qognio-templates/kurt-compliance-auditor
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
kurt-compliance-auditor/www/curricula.json
Qognio Bot Extract e679eedcc6 init: extract kurt-compliance-auditor from qognio-bot-widget-template@d2c816f 
Source files (src/) and rendered bundle (www/) extracted on 2026-04-29T01:35:47+02:00.
Adds nginx:alpine Dockerfile + docker-compose.yml (Caddy-labels) so the bot
runs stand-alone or as a per-customer template clone.

Parent monorepo commit: d2c816f3edbc9760802a11b29ff4151c7aad4b46
Bot version: 2026-04-25
2026-04-29 01:35:47 +02:00

382 lines
18 KiB
JSON
Raw Permalink Blame History

{
"version": "2026-04-25",
"updated": "2026-04-25",
"curricula": [
{
"id": "warum-integrieren",
"title": "1 · Warum integrieren",
"short": "Warum DSGVO + AI Act zusammen denken",
"icon": "shuffle",
"color": "#7c3aed",
"description": "Beide Verordnungen gelten parallel — keine ersetzt die andere. Die drei klassischen Doppelarbeits-Hotspots: DSFA <-> RMS, Art. 22 <-> AI-Act Art. 13/14, Daten-Governance <-> Art. 10. Zielbild: ein integriertes Risiko-Register.",
"source_md": "00-warum-integrieren.md",
"modules": [
{
"id": "integration",
"title": "Warum überhaupt integrieren?",
"objectives": [
"Verstehen, warum DSGVO und AI Act parallel gelten",
"Die expliziten Verweise des AI Act auf die DSGVO benennen",
"Die drei Doppelarbeits-Hotspots identifizieren"
],
"topics": ["Art. 2 Abs. 7 AI Act", "Art. 26 Abs. 9 AI Act", "Erwägungsgrund 9", "Doppelarbeit"],
"difficulty": "einfach",
"source_heading": "Warum es einen integrierten Auditor braucht"
},
{
"id": "begriffsklaerung",
"title": "Begriffsklärung — Anbieter vs. Betreiber",
"objectives": [
"Anbieter (Provider) vs. Betreiber (Deployer) sicher abgrenzen",
"DSGVO-Verantwortlicher vs. Auftragsverarbeiter zuordnen",
"Mehrere Rollen pro Unternehmen: typische Konstellationen"
],
"topics": ["Art. 3 AI Act", "Art. 4 DSGVO", "Inverkehrbringen", "Inbetriebnahme"],
"difficulty": "mittel",
"source_heading": "Persönlicher Anwendungsbereich"
},
{
"id": "rollen-konflikte",
"title": "Rollen-Konflikte: DSB & AI-Officer",
"objectives": [
"DSB als Pflichtberuf nach DSGVO Art. 37 verstehen",
"AI-Officer als organisatorische Notwendigkeit (kein Pflichtberuf)",
"Personalunion möglich, Interessenskonflikt prüfen"
],
"topics": ["Art. 37 DSGVO", "Art. 38 DSGVO", "Personalunion", "Interessenkonflikt"],
"difficulty": "mittel",
"source_heading": "Rollen klären"
},
{
"id": "zielbild-register",
"title": "Zielbild: ein integriertes Risiko-Register",
"objectives": [
"Single-Source-of-Truth-Logik verstehen",
"Verarbeitungsverzeichnis + Bestands-Inventar verschmelzen",
"Quartals-Review-Rhythmus etablieren"
],
"topics": ["Art. 30 DSGVO", "Art. 11 AI Act", "Inventar", "Review-Rhythmus"],
"difficulty": "einfach",
"source_heading": "Zielbild: ein integriertes Risiko-Register"
}
]
},
{
"id": "dsgvo-fuer-ai-leute",
"title": "2 · DSGVO-Essenz für AI-Profis",
"short": "Art. 5, 6, 9, 22, 25, 32, 35 in der AI-Übersetzung",
"icon": "shield",
"color": "#a78bfa",
"description": "Für AI-Officer, Data-Scientists, ML-Engineers: das Pflicht-Set DSGVO. Die 7 wichtigsten Artikel mit AI-Bezug, Art. 9 für Bias-Audits, Privacy by Design im Pipeline-Kontext.",
"source_md": "01-dsgvo-essenz-fuer-ai-leute.md",
"modules": [
{
"id": "dsgvo-essenz",
"title": "Die 7 Pflicht-Artikel (Art. 5/6/9/22/25/32/35)",
"objectives": [
"Alle 7 Artikel benennen und in AI-Pipelines einordnen",
"Art. 22 als direkten AI-DSGVO-Hotspot erkennen",
"Art. 9 als Bias-Audit-Stolperfalle verstehen"
],
"topics": ["Art. 5", "Art. 6", "Art. 9", "Art. 22", "Art. 25", "Art. 32", "Art. 35"],
"difficulty": "mittel",
"source_heading": "Die 7 Artikel, die für AI immer relevant sind"
},
{
"id": "grundsaetze-ai",
"title": "Art. 5 Grundsätze in AI-Übersetzung",
"objectives": [
"Zweckbindung in Trainings- vs. Inferenz-Phase trennen",
"Datenminimierung als Modell-Verbesserer (nicht nur Pflicht)",
"Speicherbegrenzung inkl. gelernter Repräsentationen"
],
"topics": ["Zweckbindung", "Datenminimierung", "Speicherbegrenzung", "Embeddings"],
"difficulty": "schwer",
"source_heading": "Art. 5 — die 7 Grundsätze in der AI-Übersetzung"
},
{
"id": "rechtsgrundlagen-ai",
"title": "Art. 6 Rechtsgrundlagen für AI-Pipelines",
"objectives": [
"Eine Grundlage für Training, eine andere für Inferenz wählen können",
"Berechtigtes Interesse + LIA für Modell-Training begründen",
"Einwilligung im Beschäftigtenverhältnis kritisch prüfen"
],
"topics": ["Art. 6 lit. a-f", "LIA", "Beschäftigtenverhältnis", "vorvertraglich"],
"difficulty": "schwer",
"source_heading": "Art. 6 — die 6 Rechtsgrundlagen im AI-Kontext"
},
{
"id": "art9-bias",
"title": "Art. 9 + Bias-Audit-Dilemma",
"objectives": [
"Besondere Kategorien benennen (Gesundheit, Ethnie, Religion, etc.)",
"Verbots-Logik mit Ausnahmen Abs. 2 verstehen",
"AI Act Art. 10 Abs. 5 als zusätzliche Erlaubnis-Norm einsetzen"
],
"topics": ["Art. 9 Abs. 1+2", "Bias-Audit", "Art. 10 Abs. 5 AI Act", "Pseudonymisierung"],
"difficulty": "schwer",
"source_heading": "Art. 9 — besondere Kategorien"
},
{
"id": "privacy-by-design-ai",
"title": "Art. 25 Privacy by Design in AI-Architektur",
"objectives": [
"Default kein PII in Embeddings (DP, Anonymisierung)",
"Multi-Tenant-Isolation in Federated-Learning-Setups",
"Kürzeste Retention als Default-Konfiguration"
],
"topics": ["Differential Privacy", "Federated Learning", "Retention", "Default"],
"difficulty": "schwer",
"source_heading": "Art. 25 — Privacy by Design + Default"
}
]
},
{
"id": "ai-act-fuer-dsb",
"title": "3 · AI-Act-Essenz für DSB",
"short": "Risiko-Klassen, Anhang III, Art. 9-15, Konformität",
"icon": "scale",
"color": "#06b6d4",
"description": "Für klassische DSB: das Pflicht-Set EU AI Act. Vier Risiko-Klassen, Anhang III als Hochrisiko-Liste (HR-Filter, Bonität, Bildung), die RMS-Familie Art. 9-15, Konformitätsbewertung + CE.",
"source_md": "02-ai-act-essenz-fuer-dsb.md",
"modules": [
{
"id": "ai-act-essenz",
"title": "Die 4 Risiko-Klassen + GPAI",
"objectives": [
"Verboten / Hochrisiko / Limitiert / Minimal sicher zuordnen",
"GPAI als eigene Säule erkennen (Art. 51-56)",
"Stichtag-Logik bis 02.08.2027 verstehen"
],
"topics": ["Art. 5", "Art. 6", "Art. 50", "Anhang III", "GPAI", "Timeline"],
"difficulty": "einfach",
"source_heading": "Die vier Risiko-Klassen"
},
{
"id": "anhang-iii",
"title": "Anhang III — wo Mittelständler hängenbleiben",
"objectives": [
"HR-Bewerber-Filter als Hochrisiko erkennen",
"Bonitäts-Scoring + Versicherungs-Risiko korrekt einordnen",
"Bildungs-AI (Prüfungs-Auswertung etc.) als Hochrisiko"
],
"topics": ["Beschäftigung", "Bildung", "Bonität", "Kritische Infrastruktur"],
"difficulty": "mittel",
"source_heading": "Anhang III — wo die meisten Mittelständler hängen bleiben"
},
{
"id": "rms-familie",
"title": "RMS-Familie Art. 9-15",
"objectives": [
"Art. 9 RMS, Art. 10 Daten, Art. 11 Doku, Art. 12 Logging",
"Art. 13 Transparenz, Art. 14 Aufsicht, Art. 15 Robustheit benennen",
"Verbindung zu DSGVO-Pendants herstellen"
],
"topics": ["Art. 9", "Art. 10", "Art. 11", "Art. 12", "Art. 13", "Art. 14", "Art. 15"],
"difficulty": "mittel",
"source_heading": "Die Pflichten für Hochrisiko-Systeme"
},
{
"id": "konformitaet-ce",
"title": "Konformitätsbewertung + CE-Kennzeichnung",
"objectives": [
"Anhang VI (interne Kontrolle) vs. Anhang VII (Notified Body)",
"CE-Kennzeichnung + EU-Konformitätserklärung + EU-Datenbank",
"10-Jahre-Aufbewahrung der Tech-Doku"
],
"topics": ["Art. 43", "Art. 47", "Art. 48", "Art. 49", "Anhang VI/VII", "Notified Body"],
"difficulty": "schwer",
"source_heading": "Konformitätsbewertung & CE-Kennzeichnung"
},
{
"id": "betreiber-pflichten",
"title": "Betreiber-Pflichten Art. 26",
"objectives": [
"Anbieter-Anweisungen befolgen, Eingangs-Daten qualitätssichern",
"Menschliche Aufsicht: qualifiziertes Personal sicherstellen",
"Art. 26 Abs. 9: DSFA durchführen — direkter DSGVO-Hook!"
],
"topics": ["Art. 26", "Eingangs-Datenqualität", "Aufsicht", "Vorfalls-Meldung"],
"difficulty": "mittel",
"source_heading": "Pflichten der Betreiber"
},
{
"id": "sanktionen-ai",
"title": "Sanktionen Art. 99 + AI-Literacy Art. 4",
"objectives": [
"Verbotene Praxis: bis 35 Mio. € / 7 % Umsatz",
"Andere Pflichten: bis 15 Mio. € / 3 %",
"AI-Literacy-Pflicht seit 02.02.2025 für ALLE Anwender"
],
"topics": ["Art. 99", "Art. 4 AI-Literacy", "02.02.2025", "Schulung"],
"difficulty": "einfach",
"source_heading": "Sanktionen"
}
]
},
{
"id": "hotspots",
"title": "4 · Crosswalks + Hotspots",
"short": "DSFA <-> RMS, Art. 22 <-> AI-Act, Daten-Governance",
"icon": "git-branch",
"color": "#5b21b6",
"description": "Die drei zentralen Crosswalks: Art. 35 DSFA <-> Art. 9 RMS (was überlappt, was ist neu), Art. 22 DSGVO <-> AI-Act Art. 13/14 (EuGH Schufa!), Art. 5/9 DSGVO <-> Art. 10 AI Act (Bias-Audit-Dilemma).",
"source_md": "03-crosswalk-art35-dsfa-vs-art9-rms.md",
"modules": [
{
"id": "crosswalk",
"title": "DSFA (Art. 35) <-> RMS (Art. 9)",
"objectives": [
"Sechs gemeinsame Risk-Engineering-Schritte erkennen",
"Vier neue RMS-Dimensionen (Lifecycle, Drift, Oversight, FRIA)",
"Drei DSFA-only Sektionen (DSB-Konsultation, Aufsichtsbehörde, Betroffenenrechte)"
],
"topics": ["Art. 35", "Art. 9", "Lifecycle", "FRIA", "Drift-Monitoring"],
"difficulty": "schwer",
"source_heading": "Die große Überlappung"
},
{
"id": "art22",
"title": "Art. 22 <-> AI-Act Art. 13/14",
"objectives": [
"Drei Tatbestandsmerkmale Art. 22 erkennen",
"EuGH Schufa (C-634/21) verstehen — abgesenkte Schwelle",
"Substanzielle menschliche Aufsicht (Art. 14) operationalisieren"
],
"topics": ["Art. 22 Abs. 1+3", "EuGH Schufa", "Art. 13", "Art. 14", "Recht auf Erklärung Art. 86"],
"difficulty": "schwer",
"source_heading": "Was Art. 22 DSGVO sagt"
},
{
"id": "art10-daten",
"title": "Art. 5 + 9 DSGVO <-> Art. 10 AI Act",
"objectives": [
"Datenqualität gleichzeitig DSGVO + AI-Act-Pflicht",
"Art. 10 Abs. 5 als eigenständige Erlaubnis-Norm für Bias-Tests",
"Membership-Inference: Modell-Gewichte als personenbezogene Daten"
],
"topics": ["Art. 10 AI Act", "Bias-Test-Erlaubnis", "Membership Inference", "Provenance"],
"difficulty": "schwer",
"source_heading": "Crosswalk-Tabelle Daten-Pflichten"
},
{
"id": "tom-konformitaet",
"title": "TOMs (Art. 32) <-> Konformität (Art. 43+)",
"objectives": [
"Doppelnutzbare Maßnahmen identifizieren (Verschlüsselung, Logging)",
"AI-only Maßnahmen ergänzen (Drift, Bias, Adversarial)",
"Eine Maßnahmen-Datenbank, zwei Doku-Stränge"
],
"topics": ["Art. 32", "Art. 43", "Anhang IV", "Maßnahmen-DB"],
"difficulty": "mittel",
"source_heading": "Crosswalk: Sicherheits-Maßnahmen"
},
{
"id": "behoerden-mapping",
"title": "DPAs <-> Marktüberwachung",
"objectives": [
"Doppelmeldung bei Vorfall: Art. 33 DSGVO + Art. 73 AI Act",
"Behörden-Architektur DE in Übergangsphase",
"Strengere Anforderung erfüllen bei divergierenden Auslegungen"
],
"topics": ["BfDI", "Landes-DPA", "BNetzA", "AI Office", "Doppelmeldung"],
"difficulty": "mittel",
"source_heading": "Crosswalk: Wer für was zuständig"
}
]
},
{
"id": "praxis-register",
"title": "5 · Risikoregister + Praxis-Workflow",
"short": "Integriertes Inventar + Vorfalls-Workflow + FAQ",
"icon": "list-checks",
"color": "#22c55e",
"description": "Der Praxis-Teil: integriertes System-Inventar als SSoT, Vorfalls-Meldeprozess mit zwei Strecken, typische DSB+AI-Officer-Praxis-Fragen.",
"source_md": "08-template-integriertes-risikoregister.md",
"modules": [
{
"id": "risikoregister",
"title": "Integriertes Risikoregister aufsetzen",
"objectives": [
"Mindest-Spalten-Set anwenden",
"Crosswalk-Einsparungen pro System dokumentieren",
"Quartals-Review + Trigger-basierte Updates etablieren"
],
"topics": ["Art. 30 DSGVO", "Art. 11 AI Act", "SSoT", "Quartals-Review"],
"difficulty": "mittel",
"source_heading": "Spalten-Definition"
},
{
"id": "beispiel-hr",
"title": "Beispiel HR-Bewerber-Filter — Ende-zu-Ende",
"objectives": [
"Klassifikation Hochrisiko + Art. 22-Check parallel",
"DSFA + RMS + Tech-Doku als integriertes Paket",
"Vendor-Vertrag mit AI-Act-Anbieter-Pflichten-Klausel"
],
"topics": ["HR-Filter", "DSFA", "RMS", "Vendor-AVV"],
"difficulty": "schwer",
"source_heading": "Beispiel-Eintrag: HR-Bewerbungsfilter"
},
{
"id": "vorfalls-prozess",
"title": "Integrierter Vorfalls-Meldeprozess",
"objectives": [
"DSGVO Art. 33 (72h) + AI Act Art. 73 (unverzüglich) parallel",
"Trigger-Erkennung gemeinsam, Klassifizierung getrennt",
"Gemeinsame Vorfalls-Doku mit zwei Anhängen"
],
"topics": ["Art. 33", "Art. 34", "Art. 73", "Frühwarn-System"],
"difficulty": "mittel",
"source_heading": "Doppelmeldung bei Vorfällen"
},
{
"id": "ai-literacy",
"title": "AI-Literacy + Schulungs-Konzept",
"objectives": [
"Art. 4 AI Act seit 02.02.2025 als Pflicht für ALLE Anwender",
"Rollen-spezifische Schulungs-Curricula",
"Schulungs-Doku als TOM (DSGVO Art. 32) zweitnutzen"
],
"topics": ["Art. 4 AI Act", "Schulung", "Rollen", "TOM"],
"difficulty": "einfach",
"source_heading": "AI-Literacy übersehen"
},
{
"id": "faq-praxis",
"title": "Praxis-FAQ DSB & AI-Officer",
"objectives": [
"Typische Personalunion-Frage beantworten",
"ChatGPT-für-HR-Sichtung-Falle erkennen",
"Membership-Inference + Lösch-Anfragen einordnen"
],
"topics": ["Personalunion", "ChatGPT-HR", "Lösch-Anfrage", "Modell-Gewichte"],
"difficulty": "mittel",
"source_heading": "Häufige Fragen"
}
]
}
],
"badges": [
{"id": "erste_audit", "title": "Erste Audit", "icon": "shuffle", "description": "1. Quiz im Integrations-Modul erfolgreich — du hast den Crosswalk-Gedanken verinnerlicht."},
{"id": "dsgvo_kenner", "title": "DSGVO-Kenner", "icon": "shield", "description": "5 Quiz im DSGVO-Essenz-Modul korrekt — die 7 Pflicht-Artikel sitzen."},
{"id": "ai_act_kenner", "title": "AI-Act-Kenner", "icon": "scale", "description": "5 Quiz im AI-Act-Essenz-Modul korrekt — Risiko-Klassen + Anhang III sitzen."},
{"id": "crosswalk_meister", "title": "Crosswalk-Meister", "icon": "git-branch", "description": "5 Quiz im Crosswalk-Modul korrekt — DSFA <-> RMS-Mapping sitzt."},
{"id": "art22_pro", "title": "Art-22-Pro", "icon": "user-check", "description": "3 Quiz im Art-22-Modul korrekt — automatisierte Einzelentscheidungen sicher einordnen."},
{"id": "register_architekt", "title": "Register-Architekt", "icon": "list-checks", "description": "Alle Flashcards des Risikoregister-Moduls bestanden — SSoT-Konzept verinnerlicht."},
{"id": "kurt_meister", "title": "KURT-Meister", "icon": "crown", "description": "Alle 5 Curricula mit >=80% abgeschlossen — DSGVO+AI-Act parallel im Griff."},
{"id": "streak_14", "title": "14-Tage-Streak", "icon": "flame", "description": "14 Tage in Folge aktiv — Compliance-Disziplin sichtbar."},
{"id": "night_owl", "title": "Nachteule", "icon": "moon", "description": "Nach 22 Uhr gelernt."},
{"id": "early_bird", "title": "Frühaufsteher", "icon": "sun", "description": "Vor 7 Uhr gelernt."}
],
"levels": [
{"min": 0, "title": "Compliance-Lernende"},
{"min": 50, "title": "DSB-Junior"},
{"min": 200, "title": "DSB / AI-Officer"},
{"min": 500, "title": "Senior-DSB / Senior-AI-Officer"},
{"min": 1250, "title": "Compliance-Lead"},
{"min": 2500, "title": "Chief Compliance Officer"},
{"min": 5000, "title": "Aufsichtsbehörde-Veteran"}
]
}
Reference in a new issue View git blame Copy permalink