20e069df3b
Source files (src/) and rendered bundle (www/) extracted on 2026-04-29T01:35:46+02:00. Adds nginx:alpine Dockerfile + docker-compose.yml (Caddy-labels) so the bot runs stand-alone or as a per-customer template clone. Parent monorepo commit: d2c816f3edbc9760802a11b29ff4151c7aad4b46 Bot version: 2026-04-21
403 lines
16 KiB
JSON
403 lines
16 KiB
JSON
{
|
|
"version": "2026-04-24",
|
|
"updated": "2026-04-24",
|
|
"curricula": [
|
|
{
|
|
"id": "grundlagen",
|
|
"title": "1 · Grundlagen",
|
|
"short": "Personenbezogene Daten, Art. 6, Zweckbindung",
|
|
"icon": "shield",
|
|
"color": "#059669",
|
|
"description": "Was sind personenbezogene Daten, welche Rechtsgrundlagen gibt es nach Art. 6 DSGVO, und wie laufen die 7 Grundsätze im Alltag auf.",
|
|
"source_md": "00-grundlagen.md",
|
|
"modules": [
|
|
{
|
|
"id": "pb-daten",
|
|
"title": "Personenbezogene Daten (Art. 4 Nr. 1)",
|
|
"objectives": [
|
|
"Erkennen, wann ein Datum personenbezogen ist",
|
|
"Pseudonymisiert vs. anonymisiert abgrenzen",
|
|
"Typische Grauzonen (IP, Personalnr, Kombinationen)"
|
|
],
|
|
"topics": ["Art. 4 Nr. 1", "Pseudonym", "Anonym", "Identifizierbarkeit"],
|
|
"difficulty": "einfach",
|
|
"source_heading": "Was ist ein personenbezogenes Datum?"
|
|
},
|
|
{
|
|
"id": "grundsaetze",
|
|
"title": "Die 7 Grundsätze (Art. 5)",
|
|
"objectives": [
|
|
"Alle 7 Grundsätze benennen und im HR-Kontext anwenden",
|
|
"Rechenschaftspflicht praktisch umsetzen",
|
|
"Zweckbindung vs. Datenminimierung unterscheiden"
|
|
],
|
|
"topics": ["Rechtmäßigkeit", "Zweckbindung", "Datenminimierung", "Speicherbegrenzung", "Rechenschaft"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Die 7 Grundsätze (Art. 5 DSGVO)"
|
|
},
|
|
{
|
|
"id": "rechtsgrundlagen",
|
|
"title": "Rechtsgrundlagen (Art. 6)",
|
|
"objectives": [
|
|
"Die 6 Rechtsgrundlagen a-f sicher zuordnen",
|
|
"Beispiele aus HR: Vertrag, Einwilligung, berechtigtes Interesse",
|
|
"Kombination mit Art. 9 bei Gesundheitsdaten"
|
|
],
|
|
"topics": ["Art. 6 Abs. 1 lit. a-f", "Einwilligung", "Vertrag", "Berechtigtes Interesse", "Art. 9"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Rechtsgrundlagen für die Verarbeitung"
|
|
},
|
|
{
|
|
"id": "einwilligung",
|
|
"title": "Einwilligung (Art. 7)",
|
|
"objectives": [
|
|
"Freiwilligkeit, Spezifität, Informiertheit, Widerruflichkeit",
|
|
"Kritische Punkte im Beschäftigungsverhältnis",
|
|
"Kopplungsverbot kennen"
|
|
],
|
|
"topics": ["Art. 7", "Freiwilligkeit", "Widerruf", "Kopplungsverbot"],
|
|
"difficulty": "schwer",
|
|
"source_heading": "Einwilligung — die heikelste Grundlage"
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "betroffenenrechte",
|
|
"title": "2 · Betroffenenrechte",
|
|
"short": "Art. 12-22, Fristen, Formate",
|
|
"icon": "handshake",
|
|
"color": "#10b981",
|
|
"description": "Die Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch — mit Fristen und Ablehnungsgründen.",
|
|
"source_md": "01-betroffenenrechte.md",
|
|
"modules": [
|
|
{
|
|
"id": "auskunft",
|
|
"title": "Auskunftsrecht (Art. 15)",
|
|
"objectives": [
|
|
"1-Monats-Frist und Verlängerung sicher anwenden",
|
|
"Umfang der Auskunftspflicht abgrenzen (Art. 15 Abs. 4)",
|
|
"Kopie vs. Personalakte unterscheiden"
|
|
],
|
|
"topics": ["Art. 15", "Monatsfrist", "Kopie", "Ex-Mitarbeiter"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Art. 15 — Auskunftsrecht"
|
|
},
|
|
{
|
|
"id": "loeschung",
|
|
"title": "Recht auf Löschung (Art. 17)",
|
|
"objectives": [
|
|
"Löschgründe nach Abs. 1 aufzählen",
|
|
"Ausnahmen (Aufbewahrungspflicht, Rechtsverfolgung) erkennen",
|
|
"Einschränkung (Art. 18) als Alternative prüfen"
|
|
],
|
|
"topics": ["Art. 17", "Aufbewahrungspflicht", "Art. 18", "Vergessenwerden"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Art. 17 — Recht auf Löschung"
|
|
},
|
|
{
|
|
"id": "berichtigung",
|
|
"title": "Berichtigung & Widerspruch (Art. 16, 21)",
|
|
"objectives": [
|
|
"Berichtigung vs. Meinungsäußerung trennen",
|
|
"Widerspruchsrecht bei Art. 6 Abs. 1 lit. f",
|
|
"Informationspflicht an Empfänger (Art. 19)"
|
|
],
|
|
"topics": ["Art. 16", "Art. 21", "Art. 19", "Zeugnis"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Art. 16 — Berichtigung"
|
|
},
|
|
{
|
|
"id": "portabilitaet",
|
|
"title": "Datenportabilität (Art. 20)",
|
|
"objectives": [
|
|
"Anwendungsbereich: nur Einwilligung/Vertrag + automatisiert",
|
|
"Strukturiertes, maschinenlesbares Format",
|
|
"Abgrenzung zur Auskunft"
|
|
],
|
|
"topics": ["Art. 20", "Format", "Automatisierung"],
|
|
"difficulty": "einfach",
|
|
"source_heading": "Art. 20 — Datenübertragbarkeit"
|
|
},
|
|
{
|
|
"id": "identitaetspruefung",
|
|
"title": "Identitätsprüfung bei Anträgen",
|
|
"objectives": [
|
|
"Art. 12 Abs. 6 sinnvoll anwenden",
|
|
"Nicht automatisch Ausweiskopie verlangen",
|
|
"Balance: Beweisbarkeit vs. Datenminimierung"
|
|
],
|
|
"topics": ["Art. 12 Abs. 6", "Ausweiskopie", "Authentifizierung"],
|
|
"difficulty": "einfach",
|
|
"source_heading": "Identitätsprüfung"
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "verarbeiter",
|
|
"title": "3 · Verarbeiter-Governance",
|
|
"short": "AVV, TOMs, Verzeichnis",
|
|
"icon": "shield",
|
|
"color": "#0ea5e9",
|
|
"description": "Auftragsverarbeiter, TOMs nach Art. 32, Verzeichnis von Verarbeitungstätigkeiten — wer wann welche Daten wie schützt.",
|
|
"source_md": "02-avv.md, 03-toms.md, 08-werkzeuge.md",
|
|
"modules": [
|
|
{
|
|
"id": "avv",
|
|
"title": "Auftragsverarbeitung (Art. 28)",
|
|
"objectives": [
|
|
"AV erkennen vs. eigene Verantwortliche",
|
|
"12 Pflicht-Inhalte des AVV kennen",
|
|
"Unterauftragsverarbeiter-Regelung"
|
|
],
|
|
"topics": ["Art. 28", "AVV", "Weisungsabhängigkeit", "Subunternehmer"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Pflicht-Inhalt eines AVV"
|
|
},
|
|
{
|
|
"id": "toms",
|
|
"title": "TOMs (Art. 32)",
|
|
"objectives": [
|
|
"4 Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit",
|
|
"Risikoadaptiv argumentieren",
|
|
"Typische Maßnahmen Zutritts-/Zugangs-/Zugriffskontrolle"
|
|
],
|
|
"topics": ["Art. 32", "Verschlüsselung", "Backup", "Zugriffskontrolle"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Die vier Schutzziele"
|
|
},
|
|
{
|
|
"id": "vvt",
|
|
"title": "Verzeichnis der Verarbeitungstätigkeiten (Art. 30)",
|
|
"objectives": [
|
|
"Pflicht auch <250 MA bei HR-Daten",
|
|
"8 Pflicht-Inhalte je Eintrag",
|
|
"Pflegeprozess + Eigentümer"
|
|
],
|
|
"topics": ["Art. 30", "VVT", "Löschfristen"],
|
|
"difficulty": "einfach",
|
|
"source_heading": "Verzeichnis von Verarbeitungstätigkeiten"
|
|
},
|
|
{
|
|
"id": "dsfa",
|
|
"title": "DSFA (Art. 35)",
|
|
"objectives": [
|
|
"Wann ist eine DSFA verpflichtend?",
|
|
"7 Bewertungskriterien der WP248",
|
|
"KI im Recruiting als Trigger"
|
|
],
|
|
"topics": ["Art. 35", "DSFA", "Hochrisiko", "AI Act"],
|
|
"difficulty": "schwer",
|
|
"source_heading": "DSFA"
|
|
},
|
|
{
|
|
"id": "drittlaender",
|
|
"title": "Drittland-Transfer (Kap. V)",
|
|
"objectives": [
|
|
"Angemessenheitsbeschluss, SCC, BCR",
|
|
"Transfer Impact Assessment (TIA)",
|
|
"USA nach EU-US Data Privacy Framework"
|
|
],
|
|
"topics": ["SCC", "TIA", "Art. 46", "EU-US DPF"],
|
|
"difficulty": "schwer",
|
|
"source_heading": "Drittland"
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "incident",
|
|
"title": "4 · Incident Response",
|
|
"short": "Datenpannen, Eskalation",
|
|
"icon": "clock",
|
|
"color": "#ef4444",
|
|
"description": "Datenpannen erkennen, melden, dokumentieren — die 72-Stunden-Uhr, Art. 33/34 und sauberes Eskalieren an den DSB.",
|
|
"source_md": "04-datenpannen.md, 09-eskalation.md",
|
|
"modules": [
|
|
{
|
|
"id": "datenpannen",
|
|
"title": "Datenpanne erkennen (Art. 4 Nr. 12)",
|
|
"objectives": [
|
|
"Meldepflichtige vs. nicht-meldepflichtige Vorfälle",
|
|
"Typische HR-Szenarien (Fehlversand, verlorener Laptop)",
|
|
"Dokumentationspflicht auch ohne Meldung"
|
|
],
|
|
"topics": ["Art. 4 Nr. 12", "Risikobewertung", "Fehlversand"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Was ist eine Verletzung"
|
|
},
|
|
{
|
|
"id": "meldepflicht",
|
|
"title": "72-Stunden-Meldung (Art. 33)",
|
|
"objectives": [
|
|
"Meldeformulare der Aufsichtsbehörden",
|
|
"6 Pflicht-Inhalte der Meldung",
|
|
"Verspätete Meldung mit Begründung"
|
|
],
|
|
"topics": ["Art. 33", "Aufsichtsbehörde", "72h", "Meldeinhalt"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Die 72-Stunden-Uhr"
|
|
},
|
|
{
|
|
"id": "benachrichtigung",
|
|
"title": "Betroffenen-Benachrichtigung (Art. 34)",
|
|
"objectives": [
|
|
"Wann? Bei hohem Risiko für Rechte und Freiheiten",
|
|
"Verständliche Sprache (Klartext)",
|
|
"Drei Ausnahmen kennen"
|
|
],
|
|
"topics": ["Art. 34", "Hohes Risiko", "Klartext", "Ausnahmen"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Benachrichtigung"
|
|
},
|
|
{
|
|
"id": "eskalation",
|
|
"title": "Eskalationsmatrix: Wann zum DSB?",
|
|
"objectives": [
|
|
"Sofort-Fälle (Datenpanne, Behördenpost) erkennen",
|
|
"Vor-Umsetzungs-Fälle (neues System, KI) erkennen",
|
|
"Saubere Eskalations-Mail schreiben"
|
|
],
|
|
"topics": ["DSB", "Aufsichtsbehörde", "Rechtsanwalt", "BR-Einbindung"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Zwingend an den DSB"
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "hr",
|
|
"title": "5 · HR-Datenschutz",
|
|
"short": "Bewerbung, Personalakte, Betriebsrat",
|
|
"icon": "handshake",
|
|
"color": "#a855f7",
|
|
"description": "HR-spezifische Anwendung der DSGVO nach dem BAG-Urteil vom 8.5.2025: Bewerbung, Personalakte, Gesundheitsdaten, Betriebsrat.",
|
|
"source_md": "05-hr-bewerbung.md, 06-hr-personalakte.md, 07-hr-betriebsrat.md",
|
|
"modules": [
|
|
{
|
|
"id": "bewerbung",
|
|
"title": "Bewerbungsprozess",
|
|
"objectives": [
|
|
"6-Monats-Aufbewahrungsregel nach Absage kennen",
|
|
"Talentpool nur mit expliziter Einwilligung",
|
|
"Social-Media-Recherche korrekt abgrenzen"
|
|
],
|
|
"topics": ["Art. 6 lit. b", "AGG", "ArbGG", "Talentpool"],
|
|
"difficulty": "einfach",
|
|
"source_heading": "Aufbewahrung nach Absage"
|
|
},
|
|
{
|
|
"id": "personalakte",
|
|
"title": "Personalakte & Gesundheitsdaten",
|
|
"objectives": [
|
|
"Was gehört rein, was nicht (Diagnose, BEM, SchwbG)",
|
|
"Art. 15 + § 83 BetrVG richtig umsetzen",
|
|
"BAG 8.5.2025: § 26 BDSG unanwendbar"
|
|
],
|
|
"topics": ["Personalakte", "BEM", "AU", "§ 83 BetrVG", "Art. 9"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Umfang der Personalakte"
|
|
},
|
|
{
|
|
"id": "betriebsrat",
|
|
"title": "Betriebsrat & Mitbestimmung",
|
|
"objectives": [
|
|
"§ 87 Abs. 1 Nr. 6 BetrVG sicher anwenden",
|
|
"EuGH C-65/23 Betriebsvereinbarungen als Rechtsgrundlage",
|
|
"BR-Informationsanspruch vs. Schutz Einzelner"
|
|
],
|
|
"topics": ["§ 87 Nr. 6", "EuGH C-65/23", "§ 80 BetrVG", "§ 83 BetrVG"],
|
|
"difficulty": "schwer",
|
|
"source_heading": "Mitbestimmung des Betriebsrats"
|
|
},
|
|
{
|
|
"id": "zeugnis",
|
|
"title": "Zeugnis & Offboarding",
|
|
"objectives": [
|
|
"Art. 16 Grenzen bei Zeugnissen",
|
|
"Löschkonzept nach Austritt",
|
|
"Aufbewahrungspflicht Lohn-/Steuerdaten"
|
|
],
|
|
"topics": ["Zeugnis", "Offboarding", "§ 147 AO", "Löschkonzept"],
|
|
"difficulty": "einfach",
|
|
"source_heading": "Zeugnis"
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "tools",
|
|
"title": "6 · Tools & FAQ",
|
|
"short": "Werkzeugkasten + Alltags-Fragen",
|
|
"icon": "medal",
|
|
"color": "#f59e0b",
|
|
"description": "Der Werkzeugkasten: VVT, DSFA, TIA, Vorlagen — und 20 häufige Alltagsfragen lokaler Datenschutzkoordinatoren.",
|
|
"source_md": "08-werkzeuge.md, 10-faq.md",
|
|
"modules": [
|
|
{
|
|
"id": "werkzeugkasten",
|
|
"title": "Der Werkzeugkasten",
|
|
"objectives": [
|
|
"VVT-Pflege und Eigentümer",
|
|
"DSFA-Template-Struktur",
|
|
"TIA für Drittland-Transfers"
|
|
],
|
|
"topics": ["VVT", "DSFA", "TIA", "Templates"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Verzeichnis von Verarbeitungstätigkeiten"
|
|
},
|
|
{
|
|
"id": "faq-rechte",
|
|
"title": "FAQ: Betroffenenrechte",
|
|
"objectives": [
|
|
"Auskunftsantrag Ex-Mitarbeiter",
|
|
"Löschung der Personalakte",
|
|
"Berichtigung vs. Meinungen"
|
|
],
|
|
"topics": ["Auskunft", "Löschung", "Berichtigung"],
|
|
"difficulty": "einfach",
|
|
"source_heading": "Betroffenenrechte"
|
|
},
|
|
{
|
|
"id": "faq-alltag",
|
|
"title": "FAQ: HR-Alltag",
|
|
"objectives": [
|
|
"AU ohne Diagnose",
|
|
"BEM-Akten trennen",
|
|
"Private vs. berufliche Profile"
|
|
],
|
|
"topics": ["AU", "BEM", "Social Media", "Einsicht"],
|
|
"difficulty": "einfach",
|
|
"source_heading": "Bewerbung"
|
|
},
|
|
{
|
|
"id": "faq-incident",
|
|
"title": "FAQ: Datenpanne & KI",
|
|
"objectives": [
|
|
"Fehlversand-Triage (melden oder nicht)",
|
|
"KI-Screening: immer DSB + BR",
|
|
"Webcam im Homeoffice: grundsätzlich nein"
|
|
],
|
|
"topics": ["Fehlversand", "KI-Recruiting", "Monitoring", "Homeoffice"],
|
|
"difficulty": "mittel",
|
|
"source_heading": "Datenpanne"
|
|
}
|
|
]
|
|
}
|
|
],
|
|
"badges": [
|
|
{"id": "erste_loeschanfrage", "title": "Art. 17 Reflex", "icon": "award", "description": "1. Quiz zu Löschpflicht erfolgreich."},
|
|
{"id": "avv_detektiv", "title": "AVV-Detektiv", "icon": "detective", "description": "10 AVV-Fragen korrekt beantwortet."},
|
|
{"id": "meldepflicht", "title": "72-Stunden-Held", "icon": "clock", "description": "Meldepflicht-Flashcards alle mit Gut/Leicht bestanden."},
|
|
{"id": "betriebsrat", "title": "Betriebsrat-Flüsterer", "icon": "handshake", "description": "HR-Modul (Bewerbung + Personalakte + BR) je 3 richtig."},
|
|
{"id": "dsgvo_master", "title": "DSGVO-Master", "icon": "crown", "description": "6 oder mehr Module mit ≥80% abgeschlossen."},
|
|
{"id": "streak_30", "title": "Compliance-Disziplin", "icon": "flame", "description": "30 Tage in Folge aktiv gewesen."},
|
|
{"id": "night_owl", "title": "Nachteule", "icon": "moon", "description": "Nach 22 Uhr gelernt."},
|
|
{"id": "early_bird", "title": "Frühaufsteher", "icon": "sun", "description": "Vor 7 Uhr gelernt."}
|
|
],
|
|
"levels": [
|
|
{"min": 0, "title": "Azubi"},
|
|
{"min": 50, "title": "Mitarbeiter:in"},
|
|
{"min": 200, "title": "Key-User:in"},
|
|
{"min": 500, "title": "Compliance-Expert:in"},
|
|
{"min": 1250, "title": "DSB-Kandidat:in"},
|
|
{"min": 2500, "title": "Datenschutzbeauftragte:r"},
|
|
{"min": 5000, "title": "Senior-DSB"}
|
|
]
|
|
}
|