Benjamin_Boenisch/breakpilot-compliance
1
1
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
38a347a82a45bc6c5eac0e19f8305315186b6c03
breakpilot-compliance/dse_criteria_changelog.json
T
Benjamin_Boenisch 38a347a82a
CI / detect-changes (push) Successful in 7s
Details
CI / branch-name (push) Has been skipped
Details
CI / guardrail-integrity (push) Has been skipped
Details
CI / secret-scan (push) Has been skipped
Details
CI / dep-audit (push) Has been skipped
Details
CI / sbom-scan (push) Has been skipped
Details
CI / build-sha-integrity (push) Successful in 9s
Details
CI / validate-canonical-controls (push) Successful in 12s
Details
CI / loc-budget (push) Successful in 24s
Details
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / nodejs-build (push) Successful in 3m11s
Details
CI / test-go (push) Has been skipped
Details
CI / iace-gt-coverage (push) Has been skipped
Details
CI / test-python-backend (push) Successful in 24s
Details
CI / test-python-document-crawler (push) Has been skipped
Details
CI / test-python-dsms-gateway (push) Has been skipped
Details
feat(platform): live-wire AGB v2 + DSE v3 + Architektur-Tab (#29) 
AGB v2 (decision_method routing, 71%FP->~0) + DSE v3 (4-layer, recovered from container) + Architektur-Tab into /sdk/agent live path. Incl CI robustness (detect-changes.sh + PR-head checkout) + security (hardcoded Qdrant key removed, gitleaks allowlist).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-06-21 12:58:26 +00:00

283 lines
15 KiB
JSON
Raw Blame History

[
{
"control_id": "DATA-2260-A01",
"klasse": "B",
"legal_note": "Art. 13(1)(c) DSGVO verlangt 'die Zwecke' (Plural) — keinen einzelnen 'primären' Zweck und keine Priorisierung. Mehrere genannte Zwecke erfüllen die Pflicht.",
"changed_fields": [
"title",
"check_question",
"pass_criteria",
"fail_criteria"
],
"old": {
"title": "Primären Verarbeitungszweck schriftlich und verständlich dokumentieren",
"check_question": "Ist der primäre Verarbeitungszweck schriftlich und verständlich dokumentiert?",
"pass_criteria": "[\"primärer Verarbeitungszweck verständlich beschrieben\", \"Zweck der Datenerhebung nachvollziehbar genannt\"]",
"fail_criteria": "[\"Primärzweck nicht schriftlich dokumentiert\", \"Unverständliche oder zu technische Formulierung\", \"Zu allgemeine Beschreibung ohne konkrete Bezüge\"]"
},
"new": {
"title": "Verarbeitungszweck(e) schriftlich und verständlich dokumentieren",
"check_question": "Sind die Verarbeitungszwecke schriftlich und verständlich genannt?",
"pass_criteria": [
"Verarbeitungszweck(e) verständlich beschrieben",
"Zweck der Datenerhebung nachvollziehbar genannt"
],
"fail_criteria": [
"Verarbeitungszwecke nicht genannt",
"Unverständliche oder zu technische Formulierung",
"Nur pauschale Floskel ohne konkreten Zweckbezug"
]
}
},
{
"control_id": "AUTH-3737-A06",
"klasse": "B",
"legal_note": "Art. 13(1)(c)+(e) verlangt Zwecke + Empfänger(kategorien) — keine vollständige Zweck/Rechtsgrundlage-Matrix je einzelner Übermittlung.",
"changed_fields": [
"pass_criteria",
"fail_criteria"
],
"old": {
"pass_criteria": "[\"Explizite Zweckangabe für jede Datenübermittlung (z.B. 'Vertragserfüllung', 'Rechtliche Verpflichtung')\", \"Rechtsgrundlage für die jeweilige Übermittlung (Art. 6 DSGVO oder spezifische Norm)\", \"Empfänger und Empfängerkategorie mit Zweckbindung\", \"Dokumentation der Zwecke in verständlicher Form für Betroffene\", \"Unterscheidung zwischen verschiedenen Übermittlungszwecken\"]",
"fail_criteria": "[\"Generische Zweckangaben wie 'geschäftliche Zwecke' ohne Konkretisierung\", \"Fehlende Rechtsgrundlage für die Übermittlung\", \"Keine Dokumentation der Zwecke oder nur mündliche Absprachen\"]"
},
"new": {
"pass_criteria": [
"Zwecke der Datenübermittlungen genannt",
"Empfänger oder Empfängerkategorien angegeben",
"verständliche Darstellung für Betroffene"
],
"fail_criteria": [
"keine Angabe von Übermittlungszwecken",
"weder Empfänger noch Empfängerkategorien genannt",
"nur pauschale Floskel ('geschäftliche Zwecke') ohne jeden Bezug"
]
}
},
{
"control_id": "DATA-2992-A03",
"klasse": "B",
"legal_note": "Art. 13(1)(e) verlangt Empfänger/Kategorien; die DSE muss keine AV-/Verantwortlicher-Distinktion, keine Vertraulichkeitszusage und keine Rechtsgrundlage je Empfänger ausweisen.",
"changed_fields": [
"pass_criteria",
"fail_criteria"
],
"old": {
"pass_criteria": "[\"Für jeden Drittpartner-Transfer: Expliziter Zweck dokumentiert (z.B. 'Zahlungsabwicklung', 'Kundenservice')\", \"Rechtsgrundlage für die Weiterübertragung genannt (z.B. 'Vertragserfüllung mit Kunde', 'Einwilligung des Betroffenen')\", \"Unterscheidung zwischen Auftragsverarbeiter und eigenverantwortlichem Verantwortlicher\", \"Informationen zu Weitergabebeschränkungen oder Vertraulichkeitsverpflichtungen\"]",
"fail_criteria": "[\"Drittparteien genannt, aber Zweck oder Rechtsgrundlage fehlt\", \"Pauschalaussage wie 'Daten werden an Partner weitergegeben' ohne Spezifizierung\", \"Keine Unterscheidung zwischen verschiedenen Weiterübertragungsszenarien\"]"
},
"new": {
"pass_criteria": [
"Weitergabe an Dritte offengelegt (Empfänger oder Kategorien)",
"Zweck der Weitergabe genannt"
],
"fail_criteria": [
"Weitergabe verschwiegen",
"weder Empfänger/Kategorie noch Zweck genannt",
"nur pauschal 'Daten werden an Partner weitergegeben' ohne jeden Bezug"
]
}
},
{
"control_id": "DATA-1624-A03",
"klasse": "B",
"legal_note": "Art. 13(1)(f) verlangt Verweis auf geeignete Garantien + wie eine Kopie erhältlich/wo verfügbar ist. Ein Link genügt; eine verständliche Beschreibung der Schutzwirkung ist nicht gefordert.",
"changed_fields": [
"pass_criteria",
"fail_criteria"
],
"old": {
"pass_criteria": "[\"Aufzählung der angewendeten Transfermechanismen (z.B. 'Standardvertragsklauseln', 'Binding Corporate Rules', 'Zertifizierungen')\", \"Konkrete Beschreibung jedes Mechanismus und dessen Schutzwirkung in verständlicher Sprache\", \"Angabe, wie Betroffene die Garantiedokumente einsehen können (mit Kontaktdaten oder Link)\", \"Hinweis auf Rechte der Betroffenen (z.B. Recht auf Beschwerde, Recht auf Auskunft über Schutzmaßnahmen)\"]",
"fail_criteria": "[\"Nur Nennung von Transfermechanismen ohne Erklärung oder Zugriff auf Dokumente\", \"Unvollständige Aufzählung (z.B. nur SCCs erwähnt, aber auch BCR verwendet)\", \"Garantien werden erwähnt, sind aber nicht tatsächlich implementiert oder dokumentiert\"]"
},
"new": {
"pass_criteria": [
"geeignete Garantie genannt (z.B. SCC/BCR/Zertifizierung)",
"Zugang zu den Garantien angegeben (Link ODER Kontakt)"
],
"fail_criteria": [
"Drittlandtransfer ohne Nennung einer Garantie",
"Garantie genannt, aber keinerlei Möglichkeit sie einzusehen (kein Link und kein Kontakt)"
]
}
},
{
"control_id": "DATA-1619-A03",
"klasse": "B",
"legal_note": "Art. 13(1)(c) verlangt die Rechtsgrundlage; die Nennung des konkreten Artikels (Art. 6 Abs. 1 lit. ...) ist gute Praxis, aber nicht zwingend; ebenso wenig die Trennung Pflicht/freiwillig.",
"changed_fields": [
"pass_criteria",
"fail_criteria"
],
"old": {
"pass_criteria": "[\"Konkrete Verarbeitungszwecke benannt (z.B. 'Vertragserfüllung', 'Rechnungsstellung', 'Kundenservice')\", \"Spezifische Rechtsgrundlage mit Artikel genannt (z.B. 'Art. 6 Abs. 1 Buchstabe b DSGVO')\", \"Unterscheidung zwischen verschiedenen Verarbeitungszwecken mit jeweiliger Rechtsgrundlage\", \"Verständliche Sprache ohne juristische Fachbegriffe oder mit Erklärung\", \"Trennung von Pflichtangaben und freiwilligen Verarbeitungen\"]",
"fail_criteria": "[\"Zweck nur allgemein formuliert ('geschäftliche Zwecke', 'interne Nutzung')\", \"Rechtsgrundlage fehlt oder nur 'DSGVO' ohne Artikel und Absatz\", \"Mehrere Zwecke ohne klare Zuordnung zu Rechtsgrundlagen\", \"Unverständliche juristische Formulierungen ohne Erklärung\"]"
},
"new": {
"pass_criteria": [
"konkrete Verarbeitungszwecke benannt",
"Rechtsgrundlage je Zweck genannt (Artikel-Zitat nicht zwingend)"
],
"fail_criteria": [
"Zweck nur pauschal ('geschäftliche Zwecke')",
"keine Rechtsgrundlage genannt"
]
}
},
{
"control_id": "DATA-424-A09",
"klasse": "B",
"legal_note": "Art. 20 DSGVO — die DSE informiert über das Recht; das konkrete Exportformat (CSV/JSON/XML) ist Umsetzungsfrage und muss in der DSE nicht benannt werden.",
"changed_fields": [
"title",
"check_question",
"pass_criteria",
"fail_criteria"
],
"old": {
"title": "Datenübertragbarkeit bei Einwilligung oder Vertrag ermöglichen",
"check_question": "Dokumentiert die Datenschutzinformation die Bereitstellung von Daten in maschinenlesbarem Format für Fälle mit Einwilligung oder Vertrag als Rechtsgrundlage?",
"pass_criteria": "[\"Datenübertragbarkeit bei Einwilligung oder Vertrag erwähnt\", \"maschinenlesbares Format genannt\"]",
"fail_criteria": "[\"Maschinenlesbare Formate werden nicht angeboten\", \"Keine Differenzierung nach Rechtsgrundlagen\", \"Abruf nur in unstrukturierten Formaten (z.B. PDF) möglich\"]"
},
"new": {
"title": "Recht auf Datenübertragbarkeit (Einwilligung/Vertrag) offenlegen",
"check_question": "Informiert die Datenschutzinformation über das Recht auf Datenübertragbarkeit (bei Einwilligung oder Vertrag)?",
"pass_criteria": [
"Recht auf Datenübertragbarkeit erwähnt (bei Einwilligung oder Vertrag)"
],
"fail_criteria": [
"Recht auf Datenübertragbarkeit nicht erwähnt"
]
}
},
{
"control_id": "GOV-3300-A06",
"klasse": "B",
"legal_note": "Wie DATA-424-A09 (Art. 20): Format-Nennung in der DSE nicht gefordert. Dedupe-Kandidat zu DATA-424-A09.",
"changed_fields": [
"pass_criteria",
"fail_criteria"
],
"old": {
"pass_criteria": "[\"Recht auf Datenübertragbarkeit erwähnt\", \"strukturiertes oder maschinenlesbares Format genannt\"]",
"fail_criteria": "[\"Nur Bereitstellung in nicht-maschinenlesbaren Formaten (PDF, Papier)\", \"Vage Aussagen zu 'gängigen Formaten' ohne konkrete Nennung\", \"Einschränkung auf proprietäre oder nicht-standardisierte Formate\"]"
},
"new": {
"pass_criteria": [
"Recht auf Datenübertragbarkeit erwähnt"
],
"fail_criteria": [
"Recht auf Datenübertragbarkeit nicht erwähnt"
]
}
},
{
"control_id": "AI-1560-A01",
"klasse": "C",
"legal_note": "Zweck-Offenlegung (Art. 13(1)(c)) und Speicherdauer (Art. 13(2)(a)) sind verschiedene Pflichten; die Speicherdauer-Forderung gehört nicht in den Zweck-Control und wird entfernt.",
"changed_fields": [
"pass_criteria",
"fail_criteria"
],
"old": {
"pass_criteria": "[\"Schriftliche Dokumentation aller Verarbeitungszwecke\", \"Verständliche Darstellung für Betroffene (keine Fachjargon ohne Erklärung)\", \"Einhaltung des Zweckbindungsprinzips (Zwecke sind spezifisch und nicht beliebig erweiterbar)\", \"Dokumentation der Zwecke in der Datenschutzerklärung oder Datenschutzinformation\", \"Angabe von Speicherdauer in Bezug auf Verarbeitungszwecke\"]",
"fail_criteria": "[\"Unklare oder mehrdeutige Zweckbeschreibungen\", \"Fehlende Dokumentation in Datenschutzerklärung\", \"Zu breite Zweckdefinitionen, die Zweckentfremdung ermöglichen\"]"
},
"new": {
"pass_criteria": [
"Verarbeitungszwecke in der Datenschutzerklärung genannt",
"verständliche Darstellung für Betroffene"
],
"fail_criteria": [
"Verarbeitungszwecke nicht genannt",
"nur unklare/zu breite Zweckfloskeln, die jede Nutzung erlauben"
]
}
},
{
"control_id": "SEC-3444-A04",
"klasse": "C",
"legal_note": "In der DSE wird die Zweckbindung OFFENGELEGT (Art. 13(1)(c)); ob Sekundärverarbeitung tatsächlich 'beschränkt' wird, ist eine Verhaltensfrage und aus dem Text nicht prüfbar. Titel/Frage an den Offenlegungs-Charakter angeglichen.",
"changed_fields": [
"title",
"check_question",
"pass_criteria",
"fail_criteria"
],
"old": {
"title": "Sekundärverarbeitungen auf Notwendigkeit beschränken",
"check_question": "Beschränkt die Datenschutzinformation Sekundärverarbeitungen von Adressendaten auf die ursprünglichen Zwecke und notwendige Folgemaßnahmen?",
"pass_criteria": "[\"ursprünglicher Verarbeitungszweck benannt\", \"Zweckbindung der Daten angegeben\"]",
"fail_criteria": "[\"Uneingeschränkte Erlaubnis zur Datennutzung für beliebige Zwecke\", \"Keine Differenzierung zwischen ursprünglichem und neuem Zweck\", \"Fehlende Nennung konkreter Folgemaßnahmen\"]"
},
"new": {
"title": "Zweckbindung der Datenverarbeitung offenlegen",
"check_question": "Legt die Datenschutzinformation den ursprünglichen Zweck und die Zweckbindung der Daten offen?",
"pass_criteria": [
"ursprünglicher Verarbeitungszweck benannt",
"Zweckbindung der Daten angegeben"
],
"fail_criteria": [
"kein Zweck genannt",
"uneingeschränkte Nutzung für beliebige Zwecke erlaubt"
]
}
},
{
"control_id": "DATA-1624-A06",
"klasse": "C",
"legal_note": "Art. 13(1)(f): Beschreibung der Schutzwirkung nicht gefordert. ⚠️ Near-Duplikat zu DATA-1624-A03 → Dedupe als separater Catalog-Schritt empfohlen (hier NICHT gelöscht).",
"changed_fields": [
"title",
"check_question",
"pass_criteria",
"fail_criteria"
],
"old": {
"title": "Übermittlung von Drittland-Schutzgarantie-Informationen verifizieren",
"check_question": "Informiert die Datenschutzinformation betroffene Personen über die angewendeten Schutzmechanismen bei Datenübermittlungen in Drittländer (Adequacy Decisions, SCCs, BCRs)?",
"pass_criteria": "[\"Explizite Nennung der angewendeten Schutzmechanismen (z.B. 'Adequacy Decision der EU-Kommission', 'Standarddatenschutzklauseln', 'Binding Corporate Rules')\", \"Angabe der betroffenen Drittländer oder Regionen\", \"Beschreibung der Garantien und Schutzmaßnahmen für die Datenübermittlung\", \"Verweis auf Dokumentation oder Rechtsgrundlagen (z.B. Verträge, Entscheidungen)\", \"Information über Rechte der betroffenen Person bei Drittlandtransfers\"]",
"fail_criteria": "[\"Nur pauschale Aussage 'Daten werden geschützt übermittelt' ohne Nennung konkreter Mechanismen\", \"Aufzählung von Drittländern ohne Angabe der Schutzmechanismen\", \"Fehlende Differenzierung zwischen verschiedenen Übermittlungsszenarien\"]"
},
"new": {
"title": "Schutzgarantien bei Drittlandübermittlung offenlegen",
"check_question": "Informiert die Datenschutzinformation über die angewendeten Schutzmechanismen bei Drittlandtransfers?",
"pass_criteria": [
"Schutzmechanismus genannt (Adäquanzbeschluss/SCC/BCR)",
"betroffene Drittländer oder Regionen angegeben",
"Zugang/Verweis zur Garantie angegeben (Link oder Kontakt)"
],
"fail_criteria": [
"Drittlandtransfer ohne Nennung eines Schutzmechanismus",
"nur pauschal 'Daten werden geschützt übermittelt'"
]
}
},
{
"control_id": "DATA-2812-A05",
"klasse": "C",
"legal_note": "DSE-Offenlegung des Lösch-/Verwaltungswegs (Art. 17 / §25 TTDSG-Kontext); ein Verweis auf Cookie-Einstellungen/Banner oder Browser genügt — eine Schritt-für-Schritt-Anleitung ist nicht gefordert. FRAGE war bereits disclosure-framed → bleibt DSE.",
"changed_fields": [
"title",
"pass_criteria",
"fail_criteria"
],
"old": {
"title": "Löschungsrecht für Cookies und Speicherdaten implementieren",
"pass_criteria": "[\"Recht auf Löschung von Cookie- oder Speicherdaten beschrieben\", \"Verwaltung oder Löschung von Cookies angesprochen\"]",
"fail_criteria": "[\"Cookies werden nicht erwähnt oder als unvermeidbar dargestellt\", \"Keine Anleitung zur Löschung oder Verwaltung von Cookies\", \"Keine Möglichkeit zur Ablehnung oder zum Widerruf von Cookies beschrieben\"]"
},
"new": {
"title": "Recht auf Löschung von Cookie-/Speicherdaten offenlegen",
"pass_criteria": [
"Recht auf Löschung/Verwaltung von Cookie- bzw. Speicherdaten beschrieben",
"Hinweis auf Verwaltungs-/Löschweg (Cookie-Einstellungen, Banner oder Browser) — Verweis/Link genügt"
],
"fail_criteria": [
"Cookies/Speicherdaten ohne jeden Hinweis auf Löschung/Verwaltung",
"Löschung/Verwaltung ausdrücklich verweigert"
]
}
}
]
Reference in New Issue View Git Blame Copy Permalink