kurt-compliance-auditor/www/curricula.json

{
  "version": "2026-04-25",
  "updated": "2026-04-25",
  "curricula": [
    {
      "id": "warum-integrieren",
      "title": "1 · Warum integrieren",
      "short": "Warum DSGVO + AI Act zusammen denken",
      "icon": "shuffle",
      "color": "#7c3aed",
      "description": "Beide Verordnungen gelten parallel — keine ersetzt die andere. Die drei klassischen Doppelarbeits-Hotspots: DSFA <-> RMS, Art. 22 <-> AI-Act Art. 13/14, Daten-Governance <-> Art. 10. Zielbild: ein integriertes Risiko-Register.",
      "source_md": "00-warum-integrieren.md",
      "modules": [
        {
          "id": "integration",
          "title": "Warum überhaupt integrieren?",
          "objectives": [
            "Verstehen, warum DSGVO und AI Act parallel gelten",
            "Die expliziten Verweise des AI Act auf die DSGVO benennen",
            "Die drei Doppelarbeits-Hotspots identifizieren"
          ],
          "topics": ["Art. 2 Abs. 7 AI Act", "Art. 26 Abs. 9 AI Act", "Erwägungsgrund 9", "Doppelarbeit"],
          "difficulty": "einfach",
          "source_heading": "Warum es einen integrierten Auditor braucht"
        },
        {
          "id": "begriffsklaerung",
          "title": "Begriffsklärung — Anbieter vs. Betreiber",
          "objectives": [
            "Anbieter (Provider) vs. Betreiber (Deployer) sicher abgrenzen",
            "DSGVO-Verantwortlicher vs. Auftragsverarbeiter zuordnen",
            "Mehrere Rollen pro Unternehmen: typische Konstellationen"
          ],
          "topics": ["Art. 3 AI Act", "Art. 4 DSGVO", "Inverkehrbringen", "Inbetriebnahme"],
          "difficulty": "mittel",
          "source_heading": "Persönlicher Anwendungsbereich"
        },
        {
          "id": "rollen-konflikte",
          "title": "Rollen-Konflikte: DSB & AI-Officer",
          "objectives": [
            "DSB als Pflichtberuf nach DSGVO Art. 37 verstehen",
            "AI-Officer als organisatorische Notwendigkeit (kein Pflichtberuf)",
            "Personalunion möglich, Interessenskonflikt prüfen"
          ],
          "topics": ["Art. 37 DSGVO", "Art. 38 DSGVO", "Personalunion", "Interessenkonflikt"],
          "difficulty": "mittel",
          "source_heading": "Rollen klären"
        },
        {
          "id": "zielbild-register",
          "title": "Zielbild: ein integriertes Risiko-Register",
          "objectives": [
            "Single-Source-of-Truth-Logik verstehen",
            "Verarbeitungsverzeichnis + Bestands-Inventar verschmelzen",
            "Quartals-Review-Rhythmus etablieren"
          ],
          "topics": ["Art. 30 DSGVO", "Art. 11 AI Act", "Inventar", "Review-Rhythmus"],
          "difficulty": "einfach",
          "source_heading": "Zielbild: ein integriertes Risiko-Register"
        }
      ]
    },
    {
      "id": "dsgvo-fuer-ai-leute",
      "title": "2 · DSGVO-Essenz für AI-Profis",
      "short": "Art. 5, 6, 9, 22, 25, 32, 35 in der AI-Übersetzung",
      "icon": "shield",
      "color": "#a78bfa",
      "description": "Für AI-Officer, Data-Scientists, ML-Engineers: das Pflicht-Set DSGVO. Die 7 wichtigsten Artikel mit AI-Bezug, Art. 9 für Bias-Audits, Privacy by Design im Pipeline-Kontext.",
      "source_md": "01-dsgvo-essenz-fuer-ai-leute.md",
      "modules": [
        {
          "id": "dsgvo-essenz",
          "title": "Die 7 Pflicht-Artikel (Art. 5/6/9/22/25/32/35)",
          "objectives": [
            "Alle 7 Artikel benennen und in AI-Pipelines einordnen",
            "Art. 22 als direkten AI-DSGVO-Hotspot erkennen",
            "Art. 9 als Bias-Audit-Stolperfalle verstehen"
          ],
          "topics": ["Art. 5", "Art. 6", "Art. 9", "Art. 22", "Art. 25", "Art. 32", "Art. 35"],
          "difficulty": "mittel",
          "source_heading": "Die 7 Artikel, die für AI immer relevant sind"
        },
        {
          "id": "grundsaetze-ai",
          "title": "Art. 5 Grundsätze in AI-Übersetzung",
          "objectives": [
            "Zweckbindung in Trainings- vs. Inferenz-Phase trennen",
            "Datenminimierung als Modell-Verbesserer (nicht nur Pflicht)",
            "Speicherbegrenzung inkl. gelernter Repräsentationen"
          ],
          "topics": ["Zweckbindung", "Datenminimierung", "Speicherbegrenzung", "Embeddings"],
          "difficulty": "schwer",
          "source_heading": "Art. 5 — die 7 Grundsätze in der AI-Übersetzung"
        },
        {
          "id": "rechtsgrundlagen-ai",
          "title": "Art. 6 Rechtsgrundlagen für AI-Pipelines",
          "objectives": [
            "Eine Grundlage für Training, eine andere für Inferenz wählen können",
            "Berechtigtes Interesse + LIA für Modell-Training begründen",
            "Einwilligung im Beschäftigtenverhältnis kritisch prüfen"
          ],
          "topics": ["Art. 6 lit. a-f", "LIA", "Beschäftigtenverhältnis", "vorvertraglich"],
          "difficulty": "schwer",
          "source_heading": "Art. 6 — die 6 Rechtsgrundlagen im AI-Kontext"
        },
        {
          "id": "art9-bias",
          "title": "Art. 9 + Bias-Audit-Dilemma",
          "objectives": [
            "Besondere Kategorien benennen (Gesundheit, Ethnie, Religion, etc.)",
            "Verbots-Logik mit Ausnahmen Abs. 2 verstehen",
            "AI Act Art. 10 Abs. 5 als zusätzliche Erlaubnis-Norm einsetzen"
          ],
          "topics": ["Art. 9 Abs. 1+2", "Bias-Audit", "Art. 10 Abs. 5 AI Act", "Pseudonymisierung"],
          "difficulty": "schwer",
          "source_heading": "Art. 9 — besondere Kategorien"
        },
        {
          "id": "privacy-by-design-ai",
          "title": "Art. 25 Privacy by Design in AI-Architektur",
          "objectives": [
            "Default kein PII in Embeddings (DP, Anonymisierung)",
            "Multi-Tenant-Isolation in Federated-Learning-Setups",
            "Kürzeste Retention als Default-Konfiguration"
          ],
          "topics": ["Differential Privacy", "Federated Learning", "Retention", "Default"],
          "difficulty": "schwer",
          "source_heading": "Art. 25 — Privacy by Design + Default"
        }
      ]
    },
    {
      "id": "ai-act-fuer-dsb",
      "title": "3 · AI-Act-Essenz für DSB",
      "short": "Risiko-Klassen, Anhang III, Art. 9-15, Konformität",
      "icon": "scale",
      "color": "#06b6d4",
      "description": "Für klassische DSB: das Pflicht-Set EU AI Act. Vier Risiko-Klassen, Anhang III als Hochrisiko-Liste (HR-Filter, Bonität, Bildung), die RMS-Familie Art. 9-15, Konformitätsbewertung + CE.",
      "source_md": "02-ai-act-essenz-fuer-dsb.md",
      "modules": [
        {
          "id": "ai-act-essenz",
          "title": "Die 4 Risiko-Klassen + GPAI",
          "objectives": [
            "Verboten / Hochrisiko / Limitiert / Minimal sicher zuordnen",
            "GPAI als eigene Säule erkennen (Art. 51-56)",
            "Stichtag-Logik bis 02.08.2027 verstehen"
          ],
          "topics": ["Art. 5", "Art. 6", "Art. 50", "Anhang III", "GPAI", "Timeline"],
          "difficulty": "einfach",
          "source_heading": "Die vier Risiko-Klassen"
        },
        {
          "id": "anhang-iii",
          "title": "Anhang III — wo Mittelständler hängenbleiben",
          "objectives": [
            "HR-Bewerber-Filter als Hochrisiko erkennen",
            "Bonitäts-Scoring + Versicherungs-Risiko korrekt einordnen",
            "Bildungs-AI (Prüfungs-Auswertung etc.) als Hochrisiko"
          ],
          "topics": ["Beschäftigung", "Bildung", "Bonität", "Kritische Infrastruktur"],
          "difficulty": "mittel",
          "source_heading": "Anhang III — wo die meisten Mittelständler hängen bleiben"
        },
        {
          "id": "rms-familie",
          "title": "RMS-Familie Art. 9-15",
          "objectives": [
            "Art. 9 RMS, Art. 10 Daten, Art. 11 Doku, Art. 12 Logging",
            "Art. 13 Transparenz, Art. 14 Aufsicht, Art. 15 Robustheit benennen",
            "Verbindung zu DSGVO-Pendants herstellen"
          ],
          "topics": ["Art. 9", "Art. 10", "Art. 11", "Art. 12", "Art. 13", "Art. 14", "Art. 15"],
          "difficulty": "mittel",
          "source_heading": "Die Pflichten für Hochrisiko-Systeme"
        },
        {
          "id": "konformitaet-ce",
          "title": "Konformitätsbewertung + CE-Kennzeichnung",
          "objectives": [
            "Anhang VI (interne Kontrolle) vs. Anhang VII (Notified Body)",
            "CE-Kennzeichnung + EU-Konformitätserklärung + EU-Datenbank",
            "10-Jahre-Aufbewahrung der Tech-Doku"
          ],
          "topics": ["Art. 43", "Art. 47", "Art. 48", "Art. 49", "Anhang VI/VII", "Notified Body"],
          "difficulty": "schwer",
          "source_heading": "Konformitätsbewertung & CE-Kennzeichnung"
        },
        {
          "id": "betreiber-pflichten",
          "title": "Betreiber-Pflichten Art. 26",
          "objectives": [
            "Anbieter-Anweisungen befolgen, Eingangs-Daten qualitätssichern",
            "Menschliche Aufsicht: qualifiziertes Personal sicherstellen",
            "Art. 26 Abs. 9: DSFA durchführen — direkter DSGVO-Hook!"
          ],
          "topics": ["Art. 26", "Eingangs-Datenqualität", "Aufsicht", "Vorfalls-Meldung"],
          "difficulty": "mittel",
          "source_heading": "Pflichten der Betreiber"
        },
        {
          "id": "sanktionen-ai",
          "title": "Sanktionen Art. 99 + AI-Literacy Art. 4",
          "objectives": [
            "Verbotene Praxis: bis 35 Mio. € / 7 % Umsatz",
            "Andere Pflichten: bis 15 Mio. € / 3 %",
            "AI-Literacy-Pflicht seit 02.02.2025 für ALLE Anwender"
          ],
          "topics": ["Art. 99", "Art. 4 AI-Literacy", "02.02.2025", "Schulung"],
          "difficulty": "einfach",
          "source_heading": "Sanktionen"
        }
      ]
    },
    {
      "id": "hotspots",
      "title": "4 · Crosswalks + Hotspots",
      "short": "DSFA <-> RMS, Art. 22 <-> AI-Act, Daten-Governance",
      "icon": "git-branch",
      "color": "#5b21b6",
      "description": "Die drei zentralen Crosswalks: Art. 35 DSFA <-> Art. 9 RMS (was überlappt, was ist neu), Art. 22 DSGVO <-> AI-Act Art. 13/14 (EuGH Schufa!), Art. 5/9 DSGVO <-> Art. 10 AI Act (Bias-Audit-Dilemma).",
      "source_md": "03-crosswalk-art35-dsfa-vs-art9-rms.md",
      "modules": [
        {
          "id": "crosswalk",
          "title": "DSFA (Art. 35) <-> RMS (Art. 9)",
          "objectives": [
            "Sechs gemeinsame Risk-Engineering-Schritte erkennen",
            "Vier neue RMS-Dimensionen (Lifecycle, Drift, Oversight, FRIA)",
            "Drei DSFA-only Sektionen (DSB-Konsultation, Aufsichtsbehörde, Betroffenenrechte)"
          ],
          "topics": ["Art. 35", "Art. 9", "Lifecycle", "FRIA", "Drift-Monitoring"],
          "difficulty": "schwer",
          "source_heading": "Die große Überlappung"
        },
        {
          "id": "art22",
          "title": "Art. 22 <-> AI-Act Art. 13/14",
          "objectives": [
            "Drei Tatbestandsmerkmale Art. 22 erkennen",
            "EuGH Schufa (C-634/21) verstehen — abgesenkte Schwelle",
            "Substanzielle menschliche Aufsicht (Art. 14) operationalisieren"
          ],
          "topics": ["Art. 22 Abs. 1+3", "EuGH Schufa", "Art. 13", "Art. 14", "Recht auf Erklärung Art. 86"],
          "difficulty": "schwer",
          "source_heading": "Was Art. 22 DSGVO sagt"
        },
        {
          "id": "art10-daten",
          "title": "Art. 5 + 9 DSGVO <-> Art. 10 AI Act",
          "objectives": [
            "Datenqualität gleichzeitig DSGVO + AI-Act-Pflicht",
            "Art. 10 Abs. 5 als eigenständige Erlaubnis-Norm für Bias-Tests",
            "Membership-Inference: Modell-Gewichte als personenbezogene Daten"
          ],
          "topics": ["Art. 10 AI Act", "Bias-Test-Erlaubnis", "Membership Inference", "Provenance"],
          "difficulty": "schwer",
          "source_heading": "Crosswalk-Tabelle Daten-Pflichten"
        },
        {
          "id": "tom-konformitaet",
          "title": "TOMs (Art. 32) <-> Konformität (Art. 43+)",
          "objectives": [
            "Doppelnutzbare Maßnahmen identifizieren (Verschlüsselung, Logging)",
            "AI-only Maßnahmen ergänzen (Drift, Bias, Adversarial)",
            "Eine Maßnahmen-Datenbank, zwei Doku-Stränge"
          ],
          "topics": ["Art. 32", "Art. 43", "Anhang IV", "Maßnahmen-DB"],
          "difficulty": "mittel",
          "source_heading": "Crosswalk: Sicherheits-Maßnahmen"
        },
        {
          "id": "behoerden-mapping",
          "title": "DPAs <-> Marktüberwachung",
          "objectives": [
            "Doppelmeldung bei Vorfall: Art. 33 DSGVO + Art. 73 AI Act",
            "Behörden-Architektur DE in Übergangsphase",
            "Strengere Anforderung erfüllen bei divergierenden Auslegungen"
          ],
          "topics": ["BfDI", "Landes-DPA", "BNetzA", "AI Office", "Doppelmeldung"],
          "difficulty": "mittel",
          "source_heading": "Crosswalk: Wer für was zuständig"
        }
      ]
    },
    {
      "id": "praxis-register",
      "title": "5 · Risikoregister + Praxis-Workflow",
      "short": "Integriertes Inventar + Vorfalls-Workflow + FAQ",
      "icon": "list-checks",
      "color": "#22c55e",
      "description": "Der Praxis-Teil: integriertes System-Inventar als SSoT, Vorfalls-Meldeprozess mit zwei Strecken, typische DSB+AI-Officer-Praxis-Fragen.",
      "source_md": "08-template-integriertes-risikoregister.md",
      "modules": [
        {
          "id": "risikoregister",
          "title": "Integriertes Risikoregister aufsetzen",
          "objectives": [
            "Mindest-Spalten-Set anwenden",
            "Crosswalk-Einsparungen pro System dokumentieren",
            "Quartals-Review + Trigger-basierte Updates etablieren"
          ],
          "topics": ["Art. 30 DSGVO", "Art. 11 AI Act", "SSoT", "Quartals-Review"],
          "difficulty": "mittel",
          "source_heading": "Spalten-Definition"
        },
        {
          "id": "beispiel-hr",
          "title": "Beispiel HR-Bewerber-Filter — Ende-zu-Ende",
          "objectives": [
            "Klassifikation Hochrisiko + Art. 22-Check parallel",
            "DSFA + RMS + Tech-Doku als integriertes Paket",
            "Vendor-Vertrag mit AI-Act-Anbieter-Pflichten-Klausel"
          ],
          "topics": ["HR-Filter", "DSFA", "RMS", "Vendor-AVV"],
          "difficulty": "schwer",
          "source_heading": "Beispiel-Eintrag: HR-Bewerbungsfilter"
        },
        {
          "id": "vorfalls-prozess",
          "title": "Integrierter Vorfalls-Meldeprozess",
          "objectives": [
            "DSGVO Art. 33 (72h) + AI Act Art. 73 (unverzüglich) parallel",
            "Trigger-Erkennung gemeinsam, Klassifizierung getrennt",
            "Gemeinsame Vorfalls-Doku mit zwei Anhängen"
          ],
          "topics": ["Art. 33", "Art. 34", "Art. 73", "Frühwarn-System"],
          "difficulty": "mittel",
          "source_heading": "Doppelmeldung bei Vorfällen"
        },
        {
          "id": "ai-literacy",
          "title": "AI-Literacy + Schulungs-Konzept",
          "objectives": [
            "Art. 4 AI Act seit 02.02.2025 als Pflicht für ALLE Anwender",
            "Rollen-spezifische Schulungs-Curricula",
            "Schulungs-Doku als TOM (DSGVO Art. 32) zweitnutzen"
          ],
          "topics": ["Art. 4 AI Act", "Schulung", "Rollen", "TOM"],
          "difficulty": "einfach",
          "source_heading": "AI-Literacy übersehen"
        },
        {
          "id": "faq-praxis",
          "title": "Praxis-FAQ DSB & AI-Officer",
          "objectives": [
            "Typische Personalunion-Frage beantworten",
            "ChatGPT-für-HR-Sichtung-Falle erkennen",
            "Membership-Inference + Lösch-Anfragen einordnen"
          ],
          "topics": ["Personalunion", "ChatGPT-HR", "Lösch-Anfrage", "Modell-Gewichte"],
          "difficulty": "mittel",
          "source_heading": "Häufige Fragen"
        }
      ]
    }
  ],
  "badges": [
    {"id": "erste_audit", "title": "Erste Audit", "icon": "shuffle", "description": "1. Quiz im Integrations-Modul erfolgreich — du hast den Crosswalk-Gedanken verinnerlicht."},
    {"id": "dsgvo_kenner", "title": "DSGVO-Kenner", "icon": "shield", "description": "5 Quiz im DSGVO-Essenz-Modul korrekt — die 7 Pflicht-Artikel sitzen."},
    {"id": "ai_act_kenner", "title": "AI-Act-Kenner", "icon": "scale", "description": "5 Quiz im AI-Act-Essenz-Modul korrekt — Risiko-Klassen + Anhang III sitzen."},
    {"id": "crosswalk_meister", "title": "Crosswalk-Meister", "icon": "git-branch", "description": "5 Quiz im Crosswalk-Modul korrekt — DSFA <-> RMS-Mapping sitzt."},
    {"id": "art22_pro", "title": "Art-22-Pro", "icon": "user-check", "description": "3 Quiz im Art-22-Modul korrekt — automatisierte Einzelentscheidungen sicher einordnen."},
    {"id": "register_architekt", "title": "Register-Architekt", "icon": "list-checks", "description": "Alle Flashcards des Risikoregister-Moduls bestanden — SSoT-Konzept verinnerlicht."},
    {"id": "kurt_meister", "title": "KURT-Meister", "icon": "crown", "description": "Alle 5 Curricula mit >=80% abgeschlossen — DSGVO+AI-Act parallel im Griff."},
    {"id": "streak_14", "title": "14-Tage-Streak", "icon": "flame", "description": "14 Tage in Folge aktiv — Compliance-Disziplin sichtbar."},
    {"id": "night_owl", "title": "Nachteule", "icon": "moon", "description": "Nach 22 Uhr gelernt."},
    {"id": "early_bird", "title": "Frühaufsteher", "icon": "sun", "description": "Vor 7 Uhr gelernt."}
  ],
  "levels": [
    {"min": 0, "title": "Compliance-Lernende"},
    {"min": 50, "title": "DSB-Junior"},
    {"min": 200, "title": "DSB / AI-Officer"},
    {"min": 500, "title": "Senior-DSB / Senior-AI-Officer"},
    {"min": 1250, "title": "Compliance-Lead"},
    {"min": 2500, "title": "Chief Compliance Officer"},
    {"min": 5000, "title": "Aufsichtsbehörde-Veteran"}
  ]
}
init: extract kurt-compliance-auditor from qognio-bot-widget-template@d2c816f Source files (src/) and rendered bundle (www/) extracted on 2026-04-29T01:35:47+02:00. Adds nginx:alpine Dockerfile + docker-compose.yml (Caddy-labels) so the bot runs stand-alone or as a per-customer template clone. Parent monorepo commit: d2c816f3edbc9760802a11b29ff4151c7aad4b46 Bot version: 2026-04-25 2026-04-28 23:35:47 +00:00			`{`
			`"version": "2026-04-25",`
			`"updated": "2026-04-25",`
			`"curricula": [`
			`{`
			`"id": "warum-integrieren",`
			`"title": "1 · Warum integrieren",`
			`"short": "Warum DSGVO + AI Act zusammen denken",`
			`"icon": "shuffle",`
			`"color": "#7c3aed",`
			`"description": "Beide Verordnungen gelten parallel — keine ersetzt die andere. Die drei klassischen Doppelarbeits-Hotspots: DSFA <-> RMS, Art. 22 <-> AI-Act Art. 13/14, Daten-Governance <-> Art. 10. Zielbild: ein integriertes Risiko-Register.",`
			`"source_md": "00-warum-integrieren.md",`
			`"modules": [`
			`{`
			`"id": "integration",`
			`"title": "Warum überhaupt integrieren?",`
			`"objectives": [`
			`"Verstehen, warum DSGVO und AI Act parallel gelten",`
			`"Die expliziten Verweise des AI Act auf die DSGVO benennen",`
			`"Die drei Doppelarbeits-Hotspots identifizieren"`
			`],`
			`"topics": ["Art. 2 Abs. 7 AI Act", "Art. 26 Abs. 9 AI Act", "Erwägungsgrund 9", "Doppelarbeit"],`
			`"difficulty": "einfach",`
			`"source_heading": "Warum es einen integrierten Auditor braucht"`
			`},`
			`{`
			`"id": "begriffsklaerung",`
			`"title": "Begriffsklärung — Anbieter vs. Betreiber",`
			`"objectives": [`
			`"Anbieter (Provider) vs. Betreiber (Deployer) sicher abgrenzen",`
			`"DSGVO-Verantwortlicher vs. Auftragsverarbeiter zuordnen",`
			`"Mehrere Rollen pro Unternehmen: typische Konstellationen"`
			`],`
			`"topics": ["Art. 3 AI Act", "Art. 4 DSGVO", "Inverkehrbringen", "Inbetriebnahme"],`
			`"difficulty": "mittel",`
			`"source_heading": "Persönlicher Anwendungsbereich"`
			`},`
			`{`
			`"id": "rollen-konflikte",`
			`"title": "Rollen-Konflikte: DSB & AI-Officer",`
			`"objectives": [`
			`"DSB als Pflichtberuf nach DSGVO Art. 37 verstehen",`
			`"AI-Officer als organisatorische Notwendigkeit (kein Pflichtberuf)",`
			`"Personalunion möglich, Interessenskonflikt prüfen"`
			`],`
			`"topics": ["Art. 37 DSGVO", "Art. 38 DSGVO", "Personalunion", "Interessenkonflikt"],`
			`"difficulty": "mittel",`
			`"source_heading": "Rollen klären"`
			`},`
			`{`
			`"id": "zielbild-register",`
			`"title": "Zielbild: ein integriertes Risiko-Register",`
			`"objectives": [`
			`"Single-Source-of-Truth-Logik verstehen",`
			`"Verarbeitungsverzeichnis + Bestands-Inventar verschmelzen",`
			`"Quartals-Review-Rhythmus etablieren"`
			`],`
			`"topics": ["Art. 30 DSGVO", "Art. 11 AI Act", "Inventar", "Review-Rhythmus"],`
			`"difficulty": "einfach",`
			`"source_heading": "Zielbild: ein integriertes Risiko-Register"`
			`}`
			`]`
			`},`
			`{`
			`"id": "dsgvo-fuer-ai-leute",`
			`"title": "2 · DSGVO-Essenz für AI-Profis",`
			`"short": "Art. 5, 6, 9, 22, 25, 32, 35 in der AI-Übersetzung",`
			`"icon": "shield",`
			`"color": "#a78bfa",`
			`"description": "Für AI-Officer, Data-Scientists, ML-Engineers: das Pflicht-Set DSGVO. Die 7 wichtigsten Artikel mit AI-Bezug, Art. 9 für Bias-Audits, Privacy by Design im Pipeline-Kontext.",`
			`"source_md": "01-dsgvo-essenz-fuer-ai-leute.md",`
			`"modules": [`
			`{`
			`"id": "dsgvo-essenz",`
			`"title": "Die 7 Pflicht-Artikel (Art. 5/6/9/22/25/32/35)",`
			`"objectives": [`
			`"Alle 7 Artikel benennen und in AI-Pipelines einordnen",`
			`"Art. 22 als direkten AI-DSGVO-Hotspot erkennen",`
			`"Art. 9 als Bias-Audit-Stolperfalle verstehen"`
			`],`
			`"topics": ["Art. 5", "Art. 6", "Art. 9", "Art. 22", "Art. 25", "Art. 32", "Art. 35"],`
			`"difficulty": "mittel",`
			`"source_heading": "Die 7 Artikel, die für AI immer relevant sind"`
			`},`
			`{`
			`"id": "grundsaetze-ai",`
			`"title": "Art. 5 Grundsätze in AI-Übersetzung",`
			`"objectives": [`
			`"Zweckbindung in Trainings- vs. Inferenz-Phase trennen",`
			`"Datenminimierung als Modell-Verbesserer (nicht nur Pflicht)",`
			`"Speicherbegrenzung inkl. gelernter Repräsentationen"`
			`],`
			`"topics": ["Zweckbindung", "Datenminimierung", "Speicherbegrenzung", "Embeddings"],`
			`"difficulty": "schwer",`
			`"source_heading": "Art. 5 — die 7 Grundsätze in der AI-Übersetzung"`
			`},`
			`{`
			`"id": "rechtsgrundlagen-ai",`
			`"title": "Art. 6 Rechtsgrundlagen für AI-Pipelines",`
			`"objectives": [`
			`"Eine Grundlage für Training, eine andere für Inferenz wählen können",`
			`"Berechtigtes Interesse + LIA für Modell-Training begründen",`
			`"Einwilligung im Beschäftigtenverhältnis kritisch prüfen"`
			`],`
			`"topics": ["Art. 6 lit. a-f", "LIA", "Beschäftigtenverhältnis", "vorvertraglich"],`
			`"difficulty": "schwer",`
			`"source_heading": "Art. 6 — die 6 Rechtsgrundlagen im AI-Kontext"`
			`},`
			`{`
			`"id": "art9-bias",`
			`"title": "Art. 9 + Bias-Audit-Dilemma",`
			`"objectives": [`
			`"Besondere Kategorien benennen (Gesundheit, Ethnie, Religion, etc.)",`
			`"Verbots-Logik mit Ausnahmen Abs. 2 verstehen",`
			`"AI Act Art. 10 Abs. 5 als zusätzliche Erlaubnis-Norm einsetzen"`
			`],`
			`"topics": ["Art. 9 Abs. 1+2", "Bias-Audit", "Art. 10 Abs. 5 AI Act", "Pseudonymisierung"],`
			`"difficulty": "schwer",`
			`"source_heading": "Art. 9 — besondere Kategorien"`
			`},`
			`{`
			`"id": "privacy-by-design-ai",`
			`"title": "Art. 25 Privacy by Design in AI-Architektur",`
			`"objectives": [`
			`"Default kein PII in Embeddings (DP, Anonymisierung)",`
			`"Multi-Tenant-Isolation in Federated-Learning-Setups",`
			`"Kürzeste Retention als Default-Konfiguration"`
			`],`
			`"topics": ["Differential Privacy", "Federated Learning", "Retention", "Default"],`
			`"difficulty": "schwer",`
			`"source_heading": "Art. 25 — Privacy by Design + Default"`
			`}`
			`]`
			`},`
			`{`
			`"id": "ai-act-fuer-dsb",`
			`"title": "3 · AI-Act-Essenz für DSB",`
			`"short": "Risiko-Klassen, Anhang III, Art. 9-15, Konformität",`
			`"icon": "scale",`
			`"color": "#06b6d4",`
			`"description": "Für klassische DSB: das Pflicht-Set EU AI Act. Vier Risiko-Klassen, Anhang III als Hochrisiko-Liste (HR-Filter, Bonität, Bildung), die RMS-Familie Art. 9-15, Konformitätsbewertung + CE.",`
			`"source_md": "02-ai-act-essenz-fuer-dsb.md",`
			`"modules": [`
			`{`
			`"id": "ai-act-essenz",`
			`"title": "Die 4 Risiko-Klassen + GPAI",`
			`"objectives": [`
			`"Verboten / Hochrisiko / Limitiert / Minimal sicher zuordnen",`
			`"GPAI als eigene Säule erkennen (Art. 51-56)",`
			`"Stichtag-Logik bis 02.08.2027 verstehen"`
			`],`
			`"topics": ["Art. 5", "Art. 6", "Art. 50", "Anhang III", "GPAI", "Timeline"],`
			`"difficulty": "einfach",`
			`"source_heading": "Die vier Risiko-Klassen"`
			`},`
			`{`
			`"id": "anhang-iii",`
			`"title": "Anhang III — wo Mittelständler hängenbleiben",`
			`"objectives": [`
			`"HR-Bewerber-Filter als Hochrisiko erkennen",`
			`"Bonitäts-Scoring + Versicherungs-Risiko korrekt einordnen",`
			`"Bildungs-AI (Prüfungs-Auswertung etc.) als Hochrisiko"`
			`],`
			`"topics": ["Beschäftigung", "Bildung", "Bonität", "Kritische Infrastruktur"],`
			`"difficulty": "mittel",`
			`"source_heading": "Anhang III — wo die meisten Mittelständler hängen bleiben"`
			`},`
			`{`
			`"id": "rms-familie",`
			`"title": "RMS-Familie Art. 9-15",`
			`"objectives": [`
			`"Art. 9 RMS, Art. 10 Daten, Art. 11 Doku, Art. 12 Logging",`
			`"Art. 13 Transparenz, Art. 14 Aufsicht, Art. 15 Robustheit benennen",`
			`"Verbindung zu DSGVO-Pendants herstellen"`
			`],`
			`"topics": ["Art. 9", "Art. 10", "Art. 11", "Art. 12", "Art. 13", "Art. 14", "Art. 15"],`
			`"difficulty": "mittel",`
			`"source_heading": "Die Pflichten für Hochrisiko-Systeme"`
			`},`
			`{`
			`"id": "konformitaet-ce",`
			`"title": "Konformitätsbewertung + CE-Kennzeichnung",`
			`"objectives": [`
			`"Anhang VI (interne Kontrolle) vs. Anhang VII (Notified Body)",`
			`"CE-Kennzeichnung + EU-Konformitätserklärung + EU-Datenbank",`
			`"10-Jahre-Aufbewahrung der Tech-Doku"`
			`],`
			`"topics": ["Art. 43", "Art. 47", "Art. 48", "Art. 49", "Anhang VI/VII", "Notified Body"],`
			`"difficulty": "schwer",`
			`"source_heading": "Konformitätsbewertung & CE-Kennzeichnung"`
			`},`
			`{`
			`"id": "betreiber-pflichten",`
			`"title": "Betreiber-Pflichten Art. 26",`
			`"objectives": [`
			`"Anbieter-Anweisungen befolgen, Eingangs-Daten qualitätssichern",`
			`"Menschliche Aufsicht: qualifiziertes Personal sicherstellen",`
			`"Art. 26 Abs. 9: DSFA durchführen — direkter DSGVO-Hook!"`
			`],`
			`"topics": ["Art. 26", "Eingangs-Datenqualität", "Aufsicht", "Vorfalls-Meldung"],`
			`"difficulty": "mittel",`
			`"source_heading": "Pflichten der Betreiber"`
			`},`
			`{`
			`"id": "sanktionen-ai",`
			`"title": "Sanktionen Art. 99 + AI-Literacy Art. 4",`
			`"objectives": [`
			`"Verbotene Praxis: bis 35 Mio. € / 7 % Umsatz",`
			`"Andere Pflichten: bis 15 Mio. € / 3 %",`
			`"AI-Literacy-Pflicht seit 02.02.2025 für ALLE Anwender"`
			`],`
			`"topics": ["Art. 99", "Art. 4 AI-Literacy", "02.02.2025", "Schulung"],`
			`"difficulty": "einfach",`
			`"source_heading": "Sanktionen"`
			`}`
			`]`
			`},`
			`{`
			`"id": "hotspots",`
			`"title": "4 · Crosswalks + Hotspots",`
			`"short": "DSFA <-> RMS, Art. 22 <-> AI-Act, Daten-Governance",`
			`"icon": "git-branch",`
			`"color": "#5b21b6",`
			`"description": "Die drei zentralen Crosswalks: Art. 35 DSFA <-> Art. 9 RMS (was überlappt, was ist neu), Art. 22 DSGVO <-> AI-Act Art. 13/14 (EuGH Schufa!), Art. 5/9 DSGVO <-> Art. 10 AI Act (Bias-Audit-Dilemma).",`
			`"source_md": "03-crosswalk-art35-dsfa-vs-art9-rms.md",`
			`"modules": [`
			`{`
			`"id": "crosswalk",`
			`"title": "DSFA (Art. 35) <-> RMS (Art. 9)",`
			`"objectives": [`
			`"Sechs gemeinsame Risk-Engineering-Schritte erkennen",`
			`"Vier neue RMS-Dimensionen (Lifecycle, Drift, Oversight, FRIA)",`
			`"Drei DSFA-only Sektionen (DSB-Konsultation, Aufsichtsbehörde, Betroffenenrechte)"`
			`],`
			`"topics": ["Art. 35", "Art. 9", "Lifecycle", "FRIA", "Drift-Monitoring"],`
			`"difficulty": "schwer",`
			`"source_heading": "Die große Überlappung"`
			`},`
			`{`
			`"id": "art22",`
			`"title": "Art. 22 <-> AI-Act Art. 13/14",`
			`"objectives": [`
			`"Drei Tatbestandsmerkmale Art. 22 erkennen",`
			`"EuGH Schufa (C-634/21) verstehen — abgesenkte Schwelle",`
			`"Substanzielle menschliche Aufsicht (Art. 14) operationalisieren"`
			`],`
			`"topics": ["Art. 22 Abs. 1+3", "EuGH Schufa", "Art. 13", "Art. 14", "Recht auf Erklärung Art. 86"],`
			`"difficulty": "schwer",`
			`"source_heading": "Was Art. 22 DSGVO sagt"`
			`},`
			`{`
			`"id": "art10-daten",`
			`"title": "Art. 5 + 9 DSGVO <-> Art. 10 AI Act",`
			`"objectives": [`
			`"Datenqualität gleichzeitig DSGVO + AI-Act-Pflicht",`
			`"Art. 10 Abs. 5 als eigenständige Erlaubnis-Norm für Bias-Tests",`
			`"Membership-Inference: Modell-Gewichte als personenbezogene Daten"`
			`],`
			`"topics": ["Art. 10 AI Act", "Bias-Test-Erlaubnis", "Membership Inference", "Provenance"],`
			`"difficulty": "schwer",`
			`"source_heading": "Crosswalk-Tabelle Daten-Pflichten"`
			`},`
			`{`
			`"id": "tom-konformitaet",`
			`"title": "TOMs (Art. 32) <-> Konformität (Art. 43+)",`
			`"objectives": [`
			`"Doppelnutzbare Maßnahmen identifizieren (Verschlüsselung, Logging)",`
			`"AI-only Maßnahmen ergänzen (Drift, Bias, Adversarial)",`
			`"Eine Maßnahmen-Datenbank, zwei Doku-Stränge"`
			`],`
			`"topics": ["Art. 32", "Art. 43", "Anhang IV", "Maßnahmen-DB"],`
			`"difficulty": "mittel",`
			`"source_heading": "Crosswalk: Sicherheits-Maßnahmen"`
			`},`
			`{`
			`"id": "behoerden-mapping",`
			`"title": "DPAs <-> Marktüberwachung",`
			`"objectives": [`
			`"Doppelmeldung bei Vorfall: Art. 33 DSGVO + Art. 73 AI Act",`
			`"Behörden-Architektur DE in Übergangsphase",`
			`"Strengere Anforderung erfüllen bei divergierenden Auslegungen"`
			`],`
			`"topics": ["BfDI", "Landes-DPA", "BNetzA", "AI Office", "Doppelmeldung"],`
			`"difficulty": "mittel",`
			`"source_heading": "Crosswalk: Wer für was zuständig"`
			`}`
			`]`
			`},`
			`{`
			`"id": "praxis-register",`
			`"title": "5 · Risikoregister + Praxis-Workflow",`
			`"short": "Integriertes Inventar + Vorfalls-Workflow + FAQ",`
			`"icon": "list-checks",`
			`"color": "#22c55e",`
			`"description": "Der Praxis-Teil: integriertes System-Inventar als SSoT, Vorfalls-Meldeprozess mit zwei Strecken, typische DSB+AI-Officer-Praxis-Fragen.",`
			`"source_md": "08-template-integriertes-risikoregister.md",`
			`"modules": [`
			`{`
			`"id": "risikoregister",`
			`"title": "Integriertes Risikoregister aufsetzen",`
			`"objectives": [`
			`"Mindest-Spalten-Set anwenden",`
			`"Crosswalk-Einsparungen pro System dokumentieren",`
			`"Quartals-Review + Trigger-basierte Updates etablieren"`
			`],`
			`"topics": ["Art. 30 DSGVO", "Art. 11 AI Act", "SSoT", "Quartals-Review"],`
			`"difficulty": "mittel",`
			`"source_heading": "Spalten-Definition"`
			`},`
			`{`
			`"id": "beispiel-hr",`
			`"title": "Beispiel HR-Bewerber-Filter — Ende-zu-Ende",`
			`"objectives": [`
			`"Klassifikation Hochrisiko + Art. 22-Check parallel",`
			`"DSFA + RMS + Tech-Doku als integriertes Paket",`
			`"Vendor-Vertrag mit AI-Act-Anbieter-Pflichten-Klausel"`
			`],`
			`"topics": ["HR-Filter", "DSFA", "RMS", "Vendor-AVV"],`
			`"difficulty": "schwer",`
			`"source_heading": "Beispiel-Eintrag: HR-Bewerbungsfilter"`
			`},`
			`{`
			`"id": "vorfalls-prozess",`
			`"title": "Integrierter Vorfalls-Meldeprozess",`
			`"objectives": [`
			`"DSGVO Art. 33 (72h) + AI Act Art. 73 (unverzüglich) parallel",`
			`"Trigger-Erkennung gemeinsam, Klassifizierung getrennt",`
			`"Gemeinsame Vorfalls-Doku mit zwei Anhängen"`
			`],`
			`"topics": ["Art. 33", "Art. 34", "Art. 73", "Frühwarn-System"],`
			`"difficulty": "mittel",`
			`"source_heading": "Doppelmeldung bei Vorfällen"`
			`},`
			`{`
			`"id": "ai-literacy",`
			`"title": "AI-Literacy + Schulungs-Konzept",`
			`"objectives": [`
			`"Art. 4 AI Act seit 02.02.2025 als Pflicht für ALLE Anwender",`
			`"Rollen-spezifische Schulungs-Curricula",`
			`"Schulungs-Doku als TOM (DSGVO Art. 32) zweitnutzen"`
			`],`
			`"topics": ["Art. 4 AI Act", "Schulung", "Rollen", "TOM"],`
			`"difficulty": "einfach",`
			`"source_heading": "AI-Literacy übersehen"`
			`},`
			`{`
			`"id": "faq-praxis",`
			`"title": "Praxis-FAQ DSB & AI-Officer",`
			`"objectives": [`
			`"Typische Personalunion-Frage beantworten",`
			`"ChatGPT-für-HR-Sichtung-Falle erkennen",`
			`"Membership-Inference + Lösch-Anfragen einordnen"`
			`],`
			`"topics": ["Personalunion", "ChatGPT-HR", "Lösch-Anfrage", "Modell-Gewichte"],`
			`"difficulty": "mittel",`
			`"source_heading": "Häufige Fragen"`
			`}`
			`]`
			`}`
			`],`
			`"badges": [`
			`{"id": "erste_audit", "title": "Erste Audit", "icon": "shuffle", "description": "1. Quiz im Integrations-Modul erfolgreich — du hast den Crosswalk-Gedanken verinnerlicht."},`
			`{"id": "dsgvo_kenner", "title": "DSGVO-Kenner", "icon": "shield", "description": "5 Quiz im DSGVO-Essenz-Modul korrekt — die 7 Pflicht-Artikel sitzen."},`
			`{"id": "ai_act_kenner", "title": "AI-Act-Kenner", "icon": "scale", "description": "5 Quiz im AI-Act-Essenz-Modul korrekt — Risiko-Klassen + Anhang III sitzen."},`
			`{"id": "crosswalk_meister", "title": "Crosswalk-Meister", "icon": "git-branch", "description": "5 Quiz im Crosswalk-Modul korrekt — DSFA <-> RMS-Mapping sitzt."},`
			`{"id": "art22_pro", "title": "Art-22-Pro", "icon": "user-check", "description": "3 Quiz im Art-22-Modul korrekt — automatisierte Einzelentscheidungen sicher einordnen."},`
			`{"id": "register_architekt", "title": "Register-Architekt", "icon": "list-checks", "description": "Alle Flashcards des Risikoregister-Moduls bestanden — SSoT-Konzept verinnerlicht."},`
			`{"id": "kurt_meister", "title": "KURT-Meister", "icon": "crown", "description": "Alle 5 Curricula mit >=80% abgeschlossen — DSGVO+AI-Act parallel im Griff."},`
			`{"id": "streak_14", "title": "14-Tage-Streak", "icon": "flame", "description": "14 Tage in Folge aktiv — Compliance-Disziplin sichtbar."},`
			`{"id": "night_owl", "title": "Nachteule", "icon": "moon", "description": "Nach 22 Uhr gelernt."},`
			`{"id": "early_bird", "title": "Frühaufsteher", "icon": "sun", "description": "Vor 7 Uhr gelernt."}`
			`],`
			`"levels": [`
			`{"min": 0, "title": "Compliance-Lernende"},`
			`{"min": 50, "title": "DSB-Junior"},`
			`{"min": 200, "title": "DSB / AI-Officer"},`
			`{"min": 500, "title": "Senior-DSB / Senior-AI-Officer"},`
			`{"min": 1250, "title": "Compliance-Lead"},`
			`{"min": 2500, "title": "Chief Compliance Officer"},`
			`{"min": 5000, "title": "Aufsichtsbehörde-Veteran"}`
			`]`
			`}`