Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f169b13dbfa61575e25cd885d832c340ec987e07
breakpilot-compliance/ai-compliance-sdk/policies/ucca_policy_v1.yaml
Benjamin Admin d892ad161f feat: Domain-Fragen fuer 10 weitere Domains (24 von 39 total, 62%) 
10 neue Context-Structs + Field-Resolver + 22 YAML-Regeln + Frontend:
- Agriculture: Pestizid-KI, Tierwohl, Umweltdaten
- Social Services: Schutzbeduerftiger, Leistungszuteilung, Fallmanagement
- Hospitality: Gaeste-Profiling, dynamische Preise, Bewertungsmanipulation=BLOCK
- Insurance: Praemien, Schadensautomation, Betrugserkennung
- Investment: Algo-Trading, Robo Advisor (MiFID II)
- Defense: Dual-Use, Exportkontrolle, Verschlusssachen
- Supply Chain: Lieferantenueberwachung, Menschenrechte (LkSG)
- Facility: Zutrittskontrolle, Belegung, Energie
- Sports: Athleten-Tracking, Fan-Profiling

Domains mit Fragen: 24 von 39 (62%)
YAML-Regeln total: ~66
Neue BLOCKs: Bewertungsmanipulation (UWG/DSA)

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-04-12 23:04:35 +02:00

1757 lines
59 KiB
YAML
Raw Blame History

# =============================================================================
# Breakpilot Use-Case Compliance & Feasibility Policy
# Version: 1.0
# Jurisdiction: EU (DSGVO + AI Act)
# =============================================================================
#
# GRUNDSATZ:
# - Diese Regeln sind DETERMINISTISCH und laufen OHNE LLM
# - LLM darf Hard-Blocks NICHT überschreiben
# - Bei Unsicherheit → Escalation an DSB
#
# SEVERITY LEVELS:
# INFO = Hinweis, kein Risiko
# WARN = Risiko, aber lösbar
# BLOCK = Nicht zulässig ohne grundlegende Änderung
#
# =============================================================================
policy:
name: Breakpilot Use-Case Compliance & Feasibility Policy
version: "1.0.0"
jurisdiction: EU
basis:
- GDPR
- AI_Act
- BDSG
default_feasibility: YES
default_risk_score: 0
# =============================================================================
# Schwellenwerte
# =============================================================================
thresholds:
risk:
minimal: 0 # 0-19
low: 20 # 20-39
medium: 40 # 40-59
high: 60 # 60-79
unacceptable: 80 # 80+
escalation:
- art9_data
- minor_data_with_profiling
- fully_automated_decisions
- conflicting_evidence
# =============================================================================
# Architektur-Patterns (Lösungsvorschläge)
# =============================================================================
patterns:
P_RAG_ONLY:
id: P_RAG_ONLY
title: "RAG statt Training"
description: "Retrieval-Augmented Generation ohne Modell-Training"
benefit: "Daten bleiben in Vektordatenbank, fließen nicht ins Modell"
effort: low
risk_reduction: 20
P_PRE_ANON:
id: P_PRE_ANON
title: "Vor-Anonymisierung"
description: "Irreversible Anonymisierung vor Speicherung/Verarbeitung"
benefit: "Keine personenbezogenen Daten mehr → DSGVO nicht anwendbar"
effort: medium
risk_reduction: 30
P_PIXELIZATION:
id: P_PIXELIZATION
title: "Verpixelung/Unkenntlichmachung"
description: "Identifizierende Merkmale automatisch unkenntlich machen"
benefit: "Gesichter, Kennzeichen etc. nicht mehr erkennbar"
effort: medium
risk_reduction: 25
P_HITL_ENFORCED:
id: P_HITL_ENFORCED
title: "Human-in-the-Loop erzwingen"
description: "Technisch erzwungene menschliche Überprüfung"
benefit: "Keine vollautomatisierten Entscheidungen → Art. 22 nicht anwendbar"
effort: low
risk_reduction: 20
P_RETENTION_CAP:
id: P_RETENTION_CAP
title: "Kurze Aufbewahrung"
description: "Automatische Löschung nach max. 72 Stunden"
benefit: "Minimiert Risiko durch kurze Speicherdauer"
effort: low
risk_reduction: 10
P_NAMESPACE_ISOLATION:
id: P_NAMESPACE_ISOLATION
title: "Mandantentrennung"
description: "Strikte Trennung der Daten nach Mandanten"
benefit: "Kein Datenzugriff zwischen Mandanten möglich"
effort: medium
risk_reduction: 15
P_CONSENT_FLOW:
id: P_CONSENT_FLOW
title: "Einwilligungs-Workflow"
description: "Implementierung eines rechtskonformen Einwilligungsprozesses"
benefit: "Gültige Rechtsgrundlage nach Art. 6(1)(a) / Art. 9(2)(a)"
effort: medium
risk_reduction: 20
P_EU_HOSTING:
id: P_EU_HOSTING
title: "EU-Hosting"
description: "Wechsel zu einem Anbieter mit EU-Rechenzentren"
benefit: "Kein Drittlandtransfer → Art. 44ff nicht anwendbar"
effort: medium
risk_reduction: 15
# =============================================================================
# Erforderliche Kontrollen
# =============================================================================
controls:
C_EXPLICIT_CONSENT:
id: C_EXPLICIT_CONSENT
title: "Ausdrückliche Einwilligung"
description: "Opt-in mit klarer Information über Verarbeitungszweck"
gdpr_ref: "Art. 6(1)(a), Art. 9(2)(a) DSGVO"
effort: medium
C_PARENTAL_CONSENT:
id: C_PARENTAL_CONSENT
title: "Einwilligung der Erziehungsberechtigten"
description: "Bei Minderjährigen unter 16: Elterneinwilligung erforderlich"
gdpr_ref: "Art. 8 DSGVO"
effort: high
C_DSFA:
id: C_DSFA
title: "Datenschutz-Folgenabschätzung"
description: "Formale DSFA nach Art. 35 DSGVO durchführen"
gdpr_ref: "Art. 35 DSGVO"
effort: high
C_TRANSPARENCY:
id: C_TRANSPARENCY
title: "KI-Transparenz-Hinweis"
description: "Nutzer informieren dass sie mit KI interagieren"
gdpr_ref: "Art. 13/14 DSGVO, Art. 52 AI Act"
effort: low
C_CONTESTATION:
id: C_CONTESTATION
title: "Anfechtungsrecht"
description: "Betroffene können automatisierte Entscheidungen anfechten"
gdpr_ref: "Art. 22(3) DSGVO"
effort: medium
C_ACCESS_LOGGING:
id: C_ACCESS_LOGGING
title: "Zugriffs-Protokollierung"
description: "Alle Datenzugriffe revisionssicher protokollieren"
gdpr_ref: "Art. 5(2) DSGVO"
effort: low
C_ENCRYPTION:
id: C_ENCRYPTION
title: "Verschlüsselung"
description: "Daten bei Übertragung und Speicherung verschlüsseln"
gdpr_ref: "Art. 32 DSGVO"
effort: low
C_RETENTION_POLICY:
id: C_RETENTION_POLICY
title: "Löschkonzept"
description: "Definierte Aufbewahrungsfristen mit automatischer Löschung"
gdpr_ref: "Art. 5(1)(e) DSGVO"
effort: medium
C_SCC:
id: C_SCC
title: "Standardvertragsklauseln"
description: "EU-SCC mit Drittland-Anbieter abschließen"
gdpr_ref: "Art. 46(2)(c) DSGVO"
effort: medium
C_TIA:
id: C_TIA
title: "Transfer Impact Assessment"
description: "Bewertung der Risiken bei Drittlandtransfer"
gdpr_ref: "Schrems II Urteil"
effort: high
C_SCC_NEW:
id: C_SCC_NEW
title: "Neue Standardvertragsklauseln (2021)"
description: "Verwendung der aktuellen SCC-Version seit Juni 2021"
gdpr_ref: "Art. 46(2)(c) DSGVO, EU 2021/914"
effort: medium
when_applicable: "Drittlandtransfer ohne Angemessenheitsbeschluss"
what_to_do: |
1. Korrektes SCC-Modul wählen (C2C, C2P, P2P, P2C)
2. Annex I (Datenexporteur/Importeur) ausfüllen
3. Annex II (Technische Maßnahmen) dokumentieren
4. Von beiden Parteien unterzeichnen lassen
evidence_needed:
- "Unterzeichnete SCC (PDF)"
- "Ausgefüllte Annexe I und II"
- "Dokumentation des gewählten Moduls"
C_SCC_DPF_CHECK:
id: C_SCC_DPF_CHECK
title: "DPF-Zertifizierungsprüfung"
description: "Prüfung ob US-Anbieter unter Data Privacy Framework zertifiziert ist"
gdpr_ref: "EU-US Data Privacy Framework Beschluss 2023"
effort: low
when_applicable: "Übermittlung an US-Empfänger"
what_to_do: |
1. DPF-Liste auf dataprivacyframework.gov prüfen
2. Zertifizierungsstatus dokumentieren
3. Bei Zertifizierung: SCC optional (aber empfohlen als Backup)
4. Ohne Zertifizierung: SCC zwingend erforderlich
evidence_needed:
- "Screenshot DPF-Zertifizierungsstatus"
- "Dokumentation Prüfdatum"
C_SUBPROCESSOR_SCC:
id: C_SUBPROCESSOR_SCC
title: "SCC für Unterauftragsverarbeiter"
description: "SCC-Kette zu Unterauftragsverarbeitern im Drittland"
gdpr_ref: "Art. 28(4), Art. 46 DSGVO"
effort: medium
when_applicable: "Subprozessoren im Drittland"
what_to_do: |
1. Liste aller Subprozessoren mit Standorten einholen
2. Für jeden Drittland-Subprozessor: SCC oder Angemessenheit prüfen
3. Vertragliche Weitergabe der Pflichten sicherstellen
evidence_needed:
- "Subprocessor-Liste mit Standorten"
- "SCC-Nachweis für Drittland-Subprozessoren"
C_TECHNICAL_SUPPLEMENTARY:
id: C_TECHNICAL_SUPPLEMENTARY
title: "Technische Zusatzmaßnahmen"
description: "Ergänzende technische Schutzmaßnahmen bei Drittlandtransfer"
gdpr_ref: "EDPB Recommendations 01/2020"
effort: high
when_applicable: "TIA zeigt unzureichendes Schutzniveau"
what_to_do: |
1. Ende-zu-Ende-Verschlüsselung implementieren (Schlüssel nur bei Exporteur)
2. Pseudonymisierung mit Mapping-Tabelle im EWR
3. Logging aller Drittland-Zugriffe
evidence_needed:
- "Verschlüsselungskonzept"
- "Pseudonymisierungskonzept"
- "Zugriffsprotokollierung"
# =============================================================================
# REGELN - Kategorie A: Datenklassifikation
# =============================================================================
rules:
# ---------------------------------------------------------------------------
# A. Datenklassifikation
# ---------------------------------------------------------------------------
- id: R-A001
category: "A. Datenklassifikation"
title: "Personenbezogene Daten vorhanden"
description: "Es werden personenbezogene Daten verarbeitet"
condition:
field: data_types.personal_data
operator: equals
value: true
effect:
risk_add: 10
controls_add: [C_TRANSPARENCY]
severity: INFO
gdpr_ref: "Art. 4(1), Art. 6 DSGVO"
rationale: "Personenbezogene Daten erfordern Rechtsgrundlage nach Art. 6"
- id: R-A002
category: "A. Datenklassifikation"
title: "Besondere Kategorien (Art. 9)"
description: "Gesundheitsdaten, Religion, politische Meinung etc."
condition:
field: data_types.article_9_data
operator: equals
value: true
effect:
risk_add: 25
feasibility: CONDITIONAL
controls_add: [C_EXPLICIT_CONSENT, C_DSFA, C_ENCRYPTION]
escalation: true
severity: WARN
gdpr_ref: "Art. 9 DSGVO"
rationale: "Besondere Kategorien sind grundsätzlich verboten, Ausnahmen nur nach Art. 9(2)"
- id: R-A003
category: "A. Datenklassifikation"
title: "Daten von Minderjährigen"
description: "Es werden Daten von Personen unter 18 Jahren verarbeitet"
condition:
field: data_types.minor_data
operator: equals
value: true
effect:
risk_add: 20
training_allowed: false
controls_add: [C_PARENTAL_CONSENT, C_DSFA]
severity: WARN
gdpr_ref: "Art. 8 DSGVO, ErwGr. 38"
rationale: "Kinder verdienen besonderen Schutz"
- id: R-A004
category: "A. Datenklassifikation"
title: "KFZ-Kennzeichen"
description: "Fahrzeugkennzeichen werden verarbeitet"
condition:
field: data_types.license_plates
operator: equals
value: true
effect:
risk_add: 15
controls_add: [C_RETENTION_POLICY]
suggested_patterns: [P_PIXELIZATION, P_PRE_ANON]
severity: WARN
gdpr_ref: "Art. 4(1) DSGVO"
rationale: "Kennzeichen ermöglichen Identifikation des Halters"
- id: R-A005
category: "A. Datenklassifikation"
title: "Biometrische Daten"
description: "Fingerabdrücke, Gesichtserkennung oder andere biometrische Merkmale"
condition:
field: data_types.biometric_data
operator: equals
value: true
effect:
risk_add: 30
feasibility: CONDITIONAL
controls_add: [C_EXPLICIT_CONSENT, C_DSFA, C_ENCRYPTION, C_ACCESS_LOGGING]
suggested_patterns: [P_PIXELIZATION]
escalation: true
severity: WARN
gdpr_ref: "Art. 9(1), Art. 4(14) DSGVO"
rationale: "Biometrische Daten zur Identifikation sind besondere Kategorien"
- id: R-A006
category: "A. Datenklassifikation"
title: "Standortdaten"
description: "GPS, Bewegungsprofile oder Aufenthaltsorte"
condition:
field: data_types.location_data
operator: equals
value: true
effect:
risk_add: 15
controls_add: [C_EXPLICIT_CONSENT, C_RETENTION_POLICY]
severity: WARN
gdpr_ref: "Art. 4(1) DSGVO, ErwGr. 75"
rationale: "Standortdaten ermöglichen detaillierte Bewegungsprofile"
- id: R-A007
category: "A. Datenklassifikation"
title: "Nur öffentliche/anonyme Daten"
description: "Keine personenbezogenen Daten"
condition:
field: data_types.public_data
operator: equals
value: true
effect:
risk_add: 0
severity: INFO
gdpr_ref: "ErwGr. 26 DSGVO"
rationale: "Anonyme Daten fallen nicht unter die DSGVO"
# ---------------------------------------------------------------------------
# B. Zweck & Rechtsgrundlage
# ---------------------------------------------------------------------------
- id: R-B001
category: "B. Zweck & Rechtsgrundlage"
title: "Kundenservice"
description: "Verarbeitung zum Zweck des Kundenservice"
condition:
field: purpose.customer_support
operator: equals
value: true
effect:
risk_add: 5
legal_basis: "Art. 6(1)(b) DSGVO"
severity: INFO
rationale: "Kundenservice kann auf Vertragserfüllung gestützt werden"
- id: R-B002
category: "B. Zweck & Rechtsgrundlage"
title: "Bewertung/Scoring von Personen"
description: "Personen werden bewertet, eingestuft oder gerankt"
condition:
field: purpose.evaluation_scoring
operator: equals
value: true
effect:
risk_add: 20
controls_add: [C_TRANSPARENCY, C_CONTESTATION, C_DSFA]
severity: WARN
gdpr_ref: "Art. 22, § 31 BDSG"
rationale: "Scoring erfordert besondere Transparenz und Anfechtbarkeit"
- id: R-B003
category: "B. Zweck & Rechtsgrundlage"
title: "Profiling"
description: "Automatisierte Analyse persönlicher Aspekte"
condition:
field: purpose.profiling
operator: equals
value: true
effect:
risk_add: 20
controls_add: [C_TRANSPARENCY, C_DSFA]
severity: WARN
gdpr_ref: "Art. 4(4), Art. 22 DSGVO"
rationale: "Profiling erfordert erhöhte Transparenz"
- id: R-B004
category: "B. Zweck & Rechtsgrundlage"
title: "Marketing mit personenbezogenen Daten"
description: "Werbung unter Verwendung personenbezogener Daten"
condition:
all_of:
- field: purpose.marketing
operator: equals
value: true
- field: data_types.personal_data
operator: equals
value: true
effect:
risk_add: 10
feasibility: CONDITIONAL
controls_add: [C_EXPLICIT_CONSENT]
severity: WARN
gdpr_ref: "Art. 6(1)(a), § 7 UWG"
rationale: "E-Mail-Marketing erfordert i.d.R. Einwilligung"
# ---------------------------------------------------------------------------
# C. Automatisierung & Entscheidungen
# ---------------------------------------------------------------------------
- id: R-C001
category: "C. Automatisierung"
title: "Assistive KI-Nutzung"
description: "KI macht Vorschläge, Mensch entscheidet"
condition:
field: automation
operator: equals
value: assistive
effect:
risk_add: 0
severity: INFO
rationale: "Human-in-the-loop garantiert → geringes Risiko"
- id: R-C002
category: "C. Automatisierung"
title: "Teilautomatisierung"
description: "KI trifft Vorentscheidungen, Mensch prüft"
condition:
field: automation
operator: equals
value: semi_automated
effect:
risk_add: 10
controls_add: [C_TRANSPARENCY]
severity: INFO
rationale: "Human-on-the-loop reduziert Risiko"
- id: R-C003
category: "C. Automatisierung"
title: "Vollautomatisierte Verarbeitung"
description: "KI entscheidet ohne menschliche Prüfung"
condition:
field: automation
operator: equals
value: fully_automated
effect:
risk_add: 25
art22_risk: true
controls_add: [C_CONTESTATION, C_TRANSPARENCY]
suggested_patterns: [P_HITL_ENFORCED]
severity: WARN
gdpr_ref: "Art. 22 DSGVO"
rationale: "Vollautomatisierte Entscheidungen sind nach Art. 22 grundsätzlich verboten"
- id: R-C004
category: "C. Automatisierung"
title: "Entscheidungen mit rechtlicher Wirkung"
description: "Automatisierte Entscheidungen mit rechtlichen Konsequenzen"
condition:
all_of:
- field: automation
operator: equals
value: fully_automated
- field: outputs.legal_effects
operator: equals
value: true
effect:
feasibility: NO
severity: BLOCK
gdpr_ref: "Art. 22(1) DSGVO"
rationale: "Vollautomatisierte Entscheidungen mit rechtlicher Wirkung sind verboten"
- id: R-C005
category: "C. Automatisierung"
title: "HR-Kontext mit vollautomatisiertem Scoring"
description: "Mitarbeiterbewertung durch vollautomatisierte KI"
condition:
all_of:
- field: domain
operator: in
value: [hr, recruiting]
- field: purpose.evaluation_scoring
operator: equals
value: true
- field: automation
operator: equals
value: fully_automated
effect:
feasibility: NO
severity: BLOCK
gdpr_ref: "Art. 22 DSGVO, § 26 BDSG"
rationale: "Vollautomatisiertes HR-Scoring ist unzulässig"
# ---------------------------------------------------------------------------
# D. Training & Modell-Nutzung
# ---------------------------------------------------------------------------
- id: R-D001
category: "D. Training & Modell"
title: "RAG ohne Training"
description: "Nur Dokumentensuche, kein Modell-Training"
condition:
all_of:
- field: model_usage.rag
operator: equals
value: true
- field: model_usage.training
operator: equals
value: false
effect:
risk_add: 0
suggested_patterns: [P_RAG_ONLY]
severity: INFO
rationale: "RAG ist datenschutzfreundlich - Daten fließen nicht ins Modell"
- id: R-D002
category: "D. Training & Modell"
title: "Training mit personenbezogenen Daten"
description: "KI-Training unter Verwendung personenbezogener Daten"
condition:
all_of:
- field: model_usage.training
operator: equals
value: true
- field: data_types.personal_data
operator: equals
value: true
effect:
risk_add: 25
feasibility: CONDITIONAL
training_allowed: false
suggested_patterns: [P_RAG_ONLY, P_PRE_ANON]
controls_add: [C_EXPLICIT_CONSENT, C_DSFA]
severity: WARN
gdpr_ref: "Art. 5(1)(b), Art. 6 DSGVO"
rationale: "Training ist eigenständiger Verarbeitungszweck"
- id: R-D003
category: "D. Training & Modell"
title: "Training mit Daten Minderjähriger"
description: "KI-Training mit Daten von Kindern/Jugendlichen"
condition:
all_of:
- field: model_usage.training
operator: equals
value: true
- field: data_types.minor_data
operator: equals
value: true
effect:
feasibility: NO
severity: BLOCK
gdpr_ref: "Art. 8 DSGVO"
rationale: "Training mit Daten Minderjähriger ist nicht zulässig"
- id: R-D004
category: "D. Training & Modell"
title: "Fine-Tuning mit Kundengesprächen"
description: "Modell-Anpassung mit realen Kundeninteraktionen"
condition:
all_of:
- field: model_usage.finetune
operator: equals
value: true
- field: data_types.customer_data
operator: equals
value: true
effect:
risk_add: 15
feasibility: CONDITIONAL
suggested_patterns: [P_PRE_ANON, P_RAG_ONLY]
controls_add: [C_EXPLICIT_CONSENT]
severity: WARN
rationale: "Fine-Tuning nur mit anonymisierten Daten oder Einwilligung"
# ---------------------------------------------------------------------------
# E. Hosting & Drittlandtransfer
# ---------------------------------------------------------------------------
- id: R-E001
category: "E. Hosting"
title: "EU-Hosting"
description: "Daten werden in der EU/EWR verarbeitet"
condition:
field: hosting.region
operator: equals
value: eu
effect:
risk_add: 0
severity: INFO
rationale: "EU-Hosting vermeidet Drittlandtransfer-Problematik"
- id: R-E002
category: "E. Hosting"
title: "Drittland-Hosting"
description: "Daten werden außerhalb der EU verarbeitet"
condition:
field: hosting.region
operator: equals
value: third_country
effect:
risk_add: 15
controls_add: [C_SCC, C_TIA, C_ENCRYPTION]
suggested_patterns: [P_EU_HOSTING]
severity: WARN
gdpr_ref: "Art. 44ff DSGVO"
rationale: "Drittlandtransfer erfordert zusätzliche Garantien"
- id: R-E003
category: "E. Hosting"
title: "Drittland mit sensiblen Daten"
description: "Sensible Daten außerhalb der EU"
condition:
all_of:
- field: hosting.region
operator: equals
value: third_country
- any_of:
- field: data_types.article_9_data
operator: equals
value: true
- field: data_types.biometric_data
operator: equals
value: true
- field: data_types.minor_data
operator: equals
value: true
effect:
risk_add: 25
feasibility: CONDITIONAL
escalation: true
suggested_patterns: [P_EU_HOSTING]
severity: WARN
gdpr_ref: "Art. 44, Art. 9 DSGVO"
rationale: "Sensible Daten im Drittland erfordern umfangreiche Schutzmaßnahmen"
# ---------------------------------------------------------------------------
# E2. Standardvertragsklauseln (SCC)
# ---------------------------------------------------------------------------
- id: R-E004
category: "E. Transfer"
title: "SCC vorhanden bei Drittlandtransfer"
description: "Standardvertragsklauseln mit Drittland-Provider abgeschlossen"
condition:
all_of:
- field: provider.location
operator: in
value: [us, non_eu, third_country]
- field: contracts.scc.present
operator: equals
value: true
effect:
risk_add: 5
controls_add: [C_TIA]
severity: INFO
gdpr_ref: "Art. 46(2)(c) DSGVO"
rationale: "SCC bieten rechtliche Grundlage, TIA zur Validierung erforderlich"
- id: R-E005
category: "E. Transfer"
title: "Alte SCC-Version verwendet"
description: "SCC vorhanden, aber nicht die aktuelle Version (2021)"
condition:
all_of:
- field: contracts.scc.present
operator: equals
value: true
- field: contracts.scc.version
operator: not_equals
value: new_scc_2021
effect:
risk_add: 10
controls_add: [C_SCC_NEW]
flags: ["SCC_VERSION_OUTDATED"]
severity: WARN
gdpr_ref: "EU 2021/914"
rationale: "Alte SCC-Versionen sind seit Ende 2022 nicht mehr gültig"
- id: R-E006
category: "E. Transfer"
title: "USA-Transfer mit DPF-Zertifizierung"
description: "US-Provider ist unter Data Privacy Framework zertifiziert"
condition:
all_of:
- field: provider.location
operator: equals
value: us
- field: provider.dpf_certified
operator: equals
value: true
effect:
risk_add: 0
severity: INFO
gdpr_ref: "EU-US DPF Beschluss 2023"
rationale: "DPF-Zertifizierung ermöglicht Transfer ohne zusätzliche SCC"
- id: R-E007
category: "E. Transfer"
title: "USA-Transfer ohne DPF-Zertifizierung"
description: "US-Provider ist NICHT unter DPF zertifiziert"
condition:
all_of:
- field: provider.location
operator: equals
value: us
- field: provider.dpf_certified
operator: equals
value: false
effect:
risk_add: 15
controls_add: [C_SCC, C_TIA, C_SCC_DPF_CHECK]
flags: ["US_NO_DPF"]
severity: WARN
gdpr_ref: "DSGVO Art. 44ff, Schrems II"
rationale: "Ohne DPF sind SCC + TIA zwingend erforderlich"
- id: R-E008
category: "E. Transfer"
title: "Lokales Hosting ohne Drittlandzugriff"
description: "Vollständig lokale Verarbeitung im EWR ohne externen Zugriff"
condition:
all_of:
- field: hosting.type
operator: equals
value: on_premises
- field: hosting.region
operator: equals
value: eu
- field: provider.remote_access
operator: equals
value: false
effect:
risk_add: 0
flags: ["NO_TRANSFER_REQUIRED"]
severity: INFO
rationale: "Rein lokale Verarbeitung erfordert keine SCC"
- id: R-E009
category: "E. Transfer"
title: "Support-Zugriff aus Drittland"
description: "Provider-Support kann von Drittland aus auf Daten zugreifen"
condition:
all_of:
- field: provider.support_location
operator: in
value: [us, non_eu, third_country, global]
- field: data_types.personal_data
operator: equals
value: true
effect:
risk_add: 10
controls_add: [C_SCC, C_TIA]
flags: ["SUPPORT_TRANSFER_RISK"]
severity: WARN
gdpr_ref: "Art. 44 DSGVO"
rationale: "Remote-Zugriff auf EU-Daten von Drittland = Transfer"
- id: R-E010
category: "E. Transfer"
title: "Unterauftragsverarbeiter im Drittland"
description: "Provider nutzt Subprozessoren außerhalb des EWR"
condition:
all_of:
- field: provider.subprocessors.third_country
operator: equals
value: true
effect:
risk_add: 10
controls_add: [C_SUBPROCESSOR_SCC, C_TIA]
flags: ["SUBPROCESSOR_TRANSFER"]
severity: WARN
gdpr_ref: "Art. 28(4) DSGVO"
rationale: "SCC-Kette zu Drittland-Subprozessoren erforderlich"
- id: R-E011
category: "E. Transfer"
title: "TIA zeigt unzureichendes Schutzniveau"
description: "Transfer Impact Assessment ergibt Defizite"
condition:
all_of:
- field: contracts.tia.present
operator: equals
value: true
- field: contracts.tia.result
operator: equals
value: inadequate
effect:
risk_add: 20
controls_add: [C_TECHNICAL_SUPPLEMENTARY]
flags: ["TIA_INADEQUATE"]
escalation: true
severity: WARN
gdpr_ref: "EDPB Recommendations 01/2020"
rationale: "Zusätzliche technische Maßnahmen erforderlich"
- id: R-E012
category: "E. Transfer"
title: "TIA zeigt Transfer nicht möglich"
description: "Transfer Impact Assessment ergibt: kein angemessenes Niveau erreichbar"
condition:
all_of:
- field: contracts.tia.present
operator: equals
value: true
- field: contracts.tia.result
operator: equals
value: not_feasible
effect:
feasibility: NO
flags: ["TRANSFER_BLOCKED"]
severity: BLOCK
gdpr_ref: "Art. 44 DSGVO"
rationale: "Transfer ohne angemessenes Schutzniveau ist unzulässig"
# ---------------------------------------------------------------------------
# F. Domain-spezifische Regeln
# ---------------------------------------------------------------------------
- id: R-F001
category: "F. Domain-spezifisch"
title: "Bildung + automatisiertes Scoring"
description: "Automatisierte Bewertung von Schülern/Studenten"
condition:
all_of:
- field: domain
operator: in
value: [education, higher_education, vocational_training]
- field: purpose.evaluation_scoring
operator: equals
value: true
- field: automation
operator: equals
value: fully_automated
effect:
feasibility: NO
severity: BLOCK
rationale: "Vollautomatisiertes Scoring im Bildungsbereich nicht zulässig"
- id: R-F002
category: "F. Domain-spezifisch"
title: "Stadtwerke Chatbot (Standard)"
description: "Kundenservice-Chatbot für Versorgungsunternehmen"
condition:
all_of:
- field: domain
operator: equals
value: utilities
- field: purpose.customer_support
operator: equals
value: true
- field: model_usage.rag
operator: equals
value: true
- field: model_usage.training
operator: equals
value: false
effect:
feasibility: YES
risk_add: 0
severity: INFO
rationale: "Standard-Anwendungsfall mit geringem Risiko"
- id: R-F003
category: "F. Domain-spezifisch"
title: "Parkhaus mit Kennzeichen-Training"
description: "KI-Training mit KFZ-Kennzeichen"
condition:
all_of:
- field: domain
operator: equals
value: real_estate
- field: data_types.license_plates
operator: equals
value: true
- field: model_usage.training
operator: equals
value: true
effect:
feasibility: NO
suggested_patterns: [P_PIXELIZATION]
severity: BLOCK
rationale: "Training mit Kennzeichen ohne Einwilligung nicht zulässig"
- id: R-F004
category: "F. Domain-spezifisch"
title: "Gesundheitswesen mit Art.9-Daten"
description: "KI im Gesundheitsbereich mit Patientendaten"
condition:
all_of:
- field: domain
operator: in
value: [healthcare, medical_devices, pharma, elderly_care]
- field: data_types.article_9_data
operator: equals
value: true
effect:
risk_add: 20
feasibility: CONDITIONAL
controls_add: [C_DSFA, C_ENCRYPTION, C_ACCESS_LOGGING]
escalation: true
severity: WARN
gdpr_ref: "Art. 9(2)(h) DSGVO"
rationale: "Gesundheitsdaten nur mit besonderen Schutzmaßnahmen"
# ---------------------------------------------------------------------------
# K. Domain-spezifische Hochrisiko-Fragen (Annex III)
# ---------------------------------------------------------------------------
# HR / Recruiting (Annex III Nr. 4)
- id: R-HR-001
category: "K. HR Hochrisiko"
title: "Automatisches Bewerber-Screening ohne Human Review"
description: "KI sortiert Bewerber vor ohne dass ein Mensch jede Empfehlung tatsaechlich prueft"
condition:
all_of:
- field: "hr_context.automated_screening"
operator: "equals"
value: true
- field: "hr_context.human_review_enforced"
operator: "equals"
value: false
effect:
risk_add: 20
feasibility: CONDITIONAL
controls_add: [C_HUMAN_OVERSIGHT]
severity: WARN
gdpr_ref: "Art. 22 DSGVO + Annex III Nr. 4 AI Act"
rationale: "Ohne echtes Human Review droht Art. 22 DSGVO Verstoss"
- id: R-HR-002
category: "K. HR Hochrisiko"
title: "Automatisierte Absagen — Art. 22 DSGVO Risiko"
description: "KI generiert und versendet Absagen automatisch ohne menschliche Freigabe"
condition:
field: "hr_context.automated_rejection"
operator: "equals"
value: true
effect:
risk_add: 25
feasibility: NO
art22_risk: true
severity: BLOCK
gdpr_ref: "Art. 22 Abs. 1 DSGVO"
rationale: "Vollautomatische Ablehnung = ausschliesslich automatisierte Entscheidung mit rechtlicher Wirkung"
- id: R-HR-003
category: "K. HR Hochrisiko"
title: "AGG-relevante Merkmale fuer KI erkennbar"
description: "System kann Merkmale nach § 1 AGG erkennen (Name, Foto, Alter → Proxy-Diskriminierung)"
condition:
field: "hr_context.agg_categories_visible"
operator: "equals"
value: true
effect:
risk_add: 15
controls_add: [C_BIAS_AUDIT]
severity: WARN
gdpr_ref: "§ 1, § 3 Abs. 2 AGG"
rationale: "Proxy-Merkmale koennen indirekte Diskriminierung verursachen"
- id: R-HR-004
category: "K. HR Hochrisiko"
title: "Bewerber-Ranking ohne Bias-Audit"
description: "KI erstellt Bewerber-Rankings ohne regelmaessige Bias-Pruefung"
condition:
all_of:
- field: "hr_context.candidate_ranking"
operator: "equals"
value: true
- field: "hr_context.bias_audits_done"
operator: "equals"
value: false
effect:
risk_add: 15
controls_add: [C_BIAS_AUDIT]
severity: WARN
gdpr_ref: "§ 22 AGG (Beweislastumkehr)"
rationale: "Ohne Bias-Audit keine Verteidigung bei AGG-Klage"
- id: R-HR-005
category: "K. HR Hochrisiko"
title: "KI-gestuetzte Mitarbeiterbewertung"
description: "KI bewertet Mitarbeiterleistung (Performance Review, KPI-Tracking)"
condition:
field: "hr_context.performance_evaluation"
operator: "equals"
value: true
effect:
risk_add: 20
severity: WARN
gdpr_ref: "§ 87 Abs. 1 Nr. 6 BetrVG + § 94 BetrVG"
rationale: "Leistungsbewertung durch KI ist mitbestimmungspflichtig und diskriminierungsriskant"
# Education (Annex III Nr. 3)
- id: R-EDU-001
category: "K. Bildung Hochrisiko"
title: "KI beeinflusst Notenvergabe"
description: "KI erstellt Notenvorschlaege oder beeinflusst Bewertungen"
condition:
field: "education_context.grade_influence"
operator: "equals"
value: true
effect:
risk_add: 20
controls_add: [C_HUMAN_OVERSIGHT]
dsfa_recommended: true
severity: WARN
gdpr_ref: "Annex III Nr. 3 AI Act"
rationale: "Notenvergabe hat erhebliche Auswirkungen auf Bildungschancen"
- id: R-EDU-002
category: "K. Bildung Hochrisiko"
title: "Minderjaehrige betroffen ohne Lehrkraft-Review"
description: "KI-System betrifft Minderjaehrige und Lehrkraft prueft nicht jedes Ergebnis"
condition:
all_of:
- field: "education_context.minors_involved"
operator: "equals"
value: true
- field: "education_context.teacher_review_required"
operator: "equals"
value: false
effect:
risk_add: 25
feasibility: NO
severity: BLOCK
gdpr_ref: "Art. 24 EU-Grundrechtecharta + Annex III Nr. 3 AI Act"
rationale: "KI-Entscheidungen ueber Minderjaehrige ohne Lehrkraft-Kontrolle sind unzulaessig"
- id: R-EDU-003
category: "K. Bildung Hochrisiko"
title: "KI steuert Zugang zu Bildungsangeboten"
description: "KI beeinflusst Zulassung, Kursempfehlungen oder Einstufungen"
condition:
field: "education_context.student_selection"
operator: "equals"
value: true
effect:
risk_add: 20
dsfa_recommended: true
severity: WARN
gdpr_ref: "Art. 14 EU-Grundrechtecharta (Recht auf Bildung)"
rationale: "Zugangssteuerung zu Bildung ist hochrisiko nach AI Act"
# Healthcare (Annex III Nr. 5)
- id: R-HC-001
category: "K. Gesundheit Hochrisiko"
title: "KI unterstuetzt Diagnosen"
description: "KI erstellt Diagnosevorschlaege oder wertet Bildgebung aus"
condition:
field: "healthcare_context.diagnosis_support"
operator: "equals"
value: true
effect:
risk_add: 20
dsfa_recommended: true
controls_add: [C_HUMAN_OVERSIGHT]
severity: WARN
gdpr_ref: "Annex III Nr. 5 AI Act + MDR (EU) 2017/745"
rationale: "Diagnoseunterstuetzung erfordert hoechste Genauigkeit und Human Oversight"
- id: R-HC-002
category: "K. Gesundheit Hochrisiko"
title: "Triage-Entscheidung durch KI"
description: "KI priorisiert Patienten nach Dringlichkeit"
condition:
field: "healthcare_context.triage_decision"
operator: "equals"
value: true
effect:
risk_add: 30
feasibility: CONDITIONAL
controls_add: [C_HUMAN_OVERSIGHT]
dsfa_recommended: true
severity: WARN
gdpr_ref: "Annex III Nr. 5 AI Act"
rationale: "Lebenskritische Priorisierung erfordert maximale Sicherheit"
- id: R-HC-003
category: "K. Gesundheit Hochrisiko"
title: "Medizinprodukt ohne klinische Validierung"
description: "System ist als Medizinprodukt eingestuft aber nicht klinisch validiert"
condition:
all_of:
- field: "healthcare_context.medical_device"
operator: "equals"
value: true
- field: "healthcare_context.clinical_validation"
operator: "equals"
value: false
effect:
risk_add: 30
feasibility: NO
severity: BLOCK
gdpr_ref: "MDR (EU) 2017/745 Art. 61"
rationale: "Medizinprodukte ohne klinische Validierung duerfen nicht in Verkehr gebracht werden"
- id: R-HC-004
category: "K. Gesundheit Hochrisiko"
title: "Gesundheitsdaten ohne besondere Schutzmassnahmen"
description: "Gesundheitsdaten (Art. 9 DSGVO) werden verarbeitet"
condition:
field: "healthcare_context.patient_data_processed"
operator: "equals"
value: true
effect:
risk_add: 15
dsfa_recommended: true
controls_add: [C_DSFA]
severity: WARN
gdpr_ref: "Art. 9 DSGVO"
rationale: "Gesundheitsdaten sind besondere Kategorien mit erhoehtem Schutzbedarf"
# Legal / Justice (Annex III Nr. 8)
- id: R-LEG-001
category: "K. Legal Hochrisiko"
title: "KI gibt Rechtsberatung"
description: "KI generiert rechtliche Empfehlungen oder Einschaetzungen"
condition: { field: "legal_context.legal_advice", operator: "equals", value: true }
effect: { risk_add: 15, controls_add: [C_HUMAN_OVERSIGHT] }
severity: WARN
gdpr_ref: "Annex III Nr. 8 AI Act"
rationale: "Rechtsberatung durch KI kann Zugang zur Justiz beeintraechtigen"
- id: R-LEG-002
category: "K. Legal Hochrisiko"
title: "KI prognostiziert Gerichtsurteile"
description: "System erstellt Prognosen ueber Verfahrensausgaenge"
condition: { field: "legal_context.court_prediction", operator: "equals", value: true }
effect: { risk_add: 20, dsfa_recommended: true }
severity: WARN
rationale: "Urteilsprognosen koennen rechtliches Verhalten verzerren"
- id: R-LEG-003
category: "K. Legal Hochrisiko"
title: "Mandantengeheimnis bei KI-Verarbeitung"
description: "Vertrauliche Mandantendaten werden durch KI verarbeitet"
condition: { field: "legal_context.client_confidential", operator: "equals", value: true }
effect: { risk_add: 15, controls_add: [C_ENCRYPTION] }
severity: WARN
rationale: "Mandantengeheimnis erfordert besonderen Schutz (§ 203 StGB)"
# Public Sector (Art. 27 FRIA)
- id: R-PUB-001
category: "K. Oeffentlicher Sektor"
title: "KI in Verwaltungsentscheidungen"
description: "KI beeinflusst Verwaltungsakte oder Bescheide"
condition: { field: "public_sector_context.admin_decision", operator: "equals", value: true }
effect: { risk_add: 25, dsfa_recommended: true, controls_add: [C_FRIA, C_HUMAN_OVERSIGHT] }
severity: WARN
rationale: "Verwaltungsentscheidungen erfordern FRIA (Art. 27 AI Act)"
- id: R-PUB-002
category: "K. Oeffentlicher Sektor"
title: "KI verteilt oeffentliche Leistungen"
description: "KI entscheidet ueber Zuteilung von Sozialleistungen oder Foerderung"
condition: { field: "public_sector_context.benefit_allocation", operator: "equals", value: true }
effect: { risk_add: 25, feasibility: CONDITIONAL }
severity: WARN
rationale: "Leistungszuteilung betrifft Grundrecht auf soziale Sicherheit"
- id: R-PUB-003
category: "K. Oeffentlicher Sektor"
title: "Fehlende Transparenz gegenueber Buergern"
condition:
all_of:
- field: "public_sector_context.citizen_service"
operator: "equals"
value: true
- field: "public_sector_context.transparency_ensured"
operator: "equals"
value: false
effect: { risk_add: 15, controls_add: [C_TRANSPARENCY] }
severity: WARN
rationale: "Oeffentliche Stellen haben erhoehte Transparenzpflicht"
# Critical Infrastructure (NIS2 + Annex III Nr. 2)
- id: R-CRIT-001
category: "K. Kritische Infrastruktur"
title: "Sicherheitskritische KI-Steuerung ohne Redundanz"
condition:
all_of:
- field: "critical_infra_context.safety_critical"
operator: "equals"
value: true
- field: "critical_infra_context.redundancy_exists"
operator: "equals"
value: false
effect: { risk_add: 30, feasibility: NO }
severity: BLOCK
rationale: "Sicherheitskritische Steuerung ohne Redundanz ist unzulaessig"
- id: R-CRIT-002
category: "K. Kritische Infrastruktur"
title: "KI steuert Netz-/Infrastruktur"
condition: { field: "critical_infra_context.grid_control", operator: "equals", value: true }
effect: { risk_add: 20, controls_add: [C_INCIDENT_RESPONSE, C_HUMAN_OVERSIGHT] }
severity: WARN
rationale: "Netzsteuerung durch KI erfordert NIS2-konforme Absicherung"
# Automotive / Aerospace
- id: R-AUTO-001
category: "K. Automotive Hochrisiko"
title: "Autonomes Fahren / ADAS"
condition: { field: "automotive_context.autonomous_driving", operator: "equals", value: true }
effect: { risk_add: 30, controls_add: [C_HUMAN_OVERSIGHT, C_FRIA] }
severity: WARN
rationale: "Autonomes Fahren ist sicherheitskritisch und hochreguliert"
- id: R-AUTO-002
category: "K. Automotive Hochrisiko"
title: "Sicherheitsrelevant ohne Functional Safety"
condition:
all_of:
- field: "automotive_context.safety_relevant"
operator: "equals"
value: true
- field: "automotive_context.functional_safety"
operator: "equals"
value: false
effect: { risk_add: 25, feasibility: CONDITIONAL }
severity: WARN
rationale: "Sicherheitsrelevante Systeme erfordern ISO 26262 Konformitaet"
# Retail / E-Commerce
- id: R-RET-001
category: "K. Retail"
title: "Personalisierte Preise durch KI"
condition: { field: "retail_context.pricing_personalized", operator: "equals", value: true }
effect: { risk_add: 15, controls_add: [C_TRANSPARENCY] }
severity: WARN
rationale: "Personalisierte Preise koennen Verbraucher benachteiligen (DSA Art. 25)"
- id: R-RET-002
category: "K. Retail"
title: "Bonitaetspruefung bei Kauf"
condition: { field: "retail_context.credit_scoring", operator: "equals", value: true }
effect: { risk_add: 20, dsfa_recommended: true, art22_risk: true }
severity: WARN
rationale: "Kredit-Scoring ist Annex III Nr. 5 AI Act (Zugang zu Diensten)"
- id: R-RET-003
category: "K. Retail"
title: "Dark Patterns moeglich"
condition: { field: "retail_context.dark_patterns", operator: "equals", value: true }
effect: { risk_add: 15 }
severity: WARN
rationale: "Manipulative UI-Muster verstossen gegen DSA und Verbraucherrecht"
# IT / Cybersecurity / Telecom
- id: R-ITS-001
category: "K. IT-Sicherheit"
title: "KI-gestuetzte Mitarbeiterueberwachung"
condition: { field: "it_security_context.employee_surveillance", operator: "equals", value: true }
effect: { risk_add: 20, dsfa_recommended: true }
severity: WARN
rationale: "Mitarbeiterueberwachung ist §87 BetrVG + DSGVO relevant"
- id: R-ITS-002
category: "K. IT-Sicherheit"
title: "Umfangreiche Log-Speicherung"
condition: { field: "it_security_context.data_retention_logs", operator: "equals", value: true }
effect: { risk_add: 10, controls_add: [C_DATA_MINIMIZATION] }
severity: INFO
rationale: "Datenminimierung beachten auch bei Security-Logs"
# Logistics
- id: R-LOG-001
category: "K. Logistik"
title: "Fahrer-/Kurier-Tracking"
condition: { field: "logistics_context.driver_tracking", operator: "equals", value: true }
effect: { risk_add: 20 }
severity: WARN
rationale: "GPS-Tracking ist Verhaltenskontrolle (§87 BetrVG)"
- id: R-LOG-002
category: "K. Logistik"
title: "Leistungsbewertung Lagerarbeiter"
condition: { field: "logistics_context.workload_scoring", operator: "equals", value: true }
effect: { risk_add: 20, art22_risk: true }
severity: WARN
rationale: "Leistungs-Scoring ist Annex III Nr. 4 (Employment)"
# Construction / Real Estate
- id: R-CON-001
category: "K. Bau/Immobilien"
title: "KI-gestuetzte Mieterauswahl"
condition: { field: "construction_context.tenant_screening", operator: "equals", value: true }
effect: { risk_add: 20, dsfa_recommended: true }
severity: WARN
rationale: "Mieterauswahl betrifft Zugang zu Wohnraum (Grundrecht)"
- id: R-CON-002
category: "K. Bau/Immobilien"
title: "KI-Arbeitsschutzueberwachung"
condition: { field: "construction_context.worker_safety", operator: "equals", value: true }
effect: { risk_add: 15 }
severity: WARN
rationale: "Arbeitsschutzueberwachung kann Verhaltenskontrolle sein"
# Marketing / Media
- id: R-MKT-001
category: "K. Marketing/Medien"
title: "Deepfake-Inhalte ohne Kennzeichnung"
condition:
all_of:
- field: "marketing_context.deepfake_content"
operator: "equals"
value: true
- field: "marketing_context.ai_content_labeled"
operator: "equals"
value: false
effect: { risk_add: 20, feasibility: NO }
severity: BLOCK
rationale: "Art. 50 Abs. 4 AI Act: Deepfakes muessen gekennzeichnet werden"
- id: R-MKT-002
category: "K. Marketing/Medien"
title: "Minderjaehrige als Zielgruppe"
condition: { field: "marketing_context.minors_targeted", operator: "equals", value: true }
effect: { risk_add: 20, controls_add: [C_DSFA] }
severity: WARN
rationale: "Besonderer Schutz Minderjaehriger (DSA + DSGVO)"
- id: R-MKT-003
category: "K. Marketing/Medien"
title: "Verhaltensbasiertes Targeting"
condition: { field: "marketing_context.behavioral_targeting", operator: "equals", value: true }
effect: { risk_add: 15, dsfa_recommended: true }
severity: WARN
rationale: "Behavioral Targeting ist Profiling (Art. 22 DSGVO)"
# Manufacturing / CE
- id: R-MFG-001
category: "K. Fertigung"
title: "KI in Maschinensicherheit ohne Validierung"
condition:
all_of:
- field: "manufacturing_context.machine_safety"
operator: "equals"
value: true
- field: "manufacturing_context.safety_validated"
operator: "equals"
value: false
effect: { risk_add: 30, feasibility: NO }
severity: BLOCK
rationale: "Maschinenverordnung (EU) 2023/1230 erfordert Sicherheitsvalidierung"
- id: R-MFG-002
category: "K. Fertigung"
title: "CE-Kennzeichnung erforderlich"
condition: { field: "manufacturing_context.ce_marking_required", operator: "equals", value: true }
effect: { risk_add: 15, controls_add: [C_CE_CONFORMITY] }
severity: WARN
rationale: "CE-Kennzeichnung ist Pflicht fuer Maschinenprodukte mit KI"
# Agriculture
- id: R-AGR-001
category: "K. Landwirtschaft"
title: "KI steuert Pestizideinsatz"
condition: { field: "agriculture_context.pesticide_ai", operator: "equals", value: true }
effect: { risk_add: 15 }
severity: WARN
rationale: "Umwelt- und Gesundheitsrisiken bei KI-gesteuertem Pflanzenschutz"
- id: R-AGR-002
category: "K. Landwirtschaft"
title: "KI beeinflusst Tierhaltung"
condition: { field: "agriculture_context.animal_welfare", operator: "equals", value: true }
effect: { risk_add: 10 }
severity: INFO
rationale: "Tierschutzrelevanz bei automatisierter Haltungsentscheidung"
# Social Services
- id: R-SOC-001
category: "K. Soziales"
title: "KI trifft Leistungsentscheidungen fuer schutzbeduerftiger Gruppen"
condition:
all_of:
- field: "social_services_context.vulnerable_groups"
operator: "equals"
value: true
- field: "social_services_context.benefit_decision"
operator: "equals"
value: true
effect: { risk_add: 25, dsfa_recommended: true, controls_add: [C_FRIA, C_HUMAN_OVERSIGHT] }
severity: WARN
rationale: "Leistungsentscheidungen fuer Schutzbeduerftiger erfordern FRIA"
- id: R-SOC-002
category: "K. Soziales"
title: "KI in Fallmanagement"
condition: { field: "social_services_context.case_management", operator: "equals", value: true }
effect: { risk_add: 15 }
severity: WARN
rationale: "Fallmanagement betrifft Grundrechte der Betroffenen"
# Hospitality / Tourism
- id: R-HOS-001
category: "K. Tourismus"
title: "Dynamische Preisgestaltung"
condition: { field: "hospitality_context.dynamic_pricing", operator: "equals", value: true }
effect: { risk_add: 10, controls_add: [C_TRANSPARENCY] }
severity: INFO
rationale: "Personalisierte Preise erfordern Transparenz"
- id: R-HOS-002
category: "K. Tourismus"
title: "KI manipuliert Bewertungen"
condition: { field: "hospitality_context.review_manipulation", operator: "equals", value: true }
effect: { risk_add: 20, feasibility: NO }
severity: BLOCK
rationale: "Bewertungsmanipulation verstoesst gegen UWG und DSA"
# Insurance
- id: R-INS-001
category: "K. Versicherung"
title: "KI-gestuetzte Praemienberechnung"
condition: { field: "insurance_context.premium_calculation", operator: "equals", value: true }
effect: { risk_add: 20, dsfa_recommended: true }
severity: WARN
rationale: "Individuelle Praemien koennen diskriminierend wirken (AGG, Annex III Nr. 5)"
- id: R-INS-002
category: "K. Versicherung"
title: "Automatisierte Schadenbearbeitung"
condition: { field: "insurance_context.claims_automation", operator: "equals", value: true }
effect: { risk_add: 15, art22_risk: true }
severity: WARN
rationale: "Automatische Schadensablehnung kann Art. 22 DSGVO ausloesen"
# Investment
- id: R-INV-001
category: "K. Investment"
title: "Algorithmischer Handel"
condition: { field: "investment_context.algo_trading", operator: "equals", value: true }
effect: { risk_add: 15 }
severity: WARN
rationale: "MiFID II Anforderungen an algorithmischen Handel"
- id: R-INV-002
category: "K. Investment"
title: "KI-gestuetzte Anlageberatung (Robo Advisor)"
condition: { field: "investment_context.robo_advisor", operator: "equals", value: true }
effect: { risk_add: 20, controls_add: [C_HUMAN_OVERSIGHT, C_TRANSPARENCY] }
severity: WARN
rationale: "Anlageberatung ist reguliert (WpHG, MiFID II) — Haftungsrisiko"
# Defense
- id: R-DEF-001
category: "K. Verteidigung"
title: "Dual-Use KI-Technologie"
condition: { field: "defense_context.dual_use", operator: "equals", value: true }
effect: { risk_add: 25 }
severity: WARN
rationale: "Dual-Use Technologie unterliegt Exportkontrolle (EU VO 2021/821)"
- id: R-DEF-002
category: "K. Verteidigung"
title: "Verschlusssachen in KI verarbeitet"
condition: { field: "defense_context.classified_data", operator: "equals", value: true }
effect: { risk_add: 20, controls_add: [C_ENCRYPTION] }
severity: WARN
rationale: "VS-NfD und hoeher erfordert besondere Schutzmassnahmen"
# Supply Chain (LkSG)
- id: R-SCH-001
category: "K. Lieferkette"
title: "KI-Menschenrechtspruefung in Lieferkette"
condition: { field: "supply_chain_context.human_rights_check", operator: "equals", value: true }
effect: { risk_add: 10 }
severity: INFO
rationale: "LkSG-relevante KI-Analyse — Bias bei Laenderrisiko-Bewertung beachten"
- id: R-SCH-002
category: "K. Lieferkette"
title: "KI ueberwacht Lieferanten"
condition: { field: "supply_chain_context.supplier_monitoring", operator: "equals", value: true }
effect: { risk_add: 10 }
severity: INFO
rationale: "Lieferantenbewertung durch KI kann indirekt Personen betreffen"
# Facility Management
- id: R-FAC-001
category: "K. Facility"
title: "KI-Zutrittskontrolle"
condition: { field: "facility_context.access_control_ai", operator: "equals", value: true }
effect: { risk_add: 15, dsfa_recommended: true }
severity: WARN
rationale: "Biometrische oder verhaltensbasierte Zutrittskontrolle ist DSGVO-relevant"
- id: R-FAC-002
category: "K. Facility"
title: "Belegungsueberwachung"
condition: { field: "facility_context.occupancy_tracking", operator: "equals", value: true }
effect: { risk_add: 10 }
severity: INFO
rationale: "Belegungsdaten koennen Rueckschluesse auf Verhalten erlauben"
# Sports
- id: R-SPO-001
category: "K. Sport"
title: "Athleten-Performance-Tracking"
condition: { field: "sports_context.athlete_tracking", operator: "equals", value: true }
effect: { risk_add: 15 }
severity: WARN
rationale: "Leistungsdaten von Athleten sind besonders schuetzenswert"
- id: R-SPO-002
category: "K. Sport"
title: "Fan-/Zuschauer-Profilbildung"
condition: { field: "sports_context.fan_profiling", operator: "equals", value: true }
effect: { risk_add: 15, dsfa_recommended: true }
severity: WARN
rationale: "Massen-Profiling bei Sportevents erfordert DSFA"
# ---------------------------------------------------------------------------
# G. Aggregation & Ergebnis
# ---------------------------------------------------------------------------
- id: R-G001
category: "G. Aggregation"
title: "BLOCK-Regel greift"
description: "Mindestens eine blockierende Regel wurde ausgelöst"
condition:
aggregate: any_block
effect:
feasibility: NO
severity: BLOCK
rationale: "Hard-Block kann nicht überschrieben werden"
- id: R-G002
category: "G. Aggregation"
title: "Hoher Risikoscore"
description: "Aggregierter Risikoscore über Schwellenwert"
condition:
aggregate: risk_score_gte
value: 60
effect:
feasibility: CONDITIONAL
controls_add: [C_DSFA]
escalation: true
severity: WARN
rationale: "Hohe Risiko-Aggregation erfordert DSFA"
- id: R-G003
category: "G. Aggregation"
title: "Nur INFO-Regeln"
description: "Keine WARN oder BLOCK Regeln ausgelöst"
condition:
aggregate: only_info
effect:
feasibility: YES
severity: INFO
rationale: "Geringes Risiko bei nur informativen Regeln"
# =============================================================================
# Problem-Lösungs-Mappings (für LLM-Prompt-Generierung)
# =============================================================================
problem_solutions:
- problem_id: "license_plates_no_consent"
title: "KFZ-Kennzeichen ohne Rechtsgrundlage"
triggers:
- rule: R-A004
without_control: C_EXPLICIT_CONSENT
solutions:
- id: "pixelize"
title: "Kennzeichen verpixeln"
pattern: P_PIXELIZATION
removes_problem: true
team_question: "Funktioniert das Projekt auch mit verpixelten (nicht lesbaren) Kennzeichen?"
- id: "consent"
title: "Einwilligung einholen"
control: C_EXPLICIT_CONSENT
removes_problem: true
team_question: "Können Sie die Einwilligung aller Fahrzeughalter sicherstellen?"
- problem_id: "biometrics_no_consent"
title: "Biometrische Daten ohne Einwilligung"
triggers:
- rule: R-A005
without_control: C_EXPLICIT_CONSENT
solutions:
- id: "anonymize_faces"
title: "Gesichter anonymisieren"
pattern: P_PIXELIZATION
removes_problem: true
team_question: "Funktioniert das Projekt auch ohne erkennbare Gesichter?"
- id: "explicit_consent"
title: "Ausdrückliche Einwilligung"
control: C_EXPLICIT_CONSENT
removes_problem: true
team_question: "Können Sie eine ausdrückliche Einwilligung aller Betroffenen sicherstellen?"
- problem_id: "training_with_pii"
title: "KI-Training mit personenbezogenen Daten"
triggers:
- rule: R-D002
solutions:
- id: "use_rag"
title: "RAG statt Training"
pattern: P_RAG_ONLY
removes_problem: true
team_question: "Reicht es, wenn die KI Ihre Dokumente durchsuchen kann statt daraus zu lernen?"
- id: "anonymize_first"
title: "Trainingsdaten anonymisieren"
pattern: P_PRE_ANON
removes_problem: true
team_question: "Können die Daten vor dem Training vollständig anonymisiert werden?"
- problem_id: "fully_automated_decisions"
title: "Vollautomatisierte Entscheidungen"
triggers:
- rule: R-C003
solutions:
- id: "add_hitl"
title: "Menschliche Überprüfung einführen"
pattern: P_HITL_ENFORCED
removes_problem: true
team_question: "Kann ein Mensch jede Entscheidung vor Wirksamkeit prüfen?"
- problem_id: "third_country_no_scc"
title: "Drittlandtransfer ohne SCC"
triggers:
- rule: R-E002
without_control: C_SCC
solutions:
- id: "add_scc"
title: "SCC mit Provider abschließen"
control: C_SCC_NEW
removes_problem: true
team_question: "Kann der Provider die neuen EU-Standardvertragsklauseln unterzeichnen?"
- id: "switch_eu"
title: "Zu EU-Anbieter wechseln"
pattern: P_EU_HOSTING
removes_problem: true
team_question: "Gibt es eine EU-Alternative für diesen Dienst?"
- id: "local_hosting"
title: "Lokales Hosting nutzen"
removes_problem: true
team_question: "Kann die Verarbeitung vollständig lokal im EWR erfolgen?"
- problem_id: "us_provider_no_dpf"
title: "US-Provider ohne DPF-Zertifizierung"
triggers:
- rule: R-E007
solutions:
- id: "check_dpf"
title: "DPF-Status prüfen"
control: C_SCC_DPF_CHECK
removes_problem: false
team_question: "Wurde geprüft ob der Provider mittlerweile DPF-zertifiziert ist?"
- id: "add_scc_tia"
title: "SCC + TIA implementieren"
controls: [C_SCC_NEW, C_TIA]
removes_problem: true
team_question: "Hat der Provider die neuen SCC unterzeichnet und wurde ein TIA durchgeführt?"
- problem_id: "outdated_scc"
title: "Veraltete SCC-Version"
triggers:
- rule: R-E005
solutions:
- id: "update_scc"
title: "SCC auf Version 2021 aktualisieren"
control: C_SCC_NEW
removes_problem: true
team_question: "Kann der bestehende SCC-Vertrag auf die neue Version aktualisiert werden?"
- problem_id: "support_from_third_country"
title: "Support-Zugriff aus Drittland"
triggers:
- rule: R-E009
solutions:
- id: "restrict_access"
title: "Zugriff auf EU-Support beschränken"
removes_problem: true
team_question: "Kann der Support auf EU-basiertes Personal beschränkt werden?"
- id: "add_scc_support"
title: "SCC für Support-Zugriffe"
control: C_SCC
removes_problem: true
team_question: "Können SCC den Support-Zugriff aus dem Drittland abdecken?"
- problem_id: "tia_inadequate"
title: "TIA zeigt Defizite"
triggers:
- rule: R-E011
solutions:
- id: "add_technical_measures"
title: "Technische Zusatzmaßnahmen implementieren"
control: C_TECHNICAL_SUPPLEMENTARY
removes_problem: true
team_question: "Können Ende-zu-Ende-Verschlüsselung und Pseudonymisierung implementiert werden?"
- id: "switch_provider"
title: "Provider wechseln"
pattern: P_EU_HOSTING
removes_problem: true
team_question: "Gibt es einen alternativen Provider mit besserem Schutzniveau?"
# =============================================================================
# Escalation-Triggers (wann DSB einschalten)
# =============================================================================
escalation_triggers:
- condition: "Art. 9 Daten vorhanden"
reason: "Besondere Kategorien erfordern DSB-Freigabe"
- condition: "Minderjährige + Profiling/Scoring"
reason: "Besonderer Schutz für Kinder"
- condition: "Vollautomatisierte Entscheidungen mit Rechtswirkung"
reason: "Art. 22 DSGVO Prüfung erforderlich"
- condition: "Widersprüchliche Legal-RAG Ergebnisse"
reason: "Juristische Klärung erforderlich"
- condition: "Risikoscore >= 80"
reason: "Sehr hohes aggregiertes Risiko"
Reference in New Issue View Git Blame Copy Permalink