{ "version": "2026-04-25", "updated": "2026-04-25", "curricula": [ { "id": "warum-integrieren", "title": "1 · Warum integrieren", "short": "Warum DSGVO + AI Act zusammen denken", "icon": "shuffle", "color": "#7c3aed", "description": "Beide Verordnungen gelten parallel — keine ersetzt die andere. Die drei klassischen Doppelarbeits-Hotspots: DSFA <-> RMS, Art. 22 <-> AI-Act Art. 13/14, Daten-Governance <-> Art. 10. Zielbild: ein integriertes Risiko-Register.", "source_md": "00-warum-integrieren.md", "modules": [ { "id": "integration", "title": "Warum überhaupt integrieren?", "objectives": [ "Verstehen, warum DSGVO und AI Act parallel gelten", "Die expliziten Verweise des AI Act auf die DSGVO benennen", "Die drei Doppelarbeits-Hotspots identifizieren" ], "topics": ["Art. 2 Abs. 7 AI Act", "Art. 26 Abs. 9 AI Act", "Erwägungsgrund 9", "Doppelarbeit"], "difficulty": "einfach", "source_heading": "Warum es einen integrierten Auditor braucht" }, { "id": "begriffsklaerung", "title": "Begriffsklärung — Anbieter vs. Betreiber", "objectives": [ "Anbieter (Provider) vs. Betreiber (Deployer) sicher abgrenzen", "DSGVO-Verantwortlicher vs. Auftragsverarbeiter zuordnen", "Mehrere Rollen pro Unternehmen: typische Konstellationen" ], "topics": ["Art. 3 AI Act", "Art. 4 DSGVO", "Inverkehrbringen", "Inbetriebnahme"], "difficulty": "mittel", "source_heading": "Persönlicher Anwendungsbereich" }, { "id": "rollen-konflikte", "title": "Rollen-Konflikte: DSB & AI-Officer", "objectives": [ "DSB als Pflichtberuf nach DSGVO Art. 37 verstehen", "AI-Officer als organisatorische Notwendigkeit (kein Pflichtberuf)", "Personalunion möglich, Interessenskonflikt prüfen" ], "topics": ["Art. 37 DSGVO", "Art. 38 DSGVO", "Personalunion", "Interessenkonflikt"], "difficulty": "mittel", "source_heading": "Rollen klären" }, { "id": "zielbild-register", "title": "Zielbild: ein integriertes Risiko-Register", "objectives": [ "Single-Source-of-Truth-Logik verstehen", "Verarbeitungsverzeichnis + Bestands-Inventar verschmelzen", "Quartals-Review-Rhythmus etablieren" ], "topics": ["Art. 30 DSGVO", "Art. 11 AI Act", "Inventar", "Review-Rhythmus"], "difficulty": "einfach", "source_heading": "Zielbild: ein integriertes Risiko-Register" } ] }, { "id": "dsgvo-fuer-ai-leute", "title": "2 · DSGVO-Essenz für AI-Profis", "short": "Art. 5, 6, 9, 22, 25, 32, 35 in der AI-Übersetzung", "icon": "shield", "color": "#a78bfa", "description": "Für AI-Officer, Data-Scientists, ML-Engineers: das Pflicht-Set DSGVO. Die 7 wichtigsten Artikel mit AI-Bezug, Art. 9 für Bias-Audits, Privacy by Design im Pipeline-Kontext.", "source_md": "01-dsgvo-essenz-fuer-ai-leute.md", "modules": [ { "id": "dsgvo-essenz", "title": "Die 7 Pflicht-Artikel (Art. 5/6/9/22/25/32/35)", "objectives": [ "Alle 7 Artikel benennen und in AI-Pipelines einordnen", "Art. 22 als direkten AI-DSGVO-Hotspot erkennen", "Art. 9 als Bias-Audit-Stolperfalle verstehen" ], "topics": ["Art. 5", "Art. 6", "Art. 9", "Art. 22", "Art. 25", "Art. 32", "Art. 35"], "difficulty": "mittel", "source_heading": "Die 7 Artikel, die für AI immer relevant sind" }, { "id": "grundsaetze-ai", "title": "Art. 5 Grundsätze in AI-Übersetzung", "objectives": [ "Zweckbindung in Trainings- vs. Inferenz-Phase trennen", "Datenminimierung als Modell-Verbesserer (nicht nur Pflicht)", "Speicherbegrenzung inkl. gelernter Repräsentationen" ], "topics": ["Zweckbindung", "Datenminimierung", "Speicherbegrenzung", "Embeddings"], "difficulty": "schwer", "source_heading": "Art. 5 — die 7 Grundsätze in der AI-Übersetzung" }, { "id": "rechtsgrundlagen-ai", "title": "Art. 6 Rechtsgrundlagen für AI-Pipelines", "objectives": [ "Eine Grundlage für Training, eine andere für Inferenz wählen können", "Berechtigtes Interesse + LIA für Modell-Training begründen", "Einwilligung im Beschäftigtenverhältnis kritisch prüfen" ], "topics": ["Art. 6 lit. a-f", "LIA", "Beschäftigtenverhältnis", "vorvertraglich"], "difficulty": "schwer", "source_heading": "Art. 6 — die 6 Rechtsgrundlagen im AI-Kontext" }, { "id": "art9-bias", "title": "Art. 9 + Bias-Audit-Dilemma", "objectives": [ "Besondere Kategorien benennen (Gesundheit, Ethnie, Religion, etc.)", "Verbots-Logik mit Ausnahmen Abs. 2 verstehen", "AI Act Art. 10 Abs. 5 als zusätzliche Erlaubnis-Norm einsetzen" ], "topics": ["Art. 9 Abs. 1+2", "Bias-Audit", "Art. 10 Abs. 5 AI Act", "Pseudonymisierung"], "difficulty": "schwer", "source_heading": "Art. 9 — besondere Kategorien" }, { "id": "privacy-by-design-ai", "title": "Art. 25 Privacy by Design in AI-Architektur", "objectives": [ "Default kein PII in Embeddings (DP, Anonymisierung)", "Multi-Tenant-Isolation in Federated-Learning-Setups", "Kürzeste Retention als Default-Konfiguration" ], "topics": ["Differential Privacy", "Federated Learning", "Retention", "Default"], "difficulty": "schwer", "source_heading": "Art. 25 — Privacy by Design + Default" } ] }, { "id": "ai-act-fuer-dsb", "title": "3 · AI-Act-Essenz für DSB", "short": "Risiko-Klassen, Anhang III, Art. 9-15, Konformität", "icon": "scale", "color": "#06b6d4", "description": "Für klassische DSB: das Pflicht-Set EU AI Act. Vier Risiko-Klassen, Anhang III als Hochrisiko-Liste (HR-Filter, Bonität, Bildung), die RMS-Familie Art. 9-15, Konformitätsbewertung + CE.", "source_md": "02-ai-act-essenz-fuer-dsb.md", "modules": [ { "id": "ai-act-essenz", "title": "Die 4 Risiko-Klassen + GPAI", "objectives": [ "Verboten / Hochrisiko / Limitiert / Minimal sicher zuordnen", "GPAI als eigene Säule erkennen (Art. 51-56)", "Stichtag-Logik bis 02.08.2027 verstehen" ], "topics": ["Art. 5", "Art. 6", "Art. 50", "Anhang III", "GPAI", "Timeline"], "difficulty": "einfach", "source_heading": "Die vier Risiko-Klassen" }, { "id": "anhang-iii", "title": "Anhang III — wo Mittelständler hängenbleiben", "objectives": [ "HR-Bewerber-Filter als Hochrisiko erkennen", "Bonitäts-Scoring + Versicherungs-Risiko korrekt einordnen", "Bildungs-AI (Prüfungs-Auswertung etc.) als Hochrisiko" ], "topics": ["Beschäftigung", "Bildung", "Bonität", "Kritische Infrastruktur"], "difficulty": "mittel", "source_heading": "Anhang III — wo die meisten Mittelständler hängen bleiben" }, { "id": "rms-familie", "title": "RMS-Familie Art. 9-15", "objectives": [ "Art. 9 RMS, Art. 10 Daten, Art. 11 Doku, Art. 12 Logging", "Art. 13 Transparenz, Art. 14 Aufsicht, Art. 15 Robustheit benennen", "Verbindung zu DSGVO-Pendants herstellen" ], "topics": ["Art. 9", "Art. 10", "Art. 11", "Art. 12", "Art. 13", "Art. 14", "Art. 15"], "difficulty": "mittel", "source_heading": "Die Pflichten für Hochrisiko-Systeme" }, { "id": "konformitaet-ce", "title": "Konformitätsbewertung + CE-Kennzeichnung", "objectives": [ "Anhang VI (interne Kontrolle) vs. Anhang VII (Notified Body)", "CE-Kennzeichnung + EU-Konformitätserklärung + EU-Datenbank", "10-Jahre-Aufbewahrung der Tech-Doku" ], "topics": ["Art. 43", "Art. 47", "Art. 48", "Art. 49", "Anhang VI/VII", "Notified Body"], "difficulty": "schwer", "source_heading": "Konformitätsbewertung & CE-Kennzeichnung" }, { "id": "betreiber-pflichten", "title": "Betreiber-Pflichten Art. 26", "objectives": [ "Anbieter-Anweisungen befolgen, Eingangs-Daten qualitätssichern", "Menschliche Aufsicht: qualifiziertes Personal sicherstellen", "Art. 26 Abs. 9: DSFA durchführen — direkter DSGVO-Hook!" ], "topics": ["Art. 26", "Eingangs-Datenqualität", "Aufsicht", "Vorfalls-Meldung"], "difficulty": "mittel", "source_heading": "Pflichten der Betreiber" }, { "id": "sanktionen-ai", "title": "Sanktionen Art. 99 + AI-Literacy Art. 4", "objectives": [ "Verbotene Praxis: bis 35 Mio. € / 7 % Umsatz", "Andere Pflichten: bis 15 Mio. € / 3 %", "AI-Literacy-Pflicht seit 02.02.2025 für ALLE Anwender" ], "topics": ["Art. 99", "Art. 4 AI-Literacy", "02.02.2025", "Schulung"], "difficulty": "einfach", "source_heading": "Sanktionen" } ] }, { "id": "hotspots", "title": "4 · Crosswalks + Hotspots", "short": "DSFA <-> RMS, Art. 22 <-> AI-Act, Daten-Governance", "icon": "git-branch", "color": "#5b21b6", "description": "Die drei zentralen Crosswalks: Art. 35 DSFA <-> Art. 9 RMS (was überlappt, was ist neu), Art. 22 DSGVO <-> AI-Act Art. 13/14 (EuGH Schufa!), Art. 5/9 DSGVO <-> Art. 10 AI Act (Bias-Audit-Dilemma).", "source_md": "03-crosswalk-art35-dsfa-vs-art9-rms.md", "modules": [ { "id": "crosswalk", "title": "DSFA (Art. 35) <-> RMS (Art. 9)", "objectives": [ "Sechs gemeinsame Risk-Engineering-Schritte erkennen", "Vier neue RMS-Dimensionen (Lifecycle, Drift, Oversight, FRIA)", "Drei DSFA-only Sektionen (DSB-Konsultation, Aufsichtsbehörde, Betroffenenrechte)" ], "topics": ["Art. 35", "Art. 9", "Lifecycle", "FRIA", "Drift-Monitoring"], "difficulty": "schwer", "source_heading": "Die große Überlappung" }, { "id": "art22", "title": "Art. 22 <-> AI-Act Art. 13/14", "objectives": [ "Drei Tatbestandsmerkmale Art. 22 erkennen", "EuGH Schufa (C-634/21) verstehen — abgesenkte Schwelle", "Substanzielle menschliche Aufsicht (Art. 14) operationalisieren" ], "topics": ["Art. 22 Abs. 1+3", "EuGH Schufa", "Art. 13", "Art. 14", "Recht auf Erklärung Art. 86"], "difficulty": "schwer", "source_heading": "Was Art. 22 DSGVO sagt" }, { "id": "art10-daten", "title": "Art. 5 + 9 DSGVO <-> Art. 10 AI Act", "objectives": [ "Datenqualität gleichzeitig DSGVO + AI-Act-Pflicht", "Art. 10 Abs. 5 als eigenständige Erlaubnis-Norm für Bias-Tests", "Membership-Inference: Modell-Gewichte als personenbezogene Daten" ], "topics": ["Art. 10 AI Act", "Bias-Test-Erlaubnis", "Membership Inference", "Provenance"], "difficulty": "schwer", "source_heading": "Crosswalk-Tabelle Daten-Pflichten" }, { "id": "tom-konformitaet", "title": "TOMs (Art. 32) <-> Konformität (Art. 43+)", "objectives": [ "Doppelnutzbare Maßnahmen identifizieren (Verschlüsselung, Logging)", "AI-only Maßnahmen ergänzen (Drift, Bias, Adversarial)", "Eine Maßnahmen-Datenbank, zwei Doku-Stränge" ], "topics": ["Art. 32", "Art. 43", "Anhang IV", "Maßnahmen-DB"], "difficulty": "mittel", "source_heading": "Crosswalk: Sicherheits-Maßnahmen" }, { "id": "behoerden-mapping", "title": "DPAs <-> Marktüberwachung", "objectives": [ "Doppelmeldung bei Vorfall: Art. 33 DSGVO + Art. 73 AI Act", "Behörden-Architektur DE in Übergangsphase", "Strengere Anforderung erfüllen bei divergierenden Auslegungen" ], "topics": ["BfDI", "Landes-DPA", "BNetzA", "AI Office", "Doppelmeldung"], "difficulty": "mittel", "source_heading": "Crosswalk: Wer für was zuständig" } ] }, { "id": "praxis-register", "title": "5 · Risikoregister + Praxis-Workflow", "short": "Integriertes Inventar + Vorfalls-Workflow + FAQ", "icon": "list-checks", "color": "#22c55e", "description": "Der Praxis-Teil: integriertes System-Inventar als SSoT, Vorfalls-Meldeprozess mit zwei Strecken, typische DSB+AI-Officer-Praxis-Fragen.", "source_md": "08-template-integriertes-risikoregister.md", "modules": [ { "id": "risikoregister", "title": "Integriertes Risikoregister aufsetzen", "objectives": [ "Mindest-Spalten-Set anwenden", "Crosswalk-Einsparungen pro System dokumentieren", "Quartals-Review + Trigger-basierte Updates etablieren" ], "topics": ["Art. 30 DSGVO", "Art. 11 AI Act", "SSoT", "Quartals-Review"], "difficulty": "mittel", "source_heading": "Spalten-Definition" }, { "id": "beispiel-hr", "title": "Beispiel HR-Bewerber-Filter — Ende-zu-Ende", "objectives": [ "Klassifikation Hochrisiko + Art. 22-Check parallel", "DSFA + RMS + Tech-Doku als integriertes Paket", "Vendor-Vertrag mit AI-Act-Anbieter-Pflichten-Klausel" ], "topics": ["HR-Filter", "DSFA", "RMS", "Vendor-AVV"], "difficulty": "schwer", "source_heading": "Beispiel-Eintrag: HR-Bewerbungsfilter" }, { "id": "vorfalls-prozess", "title": "Integrierter Vorfalls-Meldeprozess", "objectives": [ "DSGVO Art. 33 (72h) + AI Act Art. 73 (unverzüglich) parallel", "Trigger-Erkennung gemeinsam, Klassifizierung getrennt", "Gemeinsame Vorfalls-Doku mit zwei Anhängen" ], "topics": ["Art. 33", "Art. 34", "Art. 73", "Frühwarn-System"], "difficulty": "mittel", "source_heading": "Doppelmeldung bei Vorfällen" }, { "id": "ai-literacy", "title": "AI-Literacy + Schulungs-Konzept", "objectives": [ "Art. 4 AI Act seit 02.02.2025 als Pflicht für ALLE Anwender", "Rollen-spezifische Schulungs-Curricula", "Schulungs-Doku als TOM (DSGVO Art. 32) zweitnutzen" ], "topics": ["Art. 4 AI Act", "Schulung", "Rollen", "TOM"], "difficulty": "einfach", "source_heading": "AI-Literacy übersehen" }, { "id": "faq-praxis", "title": "Praxis-FAQ DSB & AI-Officer", "objectives": [ "Typische Personalunion-Frage beantworten", "ChatGPT-für-HR-Sichtung-Falle erkennen", "Membership-Inference + Lösch-Anfragen einordnen" ], "topics": ["Personalunion", "ChatGPT-HR", "Lösch-Anfrage", "Modell-Gewichte"], "difficulty": "mittel", "source_heading": "Häufige Fragen" } ] } ], "badges": [ {"id": "erste_audit", "title": "Erste Audit", "icon": "shuffle", "description": "1. Quiz im Integrations-Modul erfolgreich — du hast den Crosswalk-Gedanken verinnerlicht."}, {"id": "dsgvo_kenner", "title": "DSGVO-Kenner", "icon": "shield", "description": "5 Quiz im DSGVO-Essenz-Modul korrekt — die 7 Pflicht-Artikel sitzen."}, {"id": "ai_act_kenner", "title": "AI-Act-Kenner", "icon": "scale", "description": "5 Quiz im AI-Act-Essenz-Modul korrekt — Risiko-Klassen + Anhang III sitzen."}, {"id": "crosswalk_meister", "title": "Crosswalk-Meister", "icon": "git-branch", "description": "5 Quiz im Crosswalk-Modul korrekt — DSFA <-> RMS-Mapping sitzt."}, {"id": "art22_pro", "title": "Art-22-Pro", "icon": "user-check", "description": "3 Quiz im Art-22-Modul korrekt — automatisierte Einzelentscheidungen sicher einordnen."}, {"id": "register_architekt", "title": "Register-Architekt", "icon": "list-checks", "description": "Alle Flashcards des Risikoregister-Moduls bestanden — SSoT-Konzept verinnerlicht."}, {"id": "kurt_meister", "title": "KURT-Meister", "icon": "crown", "description": "Alle 5 Curricula mit >=80% abgeschlossen — DSGVO+AI-Act parallel im Griff."}, {"id": "streak_14", "title": "14-Tage-Streak", "icon": "flame", "description": "14 Tage in Folge aktiv — Compliance-Disziplin sichtbar."}, {"id": "night_owl", "title": "Nachteule", "icon": "moon", "description": "Nach 22 Uhr gelernt."}, {"id": "early_bird", "title": "Frühaufsteher", "icon": "sun", "description": "Vor 7 Uhr gelernt."} ], "levels": [ {"min": 0, "title": "Compliance-Lernende"}, {"min": 50, "title": "DSB-Junior"}, {"min": 200, "title": "DSB / AI-Officer"}, {"min": 500, "title": "Senior-DSB / Senior-AI-Officer"}, {"min": 1250, "title": "Compliance-Lead"}, {"min": 2500, "title": "Chief Compliance Officer"}, {"min": 5000, "title": "Aufsichtsbehörde-Veteran"} ] }