{ "version": "2026-04-24", "updated": "2026-04-24", "curricula": [ { "id": "grundlagen", "title": "1 · Grundlagen", "short": "Personenbezogene Daten, Art. 6, Zweckbindung", "icon": "shield", "color": "#059669", "description": "Was sind personenbezogene Daten, welche Rechtsgrundlagen gibt es nach Art. 6 DSGVO, und wie laufen die 7 Grundsätze im Alltag auf.", "source_md": "00-grundlagen.md", "modules": [ { "id": "pb-daten", "title": "Personenbezogene Daten (Art. 4 Nr. 1)", "objectives": [ "Erkennen, wann ein Datum personenbezogen ist", "Pseudonymisiert vs. anonymisiert abgrenzen", "Typische Grauzonen (IP, Personalnr, Kombinationen)" ], "topics": ["Art. 4 Nr. 1", "Pseudonym", "Anonym", "Identifizierbarkeit"], "difficulty": "einfach", "source_heading": "Was ist ein personenbezogenes Datum?" }, { "id": "grundsaetze", "title": "Die 7 Grundsätze (Art. 5)", "objectives": [ "Alle 7 Grundsätze benennen und im HR-Kontext anwenden", "Rechenschaftspflicht praktisch umsetzen", "Zweckbindung vs. Datenminimierung unterscheiden" ], "topics": ["Rechtmäßigkeit", "Zweckbindung", "Datenminimierung", "Speicherbegrenzung", "Rechenschaft"], "difficulty": "mittel", "source_heading": "Die 7 Grundsätze (Art. 5 DSGVO)" }, { "id": "rechtsgrundlagen", "title": "Rechtsgrundlagen (Art. 6)", "objectives": [ "Die 6 Rechtsgrundlagen a-f sicher zuordnen", "Beispiele aus HR: Vertrag, Einwilligung, berechtigtes Interesse", "Kombination mit Art. 9 bei Gesundheitsdaten" ], "topics": ["Art. 6 Abs. 1 lit. a-f", "Einwilligung", "Vertrag", "Berechtigtes Interesse", "Art. 9"], "difficulty": "mittel", "source_heading": "Rechtsgrundlagen für die Verarbeitung" }, { "id": "einwilligung", "title": "Einwilligung (Art. 7)", "objectives": [ "Freiwilligkeit, Spezifität, Informiertheit, Widerruflichkeit", "Kritische Punkte im Beschäftigungsverhältnis", "Kopplungsverbot kennen" ], "topics": ["Art. 7", "Freiwilligkeit", "Widerruf", "Kopplungsverbot"], "difficulty": "schwer", "source_heading": "Einwilligung — die heikelste Grundlage" } ] }, { "id": "betroffenenrechte", "title": "2 · Betroffenenrechte", "short": "Art. 12-22, Fristen, Formate", "icon": "handshake", "color": "#10b981", "description": "Die Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch — mit Fristen und Ablehnungsgründen.", "source_md": "01-betroffenenrechte.md", "modules": [ { "id": "auskunft", "title": "Auskunftsrecht (Art. 15)", "objectives": [ "1-Monats-Frist und Verlängerung sicher anwenden", "Umfang der Auskunftspflicht abgrenzen (Art. 15 Abs. 4)", "Kopie vs. Personalakte unterscheiden" ], "topics": ["Art. 15", "Monatsfrist", "Kopie", "Ex-Mitarbeiter"], "difficulty": "mittel", "source_heading": "Art. 15 — Auskunftsrecht" }, { "id": "loeschung", "title": "Recht auf Löschung (Art. 17)", "objectives": [ "Löschgründe nach Abs. 1 aufzählen", "Ausnahmen (Aufbewahrungspflicht, Rechtsverfolgung) erkennen", "Einschränkung (Art. 18) als Alternative prüfen" ], "topics": ["Art. 17", "Aufbewahrungspflicht", "Art. 18", "Vergessenwerden"], "difficulty": "mittel", "source_heading": "Art. 17 — Recht auf Löschung" }, { "id": "berichtigung", "title": "Berichtigung & Widerspruch (Art. 16, 21)", "objectives": [ "Berichtigung vs. Meinungsäußerung trennen", "Widerspruchsrecht bei Art. 6 Abs. 1 lit. f", "Informationspflicht an Empfänger (Art. 19)" ], "topics": ["Art. 16", "Art. 21", "Art. 19", "Zeugnis"], "difficulty": "mittel", "source_heading": "Art. 16 — Berichtigung" }, { "id": "portabilitaet", "title": "Datenportabilität (Art. 20)", "objectives": [ "Anwendungsbereich: nur Einwilligung/Vertrag + automatisiert", "Strukturiertes, maschinenlesbares Format", "Abgrenzung zur Auskunft" ], "topics": ["Art. 20", "Format", "Automatisierung"], "difficulty": "einfach", "source_heading": "Art. 20 — Datenübertragbarkeit" }, { "id": "identitaetspruefung", "title": "Identitätsprüfung bei Anträgen", "objectives": [ "Art. 12 Abs. 6 sinnvoll anwenden", "Nicht automatisch Ausweiskopie verlangen", "Balance: Beweisbarkeit vs. Datenminimierung" ], "topics": ["Art. 12 Abs. 6", "Ausweiskopie", "Authentifizierung"], "difficulty": "einfach", "source_heading": "Identitätsprüfung" } ] }, { "id": "verarbeiter", "title": "3 · Verarbeiter-Governance", "short": "AVV, TOMs, Verzeichnis", "icon": "shield", "color": "#0ea5e9", "description": "Auftragsverarbeiter, TOMs nach Art. 32, Verzeichnis von Verarbeitungstätigkeiten — wer wann welche Daten wie schützt.", "source_md": "02-avv.md, 03-toms.md, 08-werkzeuge.md", "modules": [ { "id": "avv", "title": "Auftragsverarbeitung (Art. 28)", "objectives": [ "AV erkennen vs. eigene Verantwortliche", "12 Pflicht-Inhalte des AVV kennen", "Unterauftragsverarbeiter-Regelung" ], "topics": ["Art. 28", "AVV", "Weisungsabhängigkeit", "Subunternehmer"], "difficulty": "mittel", "source_heading": "Pflicht-Inhalt eines AVV" }, { "id": "toms", "title": "TOMs (Art. 32)", "objectives": [ "4 Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit", "Risikoadaptiv argumentieren", "Typische Maßnahmen Zutritts-/Zugangs-/Zugriffskontrolle" ], "topics": ["Art. 32", "Verschlüsselung", "Backup", "Zugriffskontrolle"], "difficulty": "mittel", "source_heading": "Die vier Schutzziele" }, { "id": "vvt", "title": "Verzeichnis der Verarbeitungstätigkeiten (Art. 30)", "objectives": [ "Pflicht auch <250 MA bei HR-Daten", "8 Pflicht-Inhalte je Eintrag", "Pflegeprozess + Eigentümer" ], "topics": ["Art. 30", "VVT", "Löschfristen"], "difficulty": "einfach", "source_heading": "Verzeichnis von Verarbeitungstätigkeiten" }, { "id": "dsfa", "title": "DSFA (Art. 35)", "objectives": [ "Wann ist eine DSFA verpflichtend?", "7 Bewertungskriterien der WP248", "KI im Recruiting als Trigger" ], "topics": ["Art. 35", "DSFA", "Hochrisiko", "AI Act"], "difficulty": "schwer", "source_heading": "DSFA" }, { "id": "drittlaender", "title": "Drittland-Transfer (Kap. V)", "objectives": [ "Angemessenheitsbeschluss, SCC, BCR", "Transfer Impact Assessment (TIA)", "USA nach EU-US Data Privacy Framework" ], "topics": ["SCC", "TIA", "Art. 46", "EU-US DPF"], "difficulty": "schwer", "source_heading": "Drittland" } ] }, { "id": "incident", "title": "4 · Incident Response", "short": "Datenpannen, Eskalation", "icon": "clock", "color": "#ef4444", "description": "Datenpannen erkennen, melden, dokumentieren — die 72-Stunden-Uhr, Art. 33/34 und sauberes Eskalieren an den DSB.", "source_md": "04-datenpannen.md, 09-eskalation.md", "modules": [ { "id": "datenpannen", "title": "Datenpanne erkennen (Art. 4 Nr. 12)", "objectives": [ "Meldepflichtige vs. nicht-meldepflichtige Vorfälle", "Typische HR-Szenarien (Fehlversand, verlorener Laptop)", "Dokumentationspflicht auch ohne Meldung" ], "topics": ["Art. 4 Nr. 12", "Risikobewertung", "Fehlversand"], "difficulty": "mittel", "source_heading": "Was ist eine Verletzung" }, { "id": "meldepflicht", "title": "72-Stunden-Meldung (Art. 33)", "objectives": [ "Meldeformulare der Aufsichtsbehörden", "6 Pflicht-Inhalte der Meldung", "Verspätete Meldung mit Begründung" ], "topics": ["Art. 33", "Aufsichtsbehörde", "72h", "Meldeinhalt"], "difficulty": "mittel", "source_heading": "Die 72-Stunden-Uhr" }, { "id": "benachrichtigung", "title": "Betroffenen-Benachrichtigung (Art. 34)", "objectives": [ "Wann? Bei hohem Risiko für Rechte und Freiheiten", "Verständliche Sprache (Klartext)", "Drei Ausnahmen kennen" ], "topics": ["Art. 34", "Hohes Risiko", "Klartext", "Ausnahmen"], "difficulty": "mittel", "source_heading": "Benachrichtigung" }, { "id": "eskalation", "title": "Eskalationsmatrix: Wann zum DSB?", "objectives": [ "Sofort-Fälle (Datenpanne, Behördenpost) erkennen", "Vor-Umsetzungs-Fälle (neues System, KI) erkennen", "Saubere Eskalations-Mail schreiben" ], "topics": ["DSB", "Aufsichtsbehörde", "Rechtsanwalt", "BR-Einbindung"], "difficulty": "mittel", "source_heading": "Zwingend an den DSB" } ] }, { "id": "hr", "title": "5 · HR-Datenschutz", "short": "Bewerbung, Personalakte, Betriebsrat", "icon": "handshake", "color": "#a855f7", "description": "HR-spezifische Anwendung der DSGVO nach dem BAG-Urteil vom 8.5.2025: Bewerbung, Personalakte, Gesundheitsdaten, Betriebsrat.", "source_md": "05-hr-bewerbung.md, 06-hr-personalakte.md, 07-hr-betriebsrat.md", "modules": [ { "id": "bewerbung", "title": "Bewerbungsprozess", "objectives": [ "6-Monats-Aufbewahrungsregel nach Absage kennen", "Talentpool nur mit expliziter Einwilligung", "Social-Media-Recherche korrekt abgrenzen" ], "topics": ["Art. 6 lit. b", "AGG", "ArbGG", "Talentpool"], "difficulty": "einfach", "source_heading": "Aufbewahrung nach Absage" }, { "id": "personalakte", "title": "Personalakte & Gesundheitsdaten", "objectives": [ "Was gehört rein, was nicht (Diagnose, BEM, SchwbG)", "Art. 15 + § 83 BetrVG richtig umsetzen", "BAG 8.5.2025: § 26 BDSG unanwendbar" ], "topics": ["Personalakte", "BEM", "AU", "§ 83 BetrVG", "Art. 9"], "difficulty": "mittel", "source_heading": "Umfang der Personalakte" }, { "id": "betriebsrat", "title": "Betriebsrat & Mitbestimmung", "objectives": [ "§ 87 Abs. 1 Nr. 6 BetrVG sicher anwenden", "EuGH C-65/23 Betriebsvereinbarungen als Rechtsgrundlage", "BR-Informationsanspruch vs. Schutz Einzelner" ], "topics": ["§ 87 Nr. 6", "EuGH C-65/23", "§ 80 BetrVG", "§ 83 BetrVG"], "difficulty": "schwer", "source_heading": "Mitbestimmung des Betriebsrats" }, { "id": "zeugnis", "title": "Zeugnis & Offboarding", "objectives": [ "Art. 16 Grenzen bei Zeugnissen", "Löschkonzept nach Austritt", "Aufbewahrungspflicht Lohn-/Steuerdaten" ], "topics": ["Zeugnis", "Offboarding", "§ 147 AO", "Löschkonzept"], "difficulty": "einfach", "source_heading": "Zeugnis" } ] }, { "id": "tools", "title": "6 · Tools & FAQ", "short": "Werkzeugkasten + Alltags-Fragen", "icon": "medal", "color": "#f59e0b", "description": "Der Werkzeugkasten: VVT, DSFA, TIA, Vorlagen — und 20 häufige Alltagsfragen lokaler Datenschutzkoordinatoren.", "source_md": "08-werkzeuge.md, 10-faq.md", "modules": [ { "id": "werkzeugkasten", "title": "Der Werkzeugkasten", "objectives": [ "VVT-Pflege und Eigentümer", "DSFA-Template-Struktur", "TIA für Drittland-Transfers" ], "topics": ["VVT", "DSFA", "TIA", "Templates"], "difficulty": "mittel", "source_heading": "Verzeichnis von Verarbeitungstätigkeiten" }, { "id": "faq-rechte", "title": "FAQ: Betroffenenrechte", "objectives": [ "Auskunftsantrag Ex-Mitarbeiter", "Löschung der Personalakte", "Berichtigung vs. Meinungen" ], "topics": ["Auskunft", "Löschung", "Berichtigung"], "difficulty": "einfach", "source_heading": "Betroffenenrechte" }, { "id": "faq-alltag", "title": "FAQ: HR-Alltag", "objectives": [ "AU ohne Diagnose", "BEM-Akten trennen", "Private vs. berufliche Profile" ], "topics": ["AU", "BEM", "Social Media", "Einsicht"], "difficulty": "einfach", "source_heading": "Bewerbung" }, { "id": "faq-incident", "title": "FAQ: Datenpanne & KI", "objectives": [ "Fehlversand-Triage (melden oder nicht)", "KI-Screening: immer DSB + BR", "Webcam im Homeoffice: grundsätzlich nein" ], "topics": ["Fehlversand", "KI-Recruiting", "Monitoring", "Homeoffice"], "difficulty": "mittel", "source_heading": "Datenpanne" } ] } ], "badges": [ {"id": "erste_loeschanfrage", "title": "Art. 17 Reflex", "icon": "award", "description": "1. Quiz zu Löschpflicht erfolgreich."}, {"id": "avv_detektiv", "title": "AVV-Detektiv", "icon": "detective", "description": "10 AVV-Fragen korrekt beantwortet."}, {"id": "meldepflicht", "title": "72-Stunden-Held", "icon": "clock", "description": "Meldepflicht-Flashcards alle mit Gut/Leicht bestanden."}, {"id": "betriebsrat", "title": "Betriebsrat-Flüsterer", "icon": "handshake", "description": "HR-Modul (Bewerbung + Personalakte + BR) je 3 richtig."}, {"id": "dsgvo_master", "title": "DSGVO-Master", "icon": "crown", "description": "6 oder mehr Module mit ≥80% abgeschlossen."}, {"id": "streak_30", "title": "Compliance-Disziplin", "icon": "flame", "description": "30 Tage in Folge aktiv gewesen."}, {"id": "night_owl", "title": "Nachteule", "icon": "moon", "description": "Nach 22 Uhr gelernt."}, {"id": "early_bird", "title": "Frühaufsteher", "icon": "sun", "description": "Vor 7 Uhr gelernt."} ], "levels": [ {"min": 0, "title": "Azubi"}, {"min": 50, "title": "Mitarbeiter:in"}, {"min": 200, "title": "Key-User:in"}, {"min": 500, "title": "Compliance-Expert:in"}, {"min": 1250, "title": "DSB-Kandidat:in"}, {"min": 2500, "title": "Datenschutzbeauftragte:r"}, {"min": 5000, "title": "Senior-DSB"} ] }