compliance-faq/www/curricula.json

{
  "version": "2026-04-25",
  "updated": "2026-04-25",
  "curricula": [
    {
      "id": "schwellenwerte",
      "title": "1 · Schwellenwerte",
      "short": "Welche Pflicht ab welcher MA-Zahl",
      "icon": "ruler",
      "color": "#0891b2",
      "description": "Die wichtigsten Schwellenwerte aus DSGVO, BetrVG, ArbSchG, AGG, GoBD, NIS-2 — gesammelt als KMU-Kompass.",
      "source_md": "01-schwellenwerte.md",
      "modules": [
        {
          "id": "dsb-pflicht",
          "title": "DSB-Pflicht (§ 38 BDSG)",
          "objectives": [
            "Die 20-Personen-Schwelle für regelmäßige Verarbeitung personenbezogener Daten benennen",
            "Pflicht-Auslöser unabhängig von MA-Zahl (Kerntätigkeit, Art. 9, Profiling) erkennen",
            "Externer vs. interner DSB — Vor-/Nachteile"
          ],
          "topics": ["§ 38 BDSG", "Datenschutzbeauftragter", "Kerntätigkeit", "Schwelle 20"],
          "difficulty": "einfach",
          "source_heading": "Wann muss ich einen DSB benennen?"
        },
        {
          "id": "betriebsrat",
          "title": "Betriebsrat (§ 1 BetrVG)",
          "objectives": [
            "5 wahlberechtigte Arbeitnehmer:innen als Schwelle nennen",
            "Mitbestimmungsrechte des Betriebsrats bei IT-Einführung (§ 87 Abs. 1 Nr. 6) erklären",
            "AI-Act-Hochrisiko-Anwendungen + Betriebsrat (Art. 22 DSGVO) verbinden"
          ],
          "topics": ["§ 1 BetrVG", "§ 87 BetrVG", "Mitbestimmung", "Schwelle 5"],
          "difficulty": "mittel",
          "source_heading": "Ab wann Betriebsrat?"
        },
        {
          "id": "schwellenwerte-uebersicht",
          "title": "Übersicht aller MA-Schwellenwerte",
          "objectives": [
            "Schwellenwerte 5/10/20/50/250 mit zugehöriger Pflicht zuordnen",
            "Mehrfach-Greifen erkennen (z.B. 50 MA: AGG + Schwerbehindertenquote + ArbSchG-Beauftragte)",
            "Vom Schwellenwert auf Folgepflichten kommen"
          ],
          "topics": ["Schwellen", "AGG", "SGB IX", "ArbSchG"],
          "difficulty": "schwer",
          "source_heading": "Schwellenwerte-Tabelle KMU"
        }
      ]
    },
    {
      "id": "dsgvo-grundlagen",
      "title": "2 · DSGVO im KMU",
      "short": "Pflichten ohne Bullshit, Verweis auf Cora für Tiefe",
      "icon": "shield",
      "color": "#06b6d4",
      "description": "DSGVO-Mindestpflichten für Mittelstand. Cleo zeigt Pflicht + Risiko + Quick-Win; für tiefe DSB-Beratung verweise ich auf Cora.",
      "source_md": "02-dsgvo.md",
      "modules": [
        {
          "id": "dsgvo-grundlagen",
          "title": "DSGVO-Mindestpflichten KMU",
          "objectives": [
            "VVT (Art. 30), TOMs (Art. 32), DSFA (Art. 35), AVV (Art. 28) als Big Four nennen",
            "Welche Pflichten ohne DSB greifen",
            "Top-3-Bußgeld-Risiken im KMU-Alltag"
          ],
          "topics": ["VVT", "TOMs", "DSFA", "AVV", "Bußgeld"],
          "difficulty": "mittel",
          "source_heading": "DSGVO-Big-Four"
        },
        {
          "id": "datenpannen",
          "title": "Datenpannen & Meldepflicht (Art. 33/34)",
          "objectives": [
            "72-Stunden-Frist an Aufsichtsbehörde sicher anwenden",
            "Wann zusätzlich Betroffenen-Information (Art. 34) nötig",
            "Praxis: erstes Reaktions-Playbook im KMU"
          ],
          "topics": ["Art. 33", "Art. 34", "72h", "Meldepflicht"],
          "difficulty": "schwer",
          "source_heading": "Datenpannen"
        },
        {
          "id": "auftragsverarbeitung",
          "title": "Auftragsverarbeitung & Drittland (Art. 28/44)",
          "objectives": [
            "Wann brauche ich AVV, wann nicht",
            "Schrems-II-Folgen für US-Cloud praktisch erklären",
            "Verweis auf Cora für AVV-Templates"
          ],
          "topics": ["Art. 28", "Art. 44", "Schrems II", "AVV"],
          "difficulty": "schwer",
          "source_heading": "Auftragsverarbeitung & Drittland"
        }
      ]
    },
    {
      "id": "ai-act",
      "title": "3 · AI-Act KMU",
      "short": "Risiko-Klassen, Pflichten, Termine — Cleo light, Kai für Tiefe",
      "icon": "cpu",
      "color": "#8b5cf6",
      "description": "AI-Act im KMU-Kontext. Cleo zeigt Risiko-Klassifikation + Termine; für KPIs/Methodik (Bias-Metriken, Doku-Anforderungen) verweise ich auf Kai.",
      "source_md": "03-ai-act.md",
      "modules": [
        {
          "id": "ai-act",
          "title": "AI-Act-Risiko-Klassen",
          "objectives": [
            "Verbotene/Hochrisiko/Begrenztes-Risiko/Minimal-Risiko abgrenzen",
            "Typische KMU-Hochrisiko-Anwendungen (HR-Recruiting, Bonitäts-Scoring) erkennen",
            "GPAI-Pflichten für Anwender (vs. Anbieter) trennen"
          ],
          "topics": ["Risiko-Klassen", "Hochrisiko", "GPAI", "Anwender"],
          "difficulty": "mittel",
          "source_heading": "AI-Act-Klassen"
        },
        {
          "id": "ai-act-termine",
          "title": "AI-Act-Stufenplan (Daten 2025-2027)",
          "objectives": [
            "Verbote seit 02.02.2025 in Kraft",
            "GPAI-Pflichten ab 02.08.2025",
            "Hochrisiko-Pflichten gestaffelt bis 02.08.2027"
          ],
          "topics": ["Termine", "Stufenplan", "Verbote", "Hochrisiko"],
          "difficulty": "mittel",
          "source_heading": "AI-Act-Stufenplan"
        }
      ]
    },
    {
      "id": "nis2",
      "title": "4 · NIS-2 KMU",
      "short": "Wer betroffen ist, was zu tun ist, Status DE-Umsetzung",
      "icon": "network",
      "color": "#f97316",
      "description": "NIS-2-Richtlinie für KMU. Cleo zeigt Sektor-Betroffenheit + Pflichten-Liste; tiefere Risiko-Management-Beratung gibt der NIS-2-Spezialist (geplant).",
      "source_md": "04-nis2.md",
      "modules": [
        {
          "id": "nis2",
          "title": "NIS-2 Sektor-Betroffenheit",
          "objectives": [
            "Wesentliche/Wichtige Einrichtung unterscheiden",
            "Schwellenwerte 50/250 MA und Sektor-Mapping",
            "DE-Umsetzungsgesetz NIS2UmsuCG — Status 2026"
          ],
          "topics": ["NIS-2", "Sektoren", "Schwellen", "NIS2UmsuCG"],
          "difficulty": "schwer",
          "source_heading": "Wer ist betroffen?"
        },
        {
          "id": "nis2-pflichten",
          "title": "NIS-2 Mindestpflichten",
          "objectives": [
            "Risiko-Management-Maßnahmen (Art. 21)",
            "Meldepflichten 24h/72h/30d",
            "Geschäftsführungs-Haftung erkennen"
          ],
          "topics": ["Art. 21", "Meldepflicht", "Haftung"],
          "difficulty": "schwer",
          "source_heading": "Pflichten"
        }
      ]
    },
    {
      "id": "gobd",
      "title": "5 · GoBD & Aufbewahrung",
      "short": "Steuerliche Aufbewahrung, Belegfunktion, Verfahrensdoku",
      "icon": "file",
      "color": "#10b981",
      "description": "GoBD-Pflichten für KMU — was die Buchhaltung muss, ohne dass das KMU einen Tax-Compliance-Manager braucht.",
      "source_md": "05-gobd.md",
      "modules": [
        {
          "id": "gobd",
          "title": "GoBD-Mindestpflichten",
          "objectives": [
            "Belegfunktion + Unveränderbarkeit verstehen",
            "Verfahrensdokumentation (Art und Umfang)",
            "10-Jahres-Aufbewahrung für Buchungsbelege"
          ],
          "topics": ["GoBD", "Belegfunktion", "Verfahrensdoku", "Aufbewahrung"],
          "difficulty": "mittel",
          "source_heading": "GoBD"
        }
      ]
    },
    {
      "id": "arbeit",
      "title": "6 · Arbeit & Mitbestimmung",
      "short": "BetrVG, ArbSchG, AGG — die KMU-Pflichten",
      "icon": "users",
      "color": "#a855f7",
      "description": "Arbeitsrechtliche Compliance: Betriebsrat, Arbeitsschutz, AGG, Schwerbehindertenquote. Wo Cleo Lotse ist, wo ein Anwalt nötig wird.",
      "source_md": "06-arbeit.md",
      "modules": [
        {
          "id": "arbschg",
          "title": "ArbSchG & Gefährdungsbeurteilung",
          "objectives": [
            "Pflicht zur GBU für jeden AG ab 1 MA",
            "Psychische Belastung als Pflichtbestandteil",
            "Sicherheitsbeauftragte:r ab 21 MA"
          ],
          "topics": ["ArbSchG", "GBU", "psychische Belastung"],
          "difficulty": "mittel",
          "source_heading": "Arbeitsschutz"
        },
        {
          "id": "agg",
          "title": "AGG & Diskriminierungsschutz",
          "objectives": [
            "AGG-Pflichten ab erstem Mitarbeiter",
            "Beschwerdestelle (§ 13 AGG) aufbauen",
            "AI-Act-Hochrisiko + AGG bei Recruiting-Tools"
          ],
          "topics": ["AGG", "§ 13 AGG", "Beschwerdestelle", "Recruiting"],
          "difficulty": "mittel",
          "source_heading": "AGG"
        }
      ]
    }
  ]
}
init: extract compliance-faq from qognio-bot-widget-template@d2c816f Source files (src/) and rendered bundle (www/) extracted on 2026-04-29T01:35:46+02:00. Adds nginx:alpine Dockerfile + docker-compose.yml (Caddy-labels) so the bot runs stand-alone or as a per-customer template clone. Parent monorepo commit: d2c816f3edbc9760802a11b29ff4151c7aad4b46 Bot version: 2026-04-25 2026-04-28 23:35:46 +00:00			`{`
			`"version": "2026-04-25",`
			`"updated": "2026-04-25",`
			`"curricula": [`
			`{`
			`"id": "schwellenwerte",`
			`"title": "1 · Schwellenwerte",`
			`"short": "Welche Pflicht ab welcher MA-Zahl",`
			`"icon": "ruler",`
			`"color": "#0891b2",`
			`"description": "Die wichtigsten Schwellenwerte aus DSGVO, BetrVG, ArbSchG, AGG, GoBD, NIS-2 — gesammelt als KMU-Kompass.",`
			`"source_md": "01-schwellenwerte.md",`
			`"modules": [`
			`{`
			`"id": "dsb-pflicht",`
			`"title": "DSB-Pflicht (§ 38 BDSG)",`
			`"objectives": [`
			`"Die 20-Personen-Schwelle für regelmäßige Verarbeitung personenbezogener Daten benennen",`
			`"Pflicht-Auslöser unabhängig von MA-Zahl (Kerntätigkeit, Art. 9, Profiling) erkennen",`
			`"Externer vs. interner DSB — Vor-/Nachteile"`
			`],`
			`"topics": ["§ 38 BDSG", "Datenschutzbeauftragter", "Kerntätigkeit", "Schwelle 20"],`
			`"difficulty": "einfach",`
			`"source_heading": "Wann muss ich einen DSB benennen?"`
			`},`
			`{`
			`"id": "betriebsrat",`
			`"title": "Betriebsrat (§ 1 BetrVG)",`
			`"objectives": [`
			`"5 wahlberechtigte Arbeitnehmer:innen als Schwelle nennen",`
			`"Mitbestimmungsrechte des Betriebsrats bei IT-Einführung (§ 87 Abs. 1 Nr. 6) erklären",`
			`"AI-Act-Hochrisiko-Anwendungen + Betriebsrat (Art. 22 DSGVO) verbinden"`
			`],`
			`"topics": ["§ 1 BetrVG", "§ 87 BetrVG", "Mitbestimmung", "Schwelle 5"],`
			`"difficulty": "mittel",`
			`"source_heading": "Ab wann Betriebsrat?"`
			`},`
			`{`
			`"id": "schwellenwerte-uebersicht",`
			`"title": "Übersicht aller MA-Schwellenwerte",`
			`"objectives": [`
			`"Schwellenwerte 5/10/20/50/250 mit zugehöriger Pflicht zuordnen",`
			`"Mehrfach-Greifen erkennen (z.B. 50 MA: AGG + Schwerbehindertenquote + ArbSchG-Beauftragte)",`
			`"Vom Schwellenwert auf Folgepflichten kommen"`
			`],`
			`"topics": ["Schwellen", "AGG", "SGB IX", "ArbSchG"],`
			`"difficulty": "schwer",`
			`"source_heading": "Schwellenwerte-Tabelle KMU"`
			`}`
			`]`
			`},`
			`{`
			`"id": "dsgvo-grundlagen",`
			`"title": "2 · DSGVO im KMU",`
			`"short": "Pflichten ohne Bullshit, Verweis auf Cora für Tiefe",`
			`"icon": "shield",`
			`"color": "#06b6d4",`
			`"description": "DSGVO-Mindestpflichten für Mittelstand. Cleo zeigt Pflicht + Risiko + Quick-Win; für tiefe DSB-Beratung verweise ich auf Cora.",`
			`"source_md": "02-dsgvo.md",`
			`"modules": [`
			`{`
			`"id": "dsgvo-grundlagen",`
			`"title": "DSGVO-Mindestpflichten KMU",`
			`"objectives": [`
			`"VVT (Art. 30), TOMs (Art. 32), DSFA (Art. 35), AVV (Art. 28) als Big Four nennen",`
			`"Welche Pflichten ohne DSB greifen",`
			`"Top-3-Bußgeld-Risiken im KMU-Alltag"`
			`],`
			`"topics": ["VVT", "TOMs", "DSFA", "AVV", "Bußgeld"],`
			`"difficulty": "mittel",`
			`"source_heading": "DSGVO-Big-Four"`
			`},`
			`{`
			`"id": "datenpannen",`
			`"title": "Datenpannen & Meldepflicht (Art. 33/34)",`
			`"objectives": [`
			`"72-Stunden-Frist an Aufsichtsbehörde sicher anwenden",`
			`"Wann zusätzlich Betroffenen-Information (Art. 34) nötig",`
			`"Praxis: erstes Reaktions-Playbook im KMU"`
			`],`
			`"topics": ["Art. 33", "Art. 34", "72h", "Meldepflicht"],`
			`"difficulty": "schwer",`
			`"source_heading": "Datenpannen"`
			`},`
			`{`
			`"id": "auftragsverarbeitung",`
			`"title": "Auftragsverarbeitung & Drittland (Art. 28/44)",`
			`"objectives": [`
			`"Wann brauche ich AVV, wann nicht",`
			`"Schrems-II-Folgen für US-Cloud praktisch erklären",`
			`"Verweis auf Cora für AVV-Templates"`
			`],`
			`"topics": ["Art. 28", "Art. 44", "Schrems II", "AVV"],`
			`"difficulty": "schwer",`
			`"source_heading": "Auftragsverarbeitung & Drittland"`
			`}`
			`]`
			`},`
			`{`
			`"id": "ai-act",`
			`"title": "3 · AI-Act KMU",`
			`"short": "Risiko-Klassen, Pflichten, Termine — Cleo light, Kai für Tiefe",`
			`"icon": "cpu",`
			`"color": "#8b5cf6",`
			`"description": "AI-Act im KMU-Kontext. Cleo zeigt Risiko-Klassifikation + Termine; für KPIs/Methodik (Bias-Metriken, Doku-Anforderungen) verweise ich auf Kai.",`
			`"source_md": "03-ai-act.md",`
			`"modules": [`
			`{`
			`"id": "ai-act",`
			`"title": "AI-Act-Risiko-Klassen",`
			`"objectives": [`
			`"Verbotene/Hochrisiko/Begrenztes-Risiko/Minimal-Risiko abgrenzen",`
			`"Typische KMU-Hochrisiko-Anwendungen (HR-Recruiting, Bonitäts-Scoring) erkennen",`
			`"GPAI-Pflichten für Anwender (vs. Anbieter) trennen"`
			`],`
			`"topics": ["Risiko-Klassen", "Hochrisiko", "GPAI", "Anwender"],`
			`"difficulty": "mittel",`
			`"source_heading": "AI-Act-Klassen"`
			`},`
			`{`
			`"id": "ai-act-termine",`
			`"title": "AI-Act-Stufenplan (Daten 2025-2027)",`
			`"objectives": [`
			`"Verbote seit 02.02.2025 in Kraft",`
			`"GPAI-Pflichten ab 02.08.2025",`
			`"Hochrisiko-Pflichten gestaffelt bis 02.08.2027"`
			`],`
			`"topics": ["Termine", "Stufenplan", "Verbote", "Hochrisiko"],`
			`"difficulty": "mittel",`
			`"source_heading": "AI-Act-Stufenplan"`
			`}`
			`]`
			`},`
			`{`
			`"id": "nis2",`
			`"title": "4 · NIS-2 KMU",`
			`"short": "Wer betroffen ist, was zu tun ist, Status DE-Umsetzung",`
			`"icon": "network",`
			`"color": "#f97316",`
			`"description": "NIS-2-Richtlinie für KMU. Cleo zeigt Sektor-Betroffenheit + Pflichten-Liste; tiefere Risiko-Management-Beratung gibt der NIS-2-Spezialist (geplant).",`
			`"source_md": "04-nis2.md",`
			`"modules": [`
			`{`
			`"id": "nis2",`
			`"title": "NIS-2 Sektor-Betroffenheit",`
			`"objectives": [`
			`"Wesentliche/Wichtige Einrichtung unterscheiden",`
			`"Schwellenwerte 50/250 MA und Sektor-Mapping",`
			`"DE-Umsetzungsgesetz NIS2UmsuCG — Status 2026"`
			`],`
			`"topics": ["NIS-2", "Sektoren", "Schwellen", "NIS2UmsuCG"],`
			`"difficulty": "schwer",`
			`"source_heading": "Wer ist betroffen?"`
			`},`
			`{`
			`"id": "nis2-pflichten",`
			`"title": "NIS-2 Mindestpflichten",`
			`"objectives": [`
			`"Risiko-Management-Maßnahmen (Art. 21)",`
			`"Meldepflichten 24h/72h/30d",`
			`"Geschäftsführungs-Haftung erkennen"`
			`],`
			`"topics": ["Art. 21", "Meldepflicht", "Haftung"],`
			`"difficulty": "schwer",`
			`"source_heading": "Pflichten"`
			`}`
			`]`
			`},`
			`{`
			`"id": "gobd",`
			`"title": "5 · GoBD & Aufbewahrung",`
			`"short": "Steuerliche Aufbewahrung, Belegfunktion, Verfahrensdoku",`
			`"icon": "file",`
			`"color": "#10b981",`
			`"description": "GoBD-Pflichten für KMU — was die Buchhaltung muss, ohne dass das KMU einen Tax-Compliance-Manager braucht.",`
			`"source_md": "05-gobd.md",`
			`"modules": [`
			`{`
			`"id": "gobd",`
			`"title": "GoBD-Mindestpflichten",`
			`"objectives": [`
			`"Belegfunktion + Unveränderbarkeit verstehen",`
			`"Verfahrensdokumentation (Art und Umfang)",`
			`"10-Jahres-Aufbewahrung für Buchungsbelege"`
			`],`
			`"topics": ["GoBD", "Belegfunktion", "Verfahrensdoku", "Aufbewahrung"],`
			`"difficulty": "mittel",`
			`"source_heading": "GoBD"`
			`}`
			`]`
			`},`
			`{`
			`"id": "arbeit",`
			`"title": "6 · Arbeit & Mitbestimmung",`
			`"short": "BetrVG, ArbSchG, AGG — die KMU-Pflichten",`
			`"icon": "users",`
			`"color": "#a855f7",`
			`"description": "Arbeitsrechtliche Compliance: Betriebsrat, Arbeitsschutz, AGG, Schwerbehindertenquote. Wo Cleo Lotse ist, wo ein Anwalt nötig wird.",`
			`"source_md": "06-arbeit.md",`
			`"modules": [`
			`{`
			`"id": "arbschg",`
			`"title": "ArbSchG & Gefährdungsbeurteilung",`
			`"objectives": [`
			`"Pflicht zur GBU für jeden AG ab 1 MA",`
			`"Psychische Belastung als Pflichtbestandteil",`
			`"Sicherheitsbeauftragte:r ab 21 MA"`
			`],`
			`"topics": ["ArbSchG", "GBU", "psychische Belastung"],`
			`"difficulty": "mittel",`
			`"source_heading": "Arbeitsschutz"`
			`},`
			`{`
			`"id": "agg",`
			`"title": "AGG & Diskriminierungsschutz",`
			`"objectives": [`
			`"AGG-Pflichten ab erstem Mitarbeiter",`
			`"Beschwerdestelle (§ 13 AGG) aufbauen",`
			`"AI-Act-Hochrisiko + AGG bei Recruiting-Tools"`
			`],`
			`"topics": ["AGG", "§ 13 AGG", "Beschwerdestelle", "Recruiting"],`
			`"difficulty": "mittel",`
			`"source_heading": "AGG"`
			`}`
			`]`
			`}`
			`]`
			`}`