Benjamin_Boenisch/breakpilot-pwa
Archived
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix: Restore all files lost during destructive rebase

Browse Source 
A previous `git pull --rebase origin main` dropped 177 local commits,
losing 3400+ files across admin-v2, backend, studio-v2, website,
klausur-service, and many other services. The partial restore attempt
(660295e2) only recovered some files.

This commit restores all missing files from pre-rebase ref 98933f5e
while preserving post-rebase additions (night-scheduler, night-mode UI,
NightModeWidget dashboard integration).

Restored features include:
- AI Module Sidebar (FAB), OCR Labeling, OCR Compare
- GPU Dashboard, RAG Pipeline, Magic Help
- Klausur-Korrektur (8 files), Abitur-Archiv (5+ files)
- Companion, Zeugnisse-Crawler, Screen Flow
- Full backend, studio-v2, website, klausur-service
- All compliance SDKs, agent-core, voice-service
- CI/CD configs, documentation, scripts

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-02-09 09:51:32 +01:00
parent f7487ee240
commit 21a844cb8a
1986 changed files with 744143 additions and 1731 deletions
Download Patch File Download Diff File Expand all files Collapse all files

321
ai-compliance-sdk/policies/obligations/dsgvo_obligations.yaml Normal file
View File

@@ -0,0 +1,321 @@
# DSGVO (Datenschutz-Grundverordnung) Obligations
# EU Verordnung 2016/679
regulation: dsgvo
name: "DSGVO (Datenschutz-Grundverordnung)"
description: "EU-Verordnung zum Schutz personenbezogener Daten"
obligations:
- id: "DSGVO-OBL-001"
title: "Verarbeitungsverzeichnis fuehren"
description: |
Fuehrung eines Verzeichnisses aller Verarbeitungstaetigkeiten mit Angabe der
Zwecke, Kategorien betroffener Personen, Empfaenger, Uebermittlungen in
Drittlaender und Loeschfristen.
applies_when: "always"
legal_basis:
- norm: "Art. 30 DSGVO"
article: "Verzeichnis von Verarbeitungstaetigkeiten"
category: "Governance"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "Verarbeitungsverzeichnis"
- "Regelmaessige Aktualisierung dokumentiert"
priority: "hoch"
iso27001_mapping: ["A.5.1.1"]
- id: "DSGVO-OBL-002"
title: "Technische und organisatorische Massnahmen (TOMs)"
description: |
Implementierung geeigneter technischer und organisatorischer Massnahmen zum
Schutz personenbezogener Daten unter Beruecksichtigung des Stands der Technik,
der Implementierungskosten und der Art, des Umfangs, der Umstaende und der
Zwecke der Verarbeitung.
applies_when: "always"
legal_basis:
- norm: "Art. 32 DSGVO"
article: "Sicherheit der Verarbeitung"
category: "Technisch"
responsible: "IT-Leitung"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "TOM-Dokumentation"
- "Risikoanalyse"
- "Verschluesselungskonzept"
- "Zugriffskontroll-Dokumentation"
priority: "hoch"
iso27001_mapping: ["A.8", "A.10", "A.12", "A.13"]
how_to_implement: |
1. Risikoanalyse fuer alle Verarbeitungen durchfuehren
2. Geeignete TOMs je nach Risikoniveau auswaehlen
3. Verschluesselung fuer Daten at rest und in transit
4. Zugriffskontrolle nach Need-to-know-Prinzip
5. Regelmaessige Ueberpruefung und Aktualisierung
- id: "DSGVO-OBL-003"
title: "Datenschutz-Folgenabschaetzung (DSFA)"
description: |
Durchfuehrung einer Datenschutz-Folgenabschaetzung bei Verarbeitungsvorgaengen,
die voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher
Personen zur Folge haben, insbesondere bei neuen Technologien.
applies_when: "high_risk"
legal_basis:
- norm: "Art. 35 DSGVO"
article: "Datenschutz-Folgenabschaetzung"
category: "Governance"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "DSFA-Dokumentation"
- "Risikobewertung"
- "Abhilfemassnahmen"
- "Stellungnahme DSB"
priority: "kritisch"
iso27001_mapping: ["A.5.1.1", "A.18.1"]
how_to_implement: |
1. Pruefen ob DSFA erforderlich (Blacklist der Aufsichtsbehoerde)
2. Systematische Beschreibung der Verarbeitung
3. Bewertung der Notwendigkeit und Verhaeltnismaessigkeit
4. Risiken fuer Rechte und Freiheiten bewerten
5. Abhilfemassnahmen festlegen
6. Bei hohem Restrisiko: Konsultation der Aufsichtsbehoerde
- id: "DSGVO-OBL-004"
title: "Datenschutzbeauftragten benennen"
description: |
Benennung eines Datenschutzbeauftragten bei oeffentlichen Stellen,
systematischer Ueberwachung im grossen Umfang oder Verarbeitung
besonderer Kategorien im grossen Umfang. In Deutschland: ab 20 MA.
applies_when: "needs_dpo"
legal_basis:
- norm: "Art. 37 DSGVO"
article: "Benennung eines Datenschutzbeauftragten"
- norm: "§ 38 BDSG"
article: "Datenschutzbeauftragte nichtoeffentlicher Stellen"
category: "Governance"
responsible: "Geschaeftsfuehrung"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "DSB-Bestellung"
- "Meldung an Aufsichtsbehoerde"
- "Veroeffentlichung Kontaktdaten"
priority: "hoch"
- id: "DSGVO-OBL-005"
title: "Auftragsverarbeitungsvertrag (AVV)"
description: |
Abschluss eines Auftragsverarbeitungsvertrags mit allen Auftragsverarbeitern,
der die Pflichten gemaess Art. 28 Abs. 3 DSGVO enthaelt.
applies_when: "uses_processors"
legal_basis:
- norm: "Art. 28 DSGVO"
article: "Auftragsverarbeiter"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "AVV-Vertrag"
- "TOM-Nachweis des Auftragsverarbeiters"
- "Verzeichnis der Auftragsverarbeiter"
priority: "hoch"
- id: "DSGVO-OBL-006"
title: "Informationspflichten erfuellen"
description: |
Information der betroffenen Personen ueber die Verarbeitung ihrer Daten
bei Erhebung (Art. 13) oder nachtraeglich (Art. 14). Mindestinhalt:
Identitaet Verantwortlicher, Zwecke, Rechtsgrundlage, Empfaenger,
Uebermittlung Drittland, Speicherdauer, Betroffenenrechte.
applies_when: "controller"
legal_basis:
- norm: "Art. 13 DSGVO"
article: "Informationspflicht bei Erhebung"
- norm: "Art. 14 DSGVO"
article: "Informationspflicht bei Dritterhebung"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "Datenschutzerklaerung Website"
- "Cookie-Banner"
- "Informationsblaetter Mitarbeiter"
- "Kundeninformationen"
priority: "hoch"
- id: "DSGVO-OBL-007"
title: "Betroffenenrechte umsetzen"
description: |
Einrichtung von Prozessen zur Bearbeitung von Betroffenenanfragen innerhalb
von 1 Monat: Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17),
Einschraenkung (Art. 18), Datenuebertragbarkeit (Art. 20), Widerspruch (Art. 21).
applies_when: "controller"
legal_basis:
- norm: "Art. 15-21 DSGVO"
article: "Betroffenenrechte"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
deadline:
type: "relative"
duration: "1 Monat nach Anfrage"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "DSR-Prozess dokumentiert"
- "Anfrageformulare"
- "Bearbeitungsprotokolle"
priority: "kritisch"
- id: "DSGVO-OBL-008"
title: "Einwilligungen dokumentieren"
description: |
Nachweis gueltiger Einwilligungen: freiwillig, informiert, spezifisch,
unmissverstaendlich, widerrufbar. Bei besonderen Kategorien: ausdruecklich.
applies_when: "controller"
legal_basis:
- norm: "Art. 7 DSGVO"
article: "Bedingungen fuer die Einwilligung"
- norm: "Art. 9 Abs. 2 lit. a DSGVO"
category: "Governance"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "Consent-Management-System"
- "Einwilligungsprotokolle"
- "Widerrufsprozess dokumentiert"
priority: "hoch"
- id: "DSGVO-OBL-009"
title: "Loeschkonzept umsetzen"
description: |
Implementierung eines Loeschkonzepts mit definierten Aufbewahrungsfristen
und automatisierten Loeschroutinen (Speicherbegrenzung).
applies_when: "always"
legal_basis:
- norm: "Art. 17 DSGVO"
article: "Recht auf Loeschung"
- norm: "Art. 5 Abs. 1 lit. e DSGVO"
article: "Speicherbegrenzung"
category: "Technisch"
responsible: "IT-Leitung"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "Loeschkonzept"
- "Aufbewahrungsfristen je Kategorie"
- "Loeschprotokolle"
priority: "hoch"
- id: "DSGVO-OBL-010"
title: "Drittlandtransfer absichern"
description: |
Bei Uebermittlung in Drittlaender ohne Angemessenheitsbeschluss:
Standardvertragsklauseln (SCCs), BCRs oder andere Garantien.
Transfer Impact Assessment durchfuehren.
applies_when: "cross_border"
legal_basis:
- norm: "Art. 44-49 DSGVO"
article: "Uebermittlung in Drittlaender"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "SCCs abgeschlossen"
- "Transfer Impact Assessment"
- "Dokumentation der Garantien"
priority: "kritisch"
- id: "DSGVO-OBL-011"
title: "Meldeprozess Datenschutzverletzungen"
description: |
Etablierung eines Prozesses zur Erkennung, Bewertung und Meldung von
Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehoerde
und ggf. unverzueglich an betroffene Personen.
applies_when: "always"
legal_basis:
- norm: "Art. 33 DSGVO"
article: "Meldung an Aufsichtsbehoerde"
- norm: "Art. 34 DSGVO"
article: "Benachrichtigung Betroffener"
category: "Meldepflicht"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "Breach-Notification-Prozess"
- "Meldevorlage"
- "Vorfallprotokoll"
priority: "kritisch"
controls:
- id: "DSGVO-CTRL-001"
name: "Consent-Management-System"
description: "Implementierung eines Systems zur Verwaltung von Einwilligungen"
category: "Technisch"
what_to_do: "Implementierung einer Consent-Management-Plattform mit Protokollierung, Widerrufsmoeglichkeit und Nachweis"
iso27001_mapping: ["A.18.1"]
priority: "hoch"
- id: "DSGVO-CTRL-002"
name: "Verschluesselung personenbezogener Daten"
description: "Verschluesselung ruhender und uebertragener Daten"
category: "Technisch"
what_to_do: "TLS 1.3 fuer Uebertragung, AES-256 fuer Speicherung, Key-Management implementieren"
iso27001_mapping: ["A.10.1"]
priority: "hoch"
- id: "DSGVO-CTRL-003"
name: "Zugriffskontrolle"
description: "Need-to-know-Prinzip fuer Zugriff auf personenbezogene Daten"
category: "Organisatorisch"
what_to_do: "RBAC implementieren, regelmaessige Berechtigungspruefung, Protokollierung aller Zugriffe"
iso27001_mapping: ["A.9.1", "A.9.2", "A.9.4"]
priority: "hoch"
- id: "DSGVO-CTRL-004"
name: "Pseudonymisierung/Anonymisierung"
description: "Anwendung von Pseudonymisierung wo moeglich, Anonymisierung fuer Analysen"
category: "Technisch"
what_to_do: "Pseudonymisierungsverfahren implementieren, Zuordnungstabellen getrennt speichern"
iso27001_mapping: ["A.8.2"]
priority: "mittel"
- id: "DSGVO-CTRL-005"
name: "Datenschutz-Schulungen"
description: "Regelmaessige Schulung aller Mitarbeiter zu Datenschutzthemen"
category: "Organisatorisch"
what_to_do: "Jaehrliche Pflichtschulungen, Awareness-Kampagnen, dokumentierte Nachweise"
iso27001_mapping: ["A.7.2.2"]
priority: "mittel"
incident_deadlines:
- phase: "Meldung an Aufsichtsbehoerde"
deadline: "72 Stunden"
content: |
Meldung bei Verletzung des Schutzes personenbezogener Daten,
es sei denn, die Verletzung fuehrt voraussichtlich nicht zu einem
Risiko fuer die Rechte und Freiheiten natuerlicher Personen.
Inhalt: Art der Verletzung, Kategorien/Anzahl Betroffener,
Kontakt DSB, Folgen, ergriffene Massnahmen.
recipient: "Zustaendige Datenschutz-Aufsichtsbehoerde"
legal_basis:
- norm: "Art. 33 DSGVO"
- phase: "Benachrichtigung Betroffener"
deadline: "unverzueglich"
content: |
Wenn die Verletzung voraussichtlich ein hohes Risiko fuer die
Rechte und Freiheiten natuerlicher Personen zur Folge hat.
In klarer und einfacher Sprache: Art der Verletzung, Kontakt DSB,
wahrscheinliche Folgen, ergriffene Abhilfemassnahmen.
recipient: "Betroffene Personen"
legal_basis:
- norm: "Art. 34 DSGVO"