Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
breakpilot-compliance/ai-compliance-sdk/policies/controls_catalog.yaml
Benjamin Boenisch 4435e7ea0a Initial commit: breakpilot-compliance - Compliance SDK Platform 
Services: Admin-Compliance, Backend-Compliance,
AI-Compliance-SDK, Consent-SDK, Developer-Portal,
PCA-Platform, DSMS

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-02-11 23:47:28 +01:00

890 lines
31 KiB
YAML
Raw Permalink Blame History

# =============================================================================
# UCCA Controls Catalog v1.0
# Detaillierter Maßnahmenkatalog für DSGVO/AI Act Compliance
# =============================================================================
#
# STRUKTUR PRO CONTROL:
# id: Eindeutige ID (CTRL-xxx)
# title: Kurztitel
# category: Kategorie (DSGVO, AI_Act, Technical, Contractual)
# description: Was ist diese Maßnahme?
# when_applicable: Wann ist sie erforderlich?
# what_to_do: Konkrete Handlungsschritte
# evidence_needed: Erforderliche Nachweise/Dokumentation
# effort: low | medium | high
# gdpr_ref: Relevante Rechtsgrundlage
# related_controls: Verwandte Maßnahmen
#
# =============================================================================
version: "1.0"
name: "UCCA Controls Catalog"
description: "Detaillierter Maßnahmenkatalog für KI-Compliance"
last_updated: "2026-01-29"
# =============================================================================
# KATEGORIE: DSGVO GRUNDLAGEN
# =============================================================================
controls:
# ---------------------------------------------------------------------------
# 1. Rechtsgrundlagen & Einwilligung
# ---------------------------------------------------------------------------
CTRL-CONSENT-EXPLICIT:
id: CTRL-CONSENT-EXPLICIT
title: "Ausdrückliche Einwilligung"
category: DSGVO
description: |
Opt-in-Einwilligung mit klarer, verständlicher Information
über den Verarbeitungszweck.
when_applicable: |
- Verarbeitung basiert auf Einwilligung (Art. 6(1)(a))
- Besondere Datenkategorien (Art. 9(2)(a))
- Profiling oder automatisierte Entscheidungen
what_to_do: |
1. Einwilligungstext in klarer, einfacher Sprache formulieren
2. Zweck der Verarbeitung konkret benennen
3. Hinweis auf Widerrufsrecht aufnehmen
4. Aktive Handlung erforderlich (kein Pre-Checked)
5. Einwilligung nachweisbar speichern (Timestamp, IP, Version)
6. Widerrufsmöglichkeit technisch umsetzen
evidence_needed:
- "Einwilligungstext (alle Versionen)"
- "Technische Dokumentation Opt-in-Mechanismus"
- "Log der erteilten Einwilligungen"
- "Nachweis der Widerrufsmöglichkeit"
effort: medium
gdpr_ref: "Art. 6(1)(a), Art. 7 DSGVO"
related_controls: [CTRL-CONSENT-PARENTAL, CTRL-TRANSPARENCY-INFO]
CTRL-CONSENT-PARENTAL:
id: CTRL-CONSENT-PARENTAL
title: "Einwilligung der Erziehungsberechtigten"
category: DSGVO
description: |
Bei Minderjährigen unter 16 Jahren ist die Einwilligung der
Erziehungsberechtigten erforderlich.
when_applicable: |
- Nutzer sind oder können unter 16 Jahre sein
- Dienst richtet sich an Minderjährige
- Keine Altersverifikation vorhanden
what_to_do: |
1. Altersabfrage implementieren
2. Bei <16: Elterneinwilligung einholen
3. Verifikation der Elternschaft (z.B. Double-Opt-In an Eltern-E-Mail)
4. Kindgerechte Datenschutzerklärung bereitstellen
5. Besondere Löschrechte für Minderjährige beachten
evidence_needed:
- "Altersverifikationsprozess dokumentiert"
- "Elterneinwilligungs-Workflow"
- "Kindgerechte Datenschutzerklärung"
effort: high
gdpr_ref: "Art. 8 DSGVO"
related_controls: [CTRL-CONSENT-EXPLICIT, CTRL-MINOR-PROTECTION]
# ---------------------------------------------------------------------------
# 2. Informationspflichten & Transparenz
# ---------------------------------------------------------------------------
CTRL-TRANSPARENCY-INFO:
id: CTRL-TRANSPARENCY-INFO
title: "Informationspflichten erfüllen"
category: DSGVO
description: |
Betroffene über Datenverarbeitung informieren gemäß Art. 13/14 DSGVO.
when_applicable: |
- Immer bei personenbezogenen Daten
- Bei Direkterhebung (Art. 13)
- Bei Dritterhebung (Art. 14)
what_to_do: |
1. Datenschutzerklärung erstellen mit:
- Identität des Verantwortlichen
- Kontaktdaten DSB
- Verarbeitungszwecke und Rechtsgrundlagen
- Empfänger/Kategorien von Empfängern
- Drittlandtransfers (mit Garantien)
- Speicherdauer/Kriterien
- Betroffenenrechte
- Beschwerderecht bei Aufsichtsbehörde
2. Zum Zeitpunkt der Erhebung bereitstellen
3. Aktualisierungen kommunizieren
evidence_needed:
- "Aktuelle Datenschutzerklärung"
- "Changelog der Datenschutzerklärung"
- "Nachweis der Bereitstellung"
effort: medium
gdpr_ref: "Art. 13, Art. 14 DSGVO"
related_controls: [CTRL-AI-TRANSPARENCY, CTRL-VVT]
CTRL-AI-TRANSPARENCY:
id: CTRL-AI-TRANSPARENCY
title: "KI-Transparenz-Hinweis"
category: AI_Act
description: |
Nutzer darüber informieren, dass sie mit einem KI-System interagieren.
when_applicable: |
- Chatbots und virtuelle Assistenten
- KI-generierte Inhalte (Text, Bild, Audio)
- Automatisierte Entscheidungssysteme
what_to_do: |
1. Klare Kennzeichnung bei KI-Interaktion
- "Sie chatten mit einem KI-Assistenten"
- Badge/Label bei KI-generierten Inhalten
2. Information über Grenzen der KI
3. Möglichkeit zur menschlichen Unterstützung
4. Bei Deepfakes: Watermarking
evidence_needed:
- "Screenshots der KI-Hinweise"
- "Dokumentation der Kennzeichnungsstrategie"
effort: low
gdpr_ref: "Art. 52 AI Act, Art. 13/14 DSGVO"
related_controls: [CTRL-TRANSPARENCY-INFO, CTRL-CONTESTATION]
# ---------------------------------------------------------------------------
# 3. Betroffenenrechte
# ---------------------------------------------------------------------------
CTRL-CONTESTATION:
id: CTRL-CONTESTATION
title: "Anfechtungsrecht bei automatisierten Entscheidungen"
category: DSGVO
description: |
Betroffene können automatisierte Entscheidungen anfechten
und eine menschliche Überprüfung verlangen.
when_applicable: |
- Automatisierte Entscheidungen mit rechtlicher Wirkung
- Scoring/Profiling mit erheblicher Beeinträchtigung
- Auch bei teilautomatisierten Entscheidungen
what_to_do: |
1. Anfechtungsmechanismus bereitstellen
- Kontaktformular oder E-Mail
- Maximale Bearbeitungszeit: 1 Monat
2. Menschliche Überprüfung sicherstellen
3. Entscheidung erklären können
4. Prozess dokumentieren
evidence_needed:
- "Anfechtungsprozess dokumentiert"
- "Nachweis menschlicher Überprüfung"
- "Bearbeitungszeiten (SLA)"
effort: medium
gdpr_ref: "Art. 22(3) DSGVO"
related_controls: [CTRL-HITL, CTRL-AI-TRANSPARENCY]
CTRL-DSR-PROCESS:
id: CTRL-DSR-PROCESS
title: "Betroffenenrechte-Prozess"
category: DSGVO
description: |
Prozess zur Bearbeitung von Betroffenenanfragen
(Auskunft, Löschung, Berichtigung, etc.).
when_applicable: |
- Immer bei personenbezogenen Daten
- Anfragen nach Art. 15-22 DSGVO
what_to_do: |
1. Anfrage-Kanal bereitstellen (E-Mail, Formular)
2. Identitätsprüfung implementieren
3. Bearbeitungs-Workflow etablieren:
- Fristüberwachung (max. 1 Monat)
- Eskalation bei Verzögerung
- Dokumentation
4. Technische Umsetzung sicherstellen:
- Datenexport (Art. 15, Art. 20)
- Löschfunktion (Art. 17)
- Berichtigungsfunktion (Art. 16)
evidence_needed:
- "DSR-Workflow dokumentiert"
- "Bearbeitungsstatistiken"
- "Technische Export/Lösch-Dokumentation"
effort: medium
gdpr_ref: "Art. 15-22 DSGVO"
related_controls: [CTRL-RETENTION, CTRL-VVT]
# ---------------------------------------------------------------------------
# 4. Datenschutz-Folgenabschätzung
# ---------------------------------------------------------------------------
CTRL-DSFA:
id: CTRL-DSFA
title: "Datenschutz-Folgenabschätzung (DSFA)"
category: DSGVO
description: |
Formale Risikoanalyse vor Beginn einer Verarbeitung
mit voraussichtlich hohem Risiko.
when_applicable: |
- Systematische Bewertung/Scoring von Personen
- Umfangreiche Verarbeitung besonderer Kategorien
- Systematische Überwachung öffentlicher Bereiche
- Neue Technologien mit hohem Risiko
- Profiling mit erheblicher Auswirkung
what_to_do: |
1. Verarbeitung systematisch beschreiben
2. Notwendigkeit und Verhältnismäßigkeit prüfen
3. Risiken für Betroffene identifizieren
4. Maßnahmen zur Risikominderung festlegen
5. Bei hohem Restrisiko: Aufsichtsbehörde konsultieren
6. DSFA dokumentieren und regelmäßig überprüfen
evidence_needed:
- "DSFA-Dokument (ausgefüllt)"
- "Risikobewertungsmatrix"
- "Maßnahmenplan"
- "Ggf. Konsultationsnachweis"
effort: high
gdpr_ref: "Art. 35, Art. 36 DSGVO"
related_controls: [CTRL-VVT, CTRL-TOM]
# ---------------------------------------------------------------------------
# 5. Dokumentation & Nachweis
# ---------------------------------------------------------------------------
CTRL-VVT:
id: CTRL-VVT
title: "Verarbeitungsverzeichnis (VVT)"
category: DSGVO
description: |
Dokumentation aller Verarbeitungstätigkeiten
gemäß Art. 30 DSGVO.
when_applicable: |
- Ab 250 Mitarbeitern: Immer
- Unter 250 Mitarbeitern: Bei nicht nur gelegentlicher Verarbeitung
- Bei risikobehafteter Verarbeitung
- Bei Verarbeitung besonderer Kategorien
what_to_do: |
1. Für jede Verarbeitung dokumentieren:
- Name und Kontaktdaten des Verantwortlichen
- Verarbeitungszwecke
- Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Empfänger(-kategorien)
- Drittlandübermittlungen
- Löschfristen
- TOMs (allgemeine Beschreibung)
2. Regelmäßig aktualisieren
3. Auf Anfrage der Aufsichtsbehörde bereitstellen
evidence_needed:
- "Vollständiges VVT"
- "Änderungshistorie"
effort: medium
gdpr_ref: "Art. 30 DSGVO"
related_controls: [CTRL-DSFA, CTRL-TOM, CTRL-RETENTION]
CTRL-ACCESS-LOGGING:
id: CTRL-ACCESS-LOGGING
title: "Zugriffs-Protokollierung"
category: Technical
description: |
Revisionssichere Protokollierung aller Datenzugriffe.
when_applicable: |
- Personenbezogene Daten werden verarbeitet
- Sensible oder kritische Daten
- Anforderungen aus DSFA
what_to_do: |
1. Logging-System implementieren:
- Wer (User-ID)
- Wann (Timestamp UTC)
- Was (Aktion: read, write, delete)
- Welche Daten (Ressource)
- Ergebnis (success, failure)
2. Logs unveränderbar speichern
3. Aufbewahrungsdauer festlegen (z.B. 6 Monate)
4. Regelmäßige Überprüfung (Anomalien)
evidence_needed:
- "Logging-Konzept"
- "Beispiel-Logs"
- "Audit-Berichte"
effort: low
gdpr_ref: "Art. 5(2), Art. 32 DSGVO"
related_controls: [CTRL-TOM, CTRL-ENCRYPTION]
# ---------------------------------------------------------------------------
# 6. Technische und Organisatorische Maßnahmen (TOM)
# ---------------------------------------------------------------------------
CTRL-TOM:
id: CTRL-TOM
title: "Technische und Organisatorische Maßnahmen"
category: DSGVO
description: |
Geeignete Schutzmaßnahmen zur Gewährleistung
der Datensicherheit nach Art. 32 DSGVO.
when_applicable: |
- Immer bei personenbezogenen Daten
- Umfang richtet sich nach Risiko
what_to_do: |
1. Pseudonymisierung und Verschlüsselung
2. Vertraulichkeit, Integrität, Verfügbarkeit sichern
3. Belastbarkeit der Systeme
4. Wiederherstellbarkeit nach Vorfall
5. Regelmäßige Überprüfung und Evaluierung
evidence_needed:
- "TOM-Dokumentation"
- "Sicherheitskonzept"
- "Penetrationstest-Berichte"
effort: medium
gdpr_ref: "Art. 32 DSGVO"
related_controls: [CTRL-ENCRYPTION, CTRL-ACCESS-LOGGING, CTRL-PSEUDONYMIZATION]
CTRL-ENCRYPTION:
id: CTRL-ENCRYPTION
title: "Verschlüsselung"
category: Technical
description: |
Daten bei Übertragung und Speicherung verschlüsseln.
when_applicable: |
- Personenbezogene Daten
- Übertragung über öffentliche Netze
- Speicherung sensibler Daten
what_to_do: |
1. Transport-Verschlüsselung (TLS 1.3)
2. Speicher-Verschlüsselung (AES-256)
3. Schlüsselmanagement etablieren
4. End-to-End-Verschlüsselung bei Bedarf
evidence_needed:
- "TLS-Konfiguration"
- "Verschlüsselungskonzept"
- "Key-Management-Dokumentation"
effort: low
gdpr_ref: "Art. 32(1)(a) DSGVO"
related_controls: [CTRL-TOM, CTRL-TECHNICAL-SUPPLEMENTARY]
CTRL-PSEUDONYMIZATION:
id: CTRL-PSEUDONYMIZATION
title: "Pseudonymisierung"
category: Technical
description: |
Verarbeitung so, dass Daten ohne zusätzliche Informationen
nicht mehr einer Person zugeordnet werden können.
when_applicable: |
- Datensparsamkeit erhöhen
- Forschung/Statistik
- KI-Training (Alternative zu echten Daten)
what_to_do: |
1. Identifizierende Merkmale durch Pseudonyme ersetzen
2. Mapping-Tabelle separat und sicher speichern
3. Zugriff auf Mapping strikt beschränken
4. Re-Identifizierungsrisiko bewerten
evidence_needed:
- "Pseudonymisierungskonzept"
- "Zugriffsbeschränkungen dokumentiert"
effort: medium
gdpr_ref: "Art. 4(5), Art. 32(1)(a) DSGVO"
related_controls: [CTRL-ANONYMIZATION, CTRL-TOM]
CTRL-ANONYMIZATION:
id: CTRL-ANONYMIZATION
title: "Anonymisierung"
category: Technical
description: |
Irreversible Entfernung aller Personenbezüge,
sodass DSGVO nicht mehr anwendbar ist.
when_applicable: |
- Langfristige Speicherung für Statistik
- KI-Training ohne Personenbezug
- Veröffentlichung von Daten
what_to_do: |
1. Alle direkten Identifikatoren entfernen
2. Quasi-Identifikatoren prüfen (k-Anonymität)
3. Re-Identifizierungsrisiko bewerten
4. Aggregation oder Rauschen hinzufügen
5. Anonymisierung dokumentieren
evidence_needed:
- "Anonymisierungsverfahren dokumentiert"
- "Re-Identifizierungsrisiko-Bewertung"
effort: high
gdpr_ref: "ErwGr. 26 DSGVO"
related_controls: [CTRL-PSEUDONYMIZATION, CTRL-PII-GATEWAY]
# ---------------------------------------------------------------------------
# 7. Aufbewahrung & Löschung
# ---------------------------------------------------------------------------
CTRL-RETENTION:
id: CTRL-RETENTION
title: "Löschkonzept / Aufbewahrungsfristen"
category: DSGVO
description: |
Definierte Aufbewahrungsfristen mit automatischer Löschung
nach Ablauf.
when_applicable: |
- Immer bei personenbezogenen Daten
- Verschiedene Fristen je nach Datenart
what_to_do: |
1. Aufbewahrungsfristen je Datenart festlegen
- Gesetzliche Mindestfristen beachten
- Nicht länger als erforderlich
2. Automatische Löschroutinen implementieren
3. Löschprotokolle führen
4. Backup-Löschung nicht vergessen
evidence_needed:
- "Löschkonzept mit Fristen"
- "Löschprotokolle"
- "Technische Umsetzung dokumentiert"
effort: medium
gdpr_ref: "Art. 5(1)(e) DSGVO"
related_controls: [CTRL-VVT, CTRL-DSR-PROCESS]
# ---------------------------------------------------------------------------
# 8. Auftragsverarbeitung & Verträge
# ---------------------------------------------------------------------------
CTRL-AVV:
id: CTRL-AVV
title: "Auftragsverarbeitungsvertrag (AVV)"
category: Contractual
description: |
Vertrag nach Art. 28 DSGVO mit jedem Auftragsverarbeiter.
when_applicable: |
- Externe Dienstleister verarbeiten Daten in Ihrem Auftrag
- Cloud-Services
- KI-Provider
- Hosting-Anbieter
what_to_do: |
1. AVV abschließen mit:
- Gegenstand und Dauer
- Art und Zweck der Verarbeitung
- Kategorien von Daten und Betroffenen
- Weisungsbindung
- Vertraulichkeit
- TOMs
- Unterauftragsverarbeiter-Regelung
- Unterstützungspflichten
- Löschung/Rückgabe
2. Regelmäßig überprüfen
evidence_needed:
- "Unterzeichneter AVV"
- "TOM-Anlage"
- "Subprocessor-Liste"
effort: medium
gdpr_ref: "Art. 28 DSGVO"
related_controls: [CTRL-SCC, CTRL-SUBPROCESSOR-MANAGEMENT]
CTRL-SUBPROCESSOR-MANAGEMENT:
id: CTRL-SUBPROCESSOR-MANAGEMENT
title: "Unterauftragsverarbeiter-Management"
category: Contractual
description: |
Übersicht und Kontrolle aller Unterauftragsverarbeiter.
when_applicable: |
- Auftragsverarbeiter setzen Subunternehmer ein
- Cloud-Anbieter mit mehreren Subprocessors
what_to_do: |
1. Vollständige Liste aller Subprocessors einholen
2. Standorte und Zwecke dokumentieren
3. Änderungsbenachrichtigung vereinbaren
4. Widerspruchsrecht sichern
5. SCC-Kette bei Drittländern prüfen
evidence_needed:
- "Aktuelle Subprocessor-Liste"
- "Nachweis Änderungsbenachrichtigung"
effort: low
gdpr_ref: "Art. 28(2), Art. 28(4) DSGVO"
related_controls: [CTRL-AVV, CTRL-SCC-SUBPROCESSOR]
# ---------------------------------------------------------------------------
# 9. Drittlandtransfer & SCC
# ---------------------------------------------------------------------------
CTRL-SCC:
id: CTRL-SCC
title: "Standardvertragsklauseln (SCC)"
category: Contractual
description: |
EU-Standardvertragsklauseln für Drittlandtransfers
nach Art. 46(2)(c) DSGVO.
when_applicable: |
- Datenübermittlung in Drittländer ohne Angemessenheitsbeschluss
- US-Anbieter ohne DPF-Zertifizierung
- Drittland-Support mit Datenzugriff
what_to_do: |
1. Korrektes SCC-Modul wählen:
- Modul 1: C2C (Controller to Controller)
- Modul 2: C2P (Controller to Processor)
- Modul 3: P2P (Processor to Processor)
- Modul 4: P2C (Processor to Controller)
2. Annex I ausfüllen (Parteien, Datenexport)
3. Annex II ausfüllen (TOMs)
4. Von beiden Parteien unterzeichnen
5. Als Anlage zum AVV hinzufügen
evidence_needed:
- "Unterzeichnete SCC (PDF)"
- "Ausgefüllte Annexe"
- "Modulauswahl-Begründung"
effort: medium
gdpr_ref: "Art. 46(2)(c) DSGVO, EU 2021/914"
related_controls: [CTRL-TIA, CTRL-AVV, CTRL-SCC-VERSION]
CTRL-SCC-VERSION:
id: CTRL-SCC-VERSION
title: "Aktuelle SCC-Version prüfen"
category: Contractual
description: |
Sicherstellen, dass die neuen SCC von Juni 2021 verwendet werden.
when_applicable: |
- Bestehende SCC-Verträge prüfen
- Alte SCC (vor 2021) ersetzen
what_to_do: |
1. Prüfen welche SCC-Version im Einsatz
2. Alte Versionen identifizieren
3. Migration auf neue SCC (EU 2021/914) planen
4. Frist: Alte SCC sind seit 27.12.2022 ungültig!
evidence_needed:
- "Inventar aller SCC-Verträge"
- "Versionsnachweis"
effort: low
gdpr_ref: "EU 2021/914"
related_controls: [CTRL-SCC]
CTRL-TIA:
id: CTRL-TIA
title: "Transfer Impact Assessment (TIA)"
category: Contractual
description: |
Bewertung der Risiken bei Drittlandtransfer
(seit Schrems II Pflicht).
when_applicable: |
- Jeder Drittlandtransfer ohne Angemessenheitsbeschluss
- USA (auch mit DPF - empfohlen)
- Drittländer mit fraglicher Rechtslage
what_to_do: |
1. Transferumstände dokumentieren:
- Welche Daten?
- Welches Drittland?
- Welche Rechtsgrundlage (SCC, BCR)?
2. Rechtslage im Drittland prüfen:
- Behördenzugriff (z.B. FISA 702, Cloud Act)
- Rechtsschutzmöglichkeiten für EU-Bürger
3. Bewertung vornehmen:
- Reichen SCC allein?
- Zusatzmaßnahmen erforderlich?
4. Ergebnis dokumentieren
5. Regelmäßig (jährlich) überprüfen
evidence_needed:
- "TIA-Dokument (ausgefüllt)"
- "Länder-Risikobewertung"
- "Nachweis Zusatzmaßnahmen"
effort: high
gdpr_ref: "EuGH Schrems II (C-311/18), EDPB Recommendations 01/2020"
related_controls: [CTRL-SCC, CTRL-TECHNICAL-SUPPLEMENTARY]
CTRL-DPF-CHECK:
id: CTRL-DPF-CHECK
title: "Data Privacy Framework Zertifizierung prüfen"
category: Contractual
description: |
Prüfung ob US-Anbieter unter dem EU-US Data Privacy Framework
zertifiziert ist.
when_applicable: |
- Übermittlung an US-Empfänger
- US-Cloud-Anbieter
what_to_do: |
1. DPF-Liste auf dataprivacyframework.gov prüfen
2. Exakten Firmennamen suchen
3. Aktiven Zertifizierungsstatus bestätigen
4. Ergebnis dokumentieren mit Datum
5. Bei Zertifizierung: SCC optional (aber empfohlen)
6. Ohne Zertifizierung: SCC zwingend erforderlich
evidence_needed:
- "Screenshot DPF-Zertifizierungsstatus"
- "Prüfdatum dokumentiert"
effort: low
gdpr_ref: "EU-US Data Privacy Framework Beschluss 2023"
related_controls: [CTRL-SCC, CTRL-TIA]
CTRL-SCC-SUBPROCESSOR:
id: CTRL-SCC-SUBPROCESSOR
title: "SCC für Unterauftragsverarbeiter"
category: Contractual
description: |
SCC-Kette zu allen Unterauftragsverarbeitern im Drittland.
when_applicable: |
- Subprocessors im Drittland (z.B. US-Cloud-Infrastruktur)
- Multi-Cloud-Setups mit Drittland-Komponenten
what_to_do: |
1. Subprocessor-Liste mit Standorten einholen
2. Für jeden Drittland-Subprocessor prüfen:
- DPF-Zertifizierung?
- SCC vorhanden?
3. Vertragliche Weitergabe der Pflichten sicherstellen
4. Bei Lücken: Anbieter kontaktieren oder wechseln
evidence_needed:
- "Subprocessor-Liste mit Standorten"
- "SCC/DPF-Nachweis pro Drittland-Subprocessor"
effort: medium
gdpr_ref: "Art. 28(4), Art. 46 DSGVO"
related_controls: [CTRL-SCC, CTRL-SUBPROCESSOR-MANAGEMENT]
CTRL-TECHNICAL-SUPPLEMENTARY:
id: CTRL-TECHNICAL-SUPPLEMENTARY
title: "Technische Zusatzmaßnahmen bei Drittlandtransfer"
category: Technical
description: |
Ergänzende technische Schutzmaßnahmen wenn SCC allein
nicht ausreichen (TIA-Ergebnis: Defizite).
when_applicable: |
- TIA zeigt unzureichendes Schutzniveau
- Behördenzugriff im Drittland möglich
- Daten besonders schutzbedürftig
what_to_do: |
1. Ende-zu-Ende-Verschlüsselung implementieren
- Schlüssel nur beim Datenexporteur (EU)
- Importeur kann Klartext nicht lesen
2. Pseudonymisierung vor Transfer
- Mapping-Tabelle verbleibt im EWR
3. Logging aller Drittland-Zugriffe
4. Maßnahmen dokumentieren
evidence_needed:
- "Verschlüsselungskonzept"
- "Pseudonymisierungskonzept"
- "Zugriffsprotokollierung"
effort: high
gdpr_ref: "EDPB Recommendations 01/2020"
related_controls: [CTRL-TIA, CTRL-ENCRYPTION, CTRL-PSEUDONYMIZATION]
# ---------------------------------------------------------------------------
# 10. KI-spezifische Maßnahmen
# ---------------------------------------------------------------------------
CTRL-HITL:
id: CTRL-HITL
title: "Human-in-the-Loop erzwingen"
category: AI_Act
description: |
Technisch erzwungene menschliche Überprüfung
bei automatisierten Entscheidungen.
when_applicable: |
- Automatisierte Entscheidungen mit rechtlicher Wirkung
- Art. 22 DSGVO Risiko
- High-Risk AI nach AI Act
what_to_do: |
1. Workflow-Unterbrechung einbauen
- KI liefert Vorschlag
- Mensch muss bestätigen/ablehnen
2. Technische Umsetzung:
- Approval-Queue
- Keine automatische Weiterleitung
3. Nachweis der menschlichen Prüfung (Log)
4. Kompetenz der Prüfer sicherstellen
evidence_needed:
- "HITL-Workflow dokumentiert"
- "Technische Implementierung"
- "Prüfer-Logs"
effort: medium
gdpr_ref: "Art. 22(3) DSGVO, Art. 14 AI Act"
related_controls: [CTRL-CONTESTATION, CTRL-AI-TRANSPARENCY]
CTRL-NO-TRAINING:
id: CTRL-NO-TRAINING
title: "Kein Training mit Nutzerdaten"
category: AI_Act
description: |
Vertragliche Zusicherung, dass Anbieter Nutzerdaten
nicht für eigenes Modell-Training verwendet.
when_applicable: |
- KI-Provider (OpenAI, Anthropic, etc.)
- SaaS-KI-Dienste
- Chatbot-Plattformen
what_to_do: |
1. AGB/DPA prüfen auf Training-Klausel
2. Opt-Out beantragen wenn nicht Standard
3. Schriftliche Bestätigung einholen
4. Im AVV festhalten
evidence_needed:
- "Opt-Out-Bestätigung"
- "Relevante Vertragsklausel"
effort: low
gdpr_ref: "Art. 5(1)(b) DSGVO (Zweckbindung)"
related_controls: [CTRL-AVV, CTRL-PII-GATEWAY]
CTRL-PII-GATEWAY:
id: CTRL-PII-GATEWAY
title: "PII-Redaction Gateway"
category: Technical
description: |
Automatische Erkennung und Redaction personenbezogener
Daten vor Übermittlung an KI.
when_applicable: |
- KI-Prompts können PII enthalten
- Externe KI-APIs (OpenAI, etc.)
- Log-Analyse mit KI
what_to_do: |
1. PII-Detector implementieren (NER, Regex, ML)
2. Erkannte PII maskieren oder entfernen
3. Placeholder einfügen ("[NAME]", "[E-MAIL]")
4. Logging der Redactions
5. False-Positive-Rate überwachen
evidence_needed:
- "PII-Gateway-Dokumentation"
- "Erkennungsgenauigkeit"
- "Beispiel-Redactions"
effort: medium
gdpr_ref: "Art. 25, Art. 32 DSGVO"
related_controls: [CTRL-ANONYMIZATION, CTRL-PSEUDONYMIZATION]
CTRL-AI-RISK-CLASSIFICATION:
id: CTRL-AI-RISK-CLASSIFICATION
title: "KI-Risikoeinstufung nach AI Act"
category: AI_Act
description: |
Prüfung ob das KI-System unter die Hochrisiko-Kategorie
des AI Act fällt.
when_applicable: |
- Alle KI-Systeme in der EU
- Vor Inbetriebnahme prüfen
what_to_do: |
1. Anhang III AI Act prüfen:
- Biometrie, Kritische Infrastruktur
- Bildung, Beschäftigung
- Wesentliche Dienste, Strafverfolgung
- Migration, Justiz
2. Bei Hochrisiko: Konformitätsbewertung
3. Dokumentation der Einstufung
evidence_needed:
- "Risikoeinstufungs-Dokument"
- "Begründung bei Nicht-Hochrisiko"
effort: low
gdpr_ref: "Art. 6, Anhang III AI Act"
related_controls: [CTRL-DSFA, CTRL-HITL]
CTRL-AI-DOCUMENTATION:
id: CTRL-AI-DOCUMENTATION
title: "KI-System-Dokumentation"
category: AI_Act
description: |
Technische Dokumentation des KI-Systems
nach AI Act Anforderungen.
when_applicable: |
- High-Risk AI Systeme
- Empfohlen auch für andere KI
what_to_do: |
1. System-Beschreibung erstellen
2. Trainingsdaten dokumentieren
3. Leistungsmetriken festhalten
4. Risikomanagement dokumentieren
5. Qualitätsmanagement-System
6. Logs und Monitoring
evidence_needed:
- "Technische Dokumentation"
- "Trainingsdaten-Dokumentation"
- "Leistungskennzahlen"
effort: high
gdpr_ref: "Art. 11, Art. 12 AI Act"
related_controls: [CTRL-AI-RISK-CLASSIFICATION, CTRL-DSFA]
# ---------------------------------------------------------------------------
# 11. Branchenspezifische Maßnahmen
# ---------------------------------------------------------------------------
CTRL-MINOR-PROTECTION:
id: CTRL-MINOR-PROTECTION
title: "Minderjährigenschutz"
category: DSGVO
description: |
Besondere Schutzmaßnahmen für Daten von Minderjährigen.
when_applicable: |
- Dienste für Kinder/Jugendliche
- Bildungssektor
- Gaming/Social Media für unter 18
what_to_do: |
1. Kein Training mit Daten Minderjähriger
2. Erhöhte Löschpflichten beachten
3. Kindgerechte Kommunikation
4. Reduzierte Datenerhebung
5. Keine Profiling-Nutzung
evidence_needed:
- "Schutzkonzept Minderjährige"
- "Altersverifikation"
effort: medium
gdpr_ref: "Art. 8 DSGVO, ErwGr. 38"
related_controls: [CTRL-CONSENT-PARENTAL, CTRL-NO-TRAINING]
CTRL-CCTV-PRIVACY:
id: CTRL-CCTV-PRIVACY
title: "Videoüberwachung Datenschutz"
category: DSGVO
description: |
Datenschutzkonforme Gestaltung von Videoüberwachung.
when_applicable: |
- CCTV/Videoüberwachung
- Parkhaussysteme mit Kameras
- Arbeitsplatzüberwachung
what_to_do: |
1. Hinweisschilder aufstellen (vor Überwachungsbereich)
2. Interessenabwägung dokumentieren
3. Speicherdauer minimieren (max. 72h empfohlen)
4. Zugriff strikt beschränken
5. Bei Gesichtserkennung: Art. 9 beachten
evidence_needed:
- "Interessenabwägung dokumentiert"
- "Hinweisschild-Fotos"
- "Löschkonzept Video"
effort: medium
gdpr_ref: "Art. 6(1)(f) DSGVO, §4 BDSG"
related_controls: [CTRL-RETENTION, CTRL-FACE-BLURRING]
CTRL-FACE-BLURRING:
id: CTRL-FACE-BLURRING
title: "Gesichts-Unkenntlichmachung"
category: Technical
description: |
Automatische Verpixelung oder Unschärfung von Gesichtern
in Videoaufnahmen.
when_applicable: |
- Videoüberwachung öffentlicher Bereiche
- Gesichtserkennung nicht erforderlich
- Datensparsamkeit erhöhen
what_to_do: |
1. Gesichtserkennungs-Algorithmus einsetzen
2. Echtzeit-Blurring implementieren
3. Nur anonymisierte Aufnahmen speichern
4. Genauigkeit regelmäßig prüfen
evidence_needed:
- "Blurring-Lösung dokumentiert"
- "Beispiel-Screenshots"
effort: medium
gdpr_ref: "Art. 25 DSGVO (Privacy by Design)"
related_controls: [CTRL-CCTV-PRIVACY, CTRL-ANONYMIZATION]
CTRL-LP-ANONYMIZATION:
id: CTRL-LP-ANONYMIZATION
title: "Kennzeichen-Anonymisierung"
category: Technical
description: |
Automatische Unkenntlichmachung von KFZ-Kennzeichen.
when_applicable: |
- Parkhaus-Systeme
- Verkehrsüberwachung
- Wenn Halteridentifikation nicht erforderlich
what_to_do: |
1. OCR nur für Berechtigungsprüfung
2. Nach Prüfung: Kennzeichen löschen oder anonymisieren
3. Nur Hash oder Partial-Match speichern
4. Keine Bewegungsprofile erstellen
evidence_needed:
- "Anonymisierungskonzept"
- "Speicherfristen dokumentiert"
effort: low
gdpr_ref: "Art. 5(1)(c), (e) DSGVO"
related_controls: [CTRL-RETENTION, CTRL-CCTV-PRIVACY]
# =============================================================================
# METADATA
# =============================================================================
metadata:
total_controls: 30
categories:
- DSGVO
- AI_Act
- Technical
- Contractual
effort_distribution:
low: 8
medium: 14
high: 8
primary_regulations:
- "DSGVO (EU 2016/679)"
- "AI Act (EU 2024/xxx)"
- "BDSG"
- "EU 2021/914 (SCC)"
Reference in New Issue View Git Blame Copy Permalink