feat: BreakPilot PWA - Full codebase (clean push without large binaries)

All services: admin-v2, studio-v2, website, ai-compliance-sdk,
consent-service, klausur-service, voice-service, and infrastructure.
Large PDFs and compiled binaries excluded via .gitignore.

.claude/rules/compliance-checklist.md

@@ -0,0 +1,141 @@
+# Compliance-Checkliste
+
+## Wann diese Checkliste anwenden?
+
+**AUTOMATISCH bei:**
+- Neuen Features mit Nutzerdaten
+- Änderungen an Datenflüssen
+- KI/ML-Funktionen
+- Neuen API-Endpoints
+- Datenbankschema-Änderungen
+
+---
+
+## 1. DSGVO-Check (Datenschutz-Grundverordnung)
+
+### Rechtsgrundlage klären
+
+| Rechtsgrundlage | Wann verwenden |
+|-----------------|----------------|
+| **Einwilligung (Art. 6 Abs. 1a)** | Optionale Features, Marketing, Analytics |
+| **Vertragserfüllung (Art. 6 Abs. 1b)** | Kernfunktionen der Plattform |
+| **Berechtigtes Interesse (Art. 6 Abs. 1f)** | Sicherheit, Betrugsprävention |
+| **Rechtliche Verpflichtung (Art. 6 Abs. 1c)** | Aufbewahrungspflichten |
+
+### Datenminimierung
+
+- [ ] Werden nur notwendige Daten erhoben?
+- [ ] Gibt es Felder, die optional sein könnten?
+- [ ] Werden Daten nach Zweckerfüllung gelöscht?
+
+### Besondere Kategorien (Art. 9)
+
+**ACHTUNG bei:**
+- Gesundheitsdaten (Krankheitstage, Atteste)
+- Biometrische Daten (Gesichtserkennung, Stimme)
+- Religiöse Überzeugungen
+- Politische Meinungen
+
+→ **Explizite Einwilligung erforderlich!**
+
+### Minderjährige (Art. 8)
+
+**Breakpilot-spezifisch:**
+- Unter 16 Jahren: Einwilligung der Eltern
+- Altersverifikation implementieren
+- Kindgerechte Datenschutzerklärung
+
+### Betroffenenrechte sicherstellen
+
+- [ ] **Auskunft (Art. 15):** Kann der Nutzer seine Daten einsehen?
+- [ ] **Berichtigung (Art. 16):** Kann der Nutzer Daten korrigieren?
+- [ ] **Löschung (Art. 17):** Kann der Nutzer Löschung beantragen?
+- [ ] **Datenportabilität (Art. 20):** Export in maschinenlesbarem Format?
+
+---
+
+## 2. AI Act Check (KI-Verordnung)
+
+### Risikokategorie bestimmen
+
+| Kategorie | Beispiele | Anforderungen |
+|-----------|-----------|---------------|
+| **Unakzeptabel** | Social Scoring, Manipulation | ❌ VERBOTEN |
+| **Hochrisiko** | Bildungszugang, Prüfungsbewertung | Strenge Auflagen |
+| **Begrenzt** | Chatbots, Empfehlungen | Transparenzpflicht |
+| **Minimal** | Spam-Filter, Autokorrektur | Keine Auflagen |
+
+### Breakpilot KI-Features prüfen
+
+| Feature | Risiko | Maßnahmen |
+|---------|--------|-----------|
+| Klausur-OCR | Begrenzt | Transparenz, Human-in-Loop |
+| KI-Korrekturvorschläge | Hochrisiko | Audit-Log, Erklärbarkeit |
+| Lernempfehlungen | Begrenzt | Transparenz |
+| Spracherkennung | Begrenzt | Consent, Transparenz |
+
+### Hochrisiko-KI Anforderungen
+
+Wenn Hochrisiko:
+- [ ] Risikomanagementsystem dokumentiert
+- [ ] Qualität der Trainingsdaten sichergestellt
+- [ ] Technische Dokumentation vorhanden
+- [ ] Audit-Logging aktiviert
+- [ ] Human Oversight möglich
+- [ ] Genauigkeit/Robustheit getestet
+
+---
+
+## 3. Technische Maßnahmen (TOM)
+
+### Verschlüsselung
+
+- [ ] **Transit:** TLS 1.3 für alle Verbindungen
+- [ ] **Rest:** Datenbank-Verschlüsselung
+- [ ] **Secrets:** Vault für Credentials
+
+### Zugriffskontrollen
+
+- [ ] RBAC implementiert
+- [ ] Least Privilege Prinzip
+- [ ] Session-Timeouts
+
+### Audit-Logging
+
+```python
+# Beispiel: Audit-Event loggen
+audit_log.info({
+    "action": "data_export",
+    "user_id": user.id,
+    "timestamp": datetime.utcnow(),
+    "data_categories": ["grades", "personal"],
+    "legal_basis": "Art. 20 DSGVO"
+})
+```
+
+---
+
+## 4. Dokumentationspflichten
+
+### Bei neuen Features aktualisieren
+
+| Dokument | URL | Wann aktualisieren |
+|----------|-----|-------------------|
+| VVT | https://macmini:3002/sdk/vvt | Neue Verarbeitung |
+| TOM | https://macmini:3002/sdk/tom | Neue Schutzmaßnahme |
+| DSFA | https://macmini:3002/sdk/dsfa | Hochrisiko-Verarbeitung |
+| Löschfristen | https://macmini:3002/sdk/loeschfristen | Neue Datenkategorie |
+
+---
+
+## 5. Schnell-Check (5 Fragen)
+
+Vor jedem Feature diese 5 Fragen beantworten:
+
+1. **WER** sind die Betroffenen? (Schüler, Lehrer, Eltern)
+2. **WAS** für Daten werden verarbeitet?
+3. **WARUM** werden sie verarbeitet? (Rechtsgrundlage)
+4. **WIE LANGE** werden sie gespeichert?
+5. **WER** hat Zugriff?
+
+Können alle 5 Fragen beantwortet werden? → Feature ist dokumentierbar.