breakpilot-pwa/admin-v2/lib/sdk/demo-data/dsfa.ts

/**
 * Demo DSFA for AI Compliance SDK
 */

import { DSFA, DSFASection, DSFAApproval } from '../types'

export const DEMO_DSFA: DSFA = {
  id: 'demo-dsfa-1',
  status: 'IN_REVIEW',
  version: 2,
  sections: [
    {
      id: 'dsfa-sec-1',
      title: 'Systematische Beschreibung der Verarbeitungsvorgänge',
      content: `## 1. Verarbeitungsbeschreibung

### 1.1 Gegenstand der Verarbeitung
Die geplante KI-gestützte Kundenanalyse verarbeitet personenbezogene Daten von Kunden und Interessenten zur Optimierung von Marketingmaßnahmen und Personalisierung von Angeboten.

### 1.2 Verarbeitungszwecke
- Kundensegmentierung basierend auf Kaufverhalten
- Churn-Prediction zur Kundenbindung
- Personalisierte Produktempfehlungen
- Optimierung von Marketing-Kampagnen

### 1.3 Kategorien personenbezogener Daten
- **Stammdaten**: Name, Adresse, E-Mail, Telefon
- **Transaktionsdaten**: Käufe, Bestellungen, Retouren
- **Nutzungsdaten**: Clickstreams, Seitenaufrufe, Verweildauer
- **Demographische Daten**: Alter, Geschlecht, PLZ-Region

### 1.4 Kategorien betroffener Personen
- Bestandskunden (ca. 250.000 aktive Kunden)
- Registrierte Interessenten (ca. 100.000)
- Newsletter-Abonnenten (ca. 180.000)

### 1.5 Rechtsgrundlage
**Primär**: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
**Sekundär**: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für erweiterte Profiling-Maßnahmen)

Das berechtigte Interesse liegt in der Verbesserung des Kundenerlebnisses und der Effizienzsteigerung des Marketings.`,
      status: 'COMPLETED',
      order: 1,
    },
    {
      id: 'dsfa-sec-2',
      title: 'Bewertung der Notwendigkeit und Verhältnismäßigkeit',
      content: `## 2. Notwendigkeit und Verhältnismäßigkeit

### 2.1 Notwendigkeit der Verarbeitung
Die Verarbeitung ist notwendig, um:
- Kunden individuell relevante Angebote zu unterbreiten
- Abwanderungsgefährdete Kunden frühzeitig zu identifizieren
- Marketing-Budget effizienter einzusetzen
- Wettbewerbsfähigkeit zu erhalten

### 2.2 Verhältnismäßigkeitsprüfung

**Alternative Methoden geprüft:**
1. **Manuelle Analyse**: Nicht praktikabel bei 250.000+ Kunden
2. **Regelbasierte Systeme**: Zu ungenau, führt zu höherem Datenverbrauch
3. **Aggregierte Analysen**: Keine ausreichende Personalisierung möglich

**Ergebnis**: Die KI-gestützte Analyse stellt die mildeste effektive Maßnahme dar.

### 2.3 Datensparsamkeit
- Nur für den Zweck notwendige Daten werden verarbeitet
- Sensitive Kategorien (Art. 9 DSGVO) werden ausgeschlossen
- Automatische Löschung nach definierten Fristen

### 2.4 Interessenabwägung
| Interesse des Verantwortlichen | Interesse der Betroffenen |
|-------------------------------|---------------------------|
| Effizientes Marketing | Privatsphäre |
| Kundenbindung | Keine unerwünschte Profilbildung |
| Umsatzsteigerung | Transparenz über Verarbeitung |

**Ausgleichende Maßnahmen:**
- Umfassende Informationen nach Art. 13/14 DSGVO
- Einfacher Opt-out für Profiling
- Human-Review bei kritischen Entscheidungen`,
      status: 'COMPLETED',
      order: 2,
    },
    {
      id: 'dsfa-sec-3',
      title: 'Risikobewertung',
      content: `## 3. Risiken für Rechte und Freiheiten

### 3.1 Identifizierte Risiken

| # | Risiko | Eintritt | Schwere | Gesamt |
|---|--------|----------|---------|--------|
| R1 | Unbefugter Zugriff auf Profildaten | Mittel | Hoch | HOCH |
| R2 | Diskriminierende Entscheidungen durch Bias | Mittel | Hoch | HOCH |
| R3 | Unzulässige Profilbildung | Mittel | Mittel | MITTEL |
| R4 | Fehlende Nachvollziehbarkeit | Hoch | Mittel | MITTEL |
| R5 | Übermäßige Datensammlung | Niedrig | Mittel | NIEDRIG |

### 3.2 Detailanalyse kritischer Risiken

**R1 - Unbefugter Zugriff**
- Quelle: Externe Angreifer, Insider-Bedrohung
- Auswirkung: Identitätsdiebstahl, Reputationsschaden
- Betroffene: Alle Kunden

**R2 - Diskriminierende Entscheidungen**
- Quelle: Historische Verzerrungen in Trainingsdaten
- Auswirkung: Benachteiligung bestimmter Gruppen
- Betroffene: Potentiell alle, besonders geschützte Gruppen`,
      status: 'COMPLETED',
      order: 3,
    },
    {
      id: 'dsfa-sec-4',
      title: 'Maßnahmen zur Risikominderung',
      content: `## 4. Abhilfemaßnahmen

### 4.1 Technische Maßnahmen

| Maßnahme | Risiko | Status | Wirksamkeit |
|----------|--------|--------|-------------|
| Multi-Faktor-Authentifizierung | R1 | ✅ Umgesetzt | Hoch |
| Verschlüsselung (AES-256) | R1 | ✅ Umgesetzt | Hoch |
| Bias-Monitoring | R2 | ✅ Umgesetzt | Mittel |
| Explainable AI | R4 | ✅ Umgesetzt | Mittel |
| Zweckbindungskontrollen | R3 | ✅ Umgesetzt | Hoch |
| Audit-Logging | R1, R4 | ✅ Umgesetzt | Hoch |

### 4.2 Organisatorische Maßnahmen

| Maßnahme | Risiko | Status | Wirksamkeit |
|----------|--------|--------|-------------|
| Rollenbasierte Zugriffskontrolle | R1 | ✅ Umgesetzt | Hoch |
| Human-in-the-Loop | R2 | ✅ Umgesetzt | Hoch |
| Datenschutz-Schulungen | R1, R3 | ✅ Umgesetzt | Mittel |
| Regelmäßige Audits | Alle | ⏳ Geplant | Hoch |

### 4.3 Restrisikobewertung

Nach Implementierung aller Maßnahmen:
- **R1**: HOCH → MITTEL (akzeptabel)
- **R2**: HOCH → MITTEL (akzeptabel)
- **R3**: MITTEL → NIEDRIG (akzeptabel)
- **R4**: MITTEL → NIEDRIG (akzeptabel)
- **R5**: NIEDRIG → NIEDRIG (akzeptabel)`,
      status: 'COMPLETED',
      order: 4,
    },
    {
      id: 'dsfa-sec-5',
      title: 'Stellungnahme des Datenschutzbeauftragten',
      content: `## 5. Stellungnahme DSB

### 5.1 Bewertung

Der Datenschutzbeauftragte hat die DSFA geprüft und kommt zu folgender Einschätzung:

**Positiv:**
- Umfassende Risikoanalyse durchgeführt
- Technische Schutzmaßnahmen dem Stand der Technik entsprechend
- Transparenzpflichten angemessen berücksichtigt
- Interessenabwägung nachvollziehbar dokumentiert

**Verbesserungspotenzial:**
- Regelmäßige Überprüfung der Bias-Metriken sollte quartalsweise erfolgen
- Informationen für Betroffene könnten noch verständlicher formuliert werden
- Löschkonzept sollte um automatische Überprüfungsmechanismen ergänzt werden

### 5.2 Empfehlung

Der DSB empfiehlt die **Genehmigung** der Verarbeitungstätigkeit unter der Voraussetzung, dass:
1. Die identifizierten Verbesserungsmaßnahmen innerhalb von 3 Monaten umgesetzt werden
2. Eine jährliche Überprüfung der DSFA erfolgt
3. Bei wesentlichen Änderungen eine Aktualisierung vorgenommen wird

---
*Datum: 2026-01-28*
*Unterschrift: [DSB]*`,
      status: 'COMPLETED',
      order: 5,
    },
  ],
  approvals: [
    {
      id: 'dsfa-appr-1',
      approver: 'Dr. Thomas Schmidt',
      role: 'Datenschutzbeauftragter',
      status: 'APPROVED',
      comment: 'Unter den genannten Voraussetzungen genehmigt.',
      approvedAt: new Date('2026-01-28'),
    },
    {
      id: 'dsfa-appr-2',
      approver: 'Maria Weber',
      role: 'CISO',
      status: 'APPROVED',
      comment: 'Technische Maßnahmen sind angemessen.',
      approvedAt: new Date('2026-01-29'),
    },
    {
      id: 'dsfa-appr-3',
      approver: 'Michael Bauer',
      role: 'Geschäftsführung',
      status: 'PENDING',
      comment: null,
      approvedAt: null,
    },
  ],
  createdAt: new Date('2026-01-15'),
  updatedAt: new Date('2026-02-01'),
}

export function getDemoDSFA(): DSFA {
  return {
    ...DEMO_DSFA,
    approvals: DEMO_DSFA.approvals.map(a => ({
      ...a,
      approvedAt: a.approvedAt ? new Date(a.approvedAt) : null,
    })),
    createdAt: new Date(DEMO_DSFA.createdAt),
    updatedAt: new Date(DEMO_DSFA.updatedAt),
  }
}