{ "version": "2026-04-25", "updated": "2026-04-25", "curricula": [ { "id": "risiko-klassen", "title": "1 · Risiko-Klassen & Anhang III", "short": "Verboten / Hochrisiko / Limited / Minimal — wie klassifizieren", "icon": "shield", "color": "#b45309", "description": "Die 4 Risiko-Klassen des AI Act, Anhang III als Hochrisiko-Katalog, Klassifizierungs-Workflow für eigene und eingekaufte AI-Systeme.", "source_md": "00-risiko-klassen.md", "modules": [ { "id": "vier-klassen", "title": "Die vier Risiko-Klassen", "objectives": ["Verbotene Praktiken (Art. 5) erkennen","Hochrisiko (Art. 6) vom Limited-Risk (Art. 50 Transparenz) abgrenzen","Minimal-Risk-Default verstehen"], "topics": ["Art. 5","Art. 6","Art. 50","Risiko-Pyramide"], "difficulty": "einfach", "source_heading": "Die 4 Risiko-Klassen" }, { "id": "anhang-iii", "title": "Anhang III — Hochrisiko-Katalog", "objectives": ["8 Anwendungsbereiche aus Anhang III auswendig kennen","HR-Bewerber-Filter, Kreditscoring, Bildungs-AI sicher zuordnen","Anhang-III-Update-Mechanismus (delegierte Rechtsakte) kennen"], "topics": ["Biometrie","Kritische Infrastruktur","Bildung","HR","Wesentliche private/öffentliche Dienste","Strafverfolgung","Migration","Justiz"], "difficulty": "mittel", "source_heading": "Anhang III" }, { "id": "klassifizierungs-workflow", "title": "Klassifizierungs-Workflow", "objectives": ["Schritt-für-Schritt ein eingekauftes AI-System klassifizieren","Anbieter- vs. Betreiber-Pflichten unterscheiden (Art. 25)","Borderline-Fälle dokumentieren statt raten"], "topics": ["Anbieter (Art. 16)","Betreiber (Art. 26)","Importeur (Art. 23)","Klassifizierungs-Workflow"], "difficulty": "schwer", "source_heading": "Klassifizierung in der Praxis" } ] }, { "id": "tech-doku", "title": "2 · Technische Dokumentation (Anhang IV)", "short": "Was muss rein, in welchem Detail, für wen", "icon": "book", "color": "#b45309", "description": "Anhang-IV-Pflichtinhalte für Hochrisiko-AI: System-Beschreibung, Daten-Karte, Bewertungs-Methodik, Risiko-Management, Logs, Cybersecurity, Anweisungen für Betreiber.", "source_md": "01-tech-doku.md", "modules": [ { "id": "anhang-iv-struktur", "title": "Anhang IV — die 9 Pflicht-Abschnitte", "objectives": ["Alle 9 Abschnitte von Anhang IV benennen","Detail-Tiefe pro Abschnitt einschätzen","Wer schreibt was — Anbieter vs. Betreiber"], "topics": ["Anhang IV","Tech-Doku","9 Abschnitte"], "difficulty": "mittel", "source_heading": "Anhang IV Struktur" }, { "id": "data-card", "title": "Daten-Karte & Trainings-Datensätze", "objectives": ["Daten-Karte nach Art. 10 + Anhang IV Abschnitt 2 schreiben","Bias-Doku (Repräsentativität, Lücken, Fehlerquellen)","Verhältnis zu DSGVO Art. 30 VVT"], "topics": ["Art. 10","Daten-Governance","Bias","Repräsentativität"], "difficulty": "schwer", "source_heading": "Daten-Karte" }, { "id": "anweisungen-betreiber", "title": "Anweisungen für Betreiber (Art. 13)", "objectives": ["Mindest-Inhalte der Betreiber-Doku","Verständlichkeit für Nicht-Techniker:innen","Wie der Betreiber seine Pflichten daraus ableitet"], "topics": ["Art. 13","Transparenz","Betreiber-Anweisungen"], "difficulty": "mittel", "source_heading": "Betreiber-Anweisungen" } ] }, { "id": "oversight", "title": "3 · Menschliche Aufsicht (Art. 14)", "short": "Wer überwacht wann mit welchen Befugnissen", "icon": "eye", "color": "#b45309", "description": "Konzept der menschlichen Aufsicht: Stop-Befugnis, Override, Plausibilitäts-Checks, Schulungspflichten. Mehr als 'ein Mensch klickt am Ende'.", "source_md": "02-oversight.md", "modules": [ { "id": "oversight-grundlagen", "title": "Art. 14 — was Oversight wirklich heißt", "objectives": ["Substanzielle Aufsicht von 'Schein-Oversight' (Rubber-Stamping) abgrenzen","Mindest-Befugnisse der Aufsichtsperson","EuGH Schufa-Urteil C-634/21 anwenden"], "topics": ["Art. 14","Substanzielle Aufsicht","Schufa-Urteil"], "difficulty": "schwer", "source_heading": "Substanzielle Oversight" }, { "id": "oversight-checkliste", "title": "Oversight-Checkliste & Schulung", "objectives": ["Pre-Deployment-Checkliste für Aufsichtspersonen","Schulungs-Inhalte & -Frequenz","Schulungs-Nachweis als Audit-Artefakt"], "topics": ["Schulungs-Pflicht","Pre-Deployment","Audit-Nachweis"], "difficulty": "mittel", "source_heading": "Oversight in der Praxis" }, { "id": "automation-bias", "title": "Automation-Bias & Gegenmaßnahmen", "objectives": ["Automation-Bias erkennen (zu viel Vertrauen in KI)","Confirmation-Bias bei wiederholten Empfehlungen","Strukturelle Gegenmaßnahmen: Devil's-Advocate, Sample-Audits, Cross-Check"], "topics": ["Automation-Bias","Devil's Advocate","Sample-Audits"], "difficulty": "mittel", "source_heading": "Automation-Bias" } ] }, { "id": "logging", "title": "4 · Logging-Pflicht (Art. 12)", "short": "Was muss geloggt werden, in welcher Tiefe, wie lange", "icon": "list", "color": "#b45309", "description": "Automatische Aufzeichnung von Ereignissen während des Lebenszyklus (Logs). Was Anbieter, was Betreiber, in welchem Granularitäts-Level.", "source_md": "03-logging.md", "modules": [ { "id": "logging-pflicht", "title": "Was Art. 12 verlangt", "objectives": ["Mindest-Inhalte der Logs (Eingabe, Ausgabe, Zeitstempel, Modell-Version)","Lebenszyklus-Begriff verstehen","Aufbewahrungsfristen (typisch 6 Monate Anbieter, mind. 6 Monate Betreiber)"], "topics": ["Art. 12","Logs","Aufbewahrungsfrist"], "difficulty": "mittel", "source_heading": "Logging-Pflicht" }, { "id": "log-schema", "title": "Log-Schema-Beispiel", "objectives": ["Konkretes JSON-Schema für Logs","PII-Minimierung in Logs (Pseudonymisierung)","Trennung: Audit-Logs vs. Debug-Logs"], "topics": ["JSON-Schema","Pseudonymisierung","Audit vs Debug"], "difficulty": "schwer", "source_heading": "Log-Schema" }, { "id": "log-retention", "title": "Aufbewahrung & Zugriff", "objectives": ["Wer darf Logs wann sehen","Konflikt mit DSGVO Art. 17 Löschverlangen lösen","Tamper-Evidence (WORM-Storage, Hash-Chains)"], "topics": ["Tamper-Evidence","WORM","Hash-Chain"], "difficulty": "schwer", "source_heading": "Aufbewahrung" } ] }, { "id": "audit-trail", "title": "5 · Audit-Trail-Generation", "short": "Wie du aus den 4 Bausteinen einen Auditor-tauglichen Trail baust", "icon": "search", "color": "#b45309", "description": "Zusammenspiel der 4 Bausteine zu einem konsistenten Audit-Trail. Pre-Deployment-Bundle, Continuous-Bundle, Incident-Response-Bundle für die notifizierte Stelle / Marktüberwachung.", "source_md": "04-audit-trail.md", "modules": [ { "id": "trail-architecture", "title": "Audit-Trail-Architektur", "objectives": ["Pre-Deployment-Bundle definieren (Tech-Doku + DPIA + Konformitäts-Erklärung)","Continuous-Bundle (Logs + Monitoring + Re-Klassifizierung-Trigger)","Incident-Response-Bundle (Art. 73 schwerwiegende Vorfälle)"], "topics": ["Pre-Deployment","Continuous","Incident-Response","Art. 73"], "difficulty": "schwer", "source_heading": "Trail-Architektur" }, { "id": "konformitaets-erklaerung", "title": "EU-Konformitätserklärung & CE-Marke", "objectives": ["Art. 47 EU-Konformitätserklärung — Mindest-Inhalt","CE-Kennzeichnung für Hochrisiko-AI","Notifizierte Stellen — wann involviert"], "topics": ["Art. 47","CE-Marke","Notifizierte Stelle"], "difficulty": "schwer", "source_heading": "Konformitätserklärung" }, { "id": "marktueberwachung", "title": "Marktüberwachung & Sanktionen", "objectives": ["Welche Behörde ist zuständig (BNetzA, BfDI, Land)","Wann wird die notifizierte Stelle / Behörde involviert","Sanktionen Art. 99: bis 35 Mio. € oder 7 % Jahresumsatz"], "topics": ["BNetzA","BfDI","Marktüberwachung","Art. 99"], "difficulty": "schwer", "source_heading": "Marktüberwachung" } ] } ] }