breakpilot-pwa/.claude/rules/compliance-checklist.md

Compliance-Checkliste

Wann diese Checkliste anwenden?

AUTOMATISCH bei:

• Neuen Features mit Nutzerdaten
• Änderungen an Datenflüssen
• KI/ML-Funktionen
• Neuen API-Endpoints
• Datenbankschema-Änderungen

---

1. DSGVO-Check (Datenschutz-Grundverordnung)

Rechtsgrundlage klären

Rechtsgrundlage	Wann verwenden
Einwilligung (Art. 6 Abs. 1a)	Optionale Features, Marketing, Analytics
Vertragserfüllung (Art. 6 Abs. 1b)	Kernfunktionen der Plattform
Berechtigtes Interesse (Art. 6 Abs. 1f)	Sicherheit, Betrugsprävention
Rechtliche Verpflichtung (Art. 6 Abs. 1c)	Aufbewahrungspflichten

Datenminimierung

• Werden nur notwendige Daten erhoben?
• Gibt es Felder, die optional sein könnten?
• Werden Daten nach Zweckerfüllung gelöscht?

Besondere Kategorien (Art. 9)

ACHTUNG bei:

• Gesundheitsdaten (Krankheitstage, Atteste)
• Biometrische Daten (Gesichtserkennung, Stimme)
• Religiöse Überzeugungen
• Politische Meinungen

→ Explizite Einwilligung erforderlich!

Minderjährige (Art. 8)

Breakpilot-spezifisch:

• Unter 16 Jahren: Einwilligung der Eltern
• Altersverifikation implementieren
• Kindgerechte Datenschutzerklärung

Betroffenenrechte sicherstellen

• Auskunft (Art. 15): Kann der Nutzer seine Daten einsehen?
• Berichtigung (Art. 16): Kann der Nutzer Daten korrigieren?
• Löschung (Art. 17): Kann der Nutzer Löschung beantragen?
• Datenportabilität (Art. 20): Export in maschinenlesbarem Format?

---

2. AI Act Check (KI-Verordnung)

Risikokategorie bestimmen

Kategorie	Beispiele	Anforderungen
Unakzeptabel	Social Scoring, Manipulation	❌ VERBOTEN
Hochrisiko	Bildungszugang, Prüfungsbewertung	Strenge Auflagen
Begrenzt	Chatbots, Empfehlungen	Transparenzpflicht
Minimal	Spam-Filter, Autokorrektur	Keine Auflagen

Breakpilot KI-Features prüfen

Feature	Risiko	Maßnahmen
Klausur-OCR	Begrenzt	Transparenz, Human-in-Loop
KI-Korrekturvorschläge	Hochrisiko	Audit-Log, Erklärbarkeit
Lernempfehlungen	Begrenzt	Transparenz
Spracherkennung	Begrenzt	Consent, Transparenz

Hochrisiko-KI Anforderungen

Wenn Hochrisiko:

• Risikomanagementsystem dokumentiert
• Qualität der Trainingsdaten sichergestellt
• Technische Dokumentation vorhanden
• Audit-Logging aktiviert
• Human Oversight möglich
• Genauigkeit/Robustheit getestet

---

3. Technische Maßnahmen (TOM)

Verschlüsselung

• Transit: TLS 1.3 für alle Verbindungen
• Rest: Datenbank-Verschlüsselung
• Secrets: Vault für Credentials

Zugriffskontrollen

• RBAC implementiert
• Least Privilege Prinzip
• Session-Timeouts

Audit-Logging

# Beispiel: Audit-Event loggen
audit_log.info({
    "action": "data_export",
    "user_id": user.id,
    "timestamp": datetime.utcnow(),
    "data_categories": ["grades", "personal"],
    "legal_basis": "Art. 20 DSGVO"
})

---

4. Dokumentationspflichten

Bei neuen Features aktualisieren

Dokument	URL	Wann aktualisieren
VVT	https://macmini:3002/sdk/vvt	Neue Verarbeitung
TOM	https://macmini:3002/sdk/tom	Neue Schutzmaßnahme
DSFA	https://macmini:3002/sdk/dsfa	Hochrisiko-Verarbeitung
Löschfristen	https://macmini:3002/sdk/loeschfristen	Neue Datenkategorie

---

5. Schnell-Check (5 Fragen)

Vor jedem Feature diese 5 Fragen beantworten:

1. WER sind die Betroffenen? (Schüler, Lehrer, Eltern)
2. WAS für Daten werden verarbeitet?
3. WARUM werden sie verarbeitet? (Rechtsgrundlage)
4. WIE LANGE werden sie gespeichert?
5. WER hat Zugriff?

Können alle 5 Fragen beantwortet werden? → Feature ist dokumentierbar.