BreakPilot Developer Portal

1. Was ist der Compliance Hub?

Der BreakPilot Compliance Hub ist ein System, das Organisationen dabei unterstuetzt, gesetzliche Vorschriften einzuhalten. Er beantwortet die zentrale Frage:

“Duerfen wir das, was wir vorhaben, ueberhaupt so machen -- und wenn ja, welche Auflagen muessen wir dafuer erfuellen?”

Konkret geht es um EU- und deutsche Gesetze, die fuer den Umgang mit Daten und kuenstlicher Intelligenz relevant sind: die DSGVO, den AI Act, die NIS2-Richtlinie und viele weitere Regelwerke. Das System hat vier Hauptaufgaben:

Wissen bereitstellen: Hunderte Rechtstexte sind eingelesen und durchsuchbar -- nicht nur per Stichwort, sondern nach Bedeutung (semantische Suche).
Bewerten: Wenn ein Nutzer einen geplanten KI-Anwendungsfall beschreibt, bewertet das System automatisch, ob er zulaessig ist, welches Risiko besteht und welche Massnahmen noetig sind.
Dokumentieren: Das System erzeugt die Dokumente, die Aufsichtsbehoerden verlangen: Datenschutz-Folgenabschaetzungen (DSFA), technisch-organisatorische Massnahmen (TOM), Verarbeitungsverzeichnisse (VVT) und mehr.
Nachweisen: Jede Bewertung, jede Entscheidung und jeder Zugriff wird revisionssicher protokolliert -- als Nachweis gegenueber Pruefer und Behoerden.

Kern-Designprinzip

Die KI ist nicht die Entscheidungsinstanz. Alle Compliance-Entscheidungen (zulaessig / bedingt zulaessig / nicht zulaessig) trifft ein deterministisches Regelwerk. Das LLM (Sprachmodell) wird ausschliesslich dafuer verwendet, Ergebnisse verstaendlich zu erklaeren -- niemals um sie zu treffen.

2. Architektur im Ueberblick

Das System besteht aus mehreren Bausteinen, die jeweils eine klar abgegrenzte Aufgabe haben. Man kann es sich wie ein Buero vorstellen:

Baustein	Analogie	Technologie	Aufgabe
API-Gateway	Empfang / Rezeption	Go (Gin)	Nimmt alle Anfragen entgegen, prueft Identitaet und leitet weiter
Compliance Engine (UCCA)	Sachbearbeiter	Go	Bewertet Anwendungsfaelle gegen 45+ Regeln und berechnet Risikoscore
RAG Service	Rechtsbibliothek	Python (FastAPI)	Durchsucht Gesetze semantisch und beantwortet Rechtsfragen
Legal Corpus	Gesetzesbuecher im Regal	YAML/JSON + Qdrant	Enthaelt alle Rechtstexte als durchsuchbare Wissensbasis
Policy Engine	Regelbuch des Sachbearbeiters	YAML-Dateien	45+ auditierbare Pruefregeln in maschinenlesbarer Form
Eskalations-System	Chef-Unterschrift	Go + PostgreSQL	Leitet kritische Faelle an menschliche Pruefer weiter
Admin Dashboard	Schreibtisch	Next.js	Benutzeroberflaeche fuer alle Funktionen
PostgreSQL	Aktenschrank	SQL-Datenbank	Speichert Assessments, Eskalationen, Controls, Audit-Trail
Qdrant	Suchindex der Bibliothek	Vektordatenbank	Ermoeglicht semantische Suche ueber Rechtstexte

Wie die Bausteine zusammenspielen

Datenfluss: Vom Benutzer zur Compliance-Bewertung

Benutzer (Browser)
     |
     v
┌─────────────────────────────┐
│  API-Gateway (Port 8080)    │  ← Authentifizierung, Rate-Limiting, Tenant-Isolation
│  "Wer bist du? Darfst du?"  │
└──────────┬──────────────────┘
           |
     ┌─────┼──────────────────────────────┐
     v     v                              v
┌─────────────┐  ┌──────────────┐  ┌──────────────┐
│  Compliance  │  │  RAG Service │  │  Security    │
│  Engine      │  │  (Bibliothek)│  │  Scanner     │
│  (Bewertung) │  │              │  │              │
└──────┬───┬──┘  └──────┬───────┘  └──────────────┘
       |   |            |
       |   |     ┌──────┴───────┐
       |   |     │   Qdrant     │  ← Vektordatenbank mit allen Rechtstexten
       |   |     │ (Suchindex)  │
       |   |     └──────────────┘
       |   |
       |   └──────────────────────┐
       v                          v
┌──────────────┐          ┌──────────────┐
│  PostgreSQL  │          │  Eskalation  │
│  (Speicher)  │          │  (E0-E3)     │
└──────────────┘          └──────────────┘

3. Der Katalogmanager: Die Wissensbasis

Das Herzstueck des Systems ist seine Wissensbasis -- eine Sammlung aller relevanten Rechtstexte, die das System kennt und durchsuchen kann. Wir nennen das den Legal Corpus (wörtlich: “Rechtlicher Koerper”).

3.1 Welche Dokumente sind enthalten?

Der Legal Corpus ist in zwei Hauptbereiche gegliedert: EU-Recht und deutsches Recht.

EU-Verordnungen und -Richtlinien

Regelwerk	Abkuerzung	Artikel	Gueltig seit	Thema
Datenschutz-Grundverordnung	DSGVO	99	25.05.2018	Schutz personenbezogener Daten
KI-Verordnung	AI Act	113	01.08.2024	Regulierung kuenstlicher Intelligenz
Netz- und Informationssicherheit	NIS2	46	18.10.2024	Cybersicherheit kritischer Infrastrukturen
ePrivacy-Verordnung	ePrivacy	--	in Arbeit	Vertraulichkeit elektronischer Kommunikation
Cyber Resilience Act	CRA	--	2024	Cybersicherheit von Produkten mit digitalen Elementen
Data Act	DA	--	2024	Zugang und Nutzung von Daten
Digital Markets Act	DMA	--	2023	Regulierung digitaler Gatekeeper

Deutsches Recht

Gesetz	Abkuerzung	Thema
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz	TDDDG	Datenschutz bei Telekommunikation und digitalen Diensten
Bundesdatenschutzgesetz	BDSG	Nationale Ergaenzung zur DSGVO
IT-Sicherheitsgesetz	IT-SiG	IT-Sicherheit kritischer Infrastrukturen
BSI-KritisV	KritisV	BSI-Verordnung fuer kritische Infrastrukturen

Standards und Normen

Standard	Thema
ISO 27001	Informationssicherheits-Managementsystem (ISMS)
SOC2	Trust Service Criteria (Sicherheit, Verfuegbarkeit, Vertraulichkeit)
BSI Grundschutz	IT-Grundschutz des BSI
BSI TR-03161	Technische Richtlinie fuer Anforderungen an Anwendungen im Gesundheitswesen
SCC (Standard Contractual Clauses)	Standardvertragsklauseln fuer Drittlandtransfers

3.2 Wie werden Rechtstexte gespeichert?

Jeder Rechtstext durchlaeuft eine Verarbeitungspipeline, bevor er im System durchsuchbar ist. Der Vorgang laesst sich mit dem Erstellen eines Bibliothekskatalogs vergleichen:

Erfassung (Ingestion): Der Rechtstext wird als Dokument (PDF, Markdown oder Klartext) in das System geladen. Fuer jede Verordnung gibt es eine metadata.json-Datei.
Zerkleinerung (Chunking): Lange Gesetzestexte werden in kleinere Abschnitte von ca. 512 Zeichen zerlegt. Dabei ueberlappen sich die Abschnitte um 50 Zeichen.
Vektorisierung (Embedding): Jeder Textabschnitt wird vom Embedding-Modell BGE-M3 in einen Vektor umgewandelt -- eine Liste von 1.024 Zahlen.
Indexierung: Die Vektoren werden in der Vektordatenbank Qdrant gespeichert. Zusammen mit jedem Vektor werden Metadaten hinterlegt.

Verarbeitungspipeline: Vom Gesetzestext zur Suche

Rechtstext (z.B. DSGVO Art. 32)
     |
     v
┌────────────────────────┐
│  1. Einlesen           │  ← PDF/Markdown/Klartext + metadata.json
└──────────┬─────────────┘
           v
┌────────────────────────┐
│  2. Chunking           │  ← Text in 512-Zeichen-Abschnitte zerlegen
└──────────┬─────────────┘
           v
┌────────────────────────┐
│  3. Embedding          │  ← BGE-M3 wandelt Text in 1024 Zahlen um
└──────────┬─────────────┘
           v
┌────────────────────────┐
│  4. Qdrant speichern   │  ← Vektor + Metadaten werden indexiert
└────────────────────────┘

Aktueller Bestand

Der Legal Corpus enthaelt derzeit ca. 2.274 Textabschnitte aus ueber 400 Gesetzesartikeln. Darunter 99 DSGVO-Artikel, 85 AI-Act-Artikel, 46 NIS2-Artikel, 86 BDSG-Paragraphen sowie zahlreiche Artikel aus TDDDG, CRA, Data Act und weiteren Regelwerken.

3.3 Wie funktioniert die semantische Suche?

Klassische Suchmaschinen suchen nach Woertern. Unsere semantische Suche funktioniert anders: Sie sucht nach Bedeutung.

Beispiel: Wenn Sie fragen “Wann muss ich den Nutzer um Erlaubnis bitten?”, findet das System Art. 7 DSGVO (Bedingungen fuer die Einwilligung), obwohl Ihre Frage das Wort “Einwilligung” gar nicht enthaelt.

3.4 Der KI-Rechtsassistent (Legal Q&A)

Ueber die reine Suche hinaus kann das System auch Fragen beantworten:

Suche: Das System findet die 5 relevantesten Gesetzesabschnitte zur Frage.
Kontext-Erstellung: Diese Abschnitte werden mit der Frage an das Sprachmodell (Qwen 2.5 32B) uebergeben.
Antwort-Generierung: Das Modell formuliert eine verstaendliche Antwort auf Deutsch und zitiert die verwendeten Rechtsquellen.
Quellenangabe: Jede Antwort enthaelt exakte Zitate mit Artikelangaben.

Wichtige Einschraenkung

Der Rechtsassistent gibt keine Rechtsberatung. Er hilft, relevante Gesetzespassagen zu finden und verstaendlich zusammenzufassen. Die Antworten enthalten immer einen Confidence-Score (0-1).

4. Die Compliance Engine: Wie Bewertungen funktionieren

Das Kernmodul des Compliance Hub ist die UCCA Engine (Unified Compliance Control Assessment). Sie bewertet, ob ein geplanter KI-Anwendungsfall zulaessig ist.

4.1 Der Fragebogen (Use Case Intake)

Bereich	Typische Fragen	Warum relevant?
Datentypen	Werden personenbezogene Daten verarbeitet? Besondere Kategorien (Art. 9)?	Art. 9-Daten (Gesundheit, Religion, etc.) erfordern besondere Schutzmassnahmen
Verarbeitungszweck	Wird Profiling betrieben? Scoring? Automatisierte Entscheidungen?	Art. 22 DSGVO schuetzt vor vollautomatischen Entscheidungen
Modellnutzung	Wird das Modell nur genutzt (Inference) oder mit Nutzerdaten trainiert (Fine-Tuning)?	Training mit personenbezogenen Daten erfordert besondere Rechtsgrundlage
Automatisierungsgrad	Assistenzsystem, teil- oder vollautomatisch?	Vollautomatische Systeme unterliegen strengeren Auflagen
Datenspeicherung	Wie lange werden Daten gespeichert? Wo?	DSGVO Art. 5: Speicherbegrenzung / Zweckbindung
Hosting-Standort	EU, USA, oder anderswo?	Drittlandtransfers erfordern zusaetzliche Garantien (SCC, DPF)
Branche	Gesundheit, Finanzen, Bildung, Automotive, ...?	Bestimmte Branchen unterliegen zusaetzlichen Regulierungen
Menschliche Aufsicht	Gibt es einen Human-in-the-Loop?	AI Act fordert menschliche Aufsicht fuer Hochrisiko-KI

4.2 Die Pruefregeln (Policy Engine)

Die Antworten des Fragebogens werden gegen ein Regelwerk von ueber 45 Regelngeprueft. Jede Regel ist in einer YAML-Datei definiert. Die Regeln sind in 10 Kategorien organisiert:

Kategorie	Regel-IDs	Prueft	Beispiel
A. Datenklassifikation	R-001 bis R-006	Welche Daten werden verarbeitet?	R-001: Werden personenbezogene Daten verarbeitet? → +10 Risiko
B. Zweck & Kontext	R-010 bis R-013	Warum und wie werden Daten genutzt?	R-011: Profiling? → DSFA empfohlen
C. Automatisierung	R-020 bis R-025	Wie stark ist die Automatisierung?	R-023: Vollautomatisch? → Art. 22 Risiko
D. Training vs. Nutzung	R-030 bis R-035	Wird das Modell trainiert?	R-035: Training + Art. 9-Daten? → BLOCK
E. Speicherung	R-040 bis R-042	Wie lange werden Daten gespeichert?	R-041: Unbegrenzte Speicherung? → WARN
F. Hosting	R-050 bis R-052	Wo werden Daten gehostet?	R-051: Hosting in USA? → SCC/DPF pruefen
G. Transparenz	R-060 bis R-062	Werden Nutzer informiert?	R-060: Keine Offenlegung? → AI Act Verstoss
H. Branchenspezifisch	R-070 bis R-074	Gelten Sonderregeln fuer die Branche?	R-070: Gesundheitsbranche? → zusaetzliche Anforderungen
I. Aggregation	R-090 bis R-092	Meta-Regeln ueber andere Regeln	R-090: Zu viele WARN-Regeln? → Gesamtrisiko erhoeht
J. Erklaerung	R-100	Warum hat das System so entschieden?	Automatisch generierte Begruendung

Warum YAML-Regeln statt Code?

Die Regeln sind bewusst in YAML-Dateien definiert: (1) Sie sind fuer Nicht-Programmierer lesbar und damit auditierbar. (2) Sie koennen versioniertwerden -- wenn sich ein Gesetz aendert, wird die Regelaenderung im Versionsverlauf sichtbar.

4.3 Das Ergebnis: Die Compliance-Bewertung

Ergebnis	Beschreibung
Machbarkeit	YESCONDITIONALNO
Risikoscore	0-100 Punkte. Je hoeher, desto mehr Massnahmen sind erforderlich.
Risikostufe	MINIMAL / LOW / MEDIUM / HIGH / UNACCEPTABLE
Ausgeloeste Regeln	Liste aller Regeln, die angeschlagen haben, mit Schweregrad und Gesetzesreferenz
Erforderliche Controls	Konkrete Massnahmen, die umgesetzt werden muessen
DSFA erforderlich?	Ob eine Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchgefuehrt werden muss

Beispiel: Bewertung eines Chatbots mit Kundendaten

Anwendungsfall: "Chatbot fuer Kundenservice mit Zugriff auf Bestellhistorie"

Machbarkeit:       CONDITIONAL (bedingt zulaessig)
Risikoscore:       35/100 (LOW)

Ausgeloeste Regeln:
  R-001  WARN  Personenbezogene Daten werden verarbeitet          (Art. 6 DSGVO)
  R-010  INFO  Verarbeitungszweck: Kundenservice                  (Art. 5 DSGVO)
  R-060  WARN  Nutzer muessen ueber KI-Nutzung informiert werden  (AI Act Art. 52)

Erforderliche Controls:
  C_EXPLICIT_CONSENT   Einwilligung fuer Chatbot-Nutzung einholen
  C_TRANSPARENCY       Hinweis "Sie sprechen mit einer KI"
  C_DATA_MINIMIZATION  Nur notwendige Bestelldaten abrufen

DSFA erforderlich:     Nein (Risikoscore unter 40)
Eskalation:            E0 (keine manuelle Pruefung noetig)

5. Das Eskalations-System: Wann Menschen entscheiden

Nicht jede Bewertung ist eindeutig. Fuer heikle Faelle gibt es ein abgestuftes Eskalations-System, das sicherstellt, dass die richtigen Menschen die endgueltige Entscheidung treffen.

Stufe	Wann?	Wer prueft?	Frist (SLA)	Beispiel
E0	Nur INFO-Regeln, Risiko < 20	Niemand (automatisch freigegeben)	--	Spam-Filter ohne personenbezogene Daten
E1	WARN-Regeln, Risiko 20-39	Teamleiter	24 Stunden	Chatbot mit Kundendaten
E2	Art. 9-Daten ODER Risiko 40-59 ODER DSFA empfohlen	Datenschutzbeauftragter (DSB)	8 Stunden	KI-System, das Gesundheitsdaten verarbeitet
E3	BLOCK-Regel ODER Risiko ≥ 60 ODER Art. 22-Risiko	DSB + Rechtsabteilung	4 Stunden	Vollautomatische Kreditentscheidung

6. Controls, Nachweise und Risiken

6.1 Was sind Controls?

Ein Control ist eine konkrete Massnahme, die eine Organisation umsetzt, um ein Compliance-Risiko zu beherrschen. Es gibt drei Arten:

Technische Controls: Verschluesselung, Zugangskontrollen, Firewalls, Pseudonymisierung
Organisatorische Controls: Schulungen, Richtlinien, Verantwortlichkeiten, Audits
Physische Controls: Zutrittskontrolle zu Serverraeumen, Schliesssysteme

Der Compliance Hub verwaltet einen Katalog von ueber 100 vordefinierten Controls, die in 9 Domaenen organisiert sind:

Zugriffsmanagement

Wer darf was?

Datenschutz

Schutz personenbezogener Daten

Netzwerksicherheit

Sichere Kommunikation

Incident Response

Reaktion auf Sicherheitsvorfaelle

Business Continuity

Geschaeftskontinuitaet

Vendor Management

Dienstleister-Steuerung

Asset Management

Verwaltung von IT-Werten

Kryptographie

Verschluesselung & Schluessel

Physische Sicherheit

Gebaeude & Hardware

6.2 Wie Controls mit Gesetzen verknuepft sind

Beispiel: Control-Mapping

Control: AC-01 (Zugriffskontrolle)
├── DSGVO Art. 32    → "Sicherheit der Verarbeitung"
├── NIS2 Art. 21     → "Massnahmen zum Management von Cyberrisiken"
└── ISO 27001 A.9    → "Zugangskontrolle"

Control: DP-03 (Datenverschluesselung)
├── DSGVO Art. 32    → "Verschluesselung personenbezogener Daten"
└── NIS2 Art. 21     → "Einsatz von Kryptographie"

6.3 Evidence (Nachweise)

Nachweis-Typen, die das System verwaltet:

Zertifikate: ISO 27001-Zertifikat, SOC2-Report
Richtlinien: Interne Datenschutzrichtlinie, Passwort-Policy
Audit-Berichte: Ergebnisse interner oder externer Pruefungen
Screenshots / Konfigurationen: Nachweis technischer Umsetzung

Jeder Nachweis hat ein Ablaufdatum. Das System warnt automatisch, wenn Nachweise bald ablaufen.

6.4 Risikobewertung

Risiken werden in einer 5x5-Risikomatrix dargestellt. Die beiden Achsen sind Eintrittswahrscheinlichkeit und Auswirkung. Aus der Kombination ergibt sich die Risikostufe: Minimal, Low, Medium, High oder Critical.

7. Pflichten-Ableitung: Welche Gesetze gelten fuer mich?

Nicht jedes Gesetz gilt fuer jede Organisation. Das Obligations Frameworkermittelt automatisch, welche konkreten Pflichten sich aus der Situation einer Organisation ergeben.

Beispiel: NIS2-Anwendbarkeit

Entscheidungsbaum: Gilt NIS2 fuer mein Unternehmen?

Ist Ihr Unternehmen in einem der NIS2-Sektoren taetig?
(Energie, Transport, Banken, Gesundheit, Wasser, Digitale Infrastruktur, ...)
  │
  ├── Nein → NIS2 gilt NICHT fuer Sie
  │
  └── Ja → Wie gross ist Ihr Unternehmen?
            │
            ├── >= 250 Mitarbeiter ODER >= 50 Mio. EUR Umsatz
            │    → ESSENTIAL ENTITY (wesentliche Einrichtung)
            │    → Volle NIS2-Pflichten, strenge Aufsicht
            │    → Bussgelder bis 10 Mio. EUR oder 2% Jahresumsatz
            │
            ├── >= 50 Mitarbeiter ODER >= 10 Mio. EUR Umsatz
            │    → IMPORTANT ENTITY (wichtige Einrichtung)
            │    → NIS2-Pflichten, reaktive Aufsicht
            │    → Bussgelder bis 7 Mio. EUR oder 1,4% Jahresumsatz
            │
            └── Kleiner → NIS2 gilt grundsaetzlich NICHT

8. DSGVO-Compliance-Module im Detail

Fuer die Einhaltung der DSGVO bietet der Compliance Hub spezialisierte Module:

8.1 Consent Management (Einwilligungsverwaltung)

Verwaltet die Einwilligung von Nutzern gemaess Art. 6/7 DSGVO. Jede Einwilligung wird protokolliert: wer hat wann, auf welchem Kanal, fuer welchen Zweck zugestimmt (oder abgelehnt)?

Zwecke: Essential (funktionsnotwendig), Functional, Analytics, Marketing, Personalization, Third-Party.

8.2 DSR Management (Betroffenenrechte)

Verwaltet Antraege betroffener Personen nach Art. 15-21 DSGVO: Auskunft, Berichtigung, Loeschung, Datenportabilitaet, Einschraenkung und Widerspruch. Das System ueberwacht die 30-Tage-Frist (Art. 12) und eskaliert automatisch bei drohenden Fristverstossen.

8.3 VVT (Verzeichnis von Verarbeitungstaetigkeiten)

Dokumentiert alle Datenverarbeitungen gemaess Art. 30 DSGVO: Welche Daten werden fuer welchen Zweck, auf welcher Rechtsgrundlage, wie lange und von wem verarbeitet?

8.4 DSFA (Datenschutz-Folgenabschaetzung)

Wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko fuer die Rechte natuerlicher Personen mit sich bringt, ist eine DSFA nach Art. 35 DSGVO Pflicht.

8.5 TOM (Technisch-Organisatorische Massnahmen)

Dokumentiert die Schutzmassnahmen nach Art. 32 DSGVO. Fuer jede Massnahme wird erfasst: Kategorie (z.B. Verschluesselung, Zugriffskontrolle), Status, Verantwortlicher und Nachweise.

8.6 Loeschkonzept

Verwaltet Aufbewahrungsfristen und automatische Loeschung gemaess Art. 5/17 DSGVO. Fuer jede Datenkategorie wird definiert: wie lange darf sie gespeichert werden, wann muss sie geloescht werden und wie (z.B. Ueberschreiben, Schluesselloeschung).

9. Multi-Tenancy und Zugriffskontrolle

Das System ist mandantenfaehig (Multi-Tenant): Mehrere Organisationen koennen es gleichzeitig nutzen, ohne dass sie gegenseitig auf ihre Daten zugreifen koennen.

9.1 Rollenbasierte Zugriffskontrolle (RBAC)

Rolle	Darf
Mitarbeiter	Anwendungsfaelle einreichen, eigene Bewertungen einsehen
Teamleiter	E1-Eskalationen pruefen, Team-Assessments einsehen
DSB (Datenschutzbeauftragter)	E2/E3-Eskalationen pruefen, alle Assessments einsehen, Policies aendern
Rechtsabteilung	E3-Eskalationen pruefen, Grundsatzentscheidungen
Administrator	System konfigurieren, Nutzer verwalten, LLM-Policies festlegen

9.2 PII-Erkennung und -Schutz

Bevor Texte an ein Sprachmodell gesendet werden, durchlaufen sie eine automatische PII-Erkennung. Das System erkennt ueber 20 Arten personenbezogener Daten (E-Mail-Adressen, Telefonnummern, Namen, IP-Adressen, etc.). Je nach Konfiguration werden erkannte PII-Daten geschwuerzt, maskiertoder nur im Audit-Log markiert.

10. Wie das System KI nutzt (und wie nicht)

Aufgabe	Entschieden von	Rolle der KI
Machbarkeit (YES/CONDITIONAL/NO)	Deterministische Regeln	Keine
Risikoscore berechnen	Regelbasierte Berechnung	Keine
Eskalation ausloesen	Schwellenwerte + Regellogik	Keine
Ergebnis erklaeren	--	LLM + RAG-Kontext
Rechtsfragen beantworten	--	LLM + RAG (Rechtskorpus)
Dokumente generieren (DSFA, TOM, VVT)	--	LLM + Vorlagen

LLM-Provider und Fallback

Primaer: Ollama (lokal) -- Qwen 2.5 32B bzw. Mistral, laeuft direkt auf dem Server. Keine Daten verlassen das lokale Netzwerk.
Fallback: Anthropic Claude -- Wird nur aktiviert, wenn das lokale Modell nicht verfuegbar ist.

11. Audit-Trail: Alles wird protokolliert

Saemtliche Aktionen im System werden revisionssicher protokolliert:

Jede Compliance-Bewertung mit allen Ein- und Ausgaben
Jede Eskalationsentscheidung mit Begruendung
Jeder LLM-Aufruf (wer hat was wann gefragt, welches Modell wurde verwendet)
Jede Aenderung an Controls, Evidence und Policies
Jeder Login und Daten-Export

Datenschutz des Audit-Trails

Der Use-Case-Text wird nur mit Einwilligung des Nutzers gespeichert. Standardmaessig wird nur ein SHA-256-Hash des Textes gespeichert.

12. Security Scanner: Technische Sicherheitspruefung

Container-Scanning (Trivy): Prueft Docker-Images auf bekannte Schwachstellen (CVEs)
Statische Code-Analyse (Semgrep): Sucht im Quellcode nach Sicherheitsluecken
Secret Detection (Gitleaks): Findet versehentlich eingecheckte Passwoerter, API-Keys und Tokens
SBOM-Generierung: Erstellt eine vollstaendige Liste aller verwendeten Bibliotheken und deren Lizenzen

13. Zusammenfassung: Der komplette Datenfluss

Der komplette Compliance-Workflow

SCHRITT 1: FAKTEN SAMMELN
Nutzer fuellt Fragebogen aus: Welche Daten? Welcher Zweck? Welche Branche? Wo gehostet?

SCHRITT 2: ANWENDBARKEIT PRUEFEN
Obligations Framework: DSGVO? AI Act? NIS2?

SCHRITT 3: REGELN PRUEFEN (45+ Regeln)
  R-001 (WARN): Personenbezogene Daten +10 Risiko
  R-060 (WARN): KI-Transparenz fehlt   +15 Risiko
  → Gesamt-Risikoscore: 35/100 (LOW), Machbarkeit: CONDITIONAL

SCHRITT 4: CONTROLS ZUORDNEN
  C_EXPLICIT_CONSENT, C_TRANSPARENCY, C_DATA_MINIMIZATION

SCHRITT 5: ESKALATION (bei Bedarf)
  Score 35 → Stufe E1 → Teamleiter, SLA 24h

SCHRITT 6: ERKLAERUNG GENERIEREN
  LLM + RAG: Gesetzesartikel suchen, Erklaerungstext generieren

SCHRITT 7: DOKUMENTATION
  DSFA, TOM, VVT, Compliance-Report (PDF/ZIP/JSON)

SCHRITT 8: MONITORING
  Controls regelmaessig pruefen, Nachweise auf Ablauf ueberwachen

Das Wichtigste in einem Satz

Der Compliance Hub nimmt die Beschreibung eines KI-Vorhabens entgegen, prueft es gegen ueber 45 deterministische Regeln und 400+ Gesetzesartikel, berechnet ein Risiko, ordnet Massnahmen zu, eskaliert bei Bedarf an menschliche Pruefer und dokumentiert alles revisionssicher -- wobei die KI nur fuer Erklaerungen und Zusammenfassungen eingesetzt wird, niemals fuer die eigentliche Compliance-Entscheidung.

Wie funktioniert der Compliance Service?