Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
686834cea0ec49c669ab73effa2b4fe671a636f7
breakpilot-compliance/backend-compliance/compliance/services/doc_checks/dse_checks.py
T
Benjamin Admin 686834cea0
Build + Deploy / build-ai-sdk (push) Failing after 36s
Details
Build + Deploy / build-developer-portal (push) Successful in 8s
Details
Build + Deploy / build-tts (push) Successful in 7s
Details
Build + Deploy / build-document-crawler (push) Successful in 7s
Details
Build + Deploy / build-admin-compliance (push) Successful in 8s
Details
Build + Deploy / build-backend-compliance (push) Successful in 8s
Details
CI / nodejs-build (push) Successful in 3m14s
Details
CI / dep-audit (push) Has been skipped
Details
CI / sbom-scan (push) Has been skipped
Details
CI / test-go (push) Failing after 46s
Details
CI / test-python-backend (push) Successful in 43s
Details
CI / test-python-document-crawler (push) Successful in 29s
Details
CI / test-python-dsms-gateway (push) Successful in 30s
Details
CI / validate-canonical-controls (push) Successful in 16s
Details
Build + Deploy / build-dsms-gateway (push) Successful in 8s
Details
Build + Deploy / build-dsms-node (push) Successful in 8s
Details
CI / branch-name (push) Has been skipped
Details
Build + Deploy / trigger-orca (push) Has been skipped
Details
CI / guardrail-integrity (push) Has been skipped
Details
CI / loc-budget (push) Failing after 17s
Details
CI / secret-scan (push) Has been skipped
Details
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
feat: 4 remaining tasks — EU institutions, banner integration, JS-sites, Caritas fixes 
1. EU Institution Checks (Verordnung 2018/1725):
   - New doc_type "eu_institution" with 9 L1 + 15 L2 checks
   - Both German + English patterns (EU institutions are multilingual)
   - Auto-detection via "2018/1725", "EDSB", "EDPS" keywords
   - Correct article references (Art. 15 instead of 13, Art. 5 instead of 6)

2. Banner Check Integration:
   - banner_runner.py maps scan results to 36 L1/L2 structured checks
   - BannerCheckTab shows hierarchical ChecklistView with hints
   - 3-phase summary (cookies/scripts before/after consent)
   - /scan endpoint now includes structured_checks in response

3. JS-heavy Website Fixes (dm, Zalando, HWK):
   - dsi_helpers.py: goto_resilient (networkidle→domcontentloaded fallback)
   - try_dismiss_consent_banner before text extraction
   - PDF redirect detection (dm.de redirects to GCS PDF)

4. Caritas False Positive Fixes:
   - Phone regex allows parentheses: +49 (0)761 → now matches
   - "Recht auf Widerspruch" (3 words) + §23 KDG → matches Art. 21
   - Church authorities: "Katholisches Datenschutzzentrum" recognized

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-05-08 01:10:10 +02:00

398 lines
22 KiB
Python
Raw Blame History

"""
DSE (Datenschutzinformation) checks — Art. 13/14 DSGVO.
Level 1: Pflichtangabe erwaehnt?
Level 2: Pflichtangabe korrekt/vollstaendig?
"""
ART13_CHECKLIST = [
# ── L1: Verantwortlicher ──────────────────────────────────────────
{
"id": "controller",
"label": "Verantwortlicher (Art. 13(1)(a))",
"level": 1, "parent": None,
"patterns": [
r"verantwortlich\w*\s+(?:ist|im sinne|fuer|f(?:ue|ü)r)",
r"kontaktdaten\s+des\s+verantwortlichen",
r"name\s+(?:und|&)\s+kontaktdaten\s+des",
r"controller", r"verantwortliche\s+stelle",
r"responsible\s+(?:party|for)",
],
"severity": "HIGH",
"hint": "Art. 13(1)(a) DSGVO verlangt vollstaendige Identifizierung: Firmenname mit Rechtsform (z.B. 'Muster GmbH'), ladungsfaehige Anschrift, E-Mail und Telefon. Haeufiger Fehler: Nur Markenname ohne Rechtsform — das genuegt nicht zur Zustellung.",
},
{
"id": "controller_address",
"label": "Vollstaendige Anschrift (PLZ + Ort)",
"level": 2, "parent": "controller",
"patterns": [
r"(?:d[\-\s]?)?\d{5}\s+[a-z\u00c0-\u017e]\w{2,}",
r"[a-z\u00c0-\u017e]\w+(?:str|stra(?:ss|ß)e|weg|platz|allee|gasse|ring|damm)\s*\.?\s*\d",
],
"severity": "MEDIUM",
"hint": "Erforderlich ist eine ladungsfaehige Anschrift (Strasse, Hausnummer, PLZ, Ort). Haeufiger Fehler: Postfach oder c/o-Adresse — beides genuegt laut BGH (I ZR 228/03) nicht fuer die Zustellung.",
},
{
"id": "controller_email",
"label": "E-Mail-Adresse des Verantwortlichen",
"level": 2, "parent": "controller",
"patterns": [
r"[a-z0-9._%+\-]+@[a-z0-9.\-]+\.[a-z]{2,}",
],
"severity": "MEDIUM",
"hint": "Ohne E-Mail-Adresse koennen Betroffene ihre Rechte (Art. 15-21 DSGVO) nicht niedrigschwellig ausueben. Haeufiger Fehler: Nur Kontaktformular statt E-Mail — ein Formular allein genuegt nicht als unmittelbarer Kommunikationskanal.",
},
{
"id": "controller_phone",
"label": "Telefonnummer des Verantwortlichen",
"level": 2, "parent": "controller",
"patterns": [
r"(?:tel(?:efon)?|phone|fon)\s*[.:]\s*[\+\d][\d\s/\-\(\)]{6,}",
r"\+49\s*[\d\s/\-\(\)]{8,}",
r"0\d{2,4}\s*[\(/\-\s]\s*\d{3,}",
],
"severity": "MEDIUM",
"hint": "EuGH (C-298/17, 'Verein fuer Konsumenteninformation') verlangt effektive Kontaktmoeglichkeit. Telefon ist nicht zwingend, aber empfohlen — fehlt sie, muss ein gleichwertiger Kanal (z.B. Chat, Rueckruf) angeboten werden.",
},
# ── L1: Datenschutzbeauftragter ───────────────────────────────────
{
"id": "dpo",
"label": "Datenschutzbeauftragter (Art. 13(1)(b))",
"level": 1, "parent": None,
"patterns": [
r"datenschutzbeauftragt", r"data\s+protection\s+officer",
r"kontaktdaten\s+de[rs]\s+(?:beh(?:oe|ö)rdlichen\s+)?datenschutz",
r"dsb", r"dpo",
],
"severity": "MEDIUM",
"hint": "DSB-Benennungspflicht besteht ab 20 Personen regelmaessig mit automatisierter Datenverarbeitung (§38 BDSG) oder bei Kerntaetigkeit in Ueberwachung/sensiblen Daten (Art. 37 DSGVO). Haeufiger Fehler: DSB bestellt, aber nicht in der DSE erwaehnt.",
},
{
"id": "dpo_contact",
"label": "Kontaktdaten des DSB (E-Mail oder Telefon)",
"level": 2, "parent": "dpo",
"patterns": [
r"datenschutz(?:beauftragter?|beauftragte)[\s\S]{0,300}[a-z0-9._%+\-]+@",
r"dsb[\s\S]{0,100}@|dpo[\s\S]{0,100}@",
r"datenschutz@",
r"datenschutzbeauftragt[\s\S]{0,200}(?:e-?mail|telefon|fon)",
],
"severity": "MEDIUM",
"hint": "Art. 37(7) DSGVO verlangt Veroeffentlichung der Kontaktdaten des DSB. Mindestens eine E-Mail ist noetig — den Namen muessen Sie nicht nennen. Haeufiger Fehler: DSB wird erwaehnt, aber ohne jede Kontaktmoeglichkeit.",
},
# ── L1: Zwecke der Verarbeitung ───────────────────────────────────
{
"id": "purposes",
"label": "Zwecke der Verarbeitung (Art. 13(1)(c))",
"level": 1, "parent": None,
"patterns": [
r"zweck\w*\s+(?:der|und|die)\s+(?:verarbeitung|datenerhebung|datenverarbeitung|rechtsgrundlage)",
r"purpose\w*\s+(?:of|for)\s+(?:processing|data)",
r"zu\s+welch\w+\s+zweck",
r"welche\s+daten\s+werden.*verarbeitet",
r"daten\s+werden\s+(?:zu|fuer|für)\s+(?:folgende|diese)",
],
"severity": "HIGH",
"hint": "Art. 13(1)(c) verlangt konkrete Zweckangaben — nicht nur 'Wir verarbeiten Ihre Daten'. Jeder Dienst braucht einen eigenen Zweck: z.B. 'Webanalyse via Matomo', 'Newsletter-Versand', 'Kontaktanfragen'. Pauschalformulierungen verstiessen laut DSK gegen den Transparenzgrundsatz (Art. 5(1)(a)).",
},
{
"id": "purposes_specific",
"label": "Konkrete Zwecke benannt (min. 2)",
"level": 2, "parent": "purposes",
"patterns": [
r"(?:kontaktaufnahme|vertragserfuellung|vertragserf(?:ue|ü)llung|newsletter|analyse|statistik|werbung|marketing|bewerbung|bestellabwicklung|kundenkonto)",
r"(?:bereitstellung|betrieb|sicherheit|optimierung)\s+(?:der|des|unserer|unseres)",
],
"severity": "LOW",
"hint": "Mindestens 2 konkrete Zwecke benennen, jeweils mit zugehoeriger Rechtsgrundlage. Beispiel: 'Vertragsabwicklung (Art. 6(1)(b))', 'Website-Analyse (Art. 6(1)(f))'. Einzelne Pauschalangabe genuegt nicht dem Bestimmtheitsgrundsatz.",
},
# ── L1: Rechtsgrundlage ───────────────────────────────────────────
{
"id": "legal_basis",
"label": "Rechtsgrundlage (Art. 13(1)(c))",
"level": 1, "parent": None,
"patterns": [
r"rechtsgrundlage", r"art\.\s*6\s*(?:abs|absatz)?\s*\.?\s*1",
r"legal\s+basis", r"berechtigtes\s+interesse",
r"auf\s+grundlage\s+(?:von|des|der)\s+(?:art|§)",
r"lit\.\s*[a-f][\s\)]",
r"gem(?:ae|ä)(?:ss|ß)\s+art",
r"§\s*\d+\s+(?:abs|ihkg|bdsg|ldsg|bbig|tdddg)",
r"einwilligung\s+gem",
],
"severity": "HIGH",
"hint": "Jeder Verarbeitungszweck braucht eine eigene Rechtsgrundlage aus Art. 6(1) DSGVO (lit. a-f). Haeufiger Fehler: 'berechtigtes Interesse' als Auffangtatbestand fuer alles — das ist unzulaessig. Cookies/Tracking erfordern i.d.R. Einwilligung (lit. a), nicht lit. f.",
},
{
"id": "legal_basis_consent_6a",
"label": "Art. 6(1)(a) — Einwilligung",
"level": 2, "parent": "legal_basis",
"patterns": [
r"art\.\s*6\s*(?:abs\.\s*)?1\s*(?:s\.\s*1\s*)?(?:lit\.\s*)?a",
r"einwilligung\s+(?:gem|nach|i\.?\s*s\.?\s*d\.?)",
],
"severity": "LOW",
"hint": "Bei Einwilligung (Art. 6(1)(a)) muss zwingend auf das jederzeitige Widerrufsrecht hingewiesen werden (Art. 7(3) DSGVO). Haeufiger Fehler: Widerruf wird erwaehnt, aber ohne konkreten Weg (z.B. Link, E-Mail-Adresse, Abmeldelink).",
},
{
"id": "legal_basis_contract_6b",
"label": "Art. 6(1)(b) — Vertragserfullung",
"level": 2, "parent": "legal_basis",
"patterns": [
r"art\.\s*6\s*(?:abs\.\s*)?1\s*(?:s\.\s*1\s*)?(?:lit\.\s*)?b",
r"vertragserf(?:ue|ü)llung",
r"durchf(?:ue|ü)hrung\s+(?:eines|des|vorvertragliche)",
],
"severity": "LOW",
"hint": "Art. 6(1)(b) gilt nur fuer Daten, die zur Vertragsdurchfuehrung objektiv erforderlich sind. Haeufiger Fehler: Tracking/Werbung auf lit. b stuetzen — laut EDSA (Guidelines 2/2019) ist das unzulaessig. Solche Zwecke erfordern lit. a oder lit. f.",
},
{
"id": "legal_basis_interest_6f",
"label": "Art. 6(1)(f) — Berechtigtes Interesse",
"level": 2, "parent": "legal_basis",
"patterns": [
r"art\.\s*6\s*(?:abs\.\s*)?1\s*(?:s\.\s*1\s*)?(?:lit\.\s*)?f",
r"berechtigte[sn]?\s+interesse",
],
"severity": "LOW",
"hint": "Bei Art. 6(1)(f) muss das konkrete Interesse benannt werden — 'berechtigtes Interesse' allein genuegt nicht. Beispiele: 'IT-Sicherheit', 'Betrugspraevention', 'Direktwerbung (ErwGr. 47)'. Ohne Benennung ist die Angabe intransparent.",
},
{
"id": "legal_basis_balancing",
"label": "Interessenabwaegung dokumentiert",
"level": 2, "parent": "legal_basis",
"patterns": [
r"interessenabw(?:ae|ä)gung",
r"(?:ueberwiegen|überwiegen).*interesse",
r"abw(?:ae|ä)gung.*(?:recht|interesse|freiheit)",
],
"severity": "LOW",
"hint": "Art. 6(1)(f) erfordert eine dokumentierte Interessenabwaegung. Beschreiben Sie: (1) das konkrete Interesse, (2) warum es die Grundrechte der Betroffenen ueberwiegt, (3) welche Schutzmassnahmen bestehen. Fehlende Abwaegung ist ein haeufiger Bussgeldgrund.",
},
# ── L1: Empfaenger ────────────────────────────────────────────────
{
"id": "recipients",
"label": "Empfaenger (Art. 13(1)(e))",
"level": 1, "parent": None,
"patterns": [
r"empf(?:ae|ä)nger", r"(?:ueber|über|weiter)mitt(?:el|l)ung",
r"recipient", r"weitergabe\s+(?:an|von)\s+daten",
r"dritte", r"third\s+part",
r"auftragsverarbeit",
],
"severity": "MEDIUM",
"hint": "Art. 13(1)(e) verlangt Benennung der Empfaenger oder Empfaenger-Kategorien. Haeufiger Fehler: Google Analytics, Meta Pixel o.ae. werden eingebunden, aber nicht als Empfaenger genannt. Jeder Drittdienst mit Datenzugang muss erwaehnt werden.",
},
{
"id": "recipients_categories",
"label": "Konkrete Empfaenger-Kategorien benannt",
"level": 2, "parent": "recipients",
"patterns": [
r"(?:hosting|server|cloud|payment|zahlungs|versand|logistik|steuerberater|buchhalter|newsletter|crm|erp)",
r"(?:dienstleister|auftragnehmer|subunternehmer).*(?:fuer|für|im bereich)",
],
"severity": "LOW",
"hint": "'An Dritte' oder 'an Dienstleister' ist zu unbestimmt. Nennen Sie Kategorien: z.B. 'Hosting (Hetzner)', 'Zahlungsabwicklung (Stripe)', 'E-Mail-Versand (Mailchimp)'. EuGH (C-154/21, 'RW') fordert moeglichst konkrete Benennung.",
},
{
"id": "recipients_processor",
"label": "Auftragsverarbeiter erwaehnt",
"level": 2, "parent": "recipients",
"patterns": [
r"auftragsverarbeit(?:er|ung)",
r"art\.\s*28",
r"avv|av-vertrag|auftragsverarbeitungsvertrag",
],
"severity": "LOW",
"hint": "Jeder Auftragsverarbeiter (Cloud-Hosting, Newsletter-Tool, CRM) erfordert einen AVV nach Art. 28 DSGVO. Erwaehnen Sie, dass AVVs abgeschlossen sind. Haeufiger Fehler: SaaS-Dienste (Mailchimp, HubSpot) ohne AVV einsetzen — das ist ein eigener DSGVO-Verstoss.",
},
# ── L1: Drittlandtransfer ─────────────────────────────────────────
{
"id": "third_country",
"label": "Drittlandtransfer (Art. 13(1)(f))",
"level": 1, "parent": None,
"patterns": [
r"drittland", r"dritt\s*staat", r"drittl(?:ae|ä)nder",
r"third\s+countr", r"angemessenheitsbeschluss",
r"standard\s*vertragsklausel", r"scc",
r"(?:ueber|über)mittlung.*(?:ausserhalb|außerhalb)",
r"(?:europ(?:ae|ä)ischen\s+wirtschaftsraum|ewr|eea)",
r"privacy\s+shield", r"data\s+privacy\s+framework",
],
"severity": "MEDIUM",
"hint": "Art. 13(1)(f) DSGVO: Bei jedem Drittlandtransfer muessen Empfaengerland und Schutzgarantien genannt werden. Pruefen Sie: Google Fonts, reCAPTCHA, YouTube-Embeds, CDNs — all das sind USA-Transfers. Fehlende Angabe war Grundlage zahlreicher DSGVO-Bussgelder.",
},
{
"id": "third_country_mechanism",
"label": "Transfermechanismus benannt (SCC/DPF/Angemessenheit)",
"level": 2, "parent": "third_country",
"patterns": [
r"standard\s*vertragsklausel|scc|standard\s+contractual",
r"data\s+privacy\s+framework|dpf",
r"angemessenheitsbeschluss|adequacy\s+decision",
r"art\.\s*4[5-9]",
],
"severity": "MEDIUM",
"hint": "Bei Drittlandtransfers muss der konkrete Schutzmechanismus benannt werden. Hinweis: Das EU-US Privacy Shield ist seit dem EuGH-Urteil 'Schrems II' (Juli 2020) ungueltig. Aktualisieren Sie auf: EU-US Data Privacy Framework/DPF (Angemessenheitsbeschluss seit Juli 2023) oder Standardvertragsklauseln/SCC (Art. 46(2)(c) DSGVO).",
},
# ── L1: Speicherdauer ─────────────────────────────────────────────
{
"id": "retention",
"label": "Speicherdauer (Art. 13(2)(a))",
"level": 1, "parent": None,
"patterns": [
r"speicherdauer", r"aufbewahrungsfrist",
r"(?:wie\s+lange|dauer)\s+(?:der\s+)?(?:werden|gespeicher|speicherung)",
r"retention\s+period", r"l(?:oe|ö)sch(?:ung|frist|konzept)",
r"daten\s+werden\s+gel(?:oe|ö)scht",
r"(?:\d+\s+(?:tage|monate|jahre)|nach\s+\d+\s+(?:tag|monat|jahr))",
r"dauer\s+der\s+speicherung",
r"aufbewahrung(?:sdauer|spflicht|szeit)",
r"gesetzliche.*aufbewahrung",
],
"severity": "HIGH",
"hint": "Art. 13(2)(a) verlangt Speicherdauer ODER Kriterien zur Festlegung. 'So lange wie noetig' genuegt nicht. Nennen Sie gesetzliche Fristen: 6 Jahre Handelsrecht (§257 HGB), 10 Jahre Steuerrecht (§147 AO), oder eigene Fristen pro Zweck.",
},
{
"id": "retention_periods",
"label": "Konkrete Zeitangaben (Tage/Monate/Jahre)",
"level": 2, "parent": "retention",
"patterns": [
r"\d+\s+(?:tage?|monate?|jahre?|days?|months?|years?)",
r"(?:6|10)\s+jahre.*(?:handels|steuer|hgb|ao)",
r"(?:nach|innerhalb)\s+(?:von\s+)?\d+\s+(?:tag|monat|jahr)",
],
"severity": "MEDIUM",
"hint": "Konkrete Fristen pro Datenkategorie nennen: Logfiles 7-30 Tage, Rechnungen 10 Jahre (§147 AO), Bewerbungen 6 Monate (AGG-Frist), Newsletter-Daten bis Widerruf. Haeufiger Fehler: Nur eine pauschale Frist fuer alle Datenarten.",
},
{
"id": "retention_deletion",
"label": "Loeschkonzept/-prozess beschrieben",
"level": 2, "parent": "retention",
"patterns": [
r"l(?:oe|ö)schkonzept", r"l(?:oe|ö)schfrist",
r"(?:regel|routinem(?:ae|ä)(?:ss|ß)ig).*l(?:oe|ö)sch",
r"nach\s+(?:ablauf|wegfall|fortfall|entfall|beendigung).*(?:gel(?:oe|ö)scht|l(?:oe|ö)sch)",
r"(?:gel(?:oe|ö)scht|l(?:oe|ö)schung)\s+nach\s+(?:ablauf|wegfall|fortfall)",
r"zweck\s+(?:entf(?:ae|ä)llt|wegf(?:ae|ä)llt).*(?:gel(?:oe|ö)scht|l(?:oe|ö)sch)",
],
"severity": "LOW",
"hint": "Art. 5(1)(e) DSGVO (Speicherbegrenzung) erfordert ein Loeschkonzept. Beschreiben Sie den Prozess: automatische Loeschung nach Fristablauf, regelmaessige Pruefzyklen, oder Verweis auf DIN 66398 (Loeschkonzept). Reine Archivierung ohne Loeschfrist genuegt nicht.",
},
# ── L1: Betroffenenrechte ─────────────────────────────────────────
{
"id": "rights",
"label": "Betroffenenrechte (Art. 13(2)(b))",
"level": 1, "parent": None,
"patterns": [
r"recht\s+auf\s+auskunft", r"recht\s+auf\s+l(?:oe|ö)schung",
r"recht\s+auf\s+berichtigung", r"widerspruchsrecht",
r"art\.\s*1[5-9]", r"art\.\s*2[0-2]",
r"right\s+to\s+(?:access|erasure|rectification|object)",
r"betroffenenrecht", r"rechte\s+(?:des|der)\s+betroffenen",
r"ihnen\s+(?:stehen|steht)\s+(?:ein|folgende)\s+recht",
],
"severity": "HIGH",
"hint": "Art. 13(2)(b)-(d) verlangt Nennung ALLER Betroffenenrechte: Auskunft (Art. 15), Berichtigung (16), Loeschung (17), Einschraenkung (18), Portabilitaet (20), Widerspruch (21). Haeufiger Fehler: Art. 18 (Einschraenkung) oder Art. 20 (Portabilitaet) fehlen.",
},
{
"id": "rights_art15",
"label": "Recht auf Auskunft (Art. 15)",
"level": 2, "parent": "rights",
"patterns": [r"art\.\s*15", r"recht\s+auf\s+(?:\w+\s+)?auskunft", r"auskunft\s+(?:ueber|über)\s+(?:herkunft|ihre)", r"right\s+(?:of|to)\s+access"],
"severity": "LOW",
"hint": "Art. 15 DSGVO: Betroffene koennen kostenlos Auskunft und eine Kopie aller Daten verlangen. Antwortfrist: 1 Monat (Art. 12(3)). Haeufiger Fehler: Kein Hinweis auf Kostenfreiheit oder den konkreten Anfrageweg (E-Mail-Adresse).",
},
{
"id": "rights_art16",
"label": "Recht auf Berichtigung (Art. 16)",
"level": 2, "parent": "rights",
"patterns": [r"art\.\s*16", r"recht\s+auf\s+berichtigung", r"right\s+to\s+rectification"],
"severity": "LOW",
"hint": "Art. 16 DSGVO: Betroffene koennen Berichtigung unrichtiger Daten und Vervollstaendigung unvollstaendiger Daten verlangen. Nennen Sie den konkreten Weg zur Geltendmachung (z.B. E-Mail an datenschutz@...).",
},
{
"id": "rights_art17",
"label": "Recht auf Loeschung (Art. 17)",
"level": 2, "parent": "rights",
"patterns": [r"art\.\s*17", r"recht\s+auf\s+(?:\w+\s+)?l(?:oe|ö)schung", r"(?:berichtigung|korrektur)\s+oder\s+l(?:oe|ö)schung", r"right\s+to\s+erasure"],
"severity": "LOW",
"hint": "Art. 17 DSGVO ('Recht auf Vergessenwerden'): Loeschung ist Pflicht, wenn Zweck entfaellt, Einwilligung widerrufen wird oder Daten unrechtmaessig verarbeitet wurden. Erwaehnen Sie auch die Ausnahmen (z.B. gesetzliche Aufbewahrungspflichten §257 HGB, §147 AO).",
},
{
"id": "rights_art18",
"label": "Recht auf Einschraenkung (Art. 18)",
"level": 2, "parent": "rights",
"patterns": [r"art\.\s*18", r"einschr(?:ae|ä)nkung\s+der\s+verarbeitung", r"right\s+to\s+restriction"],
"severity": "LOW",
"hint": "Art. 18 DSGVO wird am haeufigsten vergessen. Einschraenkung greift z.B. bei bestrittener Richtigkeit oder laufendem Widerspruch. Konkret nennen: 'Statt Loeschung koennen Sie Einschraenkung der Verarbeitung verlangen (Art. 18 DSGVO).'",
},
{
"id": "rights_art20",
"label": "Recht auf Datenportabilitaet (Art. 20)",
"level": 2, "parent": "rights",
"patterns": [r"art\.\s*20", r"daten(?:ue|ü)bertrag(?:ung|barkeit)|datenportabilit", r"maschinenlesbar\w*\s+format", r"right\s+to\s+data\s+portability"],
"severity": "LOW",
"hint": "Art. 20 DSGVO: Gilt nur bei Verarbeitung auf Basis von Einwilligung (Art. 6(1)(a)) oder Vertrag (Art. 6(1)(b)) UND automatisierter Verarbeitung. Format: strukturiert, gaengig, maschinenlesbar (z.B. JSON, CSV). Nicht anwendbar bei Art. 6(1)(f).",
},
{
"id": "rights_art21",
"label": "Widerspruchsrecht (Art. 21)",
"level": 2, "parent": "rights",
"patterns": [r"art\.\s*21", r"widerspruchsrecht", r"recht\s+auf\s+widerspruch", r"§\s*23\s+kdg", r"right\s+to\s+object"],
"severity": "LOW",
"hint": "Art. 21(4) DSGVO: Der Widerspruchshinweis muss spaetestens zum Zeitpunkt der ersten Kommunikation GESONDERT und in klarer Sprache erfolgen. Haeufiger Fehler: Widerspruchsrecht nur im Fliesstext versteckt — eigener Abschnitt/Hervorhebung noetig.",
},
{
"id": "rights_art22_profiling",
"label": "Automatisierte Entscheidungen / Profiling (Art. 22)",
"level": 2, "parent": "rights",
"patterns": [
r"art\.\s*22", r"automatisierte\s+entscheidung",
r"profiling", r"automated\s+(?:decision|individual)",
],
"severity": "LOW",
"hint": "Art. 13(2)(f): Bei automatisierten Einzelentscheidungen muessen Logik, Tragweite und Auswirkungen erklaert werden. Falls kein Profiling stattfindet, explizit verneinen: 'Es findet keine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO statt.'",
},
# ── L1: Beschwerderecht ───────────────────────────────────────────
{
"id": "complaint",
"label": "Beschwerderecht (Art. 13(2)(d))",
"level": 1, "parent": None,
"patterns": [
r"beschwerderecht", r"aufsichtsbeh(?:oe|ö)rde",
r"right\s+to\s+lodge\s+a\s+complaint",
r"supervisory\s+authority", r"datenschutzbeh(?:oe|ö)rde",
r"recht\s+auf\s+beschwerde", r"art\.\s*77",
r"beschwerde.*(?:wenden|einlegen|erheben)",
r"(?:zust(?:ae|ä)ndige|competent)\s+(?:beh(?:oe|ö)rde|authority)",
],
"severity": "MEDIUM",
"hint": "Art. 13(2)(d) verlangt einen Hinweis auf das Beschwerderecht bei der Aufsichtsbehoerde (Art. 77 DSGVO). Zustaendig ist die Behoerde am Sitz des Verantwortlichen — z.B. LfDI Baden-Wuerttemberg, BayLDA, oder LfD Niedersachsen. Name und Website angeben.",
},
{
"id": "complaint_authority_named",
"label": "Konkrete Aufsichtsbehoerde benannt",
"level": 2, "parent": "complaint",
"patterns": [
r"(?:landes|l)(?:beauftragt|datenschutz).*(?:niedersachsen|bayern|nrw|nordrhein|hessen|baden|schleswig|brandenburg|sachsen|berlin|hamburg|bremen|thueringen|thüringen|saarland|rheinland|mecklenburg)",
r"l(?:an)?fdi\s+\w+",
r"bfdi",
r"(?:bayerische|hessische|s(?:ae|ä)chsische|berliner)\s+(?:datenschutz|aufsicht)",
r"(?:katholisch|evangelisch|kirchlich)\w*\s+datenschutz",
r"datenschutzzentrum",
r"kd(?:oe|ö)r",
],
"severity": "LOW",
"hint": "Vollstaendigen Namen, Adresse und Website der Aufsichtsbehoerde angeben. Haeufiger Fehler: 'die zustaendige Aufsichtsbehoerde' ohne Konkretisierung. Korrekt z.B.: 'LfDI BW, Koenigstrasse 10a, 70173 Stuttgart, www.baden-wuerttemberg.datenschutz.de'.",
},
]
Reference in New Issue View Git Blame Copy Permalink