qognio-templates/vestigia-ai-act-auditor
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
vestigia-ai-act-auditor/www/curricula.json
Qognio Bot Extract a2b74d7e55 init: extract vestigia-ai-act-auditor from qognio-bot-widget-template@d2c816f 
Source files (src/) and rendered bundle (www/) extracted on 2026-04-29T01:35:49+02:00.
Adds nginx:alpine Dockerfile + docker-compose.yml (Caddy-labels) so the bot
runs stand-alone or as a per-customer template clone.

Parent monorepo commit: d2c816f3edbc9760802a11b29ff4151c7aad4b46
Bot version: 2026-04-25
2026-04-29 01:35:49 +02:00

181 lines
9 KiB
JSON
Raw Permalink Blame History

{
"version": "2026-04-25",
"updated": "2026-04-25",
"curricula": [
{
"id": "risiko-klassen",
"title": "1 · Risiko-Klassen & Anhang III",
"short": "Verboten / Hochrisiko / Limited / Minimal — wie klassifizieren",
"icon": "shield",
"color": "#b45309",
"description": "Die 4 Risiko-Klassen des AI Act, Anhang III als Hochrisiko-Katalog, Klassifizierungs-Workflow für eigene und eingekaufte AI-Systeme.",
"source_md": "00-risiko-klassen.md",
"modules": [
{
"id": "vier-klassen",
"title": "Die vier Risiko-Klassen",
"objectives": ["Verbotene Praktiken (Art. 5) erkennen","Hochrisiko (Art. 6) vom Limited-Risk (Art. 50 Transparenz) abgrenzen","Minimal-Risk-Default verstehen"],
"topics": ["Art. 5","Art. 6","Art. 50","Risiko-Pyramide"],
"difficulty": "einfach",
"source_heading": "Die 4 Risiko-Klassen"
},
{
"id": "anhang-iii",
"title": "Anhang III — Hochrisiko-Katalog",
"objectives": ["8 Anwendungsbereiche aus Anhang III auswendig kennen","HR-Bewerber-Filter, Kreditscoring, Bildungs-AI sicher zuordnen","Anhang-III-Update-Mechanismus (delegierte Rechtsakte) kennen"],
"topics": ["Biometrie","Kritische Infrastruktur","Bildung","HR","Wesentliche private/öffentliche Dienste","Strafverfolgung","Migration","Justiz"],
"difficulty": "mittel",
"source_heading": "Anhang III"
},
{
"id": "klassifizierungs-workflow",
"title": "Klassifizierungs-Workflow",
"objectives": ["Schritt-für-Schritt ein eingekauftes AI-System klassifizieren","Anbieter- vs. Betreiber-Pflichten unterscheiden (Art. 25)","Borderline-Fälle dokumentieren statt raten"],
"topics": ["Anbieter (Art. 16)","Betreiber (Art. 26)","Importeur (Art. 23)","Klassifizierungs-Workflow"],
"difficulty": "schwer",
"source_heading": "Klassifizierung in der Praxis"
}
]
},
{
"id": "tech-doku",
"title": "2 · Technische Dokumentation (Anhang IV)",
"short": "Was muss rein, in welchem Detail, für wen",
"icon": "book",
"color": "#b45309",
"description": "Anhang-IV-Pflichtinhalte für Hochrisiko-AI: System-Beschreibung, Daten-Karte, Bewertungs-Methodik, Risiko-Management, Logs, Cybersecurity, Anweisungen für Betreiber.",
"source_md": "01-tech-doku.md",
"modules": [
{
"id": "anhang-iv-struktur",
"title": "Anhang IV — die 9 Pflicht-Abschnitte",
"objectives": ["Alle 9 Abschnitte von Anhang IV benennen","Detail-Tiefe pro Abschnitt einschätzen","Wer schreibt was — Anbieter vs. Betreiber"],
"topics": ["Anhang IV","Tech-Doku","9 Abschnitte"],
"difficulty": "mittel",
"source_heading": "Anhang IV Struktur"
},
{
"id": "data-card",
"title": "Daten-Karte & Trainings-Datensätze",
"objectives": ["Daten-Karte nach Art. 10 + Anhang IV Abschnitt 2 schreiben","Bias-Doku (Repräsentativität, Lücken, Fehlerquellen)","Verhältnis zu DSGVO Art. 30 VVT"],
"topics": ["Art. 10","Daten-Governance","Bias","Repräsentativität"],
"difficulty": "schwer",
"source_heading": "Daten-Karte"
},
{
"id": "anweisungen-betreiber",
"title": "Anweisungen für Betreiber (Art. 13)",
"objectives": ["Mindest-Inhalte der Betreiber-Doku","Verständlichkeit für Nicht-Techniker:innen","Wie der Betreiber seine Pflichten daraus ableitet"],
"topics": ["Art. 13","Transparenz","Betreiber-Anweisungen"],
"difficulty": "mittel",
"source_heading": "Betreiber-Anweisungen"
}
]
},
{
"id": "oversight",
"title": "3 · Menschliche Aufsicht (Art. 14)",
"short": "Wer überwacht wann mit welchen Befugnissen",
"icon": "eye",
"color": "#b45309",
"description": "Konzept der menschlichen Aufsicht: Stop-Befugnis, Override, Plausibilitäts-Checks, Schulungspflichten. Mehr als 'ein Mensch klickt am Ende'.",
"source_md": "02-oversight.md",
"modules": [
{
"id": "oversight-grundlagen",
"title": "Art. 14 — was Oversight wirklich heißt",
"objectives": ["Substanzielle Aufsicht von 'Schein-Oversight' (Rubber-Stamping) abgrenzen","Mindest-Befugnisse der Aufsichtsperson","EuGH Schufa-Urteil C-634/21 anwenden"],
"topics": ["Art. 14","Substanzielle Aufsicht","Schufa-Urteil"],
"difficulty": "schwer",
"source_heading": "Substanzielle Oversight"
},
{
"id": "oversight-checkliste",
"title": "Oversight-Checkliste & Schulung",
"objectives": ["Pre-Deployment-Checkliste für Aufsichtspersonen","Schulungs-Inhalte & -Frequenz","Schulungs-Nachweis als Audit-Artefakt"],
"topics": ["Schulungs-Pflicht","Pre-Deployment","Audit-Nachweis"],
"difficulty": "mittel",
"source_heading": "Oversight in der Praxis"
},
{
"id": "automation-bias",
"title": "Automation-Bias & Gegenmaßnahmen",
"objectives": ["Automation-Bias erkennen (zu viel Vertrauen in KI)","Confirmation-Bias bei wiederholten Empfehlungen","Strukturelle Gegenmaßnahmen: Devil's-Advocate, Sample-Audits, Cross-Check"],
"topics": ["Automation-Bias","Devil's Advocate","Sample-Audits"],
"difficulty": "mittel",
"source_heading": "Automation-Bias"
}
]
},
{
"id": "logging",
"title": "4 · Logging-Pflicht (Art. 12)",
"short": "Was muss geloggt werden, in welcher Tiefe, wie lange",
"icon": "list",
"color": "#b45309",
"description": "Automatische Aufzeichnung von Ereignissen während des Lebenszyklus (Logs). Was Anbieter, was Betreiber, in welchem Granularitäts-Level.",
"source_md": "03-logging.md",
"modules": [
{
"id": "logging-pflicht",
"title": "Was Art. 12 verlangt",
"objectives": ["Mindest-Inhalte der Logs (Eingabe, Ausgabe, Zeitstempel, Modell-Version)","Lebenszyklus-Begriff verstehen","Aufbewahrungsfristen (typisch 6 Monate Anbieter, mind. 6 Monate Betreiber)"],
"topics": ["Art. 12","Logs","Aufbewahrungsfrist"],
"difficulty": "mittel",
"source_heading": "Logging-Pflicht"
},
{
"id": "log-schema",
"title": "Log-Schema-Beispiel",
"objectives": ["Konkretes JSON-Schema für Logs","PII-Minimierung in Logs (Pseudonymisierung)","Trennung: Audit-Logs vs. Debug-Logs"],
"topics": ["JSON-Schema","Pseudonymisierung","Audit vs Debug"],
"difficulty": "schwer",
"source_heading": "Log-Schema"
},
{
"id": "log-retention",
"title": "Aufbewahrung & Zugriff",
"objectives": ["Wer darf Logs wann sehen","Konflikt mit DSGVO Art. 17 Löschverlangen lösen","Tamper-Evidence (WORM-Storage, Hash-Chains)"],
"topics": ["Tamper-Evidence","WORM","Hash-Chain"],
"difficulty": "schwer",
"source_heading": "Aufbewahrung"
}
]
},
{
"id": "audit-trail",
"title": "5 · Audit-Trail-Generation",
"short": "Wie du aus den 4 Bausteinen einen Auditor-tauglichen Trail baust",
"icon": "search",
"color": "#b45309",
"description": "Zusammenspiel der 4 Bausteine zu einem konsistenten Audit-Trail. Pre-Deployment-Bundle, Continuous-Bundle, Incident-Response-Bundle für die notifizierte Stelle / Marktüberwachung.",
"source_md": "04-audit-trail.md",
"modules": [
{
"id": "trail-architecture",
"title": "Audit-Trail-Architektur",
"objectives": ["Pre-Deployment-Bundle definieren (Tech-Doku + DPIA + Konformitäts-Erklärung)","Continuous-Bundle (Logs + Monitoring + Re-Klassifizierung-Trigger)","Incident-Response-Bundle (Art. 73 schwerwiegende Vorfälle)"],
"topics": ["Pre-Deployment","Continuous","Incident-Response","Art. 73"],
"difficulty": "schwer",
"source_heading": "Trail-Architektur"
},
{
"id": "konformitaets-erklaerung",
"title": "EU-Konformitätserklärung & CE-Marke",
"objectives": ["Art. 47 EU-Konformitätserklärung — Mindest-Inhalt","CE-Kennzeichnung für Hochrisiko-AI","Notifizierte Stellen — wann involviert"],
"topics": ["Art. 47","CE-Marke","Notifizierte Stelle"],
"difficulty": "schwer",
"source_heading": "Konformitätserklärung"
},
{
"id": "marktueberwachung",
"title": "Marktüberwachung & Sanktionen",
"objectives": ["Welche Behörde ist zuständig (BNetzA, BfDI, Land)","Wann wird die notifizierte Stelle / Behörde involviert","Sanktionen Art. 99: bis 35 Mio. € oder 7 % Jahresumsatz"],
"topics": ["BNetzA","BfDI","Marktüberwachung","Art. 99"],
"difficulty": "schwer",
"source_heading": "Marktüberwachung"
}
]
}
]
}
Reference in a new issue View git blame Copy permalink