38e278ee3c
All checks were successful
CI / go-lint (push) Has been skipped
CI / python-lint (push) Has been skipped
CI / nodejs-lint (push) Has been skipped
CI / test-go-ai-compliance (push) Successful in 32s
CI / test-python-backend-compliance (push) Successful in 29s
CI / test-python-document-crawler (push) Successful in 20s
CI / test-python-dsms-gateway (push) Successful in 18s
- 9 Regulation-JSON-Dateien (DSGVO 80, AI Act 60, NIS2 40, BDSG 30, TTDSG 20, DSA 35, Data Act 25, EU-Maschinen 15, DORA 20) - Condition-Tree-Engine fuer automatische Pflichtenselektion (all_of/any_of, 80+ Field-Paths) - Generischer JSONRegulationModule-Loader mit YAML-Fallback - Bidirektionales TOM-Control-Mapping (291 Obligation→Control, 92 Control→Obligation) - Gap-Analyse-Engine (Compliance-%, Priority Actions, Domain Breakdown) - ScopeDecision→UnifiedFacts Bridge fuer Auto-Profiling - 4 neue API-Endpoints (assess-from-scope, tom-controls, gap-analysis, reverse-lookup) - Frontend: Auto-Profiling Button, Regulation-Filter Chips, TOM-Panel, Gap-Analyse-View - 18 Unit Tests (Condition Engine, v2 Loader, TOM Mapper) Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
535 lines
32 KiB
JSON
535 lines
32 KiB
JSON
{
|
|
"regulation": "data_act",
|
|
"name": "Data Act (EU) 2023/2854",
|
|
"description": "Verordnung ueber harmonisierte Vorschriften fuer einen fairen Datenzugang und eine faire Datennutzung — Regelt den Zugang zu und die Nutzung von Daten, die durch vernetzte Produkte und verbundene Dienste erzeugt werden",
|
|
"version": "2.0",
|
|
"effective_date": "2025-09-12",
|
|
"obligations": [
|
|
{
|
|
"id": "DATAACT-OBL-001",
|
|
"title": "Datenzugangsrecht fuer Nutzer — Design-Pflicht",
|
|
"description": "Vernetzte Produkte und verbundene Dienste muessen so konzipiert und hergestellt werden, dass die bei der Nutzung erzeugten Daten dem Nutzer standardmaessig leicht, sicher und unentgeltlich zugaenglich sind.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 3", "title": "Pflicht zur Zugaenglichmachung von Daten"}],
|
|
"sources": [{"type": "article", "ref": "Art. 3 Data Act"}],
|
|
"category": "Technisch",
|
|
"responsible": "Produktmanagement",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Design-Dokumentation Data-by-Design", "Technische Zugangsspezifikation"],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.OPS.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-002",
|
|
"title": "Vorvertragliche Informationspflicht",
|
|
"description": "Vor Vertragsschluss muessen Nutzer klar und verstaendlich darueber informiert werden, welche Daten erzeugt werden, wie sie darauf zugreifen koennen und ob der Dateninhaber die Daten fuer eigene Zwecke nutzt.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 4", "title": "Vorvertragliche Informationspflichten"}],
|
|
"sources": [{"type": "article", "ref": "Art. 4 Data Act"}],
|
|
"category": "Dokumentation",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Produktinformationsblatt", "AGB mit Dateninformationen"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-003",
|
|
"title": "Recht auf Datenzugang des Nutzers",
|
|
"description": "Nutzer haben das Recht, auf die durch die Nutzung eines vernetzten Produkts erzeugten Daten unverzueglich, unentgeltlich und in einem umfassenden, strukturierten, gaengigen und maschinenlesbaren Format zuzugreifen.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 5", "title": "Recht auf Zugang zu Daten"}],
|
|
"sources": [{"type": "article", "ref": "Art. 5 Data Act"}],
|
|
"category": "Technisch",
|
|
"responsible": "CTO",
|
|
"deadline": {"type": "on_event", "event": "Anfrage des Nutzers"},
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Datenzugangs-API", "Exportfunktion im Produkt", "Nachweis maschinenlesbares Format"],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-004",
|
|
"title": "Schutz von Geschaeftsgeheimnissen beim Datenzugang",
|
|
"description": "Dateninhaber duerfen den Datenzugang nur einschraenken, soweit dies zum Schutz von Geschaeftsgeheimnissen erforderlich ist. Massnahmen muessen verhaeltnismaessig sein und duerfen den Zugang nicht unzumutbar erschweren.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 5 Abs. 8", "title": "Schutz von Geschaeftsgeheimnissen"}],
|
|
"sources": [{"type": "article", "ref": "Art. 5 Abs. 8 Data Act"}],
|
|
"category": "Governance",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Geschaeftsgeheimnis-Schutzkonzept", "Verhaeltnismaessigkeitspruefung"],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-005",
|
|
"title": "Datenweitergabe an Dritte auf Wunsch des Nutzers",
|
|
"description": "Auf Antrag des Nutzers muessen Dateninhaber die erzeugten Daten an einen vom Nutzer benannten Dritten unverzueglich, unentgeltlich und in gleicher Qualitaet wie dem Nutzer bereitstellen.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 6", "title": "Pflicht zur Bereitstellung von Daten an Dritte"}],
|
|
"sources": [{"type": "article", "ref": "Art. 6 Data Act"}],
|
|
"category": "Technisch",
|
|
"responsible": "CTO",
|
|
"deadline": {"type": "on_event", "event": "Antrag des Nutzers auf Datenweitergabe"},
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Datenweitergabe-Prozess", "Nutzerantragsformular", "Weitergabeprotokoll"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-006",
|
|
"title": "Pflichten des Datenempfaengers (Dritter)",
|
|
"description": "Datenempfaenger duerfen die erhaltenen Daten nur fuer die vereinbarten Zwecke nutzen. Sie duerfen die Daten nicht zur Entwicklung eines konkurrierenden Produkts verwenden und muessen sie nach Zweckerfuellung loeschen.",
|
|
"applies_when": "organization.receives_product_data == true",
|
|
"applies_when_condition": {"field": "organization.receives_product_data", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 7", "title": "Pflichten der Datenempfaenger"}],
|
|
"sources": [{"type": "article", "ref": "Art. 7 Data Act"}],
|
|
"category": "Compliance",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Zweckbindungsvereinbarung", "Loeschnachweis nach Zweckerfuellung"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-007",
|
|
"title": "Angemessene Verguetung fuer Datenweitergabe",
|
|
"description": "Bei Datenweitergabe an Dritte duerfen Dateninhaber eine angemessene Verguetung verlangen. Gegenueber KMU darf die Verguetung die Kosten der Bereitstellung nicht uebersteigen.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 8", "title": "Verguetung fuer die Bereitstellung von Daten"}],
|
|
"sources": [{"type": "article", "ref": "Art. 8 Data Act"}],
|
|
"category": "Governance",
|
|
"responsible": "Finanzabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Verguetungsmodell", "Kostenkalkulation", "KMU-Sondertarife"],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-008",
|
|
"title": "Faire Vertragsbedingungen fuer Datenzugang",
|
|
"description": "Vertragsbedingungen fuer den Datenzugang und die Datennutzung muessen fair, angemessen und nicht-diskriminierend sein. Einseitig benachteiligende Klauseln sind unwirksam.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 9", "title": "Missbr. Vertragsklauseln in Bezug auf Datenzugang und -nutzung"}],
|
|
"sources": [{"type": "article", "ref": "Art. 9 Data Act"}],
|
|
"category": "Governance",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Vertragspruefung auf Fairness", "AGB-Klauselkontrolle"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-009",
|
|
"title": "Unwirksamkeit missbraeuchlicher Vertragsklauseln",
|
|
"description": "Vertragsklauseln, die den Datenzugang oder die Datennutzung unangemessen einschraenken, sind nicht bindend. Die Beweislast fuer die Angemessenheit liegt beim Dateninhaber.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 10", "title": "Anwendung der Vorschriften fuer missbr. Vertragsklauseln"}],
|
|
"sources": [{"type": "article", "ref": "Art. 10 Data Act"}],
|
|
"category": "Compliance",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Klauselregister mit Fairness-Bewertung"],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-010",
|
|
"title": "Mustervertragsbedingungen beachten",
|
|
"description": "Die Kommission erstellt Mustervertragsbedingungen fuer faire Datenzugangsvereinbarungen. Dateninhaber sollten diese bei der Gestaltung ihrer Vertraege beruecksichtigen.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 12", "title": "Mustervertragsbedingungen"}],
|
|
"sources": [{"type": "article", "ref": "Art. 12 Data Act"}],
|
|
"category": "Dokumentation",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Keine direkte Sanktion (empfohlen)", "personal_liability": false},
|
|
"evidence": ["Verwendung von EU-Musterklauseln", "Dokumentation Abweichungen"],
|
|
"priority": "niedrig",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-011",
|
|
"title": "Wechsel von Cloud-Diensten — Vertragliche Mindestanforderungen",
|
|
"description": "Vertraege ueber Datenverarbeitungsdienste (Cloud, SaaS, IaaS, PaaS) muessen klare Bestimmungen zum Anbieterwechsel enthalten, einschliesslich Kuendigungsfristen, Datenexport und Uebergangsunterstuetzung.",
|
|
"applies_when": "organization.provides_cloud_services == true",
|
|
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 13", "title": "Vertragliche Rechte betreffend den Wechsel"}],
|
|
"sources": [{"type": "article", "ref": "Art. 13 Data Act"}],
|
|
"category": "Dokumentation",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Vertragliche Wechselklauseln", "Datenexport-SLA"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-012",
|
|
"title": "Technische Pflichten beim Cloud-Wechsel",
|
|
"description": "Cloud-Anbieter muessen technische Massnahmen bereitstellen, um den Wechsel zu erleichtern: Datenexport in strukturiertem Format, API-Zugang waehrend der Uebergangsphase und Loeschung nach Abschluss des Wechsels.",
|
|
"applies_when": "organization.provides_cloud_services == true",
|
|
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 14", "title": "Technische Aspekte des Wechsels"}],
|
|
"sources": [{"type": "article", "ref": "Art. 14 Data Act"}],
|
|
"category": "Technisch",
|
|
"responsible": "CTO",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Datenexport-API-Dokumentation", "Migrationsleitfaden", "Loeschbestaetigung"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-013",
|
|
"title": "Schrittweiser Abbau von Wechselgebuehren",
|
|
"description": "Wechselgebuehren muessen ab dem 12. Januar 2027 schrittweise abgebaut und ab dem 12. Januar 2027 vollstaendig abgeschafft werden. Bis dahin duerfen nur kostenbasierte Gebuehren erhoben werden.",
|
|
"applies_when": "organization.provides_cloud_services == true",
|
|
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 16", "title": "Wechselgebuehren"}],
|
|
"sources": [{"type": "article", "ref": "Art. 16 Data Act"}],
|
|
"category": "Compliance",
|
|
"responsible": "Finanzabteilung",
|
|
"deadline": {"type": "absolute", "date": "2027-01-12"},
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Gebuehrenmodell-Dokumentation", "Nachweis schrittweiser Abbau"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-014",
|
|
"title": "Interoperabilitaet von Datenverarbeitungsdiensten",
|
|
"description": "Anbieter von Datenverarbeitungsdiensten muessen offene Schnittstellen und Standards unterstuetzen, um die Interoperabilitaet zwischen verschiedenen Diensten zu gewaehrleisten.",
|
|
"applies_when": "organization.provides_cloud_services == true",
|
|
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 17", "title": "Offene Interoperabilitaetsspezifikationen"}],
|
|
"sources": [{"type": "article", "ref": "Art. 17 Data Act"}],
|
|
"category": "Technisch",
|
|
"responsible": "CTO",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Interoperabilitaets-Spezifikation", "Offene API-Dokumentation"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.OPS.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-015",
|
|
"title": "Wesentliche Anforderungen an Interoperabilitaet",
|
|
"description": "Interoperabilitaetsspezifikationen muessen transparent, offen, fair und nicht-diskriminierend sein. Sie muessen die Portabilitaet von Daten, Anwendungen und digitalen Assets ermoeglichen.",
|
|
"applies_when": "organization.provides_cloud_services == true",
|
|
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 18", "title": "Wesentliche Anforderungen fuer Interoperabilitaet"}],
|
|
"sources": [{"type": "article", "ref": "Art. 18 Data Act"}],
|
|
"category": "Technisch",
|
|
"responsible": "CTO",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Konformitaetsbewertung Interoperabilitaet", "Standardkonformitaet"],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.OPS.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-016",
|
|
"title": "Datenzugang fuer oeffentliche Stellen bei aussergewoehnlichem Bedarf",
|
|
"description": "Dateninhaber muessen oeffentlichen Stellen und EU-Organen bei aussergewoehnlichem Bedarf (Notfaelle, Statistiken) Daten zur Verfuegung stellen. Der Bedarf muss begruendet und verhaeltnismaessig sein.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 20", "title": "Recht auf Zugang fuer oeffentliche Stellen"}],
|
|
"sources": [{"type": "article", "ref": "Art. 20 Data Act"}],
|
|
"category": "Compliance",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"deadline": {"type": "on_event", "event": "Begruendetes Ersuchen einer oeffentlichen Stelle"},
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Prozess fuer Behoerdenanfragen", "Anfragenregister"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-017",
|
|
"title": "Begruendungspflicht bei Ablehnung des Datenzugangs",
|
|
"description": "Dateninhaber koennen ein Ersuchen einer oeffentlichen Stelle nur aus eng begrenzten Gruenden ablehnen. Die Ablehnung muss begruendet werden und der oeffentlichen Stelle mitgeteilt werden.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 21", "title": "Pflichten bei der Bereitstellung an oeffentliche Stellen"}],
|
|
"sources": [{"type": "article", "ref": "Art. 21 Data Act"}],
|
|
"category": "Compliance",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Ablehnungsbegruendungen dokumentiert", "Kommunikationsprotokoll mit Behoerden"],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-018",
|
|
"title": "Unentgeltlichkeit bei Notfaellen",
|
|
"description": "Bei oeffentlichen Notfaellen (Pandemie, Naturkatastrophe) muessen Daten oeffentlichen Stellen unentgeltlich bereitgestellt werden. In anderen Faellen kann eine angemessene Verguetung verlangt werden.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 22", "title": "Verguetung bei aussergewoehnlichem Bedarf"}],
|
|
"sources": [{"type": "article", "ref": "Art. 22 Data Act"}],
|
|
"category": "Governance",
|
|
"responsible": "Finanzabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Notfall-Datenzugangs-Protokoll", "Verguetungsmodell fuer Nicht-Notfaelle"],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-019",
|
|
"title": "Schutz vor internationalem Datenzugriff",
|
|
"description": "Anbieter von Datenverarbeitungsdiensten muessen angemessene Massnahmen ergreifen, um den unrechtmaessigen internationalen Zugriff auf nicht-personenbezogene Daten durch Drittstaaten zu verhindern.",
|
|
"applies_when": "organization.provides_cloud_services == true",
|
|
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 23", "title": "Internationale Datenuebermittlung — Schutzmassnahmen"}],
|
|
"sources": [{"type": "article", "ref": "Art. 23 Data Act"}],
|
|
"category": "Technisch",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Schutzkonzept gegen Drittstaaten-Zugriff", "Standortdokumentation der Datenzentren"],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-020",
|
|
"title": "Beachtung internationaler Abkommen",
|
|
"description": "Datenuebermittlungen an Drittstaaten duerfen nur auf Grundlage internationaler Abkommen oder anerkannter Angemessenheitsbeschluesse erfolgen. Anfragen von Drittstaaten-Gerichten oder -Behoerden muessen dem EU-Recht entsprechen.",
|
|
"applies_when": "organization.provides_cloud_services == true",
|
|
"applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 25", "title": "Internationale Zusammenarbeit"}],
|
|
"sources": [{"type": "article", "ref": "Art. 25 Data Act"}],
|
|
"category": "Compliance",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Pruefung internationaler Anfragen", "Dokumentation der Rechtsgrundlagen"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-021",
|
|
"title": "Benennung einer zustaendigen Behoerde",
|
|
"description": "Unternehmen muessen die fuer sie zustaendige nationale Durchsetzungsbehoerde kennen und mit ihr kooperieren. Anfragen der Behoerde muessen fristgerecht beantwortet werden.",
|
|
"applies_when": "organization.manufactures_connected_products == true OR organization.provides_cloud_services == true",
|
|
"applies_when_condition": {
|
|
"any_of": [
|
|
{"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
{"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 27", "title": "Zustaendige Behoerden"}],
|
|
"sources": [{"type": "article", "ref": "Art. 27 Data Act"}],
|
|
"category": "Governance",
|
|
"responsible": "Compliance-Beauftragter",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Kenntnis der zustaendigen Behoerde", "Kooperationsprotokoll"],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-022",
|
|
"title": "Sanktionsvermeidung — Rechtskonformitaetsprogramm",
|
|
"description": "Mitgliedstaaten legen wirksame, verhaeltnismaessige und abschreckende Sanktionen fest. Unternehmen muessen ein Rechtskonformitaetsprogramm implementieren, um Verstoesse zu vermeiden.",
|
|
"applies_when": "organization.manufactures_connected_products == true OR organization.provides_cloud_services == true",
|
|
"applies_when_condition": {
|
|
"any_of": [
|
|
{"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
{"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 30", "title": "Sanktionen"}],
|
|
"sources": [{"type": "article", "ref": "Art. 30 Data Act"}],
|
|
"category": "Governance",
|
|
"responsible": "Compliance-Beauftragter",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Compliance-Programm-Dokumentation", "Schulungsnachweise"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
|
|
"breakpilot_feature": "/sdk/compliance-hub",
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-023",
|
|
"title": "Smart-Contract-Konformitaet",
|
|
"description": "Anbieter von Smart Contracts fuer die Datenweitergabe muessen sicherstellen, dass diese den Anforderungen des Data Act entsprechen, einschliesslich Zugangskontrollen, Kuendigungsmoeglichkeiten und Datensicherheit.",
|
|
"applies_when": "organization.uses_smart_contracts_for_data == true",
|
|
"applies_when_condition": {"field": "organization.uses_smart_contracts_for_data", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 28", "title": "Wesentliche Anforderungen an Smart Contracts"}],
|
|
"sources": [{"type": "article", "ref": "Art. 28 Data Act"}],
|
|
"category": "Technisch",
|
|
"responsible": "CTO",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Smart-Contract-Audit", "Konformitaetsbewertung"],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.OPS.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-024",
|
|
"title": "Verbot von Gatekeeper-Verhalten bei Daten",
|
|
"description": "Dateninhaber duerfen den Datenzugang nicht nutzen, um ihre Marktposition zu missbrauchen. Insbesondere darf der Zugang zu Reparatur- und Wartungsdaten fuer vernetzte Produkte nicht unangemessen verweigert werden.",
|
|
"applies_when": "organization.manufactures_connected_products == true",
|
|
"applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 6 Abs. 2", "title": "Verbot des Missbrauchs der Datenposition"}],
|
|
"sources": [{"type": "article", "ref": "Art. 6 Abs. 2 Data Act"}],
|
|
"category": "Compliance",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false},
|
|
"evidence": ["Marktmissbrauchs-Pruefung", "Zugangsrichtlinie fuer Reparaturdaten"],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "DATAACT-OBL-025",
|
|
"title": "Streitbeilegungsmechanismus",
|
|
"description": "Dateninhaber und Datenempfaenger muessen Zugang zu Streitbeilegungsstellen haben. Die Mitgliedstaaten benennen zertifizierte Stellen fuer aussergerichtliche Streitbeilegung bei Data-Act-Streitigkeiten.",
|
|
"applies_when": "organization.manufactures_connected_products == true OR organization.provides_cloud_services == true",
|
|
"applies_when_condition": {
|
|
"any_of": [
|
|
{"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true},
|
|
{"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 29", "title": "Streitbeilegung"}],
|
|
"sources": [{"type": "article", "ref": "Art. 29 Data Act"}],
|
|
"category": "Organisatorisch",
|
|
"responsible": "Rechtsabteilung",
|
|
"sanctions": {"max_fine": "Keine direkte Sanktion (Verfahrensrecht)", "personal_liability": false},
|
|
"evidence": ["Hinweis auf Streitbeilegungsstellen", "Interne Eskalationsprozesse"],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2025-09-12",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
}
|
|
],
|
|
"controls": [
|
|
{
|
|
"id": "DATAACT-CTRL-001",
|
|
"name": "Data-by-Design-Produktentwicklung",
|
|
"description": "Systematischer Prozess zur Sicherstellung, dass vernetzte Produkte den Datenzugang standardmaessig ermoeglichen",
|
|
"category": "Technisch",
|
|
"what_to_do": "Integration von Datenzugangs-APIs in die Produktarchitektur, maschinenlesbare Exportformate und Zugangsmanagement ab der Design-Phase",
|
|
"priority": "kritisch"
|
|
},
|
|
{
|
|
"id": "DATAACT-CTRL-002",
|
|
"name": "Cloud-Portabilitaets-Framework",
|
|
"description": "Technisches und vertragliches Framework zur Erleichterung des Wechsels zwischen Cloud-Anbietern",
|
|
"category": "Technisch",
|
|
"what_to_do": "Bereitstellung von Datenexport-APIs, Migrationswerkzeugen, standardisierten Formaten und Uebergangsunterstuetzung gemaess den Data-Act-Anforderungen",
|
|
"priority": "hoch"
|
|
},
|
|
{
|
|
"id": "DATAACT-CTRL-003",
|
|
"name": "Behoerden-Datenzugangs-Prozess",
|
|
"description": "Standardisierter Prozess zur Bearbeitung von Datenzugangsanfragen oeffentlicher Stellen",
|
|
"category": "Organisatorisch",
|
|
"what_to_do": "Einrichtung eines Anfragenmanagements mit Pruefung der Rechtsgrundlage, Verhaeltnismaessigkeitstest, Anonymisierung und fristgerechter Bereitstellung",
|
|
"priority": "hoch"
|
|
}
|
|
],
|
|
"incident_deadlines": [
|
|
{
|
|
"phase": "Datenzugangsanfrage des Nutzers",
|
|
"deadline": "Unverzueglich, ohne ungebuehrliche Verzoegerung",
|
|
"content": "Bereitstellung der angeforderten Daten in maschinenlesbarem Format",
|
|
"recipient": "Antragstellender Nutzer",
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 5"}]
|
|
},
|
|
{
|
|
"phase": "Datenweitergabe an Dritte",
|
|
"deadline": "Unverzueglich nach Antrag des Nutzers",
|
|
"content": "Weitergabe der Daten an den vom Nutzer benannten Dritten",
|
|
"recipient": "Benannter Dritter",
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 6"}]
|
|
},
|
|
{
|
|
"phase": "Ersuchen einer oeffentlichen Stelle (Notfall)",
|
|
"deadline": "Unverzueglich, spaetestens innerhalb der in der Anfrage gesetzten Frist",
|
|
"content": "Bereitstellung der angeforderten Daten an die oeffentliche Stelle",
|
|
"recipient": "Ersuchende oeffentliche Stelle",
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 20"}]
|
|
},
|
|
{
|
|
"phase": "Cloud-Wechsel — Datenexport",
|
|
"deadline": "Maximal 30 Tage nach Kuendigung",
|
|
"content": "Vollstaendiger Export aller Daten, Anwendungen und digitalen Assets an den neuen Anbieter",
|
|
"recipient": "Kunde / neuer Cloud-Anbieter",
|
|
"legal_basis": [{"norm": "Data Act", "article": "Art. 14"}]
|
|
}
|
|
]
|
|
} |