Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
ae008d7d25634cef7d4668d00a40a1caa1c10dd7
breakpilot-compliance/ai-compliance-sdk/policies/obligations/v2/dsa_v2.json
Benjamin Admin 38e278ee3c
All checks were successful
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / test-go-ai-compliance (push) Successful in 32s
Details
CI / test-python-backend-compliance (push) Successful in 29s
Details
CI / test-python-document-crawler (push) Successful in 20s
Details
CI / test-python-dsms-gateway (push) Successful in 18s
Details
feat(ucca): Pflichtendatenbank v2 (325 Obligations), Trigger-Engine, TOM-Control-Mapping 
- 9 Regulation-JSON-Dateien (DSGVO 80, AI Act 60, NIS2 40, BDSG 30, TTDSG 20, DSA 35, Data Act 25, EU-Maschinen 15, DORA 20)
- Condition-Tree-Engine fuer automatische Pflichtenselektion (all_of/any_of, 80+ Field-Paths)
- Generischer JSONRegulationModule-Loader mit YAML-Fallback
- Bidirektionales TOM-Control-Mapping (291 Obligation→Control, 92 Control→Obligation)
- Gap-Analyse-Engine (Compliance-%, Priority Actions, Domain Breakdown)
- ScopeDecision→UnifiedFacts Bridge fuer Auto-Profiling
- 4 neue API-Endpoints (assess-from-scope, tom-controls, gap-analysis, reverse-lookup)
- Frontend: Auto-Profiling Button, Regulation-Filter Chips, TOM-Panel, Gap-Analyse-View
- 18 Unit Tests (Condition Engine, v2 Loader, TOM Mapper)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-05 14:51:44 +01:00

742 lines
42 KiB
JSON
Raw Blame History

{
"regulation": "dsa",
"name": "Digital Services Act (EU) 2022/2065",
"description": "Verordnung ueber einen Binnenmarkt fuer digitale Dienste — Pflichten fuer Anbieter digitaler Dienste, Plattformen und sehr grosse Online-Plattformen (VLOPs/VLOSEs)",
"version": "2.0",
"effective_date": "2024-02-17",
"obligations": [
{
"id": "DSA-OBL-001",
"title": "Haftungsprivileg — Mere Conduit",
"description": "Vermittlungsdienste (reine Durchleitung) muessen sicherstellen, dass sie keine Kenntnis von rechtswidrigen Inhalten haben und bei Kenntnis unverzueglich handeln, um das Haftungsprivileg zu bewahren.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 6", "title": "Reine Durchleitung (Mere Conduit)"}],
"sources": [{"type": "article", "ref": "Art. 6 DSA"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Dokumentation der Vermittlungstaetigkeiten", "Nachweise ueber fehlende Kenntnis"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-002",
"title": "Haftungsprivileg — Caching",
"description": "Caching-Dienste muessen bei Kenntniserlangung rechtswidriger Inhalte unverzueglich taetig werden, um diese zu entfernen oder den Zugang zu sperren.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 7", "title": "Caching"}],
"sources": [{"type": "article", "ref": "Art. 7 DSA"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Caching-Richtlinie", "Reaktionsprotokolle bei Kenntniserlangung"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-003",
"title": "Haftungsprivileg — Hosting",
"description": "Hosting-Dienste muessen bei tatsaechlicher Kenntnis rechtswidriger Inhalte oder Taetigkeiten unverzueglich handeln, um diese zu entfernen oder den Zugang zu sperren.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 8", "title": "Hosting"}],
"sources": [{"type": "article", "ref": "Art. 8 DSA"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Notice-and-Action-Protokolle", "Nachweis unverzueglicher Reaktion"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-004",
"title": "Keine allgemeine Ueberwachungspflicht",
"description": "Anbietern darf keine allgemeine Verpflichtung zur Ueberwachung der uebermittelten oder gespeicherten Informationen auferlegt werden. Freiwillige Eigeninitiative fuehrt nicht zum Verlust des Haftungsprivilegs.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 9", "title": "Keine allgemeine Ueberwachungspflicht"}],
"sources": [{"type": "article", "ref": "Art. 9 DSA"}],
"category": "Governance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Dokumentation Moderationsrichtlinie", "Nachweis keine allgemeine Ueberwachung"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-005",
"title": "Zentrale Kontaktstelle",
"description": "Benennung einer zentralen Kontaktstelle fuer die Kommunikation mit Behoerden der Mitgliedstaaten, der Kommission und dem Gremium fuer digitale Dienste. Die Kontaktstelle muss in einer Amtssprache erreichbar sein.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 11", "title": "Kontaktstellen fuer Behoerden"}],
"sources": [{"type": "article", "ref": "Art. 11 DSA"}],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "1% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Benennungsdokument Kontaktstelle", "Veroeffentlichte Kontaktdaten"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-006",
"title": "Gesetzlicher Vertreter",
"description": "Anbieter ohne Niederlassung in der EU muessen einen gesetzlichen Vertreter in einem Mitgliedstaat benennen, in dem sie Dienste anbieten.",
"applies_when": "organization.eu_member == false AND organization.operates_platform == true",
"applies_when_condition": {
"all_of": [
{"field": "organization.eu_member", "operator": "EQUALS", "value": false},
{"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [{"norm": "DSA", "article": "Art. 12", "title": "Gesetzlicher Vertreter"}],
"sources": [{"type": "article", "ref": "Art. 12 DSA"}],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Benennungsurkunde gesetzlicher Vertreter", "Veroeffentlichung auf der Webseite"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-007",
"title": "Allgemeine Geschaeftsbedingungen — Inhaltsmoderation",
"description": "In den AGB muessen Informationen zu Beschraenkungen enthalten sein, die Anbieter in Bezug auf von Nutzern bereitgestellte Inhalte auferlegen. Dies umfasst Moderationsrichtlinien, algorithmische Entscheidungsfindung und Beschwerdemechanismen.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 13", "title": "Allgemeine Geschaeftsbedingungen"}],
"sources": [{"type": "article", "ref": "Art. 13 DSA"}],
"category": "Dokumentation",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Aktuelle AGB mit Moderationsrichtlinien", "Verstaendliche Darstellung der Beschraenkungen"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"breakpilot_feature": "/sdk/policy-generator",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-008",
"title": "Transparenzbericht — Vermittlungsdienste",
"description": "Jaehrliche Veroeffentlichung eines Transparenzberichts ueber Inhaltsmoderation, behoerdliche Anordnungen und Notice-and-Action-Verfahren. Der Bericht muss maschinenlesbar und oeffentlich zugaenglich sein.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 14", "title": "Transparenzberichterstattungspflichten fuer Anbieter von Vermittlungsdiensten"}],
"sources": [{"type": "article", "ref": "Art. 14 DSA"}],
"category": "Dokumentation",
"responsible": "Compliance-Beauftragter",
"deadline": {"type": "recurring", "interval": "P1Y"},
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Veroeffentlichter Transparenzbericht", "Maschinenlesbares Format"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"],
"breakpilot_feature": "/sdk/reporting",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-009",
"title": "Transparenzbericht — erweitert fuer Online-Plattformen",
"description": "Online-Plattformen muessen zusaetzlich Informationen ueber Streitbeilegungsverfahren, Aussetzungen, automatisierte Inhaltserkennung und Trusted Flagger in ihren Transparenzbericht aufnehmen.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 15", "title": "Transparenzberichterstattungspflichten fuer Anbieter von Online-Plattformen"}],
"sources": [{"type": "article", "ref": "Art. 15 DSA"}],
"category": "Dokumentation",
"responsible": "Compliance-Beauftragter",
"deadline": {"type": "recurring", "interval": "P6M"},
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Erweiterter Transparenzbericht", "Statistik automatisierter Moderation"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"],
"breakpilot_feature": "/sdk/reporting",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-010",
"title": "Melde- und Abhilfeverfahren (Notice-and-Action)",
"description": "Einrichtung eines leicht zugaenglichen und benutzerfreundlichen Mechanismus, der es jeder Person ermoeglicht, mutmasslich rechtswidrige Inhalte zu melden. Meldungen muessen elektronisch moeglich sein und eine Bestaetigung ausloesen.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 16", "title": "Melde- und Abhilfeverfahren"}],
"sources": [{"type": "article", "ref": "Art. 16 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Implementiertes Meldeformular", "Bestaetigung der Eingangsbehandlung", "Verarbeitungsprotokoll"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
"breakpilot_feature": "/sdk/incident-response",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-011",
"title": "Begruendungspflicht bei Inhaltsentfernung",
"description": "Bei Entfernung oder Sperrung von Inhalten muss dem betroffenen Nutzer eine klare und spezifische Begruendung mitgeteilt werden, einschliesslich der angewandten Rechtsgrundlage und der Rechtsbehelfsmoeglichkeiten.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 17", "title": "Begruendung"}],
"sources": [{"type": "article", "ref": "Art. 17 DSA"}],
"category": "Organisatorisch",
"responsible": "Content-Moderation-Team",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Begruendungsvorlagen", "Muster-Benachrichtigungen", "Zustellungsnachweise"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-012",
"title": "Meldung strafbarer Inhalte an Behoerden",
"description": "Bei Verdacht auf Straftaten, die das Leben oder die Sicherheit von Personen bedrohen, muessen die zustaendigen Strafverfolgungsbehoerden des betreffenden Mitgliedstaats unverzueglich informiert werden.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 18", "title": "Meldung von Verdacht auf Straftaten"}],
"sources": [{"type": "article", "ref": "Art. 18 DSA"}],
"category": "Meldepflicht",
"responsible": "Rechtsabteilung",
"deadline": {"type": "on_event", "event": "Kenntniserlangung strafbarer Inhalte"},
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true, "criminal_liability": true},
"evidence": ["Eskalationsprozess-Dokumentation", "Meldungsprotokolle an Behoerden"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-013",
"title": "Trusted Flaggers",
"description": "Vorrangige Bearbeitung von Meldungen vertrauenswuerdiger Hinweisgeber (Trusted Flaggers), die vom Koordinator fuer digitale Dienste zertifiziert wurden. Entscheidungen ueber Meldungen von Trusted Flaggers muessen zeitnah erfolgen.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 19", "title": "Vertrauenswuerdige Hinweisgeber"}],
"sources": [{"type": "article", "ref": "Art. 19 DSA"}],
"category": "Organisatorisch",
"responsible": "Content-Moderation-Team",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Priorisierungsprozess fuer Trusted Flaggers", "SLA-Dokumentation"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-014",
"title": "Schutz vor Missbrauch des Meldesystems",
"description": "Aussetzung der Bearbeitung von Meldungen und Beschwerden von Personen oder Stellen, die haeufig offensichtlich unbegruendete Meldungen oder Beschwerden einreichen.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 20", "title": "Schutz vor Missbrauch"}],
"sources": [{"type": "article", "ref": "Art. 20 DSA"}],
"category": "Organisatorisch",
"responsible": "Content-Moderation-Team",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Anti-Missbrauchs-Richtlinie", "Dokumentation der Aussetzungsentscheidungen"],
"priority": "mittel",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-015",
"title": "Aussetzung wegen Missbrauch durch Nutzer",
"description": "Anbieter von Online-Plattformen setzen die Erbringung ihrer Dienste fuer Nutzer aus, die haeufig offensichtlich rechtswidrige Inhalte bereitstellen. Vorherige Warnung erforderlich.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 21", "title": "Aussetzung"}],
"sources": [{"type": "article", "ref": "Art. 21 DSA"}],
"category": "Organisatorisch",
"responsible": "Content-Moderation-Team",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Eskalationsstufenmodell", "Warnprotokolle", "Aussetzungsentscheidungen"],
"priority": "mittel",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-016",
"title": "Internes Beschwerdemanagementsystem",
"description": "Bereitstellung eines elektronischen und benutzerfreundlichen internen Beschwerdemanagementsystems, ueber das Nutzer Entscheidungen zur Inhaltsmoderation anfechten koennen. Entscheidungen duerfen nicht ausschliesslich automatisiert getroffen werden.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 22", "title": "Internes Beschwerdemanagementsystem"}],
"sources": [{"type": "article", "ref": "Art. 22 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Implementiertes Beschwerdesystem", "Verarbeitungsstatistik", "Human-Review-Nachweis"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-017",
"title": "Aussergerichtliche Streitbeilegung",
"description": "Nutzer muessen die Moeglichkeit haben, sich an eine zertifizierte aussergerichtliche Streitbeilegungsstelle zu wenden. Plattformen muessen mit diesen Stellen zusammenarbeiten.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 23", "title": "Aussergerichtliche Streitbeilegung"}],
"sources": [{"type": "article", "ref": "Art. 23 DSA"}],
"category": "Organisatorisch",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Hinweis auf Streitbeilegungsstellen in AGB", "Kooperationsvereinbarungen"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-018",
"title": "Vorrang behoerdlicher Anordnungen",
"description": "Online-Plattformen muessen behoerdliche Anordnungen gegen rechtswidrige Inhalte vorrangig bearbeiten und den behoerdlichen Anweisungen fristgerecht Folge leisten.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 24", "title": "Pflichten im Zusammenhang mit Anordnungen"}],
"sources": [{"type": "article", "ref": "Art. 24 DSA"}],
"category": "Compliance",
"responsible": "Rechtsabteilung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true},
"evidence": ["Anordnungsregister", "Fristeinhaltungsprotokolle"],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-019",
"title": "Werbetransparenz — Kennzeichnungspflicht",
"description": "Jede Werbung auf der Plattform muss klar und eindeutig als Werbung gekennzeichnet sein. Der Auftraggeber und die Finanzierungsquelle muessen erkennbar sein.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 26", "title": "Werbung auf Online-Plattformen"}],
"sources": [{"type": "article", "ref": "Art. 26 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Werbekennzeichnungs-Implementierung", "Audit der Werbeanzeigen"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-020",
"title": "Verbot von Dark Patterns",
"description": "Gestaltung der Online-Schnittstelle darf Nutzer nicht taueschen, manipulieren oder in ihrer Entscheidungsfreiheit beeintraechtigen (Verbot von Dark Patterns).",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 27", "title": "Verbot taeuschender Gestaltung"}],
"sources": [{"type": "article", "ref": "Art. 27 DSA"}],
"category": "Technisch",
"responsible": "UX-Team",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["UX-Audit auf Dark Patterns", "Design-Review-Protokolle"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-021",
"title": "Transparenz von Empfehlungssystemen",
"description": "Plattformen muessen in ihren AGB die Hauptparameter der Empfehlungssysteme und die Moeglichkeit fuer Nutzer, diese zu beeinflussen, darlegen. Mindestens eine nicht-profilbasierte Option muss angeboten werden.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 28", "title": "Empfehlungssysteme"}],
"sources": [{"type": "article", "ref": "Art. 28 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Dokumentation der Empfehlungsparameter", "Nutzerwahlmoeglichkeit implementiert"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-022",
"title": "Minderjaehrigenschutz auf Plattformen",
"description": "Online-Plattformen muessen geeignete Massnahmen zum Schutz Minderjaehriger treffen, einschliesslich altersgerechter Datenschutzeinstellungen. Werbung auf Basis von Profiling Minderjaehriger ist verboten.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 29", "title": "Schutz Minderjaehriger"}],
"sources": [{"type": "article", "ref": "Art. 29 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Jugendschutzkonzept", "Altersverifikationslogik", "Profiling-Ausschluss fuer Minderjaehrige"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-023",
"title": "VLOP/VLOSE — Zusaetzliche Transparenz Werbearchiv",
"description": "Sehr grosse Online-Plattformen muessen ein oeffentlich zugaengliches Werbearchiv fuehren, das alle geschalteten Werbeanzeigen mit Targeting-Parametern, Auftraggeber und Laufzeit enthaelt.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 30", "title": "Zusaetzliche Transparenz der Online-Werbung"}],
"sources": [{"type": "article", "ref": "Art. 30 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Implementiertes Werbearchiv", "API-Zugang fuer Forscher"],
"priority": "kritisch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.03"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-024",
"title": "VLOP/VLOSE — Empfehlungssystem Nutzerwahlrecht",
"description": "Sehr grosse Plattformen muessen Nutzern mindestens eine Option zur Verfuegung stellen, bei der das Empfehlungssystem nicht auf Profiling basiert.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 31", "title": "Empfehlungssysteme fuer VLOPs"}],
"sources": [{"type": "article", "ref": "Art. 31 DSA"}],
"category": "Technisch",
"responsible": "Produktmanagement",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Nicht-profilbasierte Empfehlungsoption", "Nutzerauswahl-UI"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-025",
"title": "VLOP/VLOSE — Datenzugang fuer Forscher",
"description": "Sehr grosse Plattformen muessen zugelassenen Forschern auf Antrag Zugang zu Daten gewaehren, um systemische Risiken zu erforschen. Der Zugang erfolgt ueber technische Schnittstellen.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 32", "title": "Datenzugang fuer Forscher"}],
"sources": [{"type": "article", "ref": "Art. 32 DSA"}],
"category": "Technisch",
"responsible": "CTO",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Forschungsdaten-API", "Antragsverfahren dokumentiert", "Datenschutzkonzept fuer Forschungsdaten"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.03"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-026",
"title": "VLOP/VLOSE — Systemische Risikobewertung",
"description": "Jaehrliche Bewertung systemischer Risiken wie illegale Inhalte, Grundrechtsbeeintraechtigungen, Manipulation von Wahlen und Auswirkungen auf Minderjaehrige. Die Bewertung muss dokumentiert und der Aufsichtsbehoerde vorgelegt werden.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 33", "title": "Bewertung systemischer Risiken"}],
"sources": [{"type": "article", "ref": "Art. 33 DSA"}],
"category": "Governance",
"responsible": "Compliance-Beauftragter",
"deadline": {"type": "recurring", "interval": "P1Y"},
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true},
"evidence": ["Systemische Risikobewertung", "Massnahmenplan", "Vorlage bei Aufsichtsbehoerde"],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02", "TOM.GOV.03"],
"breakpilot_feature": "/sdk/risk-assessment",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-027",
"title": "VLOP/VLOSE — Risikominderungsmassnahmen",
"description": "Ergreifung angemessener, verhaeltnismaessiger und wirksamer Risikominderungsmassnahmen fuer die identifizierten systemischen Risiken. Massnahmen muessen regelmaessig ueberprueft und angepasst werden.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 34", "title": "Risikominderung"}],
"sources": [{"type": "article", "ref": "Art. 34 DSA"}],
"category": "Governance",
"responsible": "Compliance-Beauftragter",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true},
"evidence": ["Risikominderungsplan", "Wirksamkeitsbewertung", "Anpassungsdokumentation"],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
"breakpilot_feature": "/sdk/risk-assessment",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-028",
"title": "VLOP/VLOSE — Unabhaengige Audits",
"description": "Jaehrliche unabhaengige Audits auf eigene Kosten zur Bewertung der Einhaltung der DSA-Pflichten. Der Auditbericht wird der Aufsichtsbehoerde uebermittelt und ein Zusammenfassung veroeffentlicht.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 35", "title": "Unabhaengige Pruefung"}],
"sources": [{"type": "article", "ref": "Art. 35 DSA"}],
"category": "Audit",
"responsible": "Geschaeftsfuehrung",
"deadline": {"type": "recurring", "interval": "P1Y"},
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true},
"evidence": ["Auditbericht", "Massnahmenplan aus Audit-Ergebnissen", "Veroeffentlichte Zusammenfassung"],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.03"],
"breakpilot_feature": "/sdk/audit",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-029",
"title": "Compliance-Beauftragter (VLOP/VLOSE)",
"description": "Sehr grosse Plattformen muessen einen oder mehrere Compliance-Beauftragte benennen, die die Einhaltung des DSA ueberwachen. Der Beauftragte berichtet direkt an die Leitungsebene.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 37", "title": "Compliance-Funktion"}],
"sources": [{"type": "article", "ref": "Art. 37 DSA"}],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Benennungsurkunde", "Berichtsstruktur", "Kompetenznachweis"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-030",
"title": "Datenzugang fuer Aufsichtsbehoerden",
"description": "Auf Anfrage muessen Plattformen den Koordinatoren fuer digitale Dienste und der Kommission Zugang zu relevanten Daten gewaehren, die zur Ueberwachung der DSA-Einhaltung erforderlich sind.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 38", "title": "Datenzugang und Datenueberpruefung"}],
"sources": [{"type": "article", "ref": "Art. 38 DSA"}],
"category": "Compliance",
"responsible": "Compliance-Beauftragter",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Datenzugangsprozess dokumentiert", "Technische Schnittstelle fuer Behoerden"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-031",
"title": "VLOP/VLOSE — Datenzugang fuer ueberprueften Forscher",
"description": "Gewaehrung eines angemessenen Datenzugangs fuer von der Aufsichtsbehoerde ueberprueften Forscher zur Erforschung systemischer Risiken. Personenbezogene Daten nur anonymisiert oder pseudonymisiert.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 39", "title": "Datenzugang fuer ueberprueften Forscher"}],
"sources": [{"type": "article", "ref": "Art. 39 DSA"}],
"category": "Technisch",
"responsible": "CTO",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Pseudonymisierungskonzept", "Forschungsdaten-Zugangsverfahren"],
"priority": "hoch",
"tom_control_ids": ["TOM.OPS.01", "TOM.GOV.03"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-032",
"title": "Verhaltenskodizes",
"description": "Unterstuetzung und Einhaltung freiwilliger Verhaltenskodizes auf EU-Ebene zur Bekaempfung rechtswidriger Inhalte und zum Schutz der Nutzer. Die Kommission foerdert die Erarbeitung solcher Kodizes.",
"applies_when": "organization.operates_platform == true",
"applies_when_condition": {"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
"legal_basis": [{"norm": "DSA", "article": "Art. 40", "title": "Verhaltenskodizes"}],
"sources": [{"type": "article", "ref": "Art. 40 DSA"}],
"category": "Governance",
"responsible": "Compliance-Beauftragter",
"sanctions": {"max_fine": "1% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Beitrittserklarung zu Verhaltenskodizes", "Umsetzungsbericht"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-033",
"title": "Krisenreaktionsprotokolle",
"description": "Bei aussergewoehnlichen Umstaenden (z.B. Pandemie, bewaffnete Konflikte) kann die Kommission VLOPs/VLOSEs zur Teilnahme an Krisenprotokollen verpflichten. Schnelle Reaktionsmechanismen muessen vorbereitet sein.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 42", "title": "Krisenreaktionsprotokolle"}],
"sources": [{"type": "article", "ref": "Art. 42 DSA"}],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": true},
"evidence": ["Krisenreaktionsplan", "Ansprechpartner fuer Krisenkoordination"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"],
"breakpilot_feature": "/sdk/notfallplan",
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-034",
"title": "Koordinator fuer digitale Dienste — Kooperation",
"description": "Plattformen muessen mit dem nationalen Koordinator fuer digitale Dienste (DSC) kooperieren, Informationen bereitstellen und Anordnungen fristgerecht umsetzen.",
"applies_when": "organization.operates_platform == true AND organization.eu_member == true",
"applies_when_condition": {
"all_of": [
{"field": "data_protection.operates_platform", "operator": "EQUALS", "value": true},
{"field": "organization.eu_member", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [{"norm": "DSA", "article": "Art. 44", "title": "Koordinatoren fuer digitale Dienste"}],
"sources": [{"type": "article", "ref": "Art. 44 DSA"}],
"category": "Compliance",
"responsible": "Compliance-Beauftragter",
"sanctions": {"max_fine": "6% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Kooperationsprotokolle mit DSC", "Fristenkontrolle fuer Anordnungen"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSA-OBL-035",
"title": "Aufsichtsgebuehr (VLOP/VLOSE)",
"description": "Sehr grosse Plattformen und Suchmaschinen muessen eine jaehrliche Aufsichtsgebuehr an die Kommission entrichten. Die Hoehe wird auf Basis des Umsatzes berechnet.",
"applies_when": "platform_user_count >= 45000000",
"applies_when_condition": {"field": "data_protection.platform_user_count", "operator": "GREATER_OR_EQUAL", "value": 45000000},
"legal_basis": [{"norm": "DSA", "article": "Art. 47", "title": "Aufsichtsgebuehr"}],
"sources": [{"type": "article", "ref": "Art. 47 DSA"}],
"category": "Compliance",
"responsible": "Finanzabteilung",
"deadline": {"type": "recurring", "interval": "P1Y"},
"sanctions": {"max_fine": "1% des weltweiten Jahresumsatzes", "personal_liability": false},
"evidence": ["Zahlungsnachweis Aufsichtsgebuehr", "Umsatzberechnung"],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.01"],
"valid_from": "2024-02-17",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "DSA-CTRL-001",
"name": "Notice-and-Action-System",
"description": "Technisches System zur Entgegennahme, Bearbeitung und Dokumentation von Meldungen rechtswidriger Inhalte",
"category": "Technisch",
"what_to_do": "Implementierung eines elektronischen Meldeformulars mit Eingangsbestaetigung, Bearbeitungs-Tracking und Begruendungsgenerierung",
"priority": "kritisch"
},
{
"id": "DSA-CTRL-002",
"name": "Transparenzberichts-Framework",
"description": "Prozess und Tooling fuer die regelmaessige Erstellung und Veroeffentlichung von Transparenzberichten",
"category": "Organisatorisch",
"what_to_do": "Aufbau eines Daten-Pipelines zur automatisierten Erfassung von Moderationsstatistiken, Beschwerden und behoerdlichen Anordnungen",
"priority": "hoch"
},
{
"id": "DSA-CTRL-003",
"name": "Internes Beschwerdemanagement",
"description": "Elektronisches System fuer Nutzerbeschwerden gegen Moderationsentscheidungen mit Human-Review-Garantie",
"category": "Technisch",
"what_to_do": "Bereitstellung eines Beschwerdeformulars mit Eskalationsstufen, SLA-Tracking und Nachweis menschlicher Ueberpruefung",
"priority": "kritisch"
},
{
"id": "DSA-CTRL-004",
"name": "Werbetransparenz-Archiv",
"description": "Oeffentlich zugaengliches Repository aller geschalteten Werbeanzeigen mit Targeting- und Auftraggeberinformationen",
"category": "Technisch",
"what_to_do": "Implementierung eines durchsuchbaren Werbearchivs mit API-Zugang, Aufbewahrungsfrist mindestens 1 Jahr nach letzter Ausspielung",
"priority": "hoch"
},
{
"id": "DSA-CTRL-005",
"name": "Systemische Risikobewertung",
"description": "Jaehrlicher Prozess zur Identifikation und Bewertung systemischer Risiken fuer VLOPs/VLOSEs",
"category": "Governance",
"what_to_do": "Durchfuehrung einer strukturierten Risikobewertung zu illegalen Inhalten, Grundrechtsbeeintraechtigungen, Wahlmanipulation und Auswirkungen auf Minderjaehrige",
"priority": "kritisch"
}
],
"incident_deadlines": [
{
"phase": "Kenntniserlangung rechtswidriger Inhalte",
"deadline": "Unverzueglich (ohne schuldhaftes Zoegern)",
"content": "Entfernung oder Sperrung des Zugangs zu rechtswidrigen Inhalten",
"recipient": "Intern — Content-Moderation-Team",
"legal_basis": [{"norm": "DSA", "article": "Art. 8"}]
},
{
"phase": "Meldung strafbarer Inhalte",
"deadline": "Unverzueglich nach Kenntniserlangung",
"content": "Information der zustaendigen Strafverfolgungsbehoerden bei Verdacht auf Straftaten gegen Leben oder Sicherheit",
"recipient": "Zustaendige Strafverfolgungsbehoerde",
"legal_basis": [{"norm": "DSA", "article": "Art. 18"}]
},
{
"phase": "Reaktion auf behoerdliche Anordnung",
"deadline": "Frist gemaess Anordnung, spaetestens 72 Stunden",
"content": "Umsetzung der angeordneten Massnahme und Bestaetigung an die anordnende Behoerde",
"recipient": "Anordnende Behoerde / DSC",
"legal_basis": [{"norm": "DSA", "article": "Art. 24"}]
},
{
"phase": "Transparenzbericht (Vermittlungsdienste)",
"deadline": "Jaehrlich, spaetestens 2 Monate nach Berichtszeitraum",
"content": "Veroeffentlichung des Transparenzberichts zu Inhaltsmoderation, Anordnungen und Beschwerden",
"recipient": "Oeffentlichkeit / DSC",
"legal_basis": [{"norm": "DSA", "article": "Art. 14"}]
},
{
"phase": "Transparenzbericht (VLOP/VLOSE)",
"deadline": "Halbjaehrlich",
"content": "Erweiterter Transparenzbericht mit automatisierter Moderation, Trusted Flagger und Forschungsdaten",
"recipient": "Oeffentlichkeit / Kommission / DSC",
"legal_basis": [{"norm": "DSA", "article": "Art. 15"}]
}
]
}
Reference in New Issue View Git Blame Copy Permalink