Benjamin_Boenisch/breakpilot-pwa
Archived
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
This repository has been archived on 2026-02-15. You can view files and clone it. You cannot open issues or pull requests or push a commit.
Files
main
breakpilot-pwa/ai-compliance-sdk/policies/wizard_schema_v1.yaml
Benjamin Admin 21a844cb8a fix: Restore all files lost during destructive rebase 
A previous `git pull --rebase origin main` dropped 177 local commits,
losing 3400+ files across admin-v2, backend, studio-v2, website,
klausur-service, and many other services. The partial restore attempt
(660295e2) only recovered some files.

This commit restores all missing files from pre-rebase ref 98933f5e
while preserving post-rebase additions (night-scheduler, night-mode UI,
NightModeWidget dashboard integration).

Restored features include:
- AI Module Sidebar (FAB), OCR Labeling, OCR Compare
- GPU Dashboard, RAG Pipeline, Magic Help
- Klausur-Korrektur (8 files), Abitur-Archiv (5+ files)
- Companion, Zeugnisse-Crawler, Screen Flow
- Full backend, studio-v2, website, klausur-service
- All compliance SDKs, agent-core, voice-service
- CI/CD configs, documentation, scripts

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-02-09 09:51:32 +01:00

1397 lines
55 KiB
YAML
Raw Permalink Blame History

# =============================================================================
# UCCA Wizard Schema v1.1
# Use-Case Compliance Wizard mit Transfer/SCC-Fragen
# =============================================================================
#
# STRUKTUR:
# - Jeder Step enthält mehrere Felder
# - Felder haben `visible_if` für adaptive Subflows
# - `simple_explanation` für Einfach-Modus Nutzer
# - `legal_refs` für Legal RAG Referenz
# - `why_it_matters` erklärt Relevanz
#
# =============================================================================
version: "1.1"
name: "UCCA Compliance Wizard"
description: "Schritt-für-Schritt Prüfung für KI-Anwendungsfälle"
total_steps: 10
default_mode: "simple" # simple | expert
# =============================================================================
# LEGAL ASSISTANT KONFIGURATION
# =============================================================================
# Jeder Wizard-Step hat einen integrierten Legal Assistant Chat.
# Nutzer können Fragen stellen, um die Wizard-Fragen besser zu verstehen.
#
# Backend-Endpoint: POST /sdk/v1/ucca/wizard/ask
# LLM: Internes 32B Modell
# RAG: Legal Corpus (DSGVO, AI Act, SCC, etc.)
# =============================================================================
legal_assistant:
enabled: true
model: "internal-32b" # Internes LLM
max_tokens: 1024
temperature: 0.3 # Niedrig für präzise rechtliche Antworten
system_prompt: |
Du bist ein freundlicher Rechtsassistent, der Nutzern hilft,
datenschutzrechtliche Begriffe und Anforderungen zu verstehen.
DEINE AUFGABE:
- Erkläre rechtliche Begriffe in einfacher, verständlicher Sprache
- Beantworte Fragen zum aktuellen Wizard-Schritt
- Hilf dem Nutzer, die richtigen Antworten im Wizard zu geben
- Verweise auf relevante Rechtsquellen (DSGVO-Artikel, etc.)
WICHTIGE REGELN:
- Antworte IMMER auf Deutsch
- Verwende einfache Sprache, keine Juristensprache
- Gib konkrete Beispiele wenn möglich
- Bei Unsicherheit empfehle die Rücksprache mit einem DSB
- Du darfst KEINE Rechtsberatung geben, nur erklären
ANTWORT-FORMAT:
- Kurz und prägnant (max. 3-4 Sätze für einfache Fragen)
- Strukturiert mit Aufzählungen bei komplexen Themen
- Immer mit Quellenangabe am Ende (z.B. "Siehe: DSGVO Art. 9")
# Kontextuelle Prompts pro Step (optional, für bessere Antworten)
step_contexts:
1: "Der Nutzer befindet sich im ersten Schritt und gibt grundlegende Informationen zum Unternehmen und KI-Vorhaben ein. Erkläre Begriffe wie NIS2, KRITIS, EU KMU-Definition, Konzernzugehörigkeit und wie Unternehmensgröße (Mitarbeiter, Umsatz) die Anwendbarkeit von Regulierungen beeinflusst."
2: "Der Nutzer gibt an, welche Datenarten verarbeitet werden. Erkläre die Unterschiede zwischen personenbezogenen Daten, Art. 9 Daten, etc."
3: "Der Nutzer gibt den Verarbeitungszweck an. Erkläre Begriffe wie Profiling, Scoring, systematische Überwachung."
4: "Der Nutzer gibt Hosting-Informationen an. Erkläre Cloud vs. On-Premises, Drittlandtransfer."
5: "Der Nutzer beantwortet Fragen zu SCC und TIA. Erkläre Standardvertragsklauseln, Transfer Impact Assessment, DPF."
6: "Der Nutzer gibt KI-Modell-Informationen an. Erkläre RAG vs. Training/Finetuning."
7: "Der Nutzer beantwortet Fragen zu Verträgen. Erkläre AVV, DSFA, Verarbeitungsverzeichnis."
8: "Der Nutzer gibt Automatisierungsgrad an. Erkläre Human-in-the-Loop, Art. 22 DSGVO."
9: "Der Nutzer beantwortet Fragen zu Standards und Normen. Erkläre DIN-Lizenzen, LINK_ONLY vs FULLTEXT_RAG."
10: "Der Nutzer beantwortet Fragen zu Finanzregulierung. Erkläre DORA, MaRisk, BAIT, Modellvalidierung, algorithmischer Handel."
# Beispiel-Fragen die der Nutzer stellen könnte (für UI-Hints)
example_questions:
- "Was sind personenbezogene Daten?"
- "Was ist der Unterschied zwischen AVV und SCC?"
- "Brauche ich ein TIA?"
- "Was bedeutet Profiling?"
- "Was ist Art. 9 DSGVO?"
- "Wann brauche ich eine DSFA?"
- "Was ist das Data Privacy Framework?"
- "Was ist DORA?"
- "Was ist MaRisk AT 4.3.5?"
- "Wann gilt BAIT fuer mich?"
- "Was ist eine kritische IKT-Dienstleistung?"
- "Brauche ich eine Modellvalidierung?"
- "Was sind DORA-Meldepflichten?"
# NIS2-spezifische Fragen
- "Was ist NIS2?"
- "Bin ich von NIS2 betroffen?"
- "Was ist der Unterschied zwischen wichtiger und besonders wichtiger Einrichtung?"
- "Wann muss ich mich beim BSI registrieren?"
- "Was sind NIS2-Meldepflichten?"
- "Was ist KRITIS?"
- "Zählt mein Unternehmen als KMU?"
- "Welche Pflichten habe ich als MSP unter NIS2?"
# =============================================================================
# STEP 1: Grundlegende Informationen
# =============================================================================
steps:
- step_number: 1
title: "Grundlegende Informationen"
description: "Allgemeine Angaben zu Ihrem KI-Vorhaben"
icon: "info"
fields:
- id: "use_case.title"
label: "Bezeichnung des Vorhabens"
type: "text"
required: true
placeholder: "z.B. Chatbot für Kundenservice"
simple_explanation: "Geben Sie einen kurzen Namen für Ihr KI-Projekt an."
- id: "use_case.description"
label: "Beschreibung"
type: "textarea"
required: true
placeholder: "Beschreiben Sie kurz, was die KI tun soll..."
simple_explanation: "Erklären Sie in 2-3 Sätzen, was Ihre KI-Anwendung machen soll."
- id: "domain"
label: "Branche/Bereich"
type: "select"
required: true
options:
# NIS2 Anhang I - Hohe Kritikalität
- value: "energy"
label: "Energie (Strom, Gas, Öl, Wasserstoff)"
- value: "utilities"
label: "Stadtwerke/Wasserversorgung"
- value: "transport"
label: "Verkehr (Luft, Schiene, Wasser, Straße)"
- value: "banking"
label: "Bankwesen/Kreditinstitute"
- value: "finance"
label: "Finanzmarkt/Investment"
- value: "healthcare"
label: "Gesundheitswesen"
- value: "digital_infrastructure"
label: "Digitale Infrastruktur (Cloud, Rechenzentrum, DNS)"
- value: "ict_services"
label: "IT-Dienstleister (MSP, MSSP)"
- value: "public_sector"
label: "Öffentliche Verwaltung"
# NIS2 Anhang II - Sonstige kritische Sektoren
- value: "postal"
label: "Post-/Kurierdienste"
- value: "chemicals"
label: "Chemie"
- value: "food"
label: "Lebensmittel"
- value: "manufacturing"
label: "Produktion/Industrie"
- value: "mechanical_engineering"
label: "Maschinen-/Anlagenbau"
- value: "automotive"
label: "Automotive/Fahrzeugbau"
- value: "research"
label: "Forschung"
# Sonstige
- value: "real_estate"
label: "Immobilien/Parkhaus"
- value: "education"
label: "Bildung"
- value: "retail"
label: "Einzelhandel"
- value: "insurance"
label: "Versicherung"
- value: "other"
label: "Sonstiges"
simple_explanation: "In welchem Sektor ist Ihr Unternehmen tätig? Dies beeinflusst, welche Regulierungen (NIS2, DORA, etc.) für Sie gelten."
why_it_matters: "Die NIS2-Richtlinie unterscheidet zwischen Sektoren hoher Kritikalität (Anhang I) und sonstigen kritischen Sektoren (Anhang II). Je nach Sektor gelten unterschiedliche Pflichten."
legal_refs: ["NIS2 Anhang I", "NIS2 Anhang II"]
# =========================================================================
# UNTERNEHMENSANGABEN (für Regulierungs-Bestimmung)
# =========================================================================
- id: "organization.employee_count"
label: "Anzahl Mitarbeiter"
type: "select"
required: true
options:
- value: "micro"
label: "Unter 10 Mitarbeiter"
- value: "small"
label: "10-49 Mitarbeiter"
- value: "medium"
label: "50-249 Mitarbeiter"
- value: "large"
label: "250+ Mitarbeiter"
simple_explanation: "Wie viele Mitarbeiter hat Ihr Unternehmen (Vollzeitäquivalente)? Bei Konzernzugehörigkeit zählt die Gesamtzahl."
why_it_matters: "Die Unternehmensgröße ist entscheidend für NIS2: Ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz können Sie betroffen sein."
legal_refs: ["NIS2 Art. 2", "EU KMU-Definition"]
- id: "organization.annual_revenue"
label: "Jahresumsatz"
type: "select"
required: true
options:
- value: "under_2m"
label: "Unter 2 Mio. EUR"
- value: "2m_10m"
label: "2-10 Mio. EUR"
- value: "10m_50m"
label: "10-50 Mio. EUR"
- value: "over_50m"
label: "Über 50 Mio. EUR"
simple_explanation: "Wie hoch ist der Jahresumsatz Ihres Unternehmens? Bei Konzernzugehörigkeit zählt der konsolidierte Umsatz."
why_it_matters: "Zusammen mit der Mitarbeiterzahl bestimmt der Umsatz Ihre Unternehmensgröße und damit die anwendbaren Regulierungen."
legal_refs: ["NIS2 Art. 2", "EU KMU-Definition"]
- id: "organization.is_part_of_group"
label: "Gehört das Unternehmen zu einem Konzern?"
type: "boolean"
default: false
simple_explanation: "Ist Ihr Unternehmen Teil einer größeren Unternehmensgruppe? Dann zählen die Gesamtwerte des Konzerns."
why_it_matters: "Bei Konzernzugehörigkeit werden Mitarbeiter und Umsatz auf Gruppenebene betrachtet. Ein kleines Tochterunternehmen eines großen Konzerns kann daher trotzdem unter NIS2 fallen."
- id: "sector.special_services"
label: "Erbringen Sie einen dieser speziellen digitalen Dienste?"
type: "multiselect"
required: false
visible_if:
field: "domain"
in: ["digital_infrastructure", "ict_services", "other"]
options:
- value: "dns"
label: "DNS-Dienste"
- value: "tld"
label: "TLD-Namenregister"
- value: "cloud"
label: "Cloud-Computing-Dienste"
- value: "datacenter"
label: "Rechenzentrumsdienste"
- value: "cdn"
label: "Content-Delivery-Network (CDN)"
- value: "msp"
label: "Managed Service Provider (MSP)"
- value: "mssp"
label: "Managed Security Service Provider (MSSP)"
- value: "trust_service"
label: "Vertrauensdienste (qualifiziert/nicht-qualifiziert)"
- value: "public_network"
label: "Öffentliche Kommunikationsnetze"
- value: "none"
label: "Keinen der genannten"
simple_explanation: "Anbieter dieser Dienste unterliegen NIS2 unabhängig von ihrer Größe."
why_it_matters: "Bestimmte digitale Dienste sind so kritisch, dass sie unabhängig von der Unternehmensgröße unter NIS2 fallen."
legal_refs: ["NIS2 Art. 2", "§ 28 BSIG-E"]
- id: "sector.is_kritis"
label: "Sind Sie als KRITIS-Betreiber eingestuft?"
type: "boolean"
default: false
visible_if:
field: "domain"
in: ["energy", "utilities", "transport", "healthcare", "digital_infrastructure", "food"]
simple_explanation: "KRITIS-Betreiber sind Unternehmen, die kritische Infrastrukturen betreiben und bestimmte Schwellenwerte überschreiten (z.B. 500.000 versorgte Personen)."
why_it_matters: "KRITIS-Betreiber unterliegen NIS2 unabhängig von ihrer Unternehmensgröße und haben zusätzliche Pflichten."
legal_refs: ["BSI-KritisV", "§ 28 BSIG-E"]
# =============================================================================
# STEP 2: Datenarten
# =============================================================================
- step_number: 2
title: "Welche Daten werden verarbeitet?"
description: "Art der Daten, die von der KI genutzt werden"
icon: "database"
fields:
- id: "data_types.personal_data"
label: "Personenbezogene Daten"
type: "boolean"
default: false
simple_explanation: |
Personenbezogene Daten sind alle Informationen, die sich auf eine
identifizierbare Person beziehen: Namen, E-Mail-Adressen, Telefonnummern,
aber auch IP-Adressen oder Kundennummern.
why_it_matters: "Die DSGVO gilt nur für personenbezogene Daten. Ohne solche Daten entfallen viele Anforderungen."
legal_refs: ["DSGVO Art. 4(1)"]
- id: "data_types.article_9_data"
label: "Besonders sensible Daten (Art. 9 DSGVO)"
type: "boolean"
default: false
visible_if:
field: "data_types.personal_data"
equals: true
simple_explanation: |
Besonders geschützte Datenkategorien sind:
- Gesundheitsdaten (Diagnosen, Medikamente)
- Religiöse oder politische Überzeugungen
- Ethnische Herkunft
- Sexuelle Orientierung
- Gewerkschaftszugehörigkeit
- Genetische oder biometrische Daten zur Identifikation
why_it_matters: "Diese Daten sind grundsätzlich verboten zu verarbeiten, es sei denn, eine Ausnahme greift."
legal_refs: ["DSGVO Art. 9"]
- id: "data_types.minor_data"
label: "Daten von Minderjährigen"
type: "boolean"
default: false
visible_if:
field: "data_types.personal_data"
equals: true
simple_explanation: |
Wenn Nutzer unter 18 Jahren sein können, gelten besondere Schutzvorschriften.
Bei unter 16-Jährigen ist meist die Einwilligung der Eltern erforderlich.
why_it_matters: "Kinder verdienen besonderen Schutz und können selbst keine wirksame Einwilligung erteilen."
legal_refs: ["DSGVO Art. 8", "ErwGr. 38"]
- id: "data_types.biometric_data"
label: "Biometrische Daten (Gesichtserkennung, Fingerabdruck)"
type: "boolean"
default: false
visible_if:
field: "data_types.personal_data"
equals: true
simple_explanation: |
Biometrische Daten sind körperliche Merkmale, die eine Person eindeutig identifizieren:
- Gesichtserkennung / Fotos mit erkennbaren Gesichtern
- Fingerabdrücke
- Iris-Scans
- Stimmerkennung
why_it_matters: "Biometrische Daten zur Identifikation sind besondere Kategorien und erfordern Einwilligung."
legal_refs: ["DSGVO Art. 9(1)", "Art. 4(14)"]
- id: "data_types.license_plates"
label: "KFZ-Kennzeichen"
type: "boolean"
default: false
simple_explanation: |
Nummernschilder ermöglichen die Identifikation des Fahrzeughalters und sind
daher personenbezogene Daten.
why_it_matters: "Kennzeichen-Erfassung (z.B. bei Parkhaus-Systemen) erfordert Rechtsgrundlage."
legal_refs: ["DSGVO Art. 4(1)"]
- id: "data_types.location_data"
label: "Standortdaten / GPS"
type: "boolean"
default: false
simple_explanation: |
Standortdaten zeigen, wo sich eine Person aufhält oder aufgehalten hat.
Dazu gehören GPS-Koordinaten, Bewegungsprofile oder Check-in-Daten.
why_it_matters: "Standortdaten ermöglichen detaillierte Bewegungsprofile und sind besonders schützenswert."
legal_refs: ["DSGVO Art. 4(1)", "ErwGr. 75"]
# =============================================================================
# STEP 3: Verarbeitungszweck
# =============================================================================
- step_number: 3
title: "Wofür wird die KI eingesetzt?"
description: "Zweck und Art der Verarbeitung"
icon: "target"
fields:
- id: "purpose.customer_support"
label: "Kundenservice / Support"
type: "boolean"
default: false
simple_explanation: "Die KI beantwortet Kundenanfragen oder unterstützt beim Support."
- id: "purpose.evaluation_scoring"
label: "Bewertung / Scoring von Personen"
type: "boolean"
default: false
simple_explanation: |
Die KI bewertet, rankt oder stuft Personen ein, z.B.:
- Kreditwürdigkeit
- Bewerbungs-Screening
- Leistungsbewertung
why_it_matters: "Scoring erfordert besondere Transparenz und das Recht auf Anfechtung."
legal_refs: ["DSGVO Art. 22", "§31 BDSG"]
- id: "purpose.profiling"
label: "Profiling (automatisierte Analyse persönlicher Aspekte)"
type: "boolean"
default: false
visible_if:
field: "data_types.personal_data"
equals: true
simple_explanation: |
Profiling bedeutet, dass die KI automatisch persönliche Merkmale analysiert:
- Vorlieben / Interessen
- Verhalten
- Zuverlässigkeit
- Gesundheit
- Wirtschaftliche Lage
why_it_matters: "Profiling kann zu automatisierten Entscheidungen führen und ist besonders reguliert."
legal_refs: ["DSGVO Art. 4(4)", "Art. 22"]
- id: "processing.systematic_monitoring"
label: "Systematische Überwachung"
type: "boolean"
default: false
simple_explanation: |
Werden Personen systematisch beobachtet oder ihr Verhalten dauerhaft erfasst?
Beispiele: Videoüberwachung, Tracking, Verhaltensanalyse
why_it_matters: "Systematische Überwachung erfordert immer eine DSFA."
legal_refs: ["DSGVO Art. 35(3)(c)"]
- id: "outputs.decision_with_legal_effect"
label: "Entscheidungen mit rechtlicher Wirkung"
type: "boolean"
default: false
simple_explanation: |
Hat die KI-Entscheidung direkte Auswirkungen auf Rechte oder Verträge?
Beispiele:
- Automatische Kreditablehnung
- Kündigungen
- Vertragsabschlüsse
- Behördenbescheide
why_it_matters: "Vollautomatisierte Entscheidungen mit Rechtswirkung sind nur mit Einwilligung oder Vertrag zulässig."
legal_refs: ["DSGVO Art. 22"]
# =============================================================================
# STEP 4: Hosting & Provider
# =============================================================================
- step_number: 4
title: "Wo läuft die KI?"
description: "Hosting-Modell und Anbieter"
icon: "server"
fields:
- id: "hosting.type"
label: "Hosting-Modell"
type: "select"
required: true
options:
- value: "on_premises"
label: "Lokal / On-Premises (eigene Hardware)"
- value: "private_cloud"
label: "Private Cloud (dedizierte Infrastruktur)"
- value: "public_cloud"
label: "Public Cloud (z.B. AWS, Azure, GCP)"
- value: "hybrid"
label: "Hybrid (teils lokal, teils Cloud)"
- value: "saas"
label: "SaaS (Software as a Service)"
simple_explanation: |
Wo wird die KI-Software betrieben?
- LOKAL: Auf Ihrem eigenen Server/Computer (z.B. Mac Studio)
- CLOUD: Bei einem externen Anbieter (z.B. Amazon, Microsoft, Google)
- SaaS: Sie nutzen einen fertigen Online-Dienst
why_it_matters: "Bei lokalem Hosting bleiben Daten bei Ihnen. Bei Cloud-Diensten sind zusätzliche Verträge nötig."
- id: "hosting.region"
label: "Standort der Verarbeitung"
type: "select"
required: true
options:
- value: "eu"
label: "EU / EWR (Deutschland, Österreich, etc.)"
- value: "eu_adequacy"
label: "Land mit Angemessenheitsbeschluss (UK, Schweiz, etc.)"
- value: "us"
label: "USA"
- value: "third_country"
label: "Anderes Drittland"
simple_explanation: |
Wo werden die Daten physisch verarbeitet und gespeichert?
EU/EWR: Keine besonderen Anforderungen für Datenübermittlung.
Angemessenheitsbeschluss: Die EU hat bestätigt, dass diese Länder
(z.B. UK, Schweiz, Japan) ein vergleichbares Datenschutzniveau haben.
USA: Besondere Regeln gelten - siehe nächste Fragen.
Andere Drittländer: Standardvertragsklauseln (SCC) erforderlich.
why_it_matters: "Bei Verarbeitung außerhalb der EU sind zusätzliche Garantien erforderlich (Art. 44ff DSGVO)."
legal_refs: ["DSGVO Art. 44", "Art. 45", "Art. 46"]
# =============================================================================
# STEP 5: Drittlandtransfer & SCC (NEUER STEP)
# =============================================================================
- step_number: 5
title: "Internationaler Datentransfer"
description: "Standardvertragsklauseln und Drittlandübermittlung"
icon: "globe"
visible_if:
any_of:
- field: "hosting.region"
in: ["us", "third_country"]
- field: "provider.location"
in: ["us", "non_eu", "third_country"]
intro_text: |
Da Daten außerhalb des EWR verarbeitet werden, müssen zusätzliche
Garantien für den Datenschutz geschaffen werden. Die wichtigsten
Instrumente sind Standardvertragsklauseln (SCC) und das
Transfer Impact Assessment (TIA).
fields:
- id: "provider.location"
label: "Hauptsitz des KI-Anbieters"
type: "select"
required: true
options:
- value: "eu"
label: "EU / EWR"
- value: "us"
label: "USA"
- value: "uk"
label: "Vereinigtes Königreich"
- value: "ch"
label: "Schweiz"
- value: "non_eu"
label: "Anderes Drittland"
simple_explanation: |
Wo hat der Anbieter der KI-Software seinen Hauptsitz?
Dies ist wichtig, weil auch der Firmensitz über die anzuwendenden
Gesetze entscheidet. Ein US-Unternehmen kann z.B. von US-Behörden
zur Datenherausgabe verpflichtet werden.
- id: "provider.dpf_certified"
label: "DPF-Zertifizierung (nur bei USA)"
type: "boolean"
default: false
visible_if:
field: "provider.location"
equals: "us"
simple_explanation: |
Das EU-US Data Privacy Framework (DPF) ist ein Abkommen zwischen
der EU und den USA. Unternehmen, die sich zertifizieren lassen,
bieten ein "angemessenes" Datenschutzniveau.
Sie können prüfen ob ein US-Unternehmen zertifiziert ist unter:
https://www.dataprivacyframework.gov
WENN ZERTIFIZIERT: Keine SCC erforderlich (aber empfohlen als Backup).
WENN NICHT ZERTIFIZIERT: SCC sind zwingend erforderlich!
why_it_matters: "DPF-Zertifizierung vereinfacht den USA-Transfer erheblich."
legal_refs: ["EU-US DPF Beschluss 2023"]
- id: "contracts.scc.present"
label: "Standardvertragsklauseln (SCC) abgeschlossen"
type: "boolean"
default: false
visible_if:
field: "hosting.region"
in: ["us", "third_country"]
simple_explanation: |
STANDARDVERTRAGSKLAUSELN (SCC) sind von der EU genehmigte
Musterverträge, die sicherstellen sollen, dass Ihre Daten
auch außerhalb der EU geschützt werden.
SCC sind PFLICHT wenn:
- Daten in ein Drittland übermittelt werden
- Kein Angemessenheitsbeschluss besteht
- Der US-Provider nicht DPF-zertifiziert ist
Der Anbieter muss die SCC mit Ihnen unterzeichnen.
Fragen Sie nach dem "Data Processing Agreement" oder "DPA".
why_it_matters: "Ohne SCC ist die Datenübermittlung in Drittländer rechtswidrig."
legal_refs: ["DSGVO Art. 46(2)(c)", "EU 2021/914"]
- id: "contracts.scc.version"
label: "Version der SCC"
type: "select"
visible_if:
field: "contracts.scc.present"
equals: true
options:
- value: "new_scc_2021"
label: "Neue SCC (Version Juni 2021)"
- value: "old_scc"
label: "Alte SCC (vor 2021)"
- value: "unknown"
label: "Nicht bekannt"
simple_explanation: |
Die EU hat im Juni 2021 neue Standardvertragsklauseln veröffentlicht.
Die alten Versionen sind seit Ende 2022 NICHT MEHR GÜLTIG!
Wenn Sie sich nicht sicher sind, fragen Sie beim Anbieter nach:
"Verwenden Sie die neuen EU-Standardvertragsklauseln von 2021?"
why_it_matters: "Verträge mit alten SCC müssen aktualisiert werden."
legal_refs: ["EU 2021/914"]
- id: "contracts.tia.present"
label: "Transfer Impact Assessment (TIA) durchgeführt"
type: "boolean"
default: false
visible_if:
field: "hosting.region"
in: ["us", "third_country"]
simple_explanation: |
EIN TRANSFER IMPACT ASSESSMENT (TIA) ist eine Risikoprüfung,
die Sie VOR einem Drittlandtransfer durchführen müssen.
WAS WIRD GEPRÜFT:
1. Kann das Drittland auf die Daten zugreifen? (z.B. Geheimdienste)
2. Bietet das Land ausreichenden Rechtsschutz für EU-Bürger?
3. Reichen die SCC allein aus, oder brauchen Sie Zusatzmaßnahmen?
WARUM IST DAS WICHTIG:
Der Europäische Gerichtshof (Schrems II) hat entschieden, dass
SCC allein nicht ausreichen, wenn das Drittland die Daten
ungehindert abgreifen kann. Das TIA dokumentiert, dass Sie
diese Risiken geprüft und ggf. Maßnahmen ergriffen haben.
why_it_matters: "Das TIA ist seit dem Schrems II-Urteil Pflicht bei Drittlandtransfers."
legal_refs: ["EuGH Schrems II (C-311/18)", "EDPB Recommendations 01/2020"]
- id: "contracts.tia.result"
label: "Ergebnis des TIA"
type: "select"
visible_if:
field: "contracts.tia.present"
equals: true
options:
- value: "adequate"
label: "Angemessenes Schutzniveau (Transfer OK)"
- value: "adequate_with_measures"
label: "OK mit zusätzlichen Maßnahmen"
- value: "inadequate"
label: "Defizite - Zusatzmaßnahmen erforderlich"
- value: "not_feasible"
label: "Angemessenes Niveau nicht erreichbar"
simple_explanation: |
Was hat das Transfer Impact Assessment ergeben?
ANGEMESSEN: Die SCC und die Situation im Drittland bieten
ausreichenden Schutz. Der Transfer kann erfolgen.
MIT ZUSATZMASSNAHMEN: Der Transfer ist möglich, aber Sie müssen
zusätzliche technische Maßnahmen ergreifen (z.B. Verschlüsselung).
DEFIZITE: Es gibt Probleme, die behoben werden müssen.
NICHT MÖGLICH: Der Transfer darf NICHT stattfinden, da kein
angemessenes Schutzniveau erreichbar ist.
why_it_matters: "Das TIA-Ergebnis bestimmt, ob und wie der Transfer erfolgen darf."
legal_refs: ["EDPB Recommendations 01/2020"]
- id: "provider.support_location"
label: "Wo sitzt der Support des Anbieters?"
type: "select"
options:
- value: "eu"
label: "Nur EU / EWR"
- value: "us"
label: "USA"
- value: "global"
label: "Weltweit / Verschiedene Standorte"
- value: "unknown"
label: "Nicht bekannt"
simple_explanation: |
ACHTUNG: Auch wenn Ihre Daten in der EU gespeichert werden,
kann ein ZUGRIFF aus dem Drittland ein Transfer sein!
Wenn Support-Mitarbeiter des Anbieters aus den USA oder anderen
Drittländern auf Ihre Daten zugreifen können (z.B. für Fehlerbehebung),
gilt das als Datenübermittlung in dieses Land.
why_it_matters: "Remote-Zugriff = Drittlandtransfer, auch bei EU-Hosting."
legal_refs: ["DSGVO Art. 44", "EDPB Guidelines on Data Transfers"]
- id: "provider.subprocessors.known"
label: "Sind die Unterauftragsverarbeiter bekannt?"
type: "boolean"
default: false
simple_explanation: |
UNTERAUFTRAGSVERARBEITER (Subprocessors) sind Firmen, die der
Anbieter selbst beauftragt, um Teile der Dienstleistung zu erbringen.
Beispiele:
- Cloud-Infrastruktur (AWS, Azure)
- Zahlungsabwicklung
- Analytics-Dienste
- CDN/Caching
Sie haben ein Recht zu wissen, WER diese Firmen sind und WO sie sitzen.
Der Anbieter muss eine Liste bereitstellen.
why_it_matters: "Für jeden Subprocessor im Drittland brauchen Sie ebenfalls SCC."
legal_refs: ["DSGVO Art. 28(2)", "Art. 28(4)"]
- id: "provider.subprocessors.third_country"
label: "Gibt es Unterauftragsverarbeiter im Drittland?"
type: "boolean"
default: false
visible_if:
field: "provider.subprocessors.known"
equals: true
simple_explanation: |
Nutzt der Anbieter Dienstleister außerhalb der EU/des EWR?
Häufige Beispiele:
- US-Cloud-Provider (AWS, Google Cloud, Azure)
- US-Analytics (Mixpanel, Amplitude)
- US-Support-Tools (Zendesk, Intercom)
Für JEDEN dieser Subprocessors muss die SCC-Kette durchgängig sein.
why_it_matters: "Die Verantwortung für die gesamte Verarbeitungskette liegt bei Ihnen."
# =============================================================================
# STEP 6: KI-Modell & Training
# =============================================================================
- step_number: 6
title: "KI-Modell und Training"
description: "Wie wird das KI-Modell genutzt und verbessert?"
icon: "brain"
fields:
- id: "model_usage.rag"
label: "RAG (Retrieval-Augmented Generation)"
type: "boolean"
default: false
simple_explanation: |
Bei RAG durchsucht die KI Ihre Dokumente und verwendet gefundene
Textstellen für die Antwort. Das Modell selbst wird NICHT verändert.
Vorteil: Ihre Daten fließen nicht ins KI-Modell, sondern bleiben
in einer durchsuchbaren Datenbank.
why_it_matters: "RAG ist datenschutzfreundlicher als Training, da Daten nicht ins Modell einfließen."
- id: "model_usage.training"
label: "Training / Finetuning"
type: "boolean"
default: false
simple_explanation: |
Beim Training/Finetuning werden Ihre Daten verwendet, um das
KI-Modell selbst zu verbessern. Die Daten werden quasi "eingebaut".
ACHTUNG: Einmal trainierte Daten können nicht mehr "vergessen" werden!
why_it_matters: "Training mit personenbezogenen Daten hat weitreichende Konsequenzen."
legal_refs: ["DSGVO Art. 17 (Recht auf Löschung)"]
- id: "provider.uses_data_for_training"
label: "Nutzt der Anbieter Ihre Daten für eigenes Training?"
type: "boolean"
default: false
simple_explanation: |
Manche KI-Anbieter (z.B. OpenAI, Google) nutzen Kundendaten,
um ihre eigenen Modelle zu verbessern - es sei denn, Sie widersprechen.
Prüfen Sie die Nutzungsbedingungen und fragen Sie nach einem
"Opt-Out" für Modelltraining!
why_it_matters: "Wenn Ihre Kundendaten im Modell des Anbieters landen, verlieren Sie die Kontrolle."
legal_refs: ["DSGVO Art. 5(1)(b) Zweckbindung"]
- id: "contracts.no_training_clause"
label: "Vertragliche Opt-Out-Klausel für Training vorhanden?"
type: "boolean"
default: false
visible_if:
field: "provider.uses_data_for_training"
equals: true
simple_explanation: |
Haben Sie mit dem Anbieter vereinbart, dass Ihre Daten NICHT
für das Training seiner KI-Modelle verwendet werden dürfen?
Dies sollte im Vertrag oder DPA explizit stehen.
# =============================================================================
# STEP 7: Verträge & Compliance
# =============================================================================
- step_number: 7
title: "Verträge & Compliance"
description: "Vertragliche Absicherung"
icon: "file-contract"
fields:
- id: "contracts.avv.present"
label: "Auftragsverarbeitungsvertrag (AVV) abgeschlossen"
type: "boolean"
default: false
simple_explanation: |
Ein AUFTRAGSVERARBEITUNGSVERTRAG (AVV) ist ein Vertrag nach Art. 28 DSGVO,
der regelt, wie ein Dienstleister Ihre Daten verarbeiten darf.
Der AVV ist PFLICHT, wenn:
- Ein externer Dienstleister Daten für Sie verarbeitet
- Sie einen Cloud-Service nutzen
- Sie einen KI-Provider beauftragen
WICHTIG: AVV und SCC sind VERSCHIEDENE Dinge!
- AVV: Regelt WIE verarbeitet wird (immer erforderlich bei Auftragsverarbeitung)
- SCC: Regelt Drittlandtransfer (nur bei Nicht-EU erforderlich)
Bei EU-Anbietern: Nur AVV
Bei Drittland-Anbietern: AVV UND SCC
why_it_matters: "Ohne AVV verstoßen Sie gegen die DSGVO - auch bei EU-Anbietern."
legal_refs: ["DSGVO Art. 28"]
- id: "contracts.avv.complete"
label: "AVV enthält alle erforderlichen Klauseln"
type: "boolean"
default: false
visible_if:
field: "contracts.avv.present"
equals: true
simple_explanation: |
Ein vollständiger AVV muss mindestens enthalten:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Rechte und Pflichten des Verantwortlichen
- Weisungsbindung
- Vertraulichkeit
- Technische und organisatorische Maßnahmen
- Regelung zu Unterauftragsverarbeitern
- Unterstützung bei Betroffenenrechten
- Löschung/Rückgabe nach Auftragsende
legal_refs: ["DSGVO Art. 28(3)"]
- id: "governance.dsfa_completed"
label: "Datenschutz-Folgenabschätzung (DSFA) durchgeführt"
type: "boolean"
default: false
simple_explanation: |
Eine DSFA ist eine ausführliche Risikoanalyse, die bei bestimmten
Verarbeitungen PFLICHT ist:
- Systematische Bewertung/Scoring von Personen
- Umfangreiche Verarbeitung besonderer Kategorien (Art. 9)
- Systematische Überwachung öffentlicher Bereiche
why_it_matters: "Bei hohem Risiko für Betroffene ist die DSFA gesetzlich vorgeschrieben."
legal_refs: ["DSGVO Art. 35"]
- id: "governance.vvt_entry"
label: "Eintrag im Verarbeitungsverzeichnis"
type: "boolean"
default: false
simple_explanation: |
Das Verarbeitungsverzeichnis (VVT) ist die Dokumentation aller
Datenverarbeitungen in Ihrem Unternehmen.
Jede neue KI-Anwendung sollte dort eingetragen werden.
legal_refs: ["DSGVO Art. 30"]
# =============================================================================
# STEP 8: Automatisierung & Human Oversight
# =============================================================================
- step_number: 8
title: "Automatisierung & Kontrolle"
description: "Grad der Automatisierung und menschliche Aufsicht"
icon: "user-check"
fields:
- id: "automation"
label: "Grad der Automatisierung"
type: "select"
required: true
options:
- value: "support_only"
label: "Nur Unterstützung (Mensch entscheidet immer)"
- value: "semi_automated"
label: "Teilautomatisiert (Mensch prüft vor Wirksamkeit)"
- value: "fully_automated"
label: "Vollautomatisiert (keine menschliche Prüfung)"
simple_explanation: |
Wie viel entscheidet die KI alleine?
NUR UNTERSTÜTZUNG: Die KI macht Vorschläge, aber ein Mensch
entscheidet und handelt.
TEILAUTOMATISIERT: Die KI bereitet Entscheidungen vor, aber
ein Mensch prüft und gibt frei.
VOLLAUTOMATISIERT: Die KI trifft Entscheidungen ohne
menschliche Prüfung (z.B. automatische Kreditablehnung).
why_it_matters: "Vollautomatisierte Entscheidungen mit Rechtswirkung sind besonders reguliert."
legal_refs: ["DSGVO Art. 22", "AI Act Art. 14"]
- id: "processing.human_oversight"
label: "Ist menschliche Aufsicht technisch erzwungen?"
type: "boolean"
default: false
visible_if:
field: "automation"
in: ["semi_automated", "fully_automated"]
simple_explanation: |
Ist es TECHNISCH sichergestellt, dass ein Mensch kritische
Entscheidungen prüfen muss, bevor sie wirksam werden?
Beispiel: Das System zeigt einen "Genehmigen"-Button, ohne den
die Entscheidung nicht umgesetzt wird.
why_it_matters: "Human-in-the-Loop kann Art. 22 DSGVO-Risiken vermeiden."
legal_refs: ["DSGVO Art. 22(3)", "AI Act Art. 14"]
# =============================================================================
# STEP 9: Standards & Normen (Lizenz-Compliance)
# =============================================================================
- step_number: 9
title: "Standards & Normen"
description: "Nutzung von DIN/ISO/VDI Normen und Lizenz-Compliance"
icon: "book-open"
visible_if:
any_of:
- field: "domain"
in: ["mechanical_engineering", "automotive", "manufacturing"]
- field: "use_case.involves_standards"
equals: true
intro_text: |
Bei der Nutzung von technischen Normen (DIN, ISO, VDI, etc.)
muessen neben Datenschutz auch URHEBERRECHTLICHE Aspekte
beachtet werden.
WICHTIG: DIN Media (ehem. Beuth Verlag) untersagt aktuell die
KI-Nutzung von Normen ohne explizite Genehmigung!
fields:
- id: "licensed_content.present"
label: "Werden Normen/Standards verarbeitet?"
type: "boolean"
default: false
simple_explanation: |
Sollen DIN-Normen, ISO-Standards, VDI-Richtlinien oder
aehnliche technische Regelwerke mit KI verarbeitet werden?
Beispiele:
- Risikobeurteilung nach DIN EN ISO 12100
- CE-Kennzeichnung nach Maschinenrichtlinie
- Sicherheitsfunktionen nach DIN EN ISO 13849
ACHTUNG: Normen sind urheberrechtlich geschuetzt!
why_it_matters: "Die Nutzung von Normen mit KI erfordert besondere Lizenzen."
legal_refs: ["UrhG", "DIN Media Nutzungsbedingungen"]
- id: "licensed_content.publisher"
label: "Herausgeber der Normen"
type: "select"
visible_if:
field: "licensed_content.present"
equals: true
options:
- value: "DIN_MEDIA"
label: "DIN / DIN Media (ehem. Beuth)"
- value: "VDI"
label: "VDI Richtlinien"
- value: "VDE"
label: "VDE/DKE Normen"
- value: "ISO"
label: "ISO (international)"
- value: "IEC"
label: "IEC (Elektrotechnik)"
- value: "DGUV"
label: "DGUV Vorschriften"
- value: "OTHER"
label: "Andere"
- value: "UNKNOWN"
label: "Nicht bekannt"
simple_explanation: |
Von welchem Verlag/Herausgeber stammen Ihre Normen?
Die meisten deutschen DIN-Normen werden von DIN Media
(frueher Beuth Verlag) vertrieben.
WICHTIG: Jeder Verlag hat eigene Lizenzbedingungen!
- id: "licensed_content.license_type"
label: "Lizenztyp"
type: "select"
visible_if:
field: "licensed_content.present"
equals: true
options:
- value: "SINGLE_WORKSTATION"
label: "Einzelplatz/Workstation-Lizenz"
- value: "NETWORK_INTRANET"
label: "Netzwerk/Intranet-Lizenz"
- value: "ENTERPRISE"
label: "Enterprise/Unternehmens-Lizenz"
- value: "AI_LICENSE"
label: "AI-Lizenz (explizit fuer KI-Nutzung)"
- value: "UNKNOWN"
label: "Nicht bekannt"
simple_explanation: |
Welche Lizenz haben Sie fuer Ihre Normen erworben?
EINZELPLATZ: Nur ein Mitarbeiter an einem PC darf die
Norm nutzen. KEINE Weitergabe erlaubt!
NETZWERK/INTRANET: Mehrere Mitarbeiter duerfen im
Firmennetzwerk zugreifen.
ENTERPRISE: Unternehmensweit nutzbar.
AI-LIZENZ: Spezielle Erlaubnis fuer KI/LLM-Nutzung.
Diese gibt es bei DIN Media erst ab Q4/2025!
why_it_matters: "Die Lizenz bestimmt, was Sie technisch duerfen."
- id: "licensed_content.ai_use_permitted"
label: "Ist KI/LLM-Nutzung erlaubt?"
type: "select"
visible_if:
field: "licensed_content.present"
equals: true
options:
- value: "YES"
label: "Ja (schriftlich bestaetigt)"
- value: "NO"
label: "Nein"
- value: "UNKNOWN"
label: "Nicht bekannt / Unklar"
simple_explanation: |
Haben Sie eine SCHRIFTLICHE Erlaubnis, die Normen mit
KI/LLM zu verarbeiten?
WICHTIG: DIN Media hat aktuell (Stand 2026) festgelegt,
dass die KI-Nutzung von Normen NICHT erlaubt ist!
Ein AI-Lizenzmodell ist erst ab Q4/2025 geplant.
Wenn Sie "Unklar" waehlen, wird aus Sicherheitsgruenden
nur der Link-only oder Notes-only Modus freigeschaltet.
why_it_matters: "Ohne explizite Erlaubnis ist Volltext-RAG blockiert."
legal_refs: ["UrhG §44b (TDM-Vorbehalt)", "DIN Media AGB"]
- id: "licensed_content.operation_mode"
label: "Wie soll Breakpilot die Normen nutzen?"
type: "select"
visible_if:
field: "licensed_content.present"
equals: true
options:
- value: "LINK_ONLY"
label: "Nur Verweise & Checklisten (kein Normentext)"
- value: "NOTES_ONLY"
label: "Nur eigene Notizen/Zusammenfassungen (RAG)"
- value: "FULLTEXT_RAG"
label: "Volltext-RAG (nur mit AI-Lizenz!)"
- value: "TRAINING"
label: "Modell-Training (nur mit expliziter Erlaubnis!)"
simple_explanation: |
LINK-ONLY (empfohlen, immer moeglich):
Breakpilot zeigt Ihnen Checklisten und verweist auf
relevante Normenabschnitte. Sie schauen selbst in der
Norm nach. KEIN Lizenzrisiko!
NOTES-ONLY (meist moeglich):
Sie erstellen eigene Zusammenfassungen und Checklisten.
Diese werden durchsuchbar gemacht - nicht die Originaltexte.
VOLLTEXT-RAG (nur mit AI-Lizenz!):
Die kompletten Normentexte werden indexiert.
ACHTUNG: Erfordert schriftliche AI-Nutzungserlaubnis!
TRAINING (sehr restriktiv):
Normen zum Modell-Training verwenden.
Bei DIN Media aktuell VERBOTEN!
why_it_matters: "Der Modus bestimmt das Lizenzrisiko."
- id: "licensed_content.proof_uploaded"
label: "Liegt ein AI-Lizenz-Nachweis vor?"
type: "boolean"
default: false
visible_if:
all_of:
- field: "licensed_content.present"
equals: true
- field: "licensed_content.operation_mode"
in: ["FULLTEXT_RAG", "TRAINING"]
simple_explanation: |
Haben Sie einen Nachweis, der die KI/LLM-Nutzung erlaubt?
Das kann sein:
- Vertrag mit expliziter AI-Nutzungs-Klausel
- Schriftliche Freigabe vom Verlag
- AI-Lizenz von DIN Media (ab Q4/2025 verfuegbar)
OHNE diesen Nachweis ist Volltext-RAG blockiert!
why_it_matters: "Ohne Nachweis kein Volltext-RAG moeglich."
- id: "licensed_content.distribution_scope"
label: "Wer soll Zugriff auf die Ergebnisse haben?"
type: "select"
visible_if:
field: "licensed_content.present"
equals: true
options:
- value: "SINGLE_USER"
label: "Nur ich selbst"
- value: "COMPANY_INTERNAL"
label: "Unternehmensintern"
- value: "SUBSIDIARIES"
label: "Inkl. Tochtergesellschaften"
- value: "EXTERNAL_CUSTOMERS"
label: "Auch an Kunden/Externe"
- value: "UNKNOWN"
label: "Nicht bekannt"
simple_explanation: |
An wen moechten Sie KI-generierte Antworten weitergeben?
WICHTIG: Einzelplatz-Lizenzen erlauben KEINE Weitergabe
an Kollegen! Wenn Sie unternehmensweit arbeiten moechten,
benoetigen Sie mindestens eine Netzwerk-Lizenz.
why_it_matters: "Der Verteilungsumfang muss zur Lizenz passen."
# =============================================================================
# STEP 10: Finanzregulierung (DORA, MaRisk, BAIT)
# =============================================================================
- step_number: 10
title: "Finanzregulierung"
description: "DORA, MaRisk und BAIT Compliance fuer regulierte Finanzunternehmen"
icon: "building-bank"
visible_if:
any_of:
- field: "domain"
in: ["banking", "finance", "insurance", "investment", "payment_services"]
- field: "financial_entity.regulated"
equals: true
fields:
# --- Finanzunternehmen-Klassifikation ---
- id: "financial_entity.type"
label: "Art des Finanzunternehmens"
type: "select"
required: true
options:
- value: "CREDIT_INSTITUTION"
label: "Kreditinstitut (Bank)"
- value: "PAYMENT_SERVICE_PROVIDER"
label: "Zahlungsdienstleister (PSD2)"
- value: "E_MONEY_INSTITUTION"
label: "E-Geld-Institut"
- value: "INVESTMENT_FIRM"
label: "Wertpapierfirma (MiFID II)"
- value: "INSURANCE_COMPANY"
label: "Versicherungsunternehmen"
- value: "CRYPTO_ASSET_PROVIDER"
label: "Krypto-Dienstleister (MiCA)"
- value: "OTHER_FINANCIAL"
label: "Sonstiges Finanzunternehmen"
- value: "NOT_REGULATED"
label: "Nicht reguliert"
simple_explanation: |
Welcher Art ist Ihr Unternehmen?
KREDITINSTITUT: Klassische Bank mit BaFin-Lizenz
ZAHLUNGSDIENSTLEISTER: Unternehmen das Zahlungen
abwickelt (z.B. PayPal, Klarna)
WERTPAPIERFIRMA: Broker, Vermoegensverwaltung
VERSICHERUNG: Lebens-, Sach- oder Krankenversicherung
KRYPTO-DIENSTLEISTER: Handelsplatz, Wallet-Anbieter
why_it_matters: "Der Unternehmenstyp bestimmt die regulatorischen Anforderungen."
legal_refs: ["DORA Art. 2", "KWG", "ZAG", "VAG"]
- id: "financial_entity.regulated"
label: "Unterliegt das Unternehmen der BaFin-Aufsicht?"
type: "boolean"
default: true
visible_if:
field: "financial_entity.type"
not_equals: "NOT_REGULATED"
simple_explanation: |
Wird Ihr Unternehmen von der BaFin (oder EZB) beaufsichtigt?
JA wenn Sie:
- Eine BaFin-Lizenz besitzen
- Unter EZB-Aufsicht stehen (SSM)
- Einer regulierten Gruppe angehoeren
NEIN wenn Sie:
- Ein reines FinTech ohne Lizenz sind
- Nur Dienstleister fuer Banken sind
why_it_matters: "Regulierte Unternehmen muessen DORA, MaRisk und BAIT einhalten."
legal_refs: ["KWG §1", "DORA Art. 2"]
- id: "financial_entity.size_category"
label: "Groessenkategorie des Instituts"
type: "select"
visible_if:
field: "financial_entity.regulated"
equals: true
options:
- value: "SIGNIFICANT"
label: "Bedeutendes Institut (Significant Institution)"
- value: "LESS_SIGNIFICANT"
label: "Weniger bedeutendes Institut (LSI)"
- value: "SMALL"
label: "Kleines Institut"
simple_explanation: |
BEDEUTEND (SI): Direkte EZB-Aufsicht, Bilanzsumme > 30 Mrd. EUR
WENIGER BEDEUTEND (LSI): BaFin-Aufsicht, nationale Bedeutung
KLEIN: Vereinfachte Anforderungen moeglich
why_it_matters: "Groessere Institute haben strengere DORA-Anforderungen (z.B. TLPT)."
legal_refs: ["SSM-Rahmenverordnung", "DORA Art. 26"]
# --- IKT-Dienste und Auslagerungen ---
- id: "ict_service.is_critical"
label: "Handelt es sich um eine kritische IKT-Dienstleistung?"
type: "boolean"
default: false
visible_if:
field: "financial_entity.regulated"
equals: true
simple_explanation: |
Eine IKT-Dienstleistung gilt als KRITISCH (DORA Art. 3 Nr. 21) wenn:
- Ihr Ausfall den Geschaeftsbetrieb erheblich beeintraechtigt
- Sie Kernbankfunktionen unterstuetzt
- Sie fuer die Kundenbetreuung essentiell ist
- Regulatorische Meldepflichten davon abhaengen
Beispiele: Core Banking, Zahlungsverkehr, Risikoberechnung
why_it_matters: "Kritische IKT-Dienste unterliegen strengeren DORA-Anforderungen."
legal_refs: ["DORA Art. 3(21)", "DORA Art. 28-30"]
- id: "ict_service.is_outsourced"
label: "Wird die KI-Anwendung ausgelagert (Cloud/Drittanbieter)?"
type: "boolean"
default: false
visible_if:
field: "financial_entity.regulated"
equals: true
simple_explanation: |
JA wenn:
- Die KI bei einem Cloud-Anbieter laeuft (AWS, Azure, GCP)
- Ein Drittanbieter die KI-Loesung bereitstellt
- Die Daten das eigene Rechenzentrum verlassen
NEIN wenn:
- Vollstaendig On-Premises betrieben
- Nur interne Ressourcen genutzt werden
why_it_matters: "Auslagerungen erfordern Due Diligence und vertragliche Absicherung."
legal_refs: ["DORA Art. 28-30", "MaRisk AT 9"]
- id: "ict_service.provider_location"
label: "Wo ist der IKT-Drittanbieter ansaessig?"
type: "select"
visible_if:
field: "ict_service.is_outsourced"
equals: true
options:
- value: "EU"
label: "EU / EWR"
- value: "ADEQUACY_DECISION"
label: "Land mit Angemessenheitsbeschluss"
- value: "THIRD_COUNTRY"
label: "Drittland (z.B. USA)"
simple_explanation: |
EU/EWR: Niedrigeres Risiko, DORA direkt anwendbar
ANGEMESSENHEITSBESCHLUSS: z.B. Schweiz, UK, Japan
DRITTLAND: Zusaetzliche Pruefung und Schutzmaßnahmen noetig
why_it_matters: "Drittland-Auslagerungen erfordern zusaetzliche DORA-Kontrollen."
legal_refs: ["DORA Art. 31", "DSGVO Art. 44ff"]
- id: "ict_service.concentration_risk"
label: "Besteht ein Konzentrationsrisiko bei IKT-Anbietern?"
type: "boolean"
default: false
visible_if:
field: "ict_service.is_outsourced"
equals: true
simple_explanation: |
JA wenn:
- Mehrere kritische Dienste beim gleichen Anbieter liegen
- Keine Alternative bei Anbieter-Ausfall verfuegbar ist
- Der Markt von wenigen Anbietern dominiert wird (z.B. Cloud)
Beispiel: AWS fuer Core Banking UND KI UND Backup
why_it_matters: "Konzentrationsrisiken koennen systemische Auswirkungen haben."
legal_refs: ["DORA Art. 29(2)"]
# --- KI-spezifische Finanzfragen ---
- id: "ai_application.affects_customer_decisions"
label: "Beeinflusst die KI Kundenentscheidungen?"
type: "boolean"
default: false
visible_if:
field: "financial_entity.regulated"
equals: true
simple_explanation: |
JA wenn die KI:
- Kreditentscheidungen unterstuetzt oder trifft
- Versicherungspraemien berechnet
- Kontoeroeffnungen bewertet
- Ablehnungsgruende generiert
NEIN wenn die KI nur intern genutzt wird (z.B. Compliance-Checks)
why_it_matters: "Kundenentscheidungen per KI erfordern Erklaerbarkeit und Fairness."
legal_refs: ["Art. 22 DSGVO", "MaRisk AT 4.3.5"]
- id: "ai_application.risk_assessment"
label: "Wird die KI fuer Risikobewertungen eingesetzt?"
type: "boolean"
default: false
visible_if:
field: "financial_entity.regulated"
equals: true
simple_explanation: |
JA wenn die KI:
- Kredit-Scoring durchfuehrt
- Fraud Detection macht
- Marktrisiken bewertet
- Bonitaetspruefungen unterstuetzt
Diese Modelle unterliegen der MaRisk-Validierungspflicht!
why_it_matters: "Risikomodelle muessen nach MaRisk AT 4.3.5 validiert werden."
legal_refs: ["MaRisk AT 4.3.5", "EBA Guidelines on IRB"]
- id: "ai_application.model_validation_done"
label: "Wurde eine Modellvalidierung nach MaRisk durchgefuehrt?"
type: "boolean"
default: false
visible_if:
field: "ai_application.risk_assessment"
equals: true
simple_explanation: |
Die Validierung nach MaRisk AT 4.3.5 umfasst:
- Konzeptionelle Pruefung (Ist das Modell geeignet?)
- Datenpruefung (Sind die Trainingsdaten valide?)
- Backtesting (Stimmen die Vorhersagen?)
- Unabhaengige Pruefung (2nd Line of Defense)
OHNE Validierung: KEIN produktiver Einsatz erlaubt!
why_it_matters: "Nicht-validierte Risikomodelle duerfen nicht produktiv eingesetzt werden."
legal_refs: ["MaRisk AT 4.3.5"]
- id: "ai_application.algorithmic_trading"
label: "Wird die KI fuer algorithmischen Handel eingesetzt?"
type: "boolean"
default: false
visible_if:
field: "financial_entity.type"
in: ["CREDIT_INSTITUTION", "INVESTMENT_FIRM"]
simple_explanation: |
JA wenn die KI:
- Automatisch Trades ausfuehrt
- Handelsstrategien optimiert
- Market Making betreibt
- High-Frequency-Trading unterstuetzt
ACHTUNG: Algorithmischer Handel erfordert BaFin-Anzeige!
why_it_matters: "Algorithmischer Handel unterliegt besonderen MiFID II Anforderungen."
legal_refs: ["MiFID II Art. 17", "WpHG §80"]
- id: "ai_application.aml_kyc"
label: "Wird die KI fuer AML/KYC eingesetzt?"
type: "boolean"
default: false
visible_if:
field: "financial_entity.regulated"
equals: true
simple_explanation: |
JA wenn die KI:
- Verdaechtige Transaktionen erkennt
- Kundenidentitaeten verifiziert
- Sanktionslisten-Screening macht
- PEP-Pruefungen durchfuehrt
AML-Entscheidungen erfordern IMMER menschliche Pruefung!
why_it_matters: "KI fuer AML erfordert Human-in-the-Loop und regelmaessige Validierung."
legal_refs: ["GwG", "AMLA (EU)"]
# =============================================================================
# METADATA
# =============================================================================
metadata:
created_at: "2026-01-29"
created_by: "AI Compliance SDK"
last_updated: "2026-01-29"
supported_modes:
- simple
- expert
languages:
- de
- en
Reference in New Issue View Git Blame Copy Permalink