+ Der BreakPilot Compliance Hub ist ein System, das Organisationen dabei + unterstuetzt, gesetzliche Vorschriften einzuhalten. Er beantwortet die zentrale Frage: +
++ “Duerfen wir das, was wir vorhaben, ueberhaupt so machen -- und wenn ja, welche + Auflagen muessen wir dafuer erfuellen?” ++
+ Konkret geht es um EU- und deutsche Gesetze, die fuer den Umgang mit Daten und + kuenstlicher Intelligenz relevant sind: die DSGVO, den AI Act, + die NIS2-Richtlinie und viele weitere Regelwerke. Das System hat vier + Hauptaufgaben: +
++ Das System besteht aus mehreren Bausteinen, die jeweils eine klar abgegrenzte Aufgabe haben. + Man kann es sich wie ein Buero vorstellen: +
+ +| Baustein | +Analogie | +Technologie | +Aufgabe | +
|---|---|---|---|
| API-Gateway | Empfang / Rezeption | Go (Gin) | Nimmt alle Anfragen entgegen, prueft Identitaet und leitet weiter |
| Compliance Engine (UCCA) | Sachbearbeiter | Go | Bewertet Anwendungsfaelle gegen 45+ Regeln und berechnet Risikoscore |
| RAG Service | Rechtsbibliothek | Python (FastAPI) | Durchsucht Gesetze semantisch und beantwortet Rechtsfragen |
| Legal Corpus | Gesetzesbuecher im Regal | YAML/JSON + Qdrant | Enthaelt alle Rechtstexte als durchsuchbare Wissensbasis |
| Policy Engine | Regelbuch des Sachbearbeiters | YAML-Dateien | 45+ auditierbare Pruefregeln in maschinenlesbarer Form |
| Eskalations-System | Chef-Unterschrift | Go + PostgreSQL | Leitet kritische Faelle an menschliche Pruefer weiter |
| Admin Dashboard | Schreibtisch | Next.js | Benutzeroberflaeche fuer alle Funktionen |
| PostgreSQL | Aktenschrank | SQL-Datenbank | Speichert Assessments, Eskalationen, Controls, Audit-Trail |
| Qdrant | Suchindex der Bibliothek | Vektordatenbank | Ermoeglicht semantische Suche ueber Rechtstexte |
+ Das Herzstueck des Systems ist seine Wissensbasis -- eine Sammlung aller + relevanten Rechtstexte, die das System kennt und durchsuchen kann. Wir nennen das den + Legal Corpus (wörtlich: “Rechtlicher Koerper”). +
+ ++ Der Legal Corpus ist in zwei Hauptbereiche gegliedert: EU-Recht und + deutsches Recht. +
+ +| Regelwerk | +Abkuerzung | +Artikel | +Gueltig seit | +Thema | +
|---|---|---|---|---|
| Datenschutz-Grundverordnung | DSGVO | 99 | 25.05.2018 | Schutz personenbezogener Daten |
| KI-Verordnung | AI Act | 113 | 01.08.2024 | Regulierung kuenstlicher Intelligenz |
| Netz- und Informationssicherheit | NIS2 | 46 | 18.10.2024 | Cybersicherheit kritischer Infrastrukturen |
| ePrivacy-Verordnung | ePrivacy | -- | in Arbeit | Vertraulichkeit elektronischer Kommunikation |
| Cyber Resilience Act | CRA | -- | 2024 | Cybersicherheit von Produkten mit digitalen Elementen |
| Data Act | DA | -- | 2024 | Zugang und Nutzung von Daten |
| Digital Markets Act | DMA | -- | 2023 | Regulierung digitaler Gatekeeper |
| Gesetz | +Abkuerzung | +Thema | +
|---|---|---|
| Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz | TDDDG | Datenschutz bei Telekommunikation und digitalen Diensten |
| Bundesdatenschutzgesetz | BDSG | Nationale Ergaenzung zur DSGVO |
| IT-Sicherheitsgesetz | IT-SiG | IT-Sicherheit kritischer Infrastrukturen |
| BSI-KritisV | KritisV | BSI-Verordnung fuer kritische Infrastrukturen |
| Standard | +Thema | +
|---|---|
| ISO 27001 | Informationssicherheits-Managementsystem (ISMS) |
| SOC2 | Trust Service Criteria (Sicherheit, Verfuegbarkeit, Vertraulichkeit) |
| BSI Grundschutz | IT-Grundschutz des BSI |
| BSI TR-03161 | Technische Richtlinie fuer Anforderungen an Anwendungen im Gesundheitswesen |
| SCC (Standard Contractual Clauses) | Standardvertragsklauseln fuer Drittlandtransfers |
+ Jeder Rechtstext durchlaeuft eine Verarbeitungspipeline, bevor er im + System durchsuchbar ist. Der Vorgang laesst sich mit dem Erstellen eines + Bibliothekskatalogs vergleichen: +
+metadata.json-Datei, die beschreibt, um welches Gesetz es sich handelt,
+ wie viele Artikel es hat und welche Schluesselbegriffe relevant sind.
+ + Klassische Suchmaschinen suchen nach Woertern. Wenn Sie “Einwilligung” + eingeben, finden sie nur Texte, die genau dieses Wort enthalten. Unsere semantische Suche + funktioniert anders: Sie sucht nach Bedeutung. +
++ Beispiel: Wenn Sie fragen “Wann muss ich den Nutzer um Erlaubnis + bitten?”, findet das System Art. 7 DSGVO (Bedingungen fuer die Einwilligung), obwohl + Ihre Frage das Wort “Einwilligung” gar nicht enthaelt. Das funktioniert, weil + die Bedeutungsvektoren von “um Erlaubnis bitten” und “Einwilligung” + sehr aehnlich sind. +
+Der Suchvorgang im Detail:
++ Ueber die reine Suche hinaus kann das System auch Fragen beantworten. + Dabei wird die semantische Suche mit einem Sprachmodell kombiniert: +
++ Das Kernmodul des Compliance Hub ist die UCCA Engine (Unified Compliance + Control Assessment). Sie bewertet, ob ein geplanter KI-Anwendungsfall zulaessig ist. +
+ ++ Alles beginnt mit einem strukturierten Fragebogen. Der Nutzer beschreibt seinen geplanten + Anwendungsfall, indem er Fragen zu folgenden Bereichen beantwortet: +
+| Bereich | +Typische Fragen | +Warum relevant? | +
|---|---|---|
| Datentypen | Werden personenbezogene Daten verarbeitet? Besondere Kategorien (Art. 9)? | Art. 9-Daten (Gesundheit, Religion, etc.) erfordern besondere Schutzmassnahmen |
| Verarbeitungszweck | Wird Profiling betrieben? Scoring? Automatisierte Entscheidungen? | Art. 22 DSGVO schuetzt vor vollautomatischen Entscheidungen |
| Modellnutzung | Wird das Modell nur genutzt (Inference) oder mit Nutzerdaten trainiert (Fine-Tuning)? | Training mit personenbezogenen Daten erfordert besondere Rechtsgrundlage |
| Automatisierungsgrad | Assistenzsystem, teil- oder vollautomatisch? | Vollautomatische Systeme unterliegen strengeren Auflagen |
| Datenspeicherung | Wie lange werden Daten gespeichert? Wo? | DSGVO Art. 5: Speicherbegrenzung / Zweckbindung |
| Hosting-Standort | EU, USA, oder anderswo? | Drittlandtransfers erfordern zusaetzliche Garantien (SCC, DPF) |
| Branche | Gesundheit, Finanzen, Bildung, Automotive, ...? | Bestimmte Branchen unterliegen zusaetzlichen Regulierungen |
| Menschliche Aufsicht | Gibt es einen Human-in-the-Loop? | AI Act fordert menschliche Aufsicht fuer Hochrisiko-KI |
+ Die Antworten des Fragebogens werden gegen ein Regelwerk von ueber 45 Regeln + geprueft. Jede Regel ist in einer YAML-Datei definiert und hat folgende Struktur: +
+Die Regeln sind in 10 Kategorien organisiert:
+| Kategorie | +Regel-IDs | +Prueft | +Beispiel | +
|---|---|---|---|
| A. Datenklassifikation | R-001 bis R-006 | Welche Daten werden verarbeitet? | R-001: Werden personenbezogene Daten verarbeitet? → +10 Risiko |
| B. Zweck & Kontext | R-010 bis R-013 | Warum und wie werden Daten genutzt? | R-011: Profiling? → DSFA empfohlen |
| C. Automatisierung | R-020 bis R-025 | Wie stark ist die Automatisierung? | R-023: Vollautomatisch? → Art. 22 Risiko |
| D. Training vs. Nutzung | R-030 bis R-035 | Wird das Modell trainiert? | R-035: Training + Art. 9-Daten? → BLOCK |
| E. Speicherung | R-040 bis R-042 | Wie lange werden Daten gespeichert? | R-041: Unbegrenzte Speicherung? → WARN |
| F. Hosting | R-050 bis R-052 | Wo werden Daten gehostet? | R-051: Hosting in USA? → SCC/DPF pruefen |
| G. Transparenz | R-060 bis R-062 | Werden Nutzer informiert? | R-060: Keine Offenlegung? → AI Act Verstoss |
| H. Branchenspezifisch | R-070 bis R-074 | Gelten Sonderregeln fuer die Branche? | R-070: Gesundheitsbranche? → zusaetzliche Anforderungen |
| I. Aggregation | R-090 bis R-092 | Meta-Regeln ueber andere Regeln | R-090: Zu viele WARN-Regeln? → Gesamtrisiko erhoeht |
| J. Erklaerung | R-100 | Warum hat das System so entschieden? | Automatisch generierte Begruendung |
+ Nach der Pruefung aller Regeln erhaelt der Nutzer eine strukturierte Bewertung: +
+| Ergebnis | +Beschreibung | +
|---|---|
| Machbarkeit | ++ YES + CONDITIONAL + NO + | +
| Risikoscore | 0-100 Punkte. Je hoeher, desto mehr Massnahmen sind erforderlich. |
| Risikostufe | MINIMAL / LOW / MEDIUM / HIGH / UNACCEPTABLE |
| Ausgeloeste Regeln | Liste aller Regeln, die angeschlagen haben, mit Schweregrad und Gesetzesreferenz |
| Erforderliche Controls | Konkrete Massnahmen, die umgesetzt werden muessen (z.B. Verschluesselung, Einwilligung einholen) |
| Empfohlene Architektur | Technische Muster, die eingesetzt werden sollten (z.B. On-Premise statt Cloud) |
| Verbotene Muster | Technische Ansaetze, die vermieden werden muessen |
| DSFA erforderlich? | Ob eine Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchgefuehrt werden muss |
+ Nicht jede Bewertung ist eindeutig. Fuer heikle Faelle gibt es ein abgestuftes + Eskalations-System, das sicherstellt, dass die richtigen Menschen die endgueltige + Entscheidung treffen. +
+ +| Stufe | +Wann? | +Wer prueft? | +Frist (SLA) | +Beispiel | +
|---|---|---|---|---|
| E0 | Nur INFO-Regeln, Risiko < 20 | Niemand (automatisch freigegeben) | -- | Spam-Filter ohne personenbezogene Daten |
| E1 | WARN-Regeln, Risiko 20-39 | Teamleiter | 24 Stunden | Chatbot mit Kundendaten (unser Beispiel oben) |
| E2 | Art. 9-Daten ODER Risiko 40-59 ODER DSFA empfohlen | Datenschutzbeauftragter (DSB) | 8 Stunden | KI-System, das Gesundheitsdaten verarbeitet |
| E3 | BLOCK-Regel ODER Risiko ≥ 60 ODER Art. 22-Risiko | DSB + Rechtsabteilung | 4 Stunden | Vollautomatische Kreditentscheidung |
+ Zuweisung: Die Zuweisung erfolgt automatisch an den Pruefer mit der + geringsten aktuellen Arbeitslast (Workload-basiertes Round-Robin). Jeder Pruefer hat eine + konfigurierbare Obergrenze fuer gleichzeitige Reviews (z.B. 10 fuer Teamleiter, 5 fuer DSB, + 3 fuer Rechtsabteilung). +
++ Entscheidung: Der Pruefer kann den Anwendungsfall freigeben, + ablehnen, mit Auflagen freigeben oder weiter eskalieren. + Jede Entscheidung wird mit Begruendung im Audit-Trail gespeichert. +
+ + {/* ============================================================ */} + {/* 6. CONTROLS, EVIDENCE & RISIKEN */} + {/* ============================================================ */} ++ Ein Control ist eine konkrete Massnahme, die eine Organisation umsetzt, + um ein Compliance-Risiko zu beherrschen. Es gibt drei Arten: +
++ Der Compliance Hub verwaltet einen Katalog von ueber 100 vordefinierten Controls, + die in 9 Domaenen organisiert sind: +
++ Jeder Control ist mit einem oder mehreren Gesetzesartikeln verknuepft. Diese + Mappings machen sichtbar, warum eine Massnahme erforderlich ist: +
+ ++ Ein Control allein genuegt nicht -- man muss auch nachweisen, dass er + umgesetzt wurde. Das System verwaltet verschiedene Nachweis-Typen: +
++ Jeder Nachweis hat ein Ablaufdatum. Das System warnt automatisch, + wenn Nachweise bald ablaufen (z.B. ein ISO-Zertifikat, das in 3 Monaten erneuert werden muss). +
+ ++ Risiken werden in einer 5x5-Risikomatrix dargestellt. Die beiden Achsen sind: +
++ Aus der Kombination ergibt sich die Risikostufe: Minimal, Low, + Medium, High oder Critical. Fuer jedes identifizierte Risiko + wird dokumentiert, welche Controls es abmildern und wer dafuer verantwortlich ist. +
+ + {/* ============================================================ */} + {/* 7. OBLIGATIONS FRAMEWORK */} + {/* ============================================================ */} ++ Nicht jedes Gesetz gilt fuer jede Organisation. Das Obligations Framework + ermittelt automatisch, welche konkreten Pflichten sich aus der Situation einer Organisation + ergeben. Dafuer werden “Fakten” ueber die Organisation gesammelt und gegen die + Anwendbarkeitsbedingungen der einzelnen Gesetze geprueft. +
+ ++ Aehnliche Entscheidungsbaeume existieren fuer DSGVO (Verarbeitung personenbezogener Daten?), + AI Act (KI-System im Einsatz? Welche Risikokategorie?) und alle anderen Regelwerke. + Das System leitet daraus konkrete Pflichten ab -- z.B. “Meldepflicht bei + Sicherheitsvorfaellen innerhalb von 72 Stunden” oder “Ernennung eines + Datenschutzbeauftragten”. +
+ + {/* ============================================================ */} + {/* 8. DSGVO-MODULE */} + {/* ============================================================ */} ++ Fuer die Einhaltung der DSGVO bietet der Compliance Hub spezialisierte Module: +
+ ++ Verwaltet die Einwilligung von Nutzern gemaess Art. 6/7 DSGVO. Jede Einwilligung wird + protokolliert: wer hat wann, auf welchem Kanal, fuer welchen Zweck zugestimmt (oder + abgelehnt)? Einwilligungen koennen jederzeit widerrufen werden, der Widerruf wird ebenfalls + dokumentiert. +
++ Zwecke: Essential (funktionsnotwendig), Functional, Analytics, Marketing, + Personalization, Third-Party. +
+ ++ Verwaltet Antraege betroffener Personen nach Art. 15-21 DSGVO: Auskunft, Berichtigung, + Loeschung, Datenportabilitaet, Einschraenkung und Widerspruch. Das System ueberwacht die + 30-Tage-Frist (Art. 12) und eskaliert automatisch, wenn Fristen drohen + zu verstreichen. +
+ ++ Dokumentiert alle Datenverarbeitungen gemaess Art. 30 DSGVO: Welche Daten werden fuer + welchen Zweck, auf welcher Rechtsgrundlage, wie lange und von wem verarbeitet? Jede + Verarbeitungstaetigkeit wird mit ihren Datenkategorien, Empfaengern und + Loeschfristen erfasst. +
+ ++ Wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko fuer die Rechte natuerlicher + Personen mit sich bringt, ist eine DSFA nach Art. 35 DSGVO Pflicht. Das System unterstuetzt + den Prozess: Risiken identifizieren, bewerten, Gegenmassnahmen definieren und das Ergebnis + dokumentieren. +
+ ++ Dokumentiert die Schutzmassnahmen nach Art. 32 DSGVO. Fuer jede Massnahme wird erfasst: + Kategorie (z.B. Verschluesselung, Zugriffskontrolle), Status (implementiert / in + Bearbeitung / geplant), Verantwortlicher und Nachweise. +
+ ++ Verwaltet Aufbewahrungsfristen und automatische Loeschung gemaess Art. 5/17 DSGVO. + Fuer jede Datenkategorie wird definiert: wie lange darf sie gespeichert werden, wann muss + sie geloescht werden und wie (z.B. Ueberschreiben, Schluesselloeschung bei verschluesselten + Daten). +
+ + {/* ============================================================ */} + {/* 9. MULTI-TENANCY & ZUGRIFFSKONTROLLE */} + {/* ============================================================ */} ++ Das System ist mandantenfaehig (Multi-Tenant): Mehrere Organisationen + koennen es gleichzeitig nutzen, ohne dass sie gegenseitig auf ihre Daten zugreifen koennen. + Jede Anfrage enthaelt eine Tenant-ID, und die Datenbank-Abfragen filtern automatisch nach + dieser ID. +
+ ++ Innerhalb eines Mandanten gibt es verschiedene Rollen mit unterschiedlichen Berechtigungen: +
+| Rolle | +Darf | +
|---|---|
| Mitarbeiter | Anwendungsfaelle einreichen, eigene Bewertungen einsehen |
| Teamleiter | E1-Eskalationen pruefen, Team-Assessments einsehen |
| DSB (Datenschutzbeauftragter) | E2/E3-Eskalationen pruefen, alle Assessments einsehen, Policies aendern |
| Rechtsabteilung | E3-Eskalationen pruefen, Grundsatzentscheidungen |
| Administrator | System konfigurieren, Nutzer verwalten, LLM-Policies festlegen |
+ Bevor Texte an ein Sprachmodell gesendet werden, durchlaufen sie eine automatische + PII-Erkennung (Personally Identifiable Information). Das System erkennt + ueber 20 Arten personenbezogener Daten: +
++ Je nach Konfiguration werden erkannte PII-Daten geschwuerzt (durch + Platzhalter ersetzt), maskiert (nur Anfang/Ende sichtbar) oder nur im + Audit-Log markiert. +
+ + {/* ============================================================ */} + {/* 10. LLM-NUTZUNG */} + {/* ============================================================ */} ++ Der Compliance Hub setzt kuenstliche Intelligenz gezielt und kontrolliert ein. Es gibt + eine klare Trennung zwischen dem, was die KI tut, und dem, was sie nicht tun darf: +
+ +| Aufgabe | +Entschieden von | +Rolle der KI | +
|---|---|---|
| Machbarkeit (YES/CONDITIONAL/NO) | Deterministische Regeln | Keine |
| Risikoscore berechnen | Regelbasierte Berechnung | Keine |
| Eskalation ausloesen | Schwellenwerte + Regellogik | Keine |
| Controls zuordnen | Regel-zu-Control-Mapping | Keine |
| Ergebnis erklaeren | -- | LLM + RAG-Kontext |
| Verbesserungsvorschlaege | -- | LLM |
| Rechtsfragen beantworten | -- | LLM + RAG (Rechtskorpus) |
| Dokumente generieren (DSFA, TOM, VVT) | -- | LLM + Vorlagen |
+ Das System unterstuetzt mehrere KI-Anbieter mit automatischem Fallback: +
++ Jeder LLM-Aufruf wird im Audit-Trail protokolliert: Prompt-Hash (SHA-256), verwendetes + Modell, Antwortzeit und ob PII erkannt wurde. +
+ + {/* ============================================================ */} + {/* 11. AUDIT-TRAIL */} + {/* ============================================================ */} ++ Saemtliche Aktionen im System werden revisionssicher protokolliert: +
++ Der Audit-Trail kann als PDF, CSV oder JSON exportiert werden und dient als + Nachweis gegenueber Aufsichtsbehoerden, Wirtschaftspruefern und internen Revisoren. +
+ ++ Ergaenzend zur rechtlichen Compliance prueft der Security Scanner die + technische Sicherheit: +
++ Gefundene Schwachstellen werden nach Schweregrad (Critical, High, Medium, Low) klassifiziert + und koennen direkt im System nachverfolgt und behoben werden. +
+ + {/* ============================================================ */} + {/* 13. ZUSAMMENFASSUNG */} + {/* ============================================================ */} ++ Hier ist der gesamte Prozess von Anfang bis Ende: +
+ +