# ============================================================================= # UCCA Controls Catalog v1.0 # Detaillierter Maßnahmenkatalog für DSGVO/AI Act Compliance # ============================================================================= # # STRUKTUR PRO CONTROL: # id: Eindeutige ID (CTRL-xxx) # title: Kurztitel # category: Kategorie (DSGVO, AI_Act, Technical, Contractual) # description: Was ist diese Maßnahme? # when_applicable: Wann ist sie erforderlich? # what_to_do: Konkrete Handlungsschritte # evidence_needed: Erforderliche Nachweise/Dokumentation # effort: low | medium | high # gdpr_ref: Relevante Rechtsgrundlage # related_controls: Verwandte Maßnahmen # # ============================================================================= version: "1.0" name: "UCCA Controls Catalog" description: "Detaillierter Maßnahmenkatalog für KI-Compliance" last_updated: "2026-01-29" # ============================================================================= # KATEGORIE: DSGVO GRUNDLAGEN # ============================================================================= controls: # --------------------------------------------------------------------------- # 1. Rechtsgrundlagen & Einwilligung # --------------------------------------------------------------------------- CTRL-CONSENT-EXPLICIT: id: CTRL-CONSENT-EXPLICIT title: "Ausdrückliche Einwilligung" category: DSGVO description: | Opt-in-Einwilligung mit klarer, verständlicher Information über den Verarbeitungszweck. when_applicable: | - Verarbeitung basiert auf Einwilligung (Art. 6(1)(a)) - Besondere Datenkategorien (Art. 9(2)(a)) - Profiling oder automatisierte Entscheidungen what_to_do: | 1. Einwilligungstext in klarer, einfacher Sprache formulieren 2. Zweck der Verarbeitung konkret benennen 3. Hinweis auf Widerrufsrecht aufnehmen 4. Aktive Handlung erforderlich (kein Pre-Checked) 5. Einwilligung nachweisbar speichern (Timestamp, IP, Version) 6. Widerrufsmöglichkeit technisch umsetzen evidence_needed: - "Einwilligungstext (alle Versionen)" - "Technische Dokumentation Opt-in-Mechanismus" - "Log der erteilten Einwilligungen" - "Nachweis der Widerrufsmöglichkeit" effort: medium gdpr_ref: "Art. 6(1)(a), Art. 7 DSGVO" related_controls: [CTRL-CONSENT-PARENTAL, CTRL-TRANSPARENCY-INFO] CTRL-CONSENT-PARENTAL: id: CTRL-CONSENT-PARENTAL title: "Einwilligung der Erziehungsberechtigten" category: DSGVO description: | Bei Minderjährigen unter 16 Jahren ist die Einwilligung der Erziehungsberechtigten erforderlich. when_applicable: | - Nutzer sind oder können unter 16 Jahre sein - Dienst richtet sich an Minderjährige - Keine Altersverifikation vorhanden what_to_do: | 1. Altersabfrage implementieren 2. Bei <16: Elterneinwilligung einholen 3. Verifikation der Elternschaft (z.B. Double-Opt-In an Eltern-E-Mail) 4. Kindgerechte Datenschutzerklärung bereitstellen 5. Besondere Löschrechte für Minderjährige beachten evidence_needed: - "Altersverifikationsprozess dokumentiert" - "Elterneinwilligungs-Workflow" - "Kindgerechte Datenschutzerklärung" effort: high gdpr_ref: "Art. 8 DSGVO" related_controls: [CTRL-CONSENT-EXPLICIT, CTRL-MINOR-PROTECTION] # --------------------------------------------------------------------------- # 2. Informationspflichten & Transparenz # --------------------------------------------------------------------------- CTRL-TRANSPARENCY-INFO: id: CTRL-TRANSPARENCY-INFO title: "Informationspflichten erfüllen" category: DSGVO description: | Betroffene über Datenverarbeitung informieren gemäß Art. 13/14 DSGVO. when_applicable: | - Immer bei personenbezogenen Daten - Bei Direkterhebung (Art. 13) - Bei Dritterhebung (Art. 14) what_to_do: | 1. Datenschutzerklärung erstellen mit: - Identität des Verantwortlichen - Kontaktdaten DSB - Verarbeitungszwecke und Rechtsgrundlagen - Empfänger/Kategorien von Empfängern - Drittlandtransfers (mit Garantien) - Speicherdauer/Kriterien - Betroffenenrechte - Beschwerderecht bei Aufsichtsbehörde 2. Zum Zeitpunkt der Erhebung bereitstellen 3. Aktualisierungen kommunizieren evidence_needed: - "Aktuelle Datenschutzerklärung" - "Changelog der Datenschutzerklärung" - "Nachweis der Bereitstellung" effort: medium gdpr_ref: "Art. 13, Art. 14 DSGVO" related_controls: [CTRL-AI-TRANSPARENCY, CTRL-VVT] CTRL-AI-TRANSPARENCY: id: CTRL-AI-TRANSPARENCY title: "KI-Transparenz-Hinweis" category: AI_Act description: | Nutzer darüber informieren, dass sie mit einem KI-System interagieren. when_applicable: | - Chatbots und virtuelle Assistenten - KI-generierte Inhalte (Text, Bild, Audio) - Automatisierte Entscheidungssysteme what_to_do: | 1. Klare Kennzeichnung bei KI-Interaktion - "Sie chatten mit einem KI-Assistenten" - Badge/Label bei KI-generierten Inhalten 2. Information über Grenzen der KI 3. Möglichkeit zur menschlichen Unterstützung 4. Bei Deepfakes: Watermarking evidence_needed: - "Screenshots der KI-Hinweise" - "Dokumentation der Kennzeichnungsstrategie" effort: low gdpr_ref: "Art. 52 AI Act, Art. 13/14 DSGVO" related_controls: [CTRL-TRANSPARENCY-INFO, CTRL-CONTESTATION] # --------------------------------------------------------------------------- # 3. Betroffenenrechte # --------------------------------------------------------------------------- CTRL-CONTESTATION: id: CTRL-CONTESTATION title: "Anfechtungsrecht bei automatisierten Entscheidungen" category: DSGVO description: | Betroffene können automatisierte Entscheidungen anfechten und eine menschliche Überprüfung verlangen. when_applicable: | - Automatisierte Entscheidungen mit rechtlicher Wirkung - Scoring/Profiling mit erheblicher Beeinträchtigung - Auch bei teilautomatisierten Entscheidungen what_to_do: | 1. Anfechtungsmechanismus bereitstellen - Kontaktformular oder E-Mail - Maximale Bearbeitungszeit: 1 Monat 2. Menschliche Überprüfung sicherstellen 3. Entscheidung erklären können 4. Prozess dokumentieren evidence_needed: - "Anfechtungsprozess dokumentiert" - "Nachweis menschlicher Überprüfung" - "Bearbeitungszeiten (SLA)" effort: medium gdpr_ref: "Art. 22(3) DSGVO" related_controls: [CTRL-HITL, CTRL-AI-TRANSPARENCY] CTRL-DSR-PROCESS: id: CTRL-DSR-PROCESS title: "Betroffenenrechte-Prozess" category: DSGVO description: | Prozess zur Bearbeitung von Betroffenenanfragen (Auskunft, Löschung, Berichtigung, etc.). when_applicable: | - Immer bei personenbezogenen Daten - Anfragen nach Art. 15-22 DSGVO what_to_do: | 1. Anfrage-Kanal bereitstellen (E-Mail, Formular) 2. Identitätsprüfung implementieren 3. Bearbeitungs-Workflow etablieren: - Fristüberwachung (max. 1 Monat) - Eskalation bei Verzögerung - Dokumentation 4. Technische Umsetzung sicherstellen: - Datenexport (Art. 15, Art. 20) - Löschfunktion (Art. 17) - Berichtigungsfunktion (Art. 16) evidence_needed: - "DSR-Workflow dokumentiert" - "Bearbeitungsstatistiken" - "Technische Export/Lösch-Dokumentation" effort: medium gdpr_ref: "Art. 15-22 DSGVO" related_controls: [CTRL-RETENTION, CTRL-VVT] # --------------------------------------------------------------------------- # 4. Datenschutz-Folgenabschätzung # --------------------------------------------------------------------------- CTRL-DSFA: id: CTRL-DSFA title: "Datenschutz-Folgenabschätzung (DSFA)" category: DSGVO description: | Formale Risikoanalyse vor Beginn einer Verarbeitung mit voraussichtlich hohem Risiko. when_applicable: | - Systematische Bewertung/Scoring von Personen - Umfangreiche Verarbeitung besonderer Kategorien - Systematische Überwachung öffentlicher Bereiche - Neue Technologien mit hohem Risiko - Profiling mit erheblicher Auswirkung what_to_do: | 1. Verarbeitung systematisch beschreiben 2. Notwendigkeit und Verhältnismäßigkeit prüfen 3. Risiken für Betroffene identifizieren 4. Maßnahmen zur Risikominderung festlegen 5. Bei hohem Restrisiko: Aufsichtsbehörde konsultieren 6. DSFA dokumentieren und regelmäßig überprüfen evidence_needed: - "DSFA-Dokument (ausgefüllt)" - "Risikobewertungsmatrix" - "Maßnahmenplan" - "Ggf. Konsultationsnachweis" effort: high gdpr_ref: "Art. 35, Art. 36 DSGVO" related_controls: [CTRL-VVT, CTRL-TOM] # --------------------------------------------------------------------------- # 5. Dokumentation & Nachweis # --------------------------------------------------------------------------- CTRL-VVT: id: CTRL-VVT title: "Verarbeitungsverzeichnis (VVT)" category: DSGVO description: | Dokumentation aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. when_applicable: | - Ab 250 Mitarbeitern: Immer - Unter 250 Mitarbeitern: Bei nicht nur gelegentlicher Verarbeitung - Bei risikobehafteter Verarbeitung - Bei Verarbeitung besonderer Kategorien what_to_do: | 1. Für jede Verarbeitung dokumentieren: - Name und Kontaktdaten des Verantwortlichen - Verarbeitungszwecke - Kategorien betroffener Personen - Kategorien personenbezogener Daten - Empfänger(-kategorien) - Drittlandübermittlungen - Löschfristen - TOMs (allgemeine Beschreibung) 2. Regelmäßig aktualisieren 3. Auf Anfrage der Aufsichtsbehörde bereitstellen evidence_needed: - "Vollständiges VVT" - "Änderungshistorie" effort: medium gdpr_ref: "Art. 30 DSGVO" related_controls: [CTRL-DSFA, CTRL-TOM, CTRL-RETENTION] CTRL-ACCESS-LOGGING: id: CTRL-ACCESS-LOGGING title: "Zugriffs-Protokollierung" category: Technical description: | Revisionssichere Protokollierung aller Datenzugriffe. when_applicable: | - Personenbezogene Daten werden verarbeitet - Sensible oder kritische Daten - Anforderungen aus DSFA what_to_do: | 1. Logging-System implementieren: - Wer (User-ID) - Wann (Timestamp UTC) - Was (Aktion: read, write, delete) - Welche Daten (Ressource) - Ergebnis (success, failure) 2. Logs unveränderbar speichern 3. Aufbewahrungsdauer festlegen (z.B. 6 Monate) 4. Regelmäßige Überprüfung (Anomalien) evidence_needed: - "Logging-Konzept" - "Beispiel-Logs" - "Audit-Berichte" effort: low gdpr_ref: "Art. 5(2), Art. 32 DSGVO" related_controls: [CTRL-TOM, CTRL-ENCRYPTION] # --------------------------------------------------------------------------- # 6. Technische und Organisatorische Maßnahmen (TOM) # --------------------------------------------------------------------------- CTRL-TOM: id: CTRL-TOM title: "Technische und Organisatorische Maßnahmen" category: DSGVO description: | Geeignete Schutzmaßnahmen zur Gewährleistung der Datensicherheit nach Art. 32 DSGVO. when_applicable: | - Immer bei personenbezogenen Daten - Umfang richtet sich nach Risiko what_to_do: | 1. Pseudonymisierung und Verschlüsselung 2. Vertraulichkeit, Integrität, Verfügbarkeit sichern 3. Belastbarkeit der Systeme 4. Wiederherstellbarkeit nach Vorfall 5. Regelmäßige Überprüfung und Evaluierung evidence_needed: - "TOM-Dokumentation" - "Sicherheitskonzept" - "Penetrationstest-Berichte" effort: medium gdpr_ref: "Art. 32 DSGVO" related_controls: [CTRL-ENCRYPTION, CTRL-ACCESS-LOGGING, CTRL-PSEUDONYMIZATION] CTRL-ENCRYPTION: id: CTRL-ENCRYPTION title: "Verschlüsselung" category: Technical description: | Daten bei Übertragung und Speicherung verschlüsseln. when_applicable: | - Personenbezogene Daten - Übertragung über öffentliche Netze - Speicherung sensibler Daten what_to_do: | 1. Transport-Verschlüsselung (TLS 1.3) 2. Speicher-Verschlüsselung (AES-256) 3. Schlüsselmanagement etablieren 4. End-to-End-Verschlüsselung bei Bedarf evidence_needed: - "TLS-Konfiguration" - "Verschlüsselungskonzept" - "Key-Management-Dokumentation" effort: low gdpr_ref: "Art. 32(1)(a) DSGVO" related_controls: [CTRL-TOM, CTRL-TECHNICAL-SUPPLEMENTARY] CTRL-PSEUDONYMIZATION: id: CTRL-PSEUDONYMIZATION title: "Pseudonymisierung" category: Technical description: | Verarbeitung so, dass Daten ohne zusätzliche Informationen nicht mehr einer Person zugeordnet werden können. when_applicable: | - Datensparsamkeit erhöhen - Forschung/Statistik - KI-Training (Alternative zu echten Daten) what_to_do: | 1. Identifizierende Merkmale durch Pseudonyme ersetzen 2. Mapping-Tabelle separat und sicher speichern 3. Zugriff auf Mapping strikt beschränken 4. Re-Identifizierungsrisiko bewerten evidence_needed: - "Pseudonymisierungskonzept" - "Zugriffsbeschränkungen dokumentiert" effort: medium gdpr_ref: "Art. 4(5), Art. 32(1)(a) DSGVO" related_controls: [CTRL-ANONYMIZATION, CTRL-TOM] CTRL-ANONYMIZATION: id: CTRL-ANONYMIZATION title: "Anonymisierung" category: Technical description: | Irreversible Entfernung aller Personenbezüge, sodass DSGVO nicht mehr anwendbar ist. when_applicable: | - Langfristige Speicherung für Statistik - KI-Training ohne Personenbezug - Veröffentlichung von Daten what_to_do: | 1. Alle direkten Identifikatoren entfernen 2. Quasi-Identifikatoren prüfen (k-Anonymität) 3. Re-Identifizierungsrisiko bewerten 4. Aggregation oder Rauschen hinzufügen 5. Anonymisierung dokumentieren evidence_needed: - "Anonymisierungsverfahren dokumentiert" - "Re-Identifizierungsrisiko-Bewertung" effort: high gdpr_ref: "ErwGr. 26 DSGVO" related_controls: [CTRL-PSEUDONYMIZATION, CTRL-PII-GATEWAY] # --------------------------------------------------------------------------- # 7. Aufbewahrung & Löschung # --------------------------------------------------------------------------- CTRL-RETENTION: id: CTRL-RETENTION title: "Löschkonzept / Aufbewahrungsfristen" category: DSGVO description: | Definierte Aufbewahrungsfristen mit automatischer Löschung nach Ablauf. when_applicable: | - Immer bei personenbezogenen Daten - Verschiedene Fristen je nach Datenart what_to_do: | 1. Aufbewahrungsfristen je Datenart festlegen - Gesetzliche Mindestfristen beachten - Nicht länger als erforderlich 2. Automatische Löschroutinen implementieren 3. Löschprotokolle führen 4. Backup-Löschung nicht vergessen evidence_needed: - "Löschkonzept mit Fristen" - "Löschprotokolle" - "Technische Umsetzung dokumentiert" effort: medium gdpr_ref: "Art. 5(1)(e) DSGVO" related_controls: [CTRL-VVT, CTRL-DSR-PROCESS] # --------------------------------------------------------------------------- # 8. Auftragsverarbeitung & Verträge # --------------------------------------------------------------------------- CTRL-AVV: id: CTRL-AVV title: "Auftragsverarbeitungsvertrag (AVV)" category: Contractual description: | Vertrag nach Art. 28 DSGVO mit jedem Auftragsverarbeiter. when_applicable: | - Externe Dienstleister verarbeiten Daten in Ihrem Auftrag - Cloud-Services - KI-Provider - Hosting-Anbieter what_to_do: | 1. AVV abschließen mit: - Gegenstand und Dauer - Art und Zweck der Verarbeitung - Kategorien von Daten und Betroffenen - Weisungsbindung - Vertraulichkeit - TOMs - Unterauftragsverarbeiter-Regelung - Unterstützungspflichten - Löschung/Rückgabe 2. Regelmäßig überprüfen evidence_needed: - "Unterzeichneter AVV" - "TOM-Anlage" - "Subprocessor-Liste" effort: medium gdpr_ref: "Art. 28 DSGVO" related_controls: [CTRL-SCC, CTRL-SUBPROCESSOR-MANAGEMENT] CTRL-SUBPROCESSOR-MANAGEMENT: id: CTRL-SUBPROCESSOR-MANAGEMENT title: "Unterauftragsverarbeiter-Management" category: Contractual description: | Übersicht und Kontrolle aller Unterauftragsverarbeiter. when_applicable: | - Auftragsverarbeiter setzen Subunternehmer ein - Cloud-Anbieter mit mehreren Subprocessors what_to_do: | 1. Vollständige Liste aller Subprocessors einholen 2. Standorte und Zwecke dokumentieren 3. Änderungsbenachrichtigung vereinbaren 4. Widerspruchsrecht sichern 5. SCC-Kette bei Drittländern prüfen evidence_needed: - "Aktuelle Subprocessor-Liste" - "Nachweis Änderungsbenachrichtigung" effort: low gdpr_ref: "Art. 28(2), Art. 28(4) DSGVO" related_controls: [CTRL-AVV, CTRL-SCC-SUBPROCESSOR] # --------------------------------------------------------------------------- # 9. Drittlandtransfer & SCC # --------------------------------------------------------------------------- CTRL-SCC: id: CTRL-SCC title: "Standardvertragsklauseln (SCC)" category: Contractual description: | EU-Standardvertragsklauseln für Drittlandtransfers nach Art. 46(2)(c) DSGVO. when_applicable: | - Datenübermittlung in Drittländer ohne Angemessenheitsbeschluss - US-Anbieter ohne DPF-Zertifizierung - Drittland-Support mit Datenzugriff what_to_do: | 1. Korrektes SCC-Modul wählen: - Modul 1: C2C (Controller to Controller) - Modul 2: C2P (Controller to Processor) - Modul 3: P2P (Processor to Processor) - Modul 4: P2C (Processor to Controller) 2. Annex I ausfüllen (Parteien, Datenexport) 3. Annex II ausfüllen (TOMs) 4. Von beiden Parteien unterzeichnen 5. Als Anlage zum AVV hinzufügen evidence_needed: - "Unterzeichnete SCC (PDF)" - "Ausgefüllte Annexe" - "Modulauswahl-Begründung" effort: medium gdpr_ref: "Art. 46(2)(c) DSGVO, EU 2021/914" related_controls: [CTRL-TIA, CTRL-AVV, CTRL-SCC-VERSION] CTRL-SCC-VERSION: id: CTRL-SCC-VERSION title: "Aktuelle SCC-Version prüfen" category: Contractual description: | Sicherstellen, dass die neuen SCC von Juni 2021 verwendet werden. when_applicable: | - Bestehende SCC-Verträge prüfen - Alte SCC (vor 2021) ersetzen what_to_do: | 1. Prüfen welche SCC-Version im Einsatz 2. Alte Versionen identifizieren 3. Migration auf neue SCC (EU 2021/914) planen 4. Frist: Alte SCC sind seit 27.12.2022 ungültig! evidence_needed: - "Inventar aller SCC-Verträge" - "Versionsnachweis" effort: low gdpr_ref: "EU 2021/914" related_controls: [CTRL-SCC] CTRL-TIA: id: CTRL-TIA title: "Transfer Impact Assessment (TIA)" category: Contractual description: | Bewertung der Risiken bei Drittlandtransfer (seit Schrems II Pflicht). when_applicable: | - Jeder Drittlandtransfer ohne Angemessenheitsbeschluss - USA (auch mit DPF - empfohlen) - Drittländer mit fraglicher Rechtslage what_to_do: | 1. Transferumstände dokumentieren: - Welche Daten? - Welches Drittland? - Welche Rechtsgrundlage (SCC, BCR)? 2. Rechtslage im Drittland prüfen: - Behördenzugriff (z.B. FISA 702, Cloud Act) - Rechtsschutzmöglichkeiten für EU-Bürger 3. Bewertung vornehmen: - Reichen SCC allein? - Zusatzmaßnahmen erforderlich? 4. Ergebnis dokumentieren 5. Regelmäßig (jährlich) überprüfen evidence_needed: - "TIA-Dokument (ausgefüllt)" - "Länder-Risikobewertung" - "Nachweis Zusatzmaßnahmen" effort: high gdpr_ref: "EuGH Schrems II (C-311/18), EDPB Recommendations 01/2020" related_controls: [CTRL-SCC, CTRL-TECHNICAL-SUPPLEMENTARY] CTRL-DPF-CHECK: id: CTRL-DPF-CHECK title: "Data Privacy Framework Zertifizierung prüfen" category: Contractual description: | Prüfung ob US-Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist. when_applicable: | - Übermittlung an US-Empfänger - US-Cloud-Anbieter what_to_do: | 1. DPF-Liste auf dataprivacyframework.gov prüfen 2. Exakten Firmennamen suchen 3. Aktiven Zertifizierungsstatus bestätigen 4. Ergebnis dokumentieren mit Datum 5. Bei Zertifizierung: SCC optional (aber empfohlen) 6. Ohne Zertifizierung: SCC zwingend erforderlich evidence_needed: - "Screenshot DPF-Zertifizierungsstatus" - "Prüfdatum dokumentiert" effort: low gdpr_ref: "EU-US Data Privacy Framework Beschluss 2023" related_controls: [CTRL-SCC, CTRL-TIA] CTRL-SCC-SUBPROCESSOR: id: CTRL-SCC-SUBPROCESSOR title: "SCC für Unterauftragsverarbeiter" category: Contractual description: | SCC-Kette zu allen Unterauftragsverarbeitern im Drittland. when_applicable: | - Subprocessors im Drittland (z.B. US-Cloud-Infrastruktur) - Multi-Cloud-Setups mit Drittland-Komponenten what_to_do: | 1. Subprocessor-Liste mit Standorten einholen 2. Für jeden Drittland-Subprocessor prüfen: - DPF-Zertifizierung? - SCC vorhanden? 3. Vertragliche Weitergabe der Pflichten sicherstellen 4. Bei Lücken: Anbieter kontaktieren oder wechseln evidence_needed: - "Subprocessor-Liste mit Standorten" - "SCC/DPF-Nachweis pro Drittland-Subprocessor" effort: medium gdpr_ref: "Art. 28(4), Art. 46 DSGVO" related_controls: [CTRL-SCC, CTRL-SUBPROCESSOR-MANAGEMENT] CTRL-TECHNICAL-SUPPLEMENTARY: id: CTRL-TECHNICAL-SUPPLEMENTARY title: "Technische Zusatzmaßnahmen bei Drittlandtransfer" category: Technical description: | Ergänzende technische Schutzmaßnahmen wenn SCC allein nicht ausreichen (TIA-Ergebnis: Defizite). when_applicable: | - TIA zeigt unzureichendes Schutzniveau - Behördenzugriff im Drittland möglich - Daten besonders schutzbedürftig what_to_do: | 1. Ende-zu-Ende-Verschlüsselung implementieren - Schlüssel nur beim Datenexporteur (EU) - Importeur kann Klartext nicht lesen 2. Pseudonymisierung vor Transfer - Mapping-Tabelle verbleibt im EWR 3. Logging aller Drittland-Zugriffe 4. Maßnahmen dokumentieren evidence_needed: - "Verschlüsselungskonzept" - "Pseudonymisierungskonzept" - "Zugriffsprotokollierung" effort: high gdpr_ref: "EDPB Recommendations 01/2020" related_controls: [CTRL-TIA, CTRL-ENCRYPTION, CTRL-PSEUDONYMIZATION] # --------------------------------------------------------------------------- # 10. KI-spezifische Maßnahmen # --------------------------------------------------------------------------- CTRL-HITL: id: CTRL-HITL title: "Human-in-the-Loop erzwingen" category: AI_Act description: | Technisch erzwungene menschliche Überprüfung bei automatisierten Entscheidungen. when_applicable: | - Automatisierte Entscheidungen mit rechtlicher Wirkung - Art. 22 DSGVO Risiko - High-Risk AI nach AI Act what_to_do: | 1. Workflow-Unterbrechung einbauen - KI liefert Vorschlag - Mensch muss bestätigen/ablehnen 2. Technische Umsetzung: - Approval-Queue - Keine automatische Weiterleitung 3. Nachweis der menschlichen Prüfung (Log) 4. Kompetenz der Prüfer sicherstellen evidence_needed: - "HITL-Workflow dokumentiert" - "Technische Implementierung" - "Prüfer-Logs" effort: medium gdpr_ref: "Art. 22(3) DSGVO, Art. 14 AI Act" related_controls: [CTRL-CONTESTATION, CTRL-AI-TRANSPARENCY] CTRL-NO-TRAINING: id: CTRL-NO-TRAINING title: "Kein Training mit Nutzerdaten" category: AI_Act description: | Vertragliche Zusicherung, dass Anbieter Nutzerdaten nicht für eigenes Modell-Training verwendet. when_applicable: | - KI-Provider (OpenAI, Anthropic, etc.) - SaaS-KI-Dienste - Chatbot-Plattformen what_to_do: | 1. AGB/DPA prüfen auf Training-Klausel 2. Opt-Out beantragen wenn nicht Standard 3. Schriftliche Bestätigung einholen 4. Im AVV festhalten evidence_needed: - "Opt-Out-Bestätigung" - "Relevante Vertragsklausel" effort: low gdpr_ref: "Art. 5(1)(b) DSGVO (Zweckbindung)" related_controls: [CTRL-AVV, CTRL-PII-GATEWAY] CTRL-PII-GATEWAY: id: CTRL-PII-GATEWAY title: "PII-Redaction Gateway" category: Technical description: | Automatische Erkennung und Redaction personenbezogener Daten vor Übermittlung an KI. when_applicable: | - KI-Prompts können PII enthalten - Externe KI-APIs (OpenAI, etc.) - Log-Analyse mit KI what_to_do: | 1. PII-Detector implementieren (NER, Regex, ML) 2. Erkannte PII maskieren oder entfernen 3. Placeholder einfügen ("[NAME]", "[E-MAIL]") 4. Logging der Redactions 5. False-Positive-Rate überwachen evidence_needed: - "PII-Gateway-Dokumentation" - "Erkennungsgenauigkeit" - "Beispiel-Redactions" effort: medium gdpr_ref: "Art. 25, Art. 32 DSGVO" related_controls: [CTRL-ANONYMIZATION, CTRL-PSEUDONYMIZATION] CTRL-AI-RISK-CLASSIFICATION: id: CTRL-AI-RISK-CLASSIFICATION title: "KI-Risikoeinstufung nach AI Act" category: AI_Act description: | Prüfung ob das KI-System unter die Hochrisiko-Kategorie des AI Act fällt. when_applicable: | - Alle KI-Systeme in der EU - Vor Inbetriebnahme prüfen what_to_do: | 1. Anhang III AI Act prüfen: - Biometrie, Kritische Infrastruktur - Bildung, Beschäftigung - Wesentliche Dienste, Strafverfolgung - Migration, Justiz 2. Bei Hochrisiko: Konformitätsbewertung 3. Dokumentation der Einstufung evidence_needed: - "Risikoeinstufungs-Dokument" - "Begründung bei Nicht-Hochrisiko" effort: low gdpr_ref: "Art. 6, Anhang III AI Act" related_controls: [CTRL-DSFA, CTRL-HITL] CTRL-AI-DOCUMENTATION: id: CTRL-AI-DOCUMENTATION title: "KI-System-Dokumentation" category: AI_Act description: | Technische Dokumentation des KI-Systems nach AI Act Anforderungen. when_applicable: | - High-Risk AI Systeme - Empfohlen auch für andere KI what_to_do: | 1. System-Beschreibung erstellen 2. Trainingsdaten dokumentieren 3. Leistungsmetriken festhalten 4. Risikomanagement dokumentieren 5. Qualitätsmanagement-System 6. Logs und Monitoring evidence_needed: - "Technische Dokumentation" - "Trainingsdaten-Dokumentation" - "Leistungskennzahlen" effort: high gdpr_ref: "Art. 11, Art. 12 AI Act" related_controls: [CTRL-AI-RISK-CLASSIFICATION, CTRL-DSFA] # --------------------------------------------------------------------------- # 11. Branchenspezifische Maßnahmen # --------------------------------------------------------------------------- CTRL-MINOR-PROTECTION: id: CTRL-MINOR-PROTECTION title: "Minderjährigenschutz" category: DSGVO description: | Besondere Schutzmaßnahmen für Daten von Minderjährigen. when_applicable: | - Dienste für Kinder/Jugendliche - Bildungssektor - Gaming/Social Media für unter 18 what_to_do: | 1. Kein Training mit Daten Minderjähriger 2. Erhöhte Löschpflichten beachten 3. Kindgerechte Kommunikation 4. Reduzierte Datenerhebung 5. Keine Profiling-Nutzung evidence_needed: - "Schutzkonzept Minderjährige" - "Altersverifikation" effort: medium gdpr_ref: "Art. 8 DSGVO, ErwGr. 38" related_controls: [CTRL-CONSENT-PARENTAL, CTRL-NO-TRAINING] CTRL-CCTV-PRIVACY: id: CTRL-CCTV-PRIVACY title: "Videoüberwachung Datenschutz" category: DSGVO description: | Datenschutzkonforme Gestaltung von Videoüberwachung. when_applicable: | - CCTV/Videoüberwachung - Parkhaussysteme mit Kameras - Arbeitsplatzüberwachung what_to_do: | 1. Hinweisschilder aufstellen (vor Überwachungsbereich) 2. Interessenabwägung dokumentieren 3. Speicherdauer minimieren (max. 72h empfohlen) 4. Zugriff strikt beschränken 5. Bei Gesichtserkennung: Art. 9 beachten evidence_needed: - "Interessenabwägung dokumentiert" - "Hinweisschild-Fotos" - "Löschkonzept Video" effort: medium gdpr_ref: "Art. 6(1)(f) DSGVO, §4 BDSG" related_controls: [CTRL-RETENTION, CTRL-FACE-BLURRING] CTRL-FACE-BLURRING: id: CTRL-FACE-BLURRING title: "Gesichts-Unkenntlichmachung" category: Technical description: | Automatische Verpixelung oder Unschärfung von Gesichtern in Videoaufnahmen. when_applicable: | - Videoüberwachung öffentlicher Bereiche - Gesichtserkennung nicht erforderlich - Datensparsamkeit erhöhen what_to_do: | 1. Gesichtserkennungs-Algorithmus einsetzen 2. Echtzeit-Blurring implementieren 3. Nur anonymisierte Aufnahmen speichern 4. Genauigkeit regelmäßig prüfen evidence_needed: - "Blurring-Lösung dokumentiert" - "Beispiel-Screenshots" effort: medium gdpr_ref: "Art. 25 DSGVO (Privacy by Design)" related_controls: [CTRL-CCTV-PRIVACY, CTRL-ANONYMIZATION] CTRL-LP-ANONYMIZATION: id: CTRL-LP-ANONYMIZATION title: "Kennzeichen-Anonymisierung" category: Technical description: | Automatische Unkenntlichmachung von KFZ-Kennzeichen. when_applicable: | - Parkhaus-Systeme - Verkehrsüberwachung - Wenn Halteridentifikation nicht erforderlich what_to_do: | 1. OCR nur für Berechtigungsprüfung 2. Nach Prüfung: Kennzeichen löschen oder anonymisieren 3. Nur Hash oder Partial-Match speichern 4. Keine Bewegungsprofile erstellen evidence_needed: - "Anonymisierungskonzept" - "Speicherfristen dokumentiert" effort: low gdpr_ref: "Art. 5(1)(c), (e) DSGVO" related_controls: [CTRL-RETENTION, CTRL-CCTV-PRIVACY] # ============================================================================= # METADATA # ============================================================================= metadata: total_controls: 30 categories: - DSGVO - AI_Act - Technical - Contractual effort_distribution: low: 8 medium: 14 high: 8 primary_regulations: - "DSGVO (EU 2016/679)" - "AI Act (EU 2024/xxx)" - "BDSG" - "EU 2021/914 (SCC)"