34f3dbdfc3
These 5 data files were untracked and only saved in git stash. They are required by catalog-registry.ts for the Katalogverwaltung. Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
418 lines
20 KiB
TypeScript
418 lines
20 KiB
TypeScript
/**
|
|
* DSFA KI-Massnahmenbibliothek - Vordefinierte KI-spezifische Massnahmen
|
|
*
|
|
* ~25 Massnahmen gegliedert nach:
|
|
* - Bias-Praevention & Fairness
|
|
* - Erklaerbarkeit & Transparenz
|
|
* - Datenqualitaet & Governance
|
|
* - Sicherheit & Robustheit
|
|
* - Automatisierte Entscheidungen (Human Oversight)
|
|
* - Monitoring & Qualitaetssicherung
|
|
* - Privatsphaere & Datenschutz
|
|
*
|
|
* Quellen: Art. 9-15 AI Act, Art. 22/25/32 DSGVO, EDPB Guidelines,
|
|
* BSI-TR-03161, SDM V2.0
|
|
*/
|
|
|
|
import type { CatalogMitigation } from './mitigation-library'
|
|
|
|
// =============================================================================
|
|
// KI-MASSNAHMENBIBLIOTHEK
|
|
// =============================================================================
|
|
|
|
export const AI_MITIGATION_LIBRARY: CatalogMitigation[] = [
|
|
// =========================================================================
|
|
// BIAS-PRAEVENTION & FAIRNESS
|
|
// =========================================================================
|
|
{
|
|
id: 'M-AI-BIAS-01',
|
|
type: 'technical',
|
|
sdmGoals: ['nichtverkettung', 'intervenierbarkeit'],
|
|
title: 'Bias-Audit und Fairness-Testing',
|
|
description: 'Regelmaessige Durchfuehrung von Bias-Audits mit standardisierten Fairness-Metriken (z.B. Demographic Parity, Equalized Odds, Calibration). Automatisierte Tests vor jedem Modell-Update.',
|
|
legalBasis: 'Art. 10 AI Act, Art. 22 Abs. 3 DSGVO',
|
|
evidenceTypes: ['Bias-Audit-Report', 'Fairness-Metriken-Dashboard', 'Test-Protokoll'],
|
|
addressesRiskIds: ['R-AI-BIAS-01', 'R-AI-BIAS-03', 'R-AI-PRIV-04'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-BIAS-02',
|
|
type: 'technical',
|
|
sdmGoals: ['nichtverkettung', 'integritaet'],
|
|
title: 'Trainingsdaten-Debiasing und Rebalancing',
|
|
description: 'Systematische Analyse der Trainingsdaten auf Unterrepraesentation und Verzerrungen. Anwendung von Resampling, Reweighting oder synthetischer Datenerweiterung zur Herstellung von Balance.',
|
|
legalBasis: 'Art. 10 Abs. 2-3 AI Act',
|
|
evidenceTypes: ['Datenanalyse-Report', 'Rebalancing-Protokoll', 'Datenverteilungs-Bericht'],
|
|
addressesRiskIds: ['R-AI-BIAS-01', 'R-AI-BIAS-02'],
|
|
effectiveness: 'medium',
|
|
},
|
|
{
|
|
id: 'M-AI-BIAS-03',
|
|
type: 'organizational',
|
|
sdmGoals: ['nichtverkettung', 'transparenz'],
|
|
title: 'Diversitaet in KI-Entwicklungsteams',
|
|
description: 'Sicherstellung von Diversitaet in den Teams, die KI-Systeme entwickeln und bewerten. Einbeziehung von Betroffenengruppen in den Evaluierungsprozess.',
|
|
legalBasis: 'Art. 9 Abs. 9 AI Act',
|
|
evidenceTypes: ['Team-Diversity-Report', 'Stakeholder-Einbeziehungs-Protokoll'],
|
|
addressesRiskIds: ['R-AI-BIAS-03'],
|
|
effectiveness: 'medium',
|
|
},
|
|
|
|
// =========================================================================
|
|
// ERKLAERBARKEIT & TRANSPARENZ
|
|
// =========================================================================
|
|
{
|
|
id: 'M-AI-EXPL-01',
|
|
type: 'technical',
|
|
sdmGoals: ['transparenz', 'intervenierbarkeit'],
|
|
title: 'Explainable AI (XAI) - Erklaerbare KI-Methoden',
|
|
description: 'Einsatz von Erklaerbarkeitsmethoden wie SHAP, LIME oder Attention Maps, um KI-Entscheidungen nachvollziehbar zu machen. Bereitstellung von Erklaerungen in verstaendlicher Sprache.',
|
|
legalBasis: 'Art. 13 AI Act, Art. 13-14 DSGVO',
|
|
evidenceTypes: ['XAI-Implementierungsbericht', 'Erklaerbarkeits-Screenshots', 'Nutzer-Feedback'],
|
|
addressesRiskIds: ['R-AI-EXPL-01', 'R-AI-AUTO-02', 'R-AI-BIAS-03'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-EXPL-02',
|
|
type: 'organizational',
|
|
sdmGoals: ['transparenz'],
|
|
title: 'KI-Modellkarte (Model Card) und Datenblatt',
|
|
description: 'Erstellung und Pflege einer Modellkarte nach dem Model Card Framework. Dokumentation von Leistung, Einschraenkungen, beabsichtigter Nutzung und Fairness-Metriken.',
|
|
legalBasis: 'Art. 11 AI Act, Art. 13 DSGVO',
|
|
evidenceTypes: ['Model Card (PDF)', 'Data Sheet', 'Leistungsbericht'],
|
|
addressesRiskIds: ['R-AI-EXPL-03', 'R-AI-EXPL-01'],
|
|
effectiveness: 'medium',
|
|
},
|
|
{
|
|
id: 'M-AI-EXPL-03',
|
|
type: 'organizational',
|
|
sdmGoals: ['transparenz'],
|
|
title: 'KI-Kennzeichnung und Nutzertransparenz',
|
|
description: 'Deutliche Kennzeichnung von KI-generierten Inhalten und KI-Interaktionen. Informierung der Nutzer ueber den Einsatz von KI-Systemen, deren Zweck und Einschraenkungen.',
|
|
legalBasis: 'Art. 50 AI Act, Art. 13-14 DSGVO',
|
|
evidenceTypes: ['KI-Kennzeichnungs-Screenshots', 'Datenschutzhinweis-Auszug', 'Nutzerinformation'],
|
|
addressesRiskIds: ['R-AI-EXPL-02', 'R-AI-EXPL-01'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-TRANS-01',
|
|
type: 'legal',
|
|
sdmGoals: ['transparenz'],
|
|
title: 'KI-Transparenzbericht (jaehrlich)',
|
|
description: 'Veroeffentlichung eines jaehrlichen Transparenzberichts ueber den Einsatz von KI-Systemen, deren Auswirkungen, durchgefuehrte Audits und ergriffene Massnahmen.',
|
|
legalBasis: 'Art. 13 AI Act',
|
|
evidenceTypes: ['Transparenzbericht (PDF)', 'Veroeffentlichungsnachweis'],
|
|
addressesRiskIds: ['R-AI-EXPL-02'],
|
|
effectiveness: 'medium',
|
|
},
|
|
{
|
|
id: 'M-AI-DOC-01',
|
|
type: 'organizational',
|
|
sdmGoals: ['transparenz'],
|
|
title: 'Technische Dokumentation nach AI Act',
|
|
description: 'Vollstaendige technische Dokumentation des KI-Systems gemaess Art. 11 und Anhang IV AI Act: Systembeschreibung, Designentscheidungen, Datenmanagement, Monitoring-Plan.',
|
|
legalBasis: 'Art. 11, Anhang IV AI Act',
|
|
evidenceTypes: ['Technische Dokumentation', 'Systemarchitektur-Diagramm', 'Anhang-IV-Checkliste'],
|
|
addressesRiskIds: ['R-AI-EXPL-03'],
|
|
effectiveness: 'high',
|
|
},
|
|
|
|
// =========================================================================
|
|
// DATENQUALITAET & GOVERNANCE
|
|
// =========================================================================
|
|
{
|
|
id: 'M-AI-DATA-01',
|
|
type: 'organizational',
|
|
sdmGoals: ['integritaet', 'datenminimierung'],
|
|
title: 'Data Governance Framework fuer KI-Training',
|
|
description: 'Einrichtung eines strukturierten Data-Governance-Prozesses: Datenherkunft (Provenance), Qualitaetskontrolle, Versionierung, Dokumentation und regelmaessige Ueberpruefung der Trainingsdaten.',
|
|
legalBasis: 'Art. 10 AI Act, Art. 5 Abs. 1 lit. d DSGVO',
|
|
evidenceTypes: ['Data-Governance-Policy', 'Datenherkunfts-Dokumentation', 'Qualitaetskontroll-Protokoll'],
|
|
addressesRiskIds: ['R-AI-DATA-01', 'R-AI-DATA-03', 'R-AI-BIAS-01'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-DATA-02',
|
|
type: 'technical',
|
|
sdmGoals: ['integritaet'],
|
|
title: 'Automatisierte Datenqualitaetspruefung',
|
|
description: 'Automatisierte Pipelines zur Pruefung der Datenqualitaet: Erkennung von Ausreissern, Duplikaten, fehlenden Werten, Datenkonsistenz und statistischen Abweichungen.',
|
|
legalBasis: 'Art. 10 Abs. 2 AI Act',
|
|
evidenceTypes: ['Data-Quality-Pipeline-Logs', 'Qualitaetsmetriken-Dashboard'],
|
|
addressesRiskIds: ['R-AI-DATA-01', 'R-AI-DATA-04', 'R-AI-MON-01'],
|
|
effectiveness: 'medium',
|
|
},
|
|
{
|
|
id: 'M-AI-DATA-03',
|
|
type: 'legal',
|
|
sdmGoals: ['datenminimierung', 'nichtverkettung'],
|
|
title: 'Rechtsgrundlage und DSFA fuer KI-Trainingsdaten',
|
|
description: 'Sicherstellung einer validen Rechtsgrundlage fuer die Nutzung personenbezogener Daten im KI-Training. Durchfuehrung einer separaten DSFA fuer den Trainingsdaten-Verarbeitungszweck.',
|
|
legalBasis: 'Art. 6, Art. 35 DSGVO, Art. 10 Abs. 5 AI Act',
|
|
evidenceTypes: ['Rechtsgrundlagen-Bewertung', 'DSFA-Trainingsdaten', 'Einwilligungsformular'],
|
|
addressesRiskIds: ['R-AI-DATA-02', 'R-AI-PRIV-04', 'R-AI-DATA-03'],
|
|
effectiveness: 'high',
|
|
},
|
|
|
|
// =========================================================================
|
|
// SICHERHEIT & ROBUSTHEIT
|
|
// =========================================================================
|
|
{
|
|
id: 'M-AI-SEC-01',
|
|
type: 'technical',
|
|
sdmGoals: ['integritaet', 'verfuegbarkeit'],
|
|
title: 'Adversarial Robustness Testing',
|
|
description: 'Regelmaessige Tests des KI-Modells gegen Adversarial Attacks, Data Poisoning und Evasion-Angriffe. Einsatz von Robustness Toolkits (z.B. IBM ART, Foolbox).',
|
|
legalBasis: 'Art. 15 AI Act, Art. 32 DSGVO',
|
|
evidenceTypes: ['Adversarial-Test-Report', 'Robustness-Metriken', 'Penetrationstest-Bericht'],
|
|
addressesRiskIds: ['R-AI-SEC-01', 'R-AI-DATA-04', 'R-AI-SEC-03'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-SEC-02',
|
|
type: 'technical',
|
|
sdmGoals: ['verfuegbarkeit', 'integritaet'],
|
|
title: 'Input-Validierung und Sanitization',
|
|
description: 'Implementierung robuster Eingabevalidierung fuer KI-Systeme: Laengen- und Formatpruefung, Content-Filterung, Erkennung adversarialer Eingabemuster.',
|
|
legalBasis: 'Art. 15 AI Act, Art. 32 DSGVO',
|
|
evidenceTypes: ['Input-Validation-Policy', 'Filter-Regeln-Dokumentation'],
|
|
addressesRiskIds: ['R-AI-SEC-01', 'R-AI-SEC-02'],
|
|
effectiveness: 'medium',
|
|
},
|
|
{
|
|
id: 'M-AI-SEC-03',
|
|
type: 'technical',
|
|
sdmGoals: ['vertraulichkeit', 'integritaet'],
|
|
title: 'Prompt-Injection-Schutz und Output-Filterung',
|
|
description: 'Implementierung mehrschichtiger Schutzmassnahmen gegen Prompt Injection: System-Prompt-Isolation, Input-Sanitization, Output-Filterung und PII-Detection in Antworten.',
|
|
legalBasis: 'Art. 15 AI Act, Art. 32 DSGVO',
|
|
evidenceTypes: ['Security-Policy', 'Prompt-Injection-Test-Report', 'Filter-Konfiguration'],
|
|
addressesRiskIds: ['R-AI-SEC-02', 'R-AI-DATA-04'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-SEC-04',
|
|
type: 'technical',
|
|
sdmGoals: ['vertraulichkeit'],
|
|
title: 'PII-Detection und Daten-Redaction in KI-Ausgaben',
|
|
description: 'Automatisierte Erkennung und Entfernung personenbezogener Daten (PII) in KI-Ausgaben. Echtzeit-Filterung sensibler Informationen vor der Auslieferung an Nutzer.',
|
|
legalBasis: 'Art. 32 DSGVO, Art. 25 DSGVO',
|
|
evidenceTypes: ['PII-Detection-Konfiguration', 'Redaction-Logs', 'False-Positive-Rate'],
|
|
addressesRiskIds: ['R-AI-SEC-02', 'R-AI-PRIV-02'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-SEC-05',
|
|
type: 'technical',
|
|
sdmGoals: ['integritaet', 'verfuegbarkeit'],
|
|
title: 'Retrieval-Augmented Generation (RAG) gegen Halluzinationen',
|
|
description: 'Einsatz von RAG-Systemen, die KI-Antworten auf verifizierte Quelldokumente stuetzen. Quellenangabe in jeder Antwort fuer Nachvollziehbarkeit.',
|
|
legalBasis: 'Art. 15 AI Act',
|
|
evidenceTypes: ['RAG-Architektur-Dokumentation', 'Quellengenauigkeits-Report', 'Halluzinations-Rate'],
|
|
addressesRiskIds: ['R-AI-SEC-04', 'R-AI-EXPL-01'],
|
|
effectiveness: 'high',
|
|
},
|
|
|
|
// =========================================================================
|
|
// AUTOMATISIERTE ENTSCHEIDUNGEN (HUMAN OVERSIGHT)
|
|
// =========================================================================
|
|
{
|
|
id: 'M-AI-AUTO-01',
|
|
type: 'organizational',
|
|
sdmGoals: ['intervenierbarkeit'],
|
|
title: 'Human-in-the-Loop / Human-on-the-Loop Prozess',
|
|
description: 'Etablierung eines strukturierten Prozesses fuer menschliche Aufsicht: Definierte Eskalationsschwellen, geschulte Entscheider, dokumentierte Ueberpruefungsschritte.',
|
|
legalBasis: 'Art. 14 AI Act, Art. 22 Abs. 3 DSGVO',
|
|
evidenceTypes: ['Human-Oversight-Prozessdokumentation', 'Eskalationsmatrix', 'Schulungsnachweis'],
|
|
addressesRiskIds: ['R-AI-AUTO-01', 'R-AI-AUTO-02', 'R-AI-MON-02'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-AUTO-02',
|
|
type: 'technical',
|
|
sdmGoals: ['intervenierbarkeit', 'transparenz'],
|
|
title: 'Konfidenzwert-basierte Entscheidungssteuerung',
|
|
description: 'KI-System gibt bei jeder Entscheidung einen Konfidenzwert aus. Entscheidungen unterhalb eines definierten Schwellwerts werden automatisch an menschliche Pruefer eskaliert.',
|
|
legalBasis: 'Art. 14 AI Act',
|
|
evidenceTypes: ['Konfidenzwert-Policy', 'Schwellwert-Konfiguration', 'Eskalationsstatistik'],
|
|
addressesRiskIds: ['R-AI-AUTO-01', 'R-AI-SEC-04'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-AUTO-03',
|
|
type: 'legal',
|
|
sdmGoals: ['intervenierbarkeit'],
|
|
title: 'Widerspruchsrecht und manuelle Ueberpruefung',
|
|
description: 'Implementierung eines transparenten Prozesses, ueber den Betroffene einer KI-Entscheidung widersprechen und eine manuelle Ueberpruefung durch eine qualifizierte Person verlangen koennen.',
|
|
legalBasis: 'Art. 22 Abs. 3 DSGVO',
|
|
evidenceTypes: ['Widerspruchsformular', 'Prozessbeschreibung', 'Bearbeitungsstatistik'],
|
|
addressesRiskIds: ['R-AI-AUTO-01', 'R-AI-AUTO-03'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-AUTO-04',
|
|
type: 'organizational',
|
|
sdmGoals: ['intervenierbarkeit'],
|
|
title: 'Anti-Automation-Bias-Training',
|
|
description: 'Schulung der menschlichen Ueberpruefer gegen Automation Bias: Kritisches Hinterfragen von KI-Empfehlungen, regelmaessige Kalibierung, Entscheidungsdokumentation.',
|
|
legalBasis: 'Art. 14 Abs. 4 AI Act',
|
|
evidenceTypes: ['Schulungsunterlagen', 'Teilnahmebestaetigung', 'Ueberpruefungsstatistik'],
|
|
addressesRiskIds: ['R-AI-AUTO-02'],
|
|
effectiveness: 'medium',
|
|
},
|
|
{
|
|
id: 'M-AI-AUTO-05',
|
|
type: 'legal',
|
|
sdmGoals: ['intervenierbarkeit', 'transparenz'],
|
|
title: 'Informationspflicht bei automatisierter Entscheidungsfindung',
|
|
description: 'Proaktive Information der Betroffenen ueber automatisierte Entscheidungsfindung, die angewandte Logik, die Tragweite und die Rechte der Betroffenen (Art. 13 Abs. 2 lit. f DSGVO).',
|
|
legalBasis: 'Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g DSGVO',
|
|
evidenceTypes: ['Datenschutzerklaerung-Auszug', 'Informationsschreiben', 'Transparenzhinweise-UI'],
|
|
addressesRiskIds: ['R-AI-AUTO-03'],
|
|
effectiveness: 'medium',
|
|
},
|
|
|
|
// =========================================================================
|
|
// MONITORING & QUALITAETSSICHERUNG
|
|
// =========================================================================
|
|
{
|
|
id: 'M-AI-MON-01',
|
|
type: 'technical',
|
|
sdmGoals: ['integritaet', 'verfuegbarkeit'],
|
|
title: 'KI-Performance-Monitoring und Drift-Detection',
|
|
description: 'Kontinuierliches Monitoring der KI-Leistungsmetriken (Accuracy, F1-Score, Fairness). Automatisierte Erkennung von Data Drift und Concept Drift mit Alerting.',
|
|
legalBasis: 'Art. 9 Abs. 2 AI Act, Art. 32 DSGVO',
|
|
evidenceTypes: ['Monitoring-Dashboard', 'Drift-Detection-Alerts', 'Performance-Trend-Report'],
|
|
addressesRiskIds: ['R-AI-MON-01', 'R-AI-DATA-01', 'R-AI-BIAS-02', 'R-AI-SEC-01'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-MON-02',
|
|
type: 'technical',
|
|
sdmGoals: ['integritaet', 'transparenz'],
|
|
title: 'KI-Audit-Logging und Entscheidungsprotokollierung',
|
|
description: 'Vollstaendige Protokollierung aller KI-Entscheidungen mit Eingabe, Ausgabe, Konfidenzwert und Zeitstempel. Aufbewahrung gemaess Art. 12 AI Act.',
|
|
legalBasis: 'Art. 12 AI Act, Art. 5 Abs. 2 DSGVO',
|
|
evidenceTypes: ['Audit-Log-Konfiguration', 'Log-Retention-Policy', 'Beispiel-Audit-Trail'],
|
|
addressesRiskIds: ['R-AI-MON-01', 'R-AI-BIAS-02', 'R-AI-SEC-02'],
|
|
effectiveness: 'medium',
|
|
},
|
|
{
|
|
id: 'M-AI-MON-03',
|
|
type: 'technical',
|
|
sdmGoals: ['verfuegbarkeit', 'intervenierbarkeit'],
|
|
title: 'Kill-Switch und Fallback-Mechanismus',
|
|
description: 'Implementierung eines Notfall-Abschaltmechanismus (Kill Switch) fuer das KI-System. Automatischer Fallback auf regelbasierte Verarbeitung oder manuelle Bearbeitung bei Stoerungen.',
|
|
legalBasis: 'Art. 14 Abs. 4 lit. e AI Act',
|
|
evidenceTypes: ['Kill-Switch-Dokumentation', 'Fallback-Prozess', 'Notfall-Testprotokoll'],
|
|
addressesRiskIds: ['R-AI-MON-02', 'R-AI-AUTO-01'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-MON-04',
|
|
type: 'organizational',
|
|
sdmGoals: ['verfuegbarkeit'],
|
|
title: 'Regelmaessiger KI-Systemtest und Wartungsplan',
|
|
description: 'Definierter Wartungsplan mit regelmaessigen Systemtests, Modell-Retraining-Zyklen und Leistungsueberpruefungen. Dokumentation aller Aenderungen und deren Auswirkungen.',
|
|
legalBasis: 'Art. 9 Abs. 3 AI Act',
|
|
evidenceTypes: ['Wartungsplan', 'Testprotokolle', 'Aenderungsdokumentation'],
|
|
addressesRiskIds: ['R-AI-MON-02', 'R-AI-MON-01'],
|
|
effectiveness: 'medium',
|
|
},
|
|
|
|
// =========================================================================
|
|
// PRIVATSPHAERE & DATENSCHUTZ
|
|
// =========================================================================
|
|
{
|
|
id: 'M-AI-PRIV-01',
|
|
type: 'technical',
|
|
sdmGoals: ['datenminimierung', 'nichtverkettung'],
|
|
title: 'Privacy-Preserving AI (Differential Privacy, Federated Learning)',
|
|
description: 'Einsatz von Privacy-Enhancing Technologies: Differential Privacy beim Training, Federated Learning fuer dezentrales Training, K-Anonymitaet bei Trainingsdaten.',
|
|
legalBasis: 'Art. 25 DSGVO, Art. 10 Abs. 5 AI Act',
|
|
evidenceTypes: ['Privacy-Technik-Beschreibung', 'Epsilon-Budget-Dokumentation', 'Anonymisierungs-Nachweis'],
|
|
addressesRiskIds: ['R-AI-PRIV-01', 'R-AI-DATA-02', 'R-AI-PRIV-04'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-PRIV-02',
|
|
type: 'technical',
|
|
sdmGoals: ['vertraulichkeit', 'datenminimierung'],
|
|
title: 'Trainingsdaten-Anonymisierung und Pseudonymisierung',
|
|
description: 'Konsequente Anonymisierung oder Pseudonymisierung personenbezogener Daten vor dem KI-Training. Anwendung von Data Masking, Tokenisierung und synthetischer Datengenerierung.',
|
|
legalBasis: 'Art. 25 Abs. 1 DSGVO, Art. 32 DSGVO',
|
|
evidenceTypes: ['Anonymisierungskonzept', 'Re-Identifizierungs-Risiko-Bewertung', 'Pseudonymisierungs-Policy'],
|
|
addressesRiskIds: ['R-AI-DATA-02', 'R-AI-SEC-03', 'R-AI-PRIV-02'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-PRIV-03',
|
|
type: 'organizational',
|
|
sdmGoals: ['datenminimierung'],
|
|
title: 'Datenminimierung im KI-Lebenszyklus',
|
|
description: 'Systematische Ueberpruefung und Minimierung der verarbeiteten Daten in jeder Phase des KI-Lebenszyklus: Training, Validierung, Inferenz. Loeschkonzept fuer nicht mehr benoetigte Daten.',
|
|
legalBasis: 'Art. 5 Abs. 1 lit. c DSGVO, Art. 10 AI Act',
|
|
evidenceTypes: ['Datenminimierungs-Assessment', 'Loeschkonzept-KI', 'Datenbestandsbericht'],
|
|
addressesRiskIds: ['R-AI-DATA-03', 'R-AI-PRIV-01'],
|
|
effectiveness: 'medium',
|
|
},
|
|
{
|
|
id: 'M-AI-PRIV-04',
|
|
type: 'technical',
|
|
sdmGoals: ['vertraulichkeit'],
|
|
title: 'Machine Unlearning / Modell-Bereinigung',
|
|
description: 'Faehigkeit, einzelne Datenpunkte nachtraeglich aus dem trainierten Modell zu entfernen (Machine Unlearning). Unterstuetzung des Rechts auf Loeschung (Art. 17 DSGVO) auch fuer Trainingsdaten.',
|
|
legalBasis: 'Art. 17 DSGVO',
|
|
evidenceTypes: ['Unlearning-Verfahrensbeschreibung', 'Loeschanfrage-Protokoll', 'Verifikations-Test'],
|
|
addressesRiskIds: ['R-AI-SEC-03', 'R-AI-PRIV-02'],
|
|
effectiveness: 'medium',
|
|
},
|
|
{
|
|
id: 'M-AI-PRIV-05',
|
|
type: 'technical',
|
|
sdmGoals: ['vertraulichkeit', 'nichtverkettung'],
|
|
title: 'Self-Hosting / On-Premises KI-Betrieb',
|
|
description: 'Betrieb des KI-Systems auf eigener Infrastruktur (Self-Hosting/On-Premises) oder in EU-Rechenzentren, um Drittlandtransfers zu vermeiden und Datensouveraenitaet zu gewaehrleisten.',
|
|
legalBasis: 'Art. 44 ff. DSGVO',
|
|
evidenceTypes: ['Hosting-Dokumentation', 'Standort-Nachweis', 'Infrastruktur-Audit'],
|
|
addressesRiskIds: ['R-AI-PRIV-03'],
|
|
effectiveness: 'high',
|
|
},
|
|
{
|
|
id: 'M-AI-PRIV-06',
|
|
type: 'legal',
|
|
sdmGoals: ['nichtverkettung'],
|
|
title: 'Standardvertragsklauseln und TIA fuer KI-Cloud-Dienste',
|
|
description: 'Bei Nutzung von Cloud-basierten KI-Diensten mit Drittlandtransfer: Abschluss von Standardvertragsklauseln (SCC), Durchfuehrung eines Transfer Impact Assessment (TIA) und ergaenzende Massnahmen.',
|
|
legalBasis: 'Art. 46 Abs. 2 lit. c DSGVO, Schrems-II',
|
|
evidenceTypes: ['SCC-Vertrag', 'Transfer-Impact-Assessment', 'Ergaenzende-Massnahmen-Dokumentation'],
|
|
addressesRiskIds: ['R-AI-PRIV-03'],
|
|
effectiveness: 'medium',
|
|
},
|
|
]
|
|
|
|
// =============================================================================
|
|
// HELPER FUNCTIONS
|
|
// =============================================================================
|
|
|
|
/**
|
|
* Gibt KI-Massnahmen zurueck, die ein bestimmtes Risiko adressieren
|
|
*/
|
|
export function getAIMitigationsForRisk(riskId: string): CatalogMitigation[] {
|
|
return AI_MITIGATION_LIBRARY.filter(m => m.addressesRiskIds.includes(riskId))
|
|
}
|
|
|
|
/**
|
|
* Gibt KI-Massnahmen zurueck, die einem bestimmten SDM-Gewaehrleistungsziel dienen
|
|
*/
|
|
export function getAIMitigationsBySDMGoal(goal: string): CatalogMitigation[] {
|
|
return AI_MITIGATION_LIBRARY.filter(m => m.sdmGoals.includes(goal as any))
|
|
}
|
|
|
|
/**
|
|
* Gibt alle technischen KI-Massnahmen zurueck
|
|
*/
|
|
export function getTechnicalAIMitigations(): CatalogMitigation[] {
|
|
return AI_MITIGATION_LIBRARY.filter(m => m.type === 'technical')
|
|
}
|