechtbarkeit', 'Vertrauensverlust', 'Verstoss gegen Art. 22'], typicalLikelihood: 'high', typicalImpact: 'medium', wp248Criteria: ['K2', 'K8'], applicableTo: ['ai_ml', 'scoring'], mitigationIds: ['M-AUTO-02', 'M-TRANS-03'], }, { id: 'R-AUTO-04', category: 'rights_freedoms', sdmGoal: 'intervenierbarkeit', title: 'Fehlende menschliche Aufsicht bei KI-Entscheidungen', description: 'Automatisierte Entscheidungen werden ohne menschliche Ueberpruefung oder Interventionsmoeglichkeit getroffen, obwohl dies erforderlich waere.', impactExamples: ['Keine Korrekturmoeglichkeit', 'Eskalation von Fehlern'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K2', 'K8'], applicableTo: ['ai_ml', 'scoring', 'hr_system'], mitigationIds: ['M-AUTO-03', 'M-INTERV-04'], }, { id: 'R-ORG-01', category: 'rights_freedoms', sdmGoal: 'transparenz', title: 'Fehlende oder fehlerhafte Auftragsverarbeitungsvertraege', description: 'Mit Auftragsverarbeitern existieren keine oder unzureichende Vertraege gemaess Art. 28 DSGVO, sodass Pflichten und Rechte nicht geregelt sind.', impactExamples: ['Keine Kontrolle ueber Verarbeiter', 'Bussgeld', 'Datenmissbrauch durch Verarbeiter'], typicalLikelihood: 'medium', typicalImpact: 'medium', wp248Criteria: ['K5'], applicableTo: ['cloud_storage', 'crm', 'analytics', 'email_service'], mitigationIds: ['M-LEGAL-02', 'M-LEGAL-03'], }, { id: 'R-ORG-02', category: 'rights_freedoms', sdmGoal: 'datenminimierung', title: 'Fehlende Loeschprozesse / Ueberschreitung von Aufbewahrungsfristen', description: 'Personenbezogene Daten werden laenger als notwendig gespeichert, weil keine automatischen Loeschprozesse oder Aufbewahrungsfristen definiert sind.', impactExamples: ['Unnoetige Risikoexposition', 'Verstoss gegen Speicherbegrenzung', 'Bussgeld'], typicalLikelihood: 'high', typicalImpact: 'medium', wp248Criteria: ['K5'], applicableTo: ['database', 'cloud_storage', 'crm', 'erp', 'email_service'], mitigationIds: ['M-DMIN-03', 'M-DMIN-04'], }, { id: 'R-ORG-04', category: 'rights_freedoms', sdmGoal: 'transparenz', title: 'Fehlende Datenpannen-Erkennung und -Meldung', description: 'Datenpannen werden nicht rechtzeitig erkannt oder nicht innerhalb der 72-Stunden-Frist (Art. 33 DSGVO) an die Aufsichtsbehoerde gemeldet.', impactExamples: ['Verspaetete Meldung', 'Bussgeld', 'Verzoegerte Benachrichtigung Betroffener'], typicalLikelihood: 'medium', typicalImpact: 'high', wp248Criteria: ['K5'], applicableTo: ['web_application', 'cloud_storage', 'database', 'api_service'], mitigationIds: ['M-ORG-03', 'M-ORG-04', 'M-INT-02'], }, { id: 'R-SPEC-02', category: 'rights_freedoms', sdmGoal: 'intervenierbarkeit', title: 'Verarbeitung von Kinderdaten ohne angemessenen Schutz', description: 'Daten von Minderjaehrigen werden verarbeitet, ohne die besonderen Schutzmassnahmen fuer Kinder (Art. 8, EG 38 DSGVO) zu beachten.', impactExamples: ['Langzeitfolgen fuer Minderjaehrige', 'Einschraenkung der Entwicklung', 'Manipulation'], typicalLikelihood: 'low', typicalImpact: 'high', wp248Criteria: ['K4', 'K7'], applicableTo: ['web_application', 'mobile_app', 'education'], mitigationIds: ['M-LEGAL-04', 'M-DMIN-01', 'M-TRANS-01'], }, ]