Add US transfer TIA and AI conformity evidence workflows

2026-06-09 10:03:19 +00:00 · 2026-05-28 14:38:33 +02:00
parent ef02679a37
commit b975433390
41 changed files with 1569 additions and 51 deletions
@@ -31,7 +31,7 @@ Alphabetisch wie in `.claude-plugin/marketplace.json`. URL-Schema:
 | `betreuungsrecht` | Skills für berufliche Betreuer nach BtOG und §§ 1814 ff. BGB (Reform 2023): Jahresbericht ans Betreuungsgericht (§ 1863 BGB), Vermögensverzeichnis und Rechnungslegung (§§ 1835, 1865 BGB), Genehmigungspflicht-Prüfung (§§ 1848 ff., 1831, 1832 BGB), Kontoanalyse und verdächtige Verträge in der Vermögenssorge. |
 | `common-law-kompass` | Freistehendes Common-Law-Plugin für deutsche Wirtschaftsjuristen: UK/US-False-Friends, Vertragsbegriffe, Consideration, Suretyship, Indemnity, UCC, Precedent, Discovery und bilinguale Drafting-Reviews. |
 | `corporate-kanzlei` | Corporate/M&A-Plugin (47 Skills) für transaktionsstarke Kanzleien: Deal-Kommandocenter, Datenraum, Due Diligence, Tabellenreview, SPA/APA, Disclosure Schedules, Signing/Closing, W&I, Public M&A, Fusionskontrolle, Investitionskontrolle, Umwandlungsrecht, StaRUG, Insolvenzplan, PMI. |
-| `datenschutzrecht` | DSGVO/BDSG/TDDDG: PIA/DPIA, AVV-Review als Verantwortlicher und Auftragsverarbeiter, Auskunftsersuchen Art. 15 DSGVO, Datenpannenmeldung Art. 33/34, Beschäftigtendatenschutz. |
+| `datenschutzrecht` | DSGVO/BDSG/TDDDG: PIA/DPIA, AVV-Review, Auskunft Art. 15, Datenpanne Art. 33/34, Drittlandtransfer, US-Transfer mit DPF/SCC/TIA und Behördenpaket. |
 | `einfache-leichte-sprache-jura` | Juristische Texte in Einfache Sprache oder Leichte Sprache übertragen: experimentelle Standard-Annäherung, Zielgruppe klären, Rechtsinhalt sichern und Qualitätsgate nutzen. |
 | `email-umformulierer-berufsrecht` | Formuliert unfreundliche, emotionale oder unsachliche E-Mails in hoefliche, sachliche und berufsrechtskonform formulierte Texte um. Fokus auf BRAO/BORA-Konformitaet, mit Varianten fuer Steuerberater, Notare und allgemeine berufliche Korrespondenz. |
 | `energierecht` | Freistehendes Energierecht-Plugin: Stadtwerke, Strom-, Gas- und Wärmeversorgung, Netze, Speicher, Vertrieb, Industrie, EEG/KWKG, Quartiere, Fernwärme, Wettbewerb, Verwaltungsverfahren, Transaktionen, PPA und Projektfinanzierung. |
@@ -83,7 +83,7 @@ Alphabetisch wie in `.claude-plugin/marketplace.json`. URL-Schema:
 | `kartellrecht-marktabgrenzung-pruefung` |  |
 | `ki-governance` | EU-KI-VO + DSGVO: Use-Case-Triage, KI-Inventar, AIA/DPIA, Vendor-Review, Drift-Monitoring der KI-Richtlinie. |
 | `ki-richtlinie-kanzleien` | Erstellt und pflegt eine berufsrechtskonforme KI-Nutzungsrichtlinie fuer Kanzleien und Rechtsabteilungen mit Anwaelten und Syndikus-Anwaelten. Beruht auf BRAO, BORA, DSGVO, KI-Verordnung sowie BRAK- und DAV-Hinweisen. |
-| `ki-vo-ai-act-pruefer` | Vollstaendiger Mechanik-Workflow zur Verordnung (EU) 2024/1689 (KI-VO): KI-System-Definition, Rollen, Risikoklassen, Hochrisiko-Pflichten, GPAI-Modelle, Sanktionen. Kein Rechtsrat. |
+| `ki-vo-ai-act-pruefer` | Vollstaendiger Mechanik-Workflow zur Verordnung (EU) 2024/1689 (KI-VO): KI-System-Definition, Rollen, Risikoklassen, Hochrisiko-Pflichten, GPAI, Konformitaetsbewertung und Evidence-Pack. Kein Rechtsrat. |
 | `krisenfrueherkennung-starug` | Krisenfrüherkennung und Krisenmanagement nach StaRUG: Pflicht zum 24-Monats-Frühwarnsystem nach § 1 StaRUG, § 102 StaRUG Warnpflicht der Berater, Geschäftsführerhaftung, drohende Zahlungsunfähigkeit, integrierte Planung, Restrukturierungsplan und Stabilisierungsanordnung. |
 | `legistik-werkstatt` | Legistik-Werkstatt fuer Bundes- und Landesministerien. Vom politischen Auftrag ueber Normhierarchie Kompetenzpruefung Normenkartierung Terminologie zu Referentenentwurf Kabinettsmappe Formulierungshilfe Rechtsverordnung Satzung. Inkl. Begruendung Synopse Lesefassung XML Folgenabschaetzung Goldplating-Check und Schulungstrainings. Erzeugt am Ende DOCX und PDF im offiziellen HdR-Layout (Times New Roman BT-Drucksachen, Arial Referentenentwurf). |
 | `liquiditaetsplanung` | Eigenständiges Power-Plugin Liquiditätsvorschau nach deutschem Recht. Wochenaktuelle 3-Wochen-Vorschau § 17 InsO und rollierende 13/26/52-Wochen-Planung, jeweils mit Excel-Vorlage (Freitag-Stichtag, KW-Spalten) und optionalem interaktivem HTML-Padlet oder Markdown-Artefakt. BGH-Schema strikt: Passiva II zwingend (BGHZ 217, 129), 10-%-Schwelle und 3-Wochen-Horizont (BGHZ 163, 134), Bugwellenrspr. (BGH II ZR 112/21), titulierte Forderungen mit Nennwert (BGH IX ZR 229/22), objektive Beurteilung (BGH II ZR 139/23). Banking optional (manuell, CAMT.053/MT940/CSV/DATEV-OPOS, Connector). Memo nur auf Anfrage. Funktioniert allein, ergänzt sich aber mit insolvenzrecht und steuerrecht-anwalt-und-berater. |
@@ -86,7 +86,7 @@ Auf der [Releases-Seite](https://github.com/Klotzkette/claude-fuer-deutsches-rec
 | ZIP                                       | Was steckt drin                                                                                                            |
 | ----------------------------------------- | -------------------------------------------------------------------------------------------------------------------------- |
 | `aussenwirtschaft-zoll-sanktionen.zip` | Exportkontrolle, Sanktionen, Embargos, Zoll, TARIC, CBAM, Verbrauchsteuer, Antidumping, AWV, AML/KYC, Prüfungen und Krisenkommunikation |
-| `datenschutzrecht.zip`                    | DSGVO/BDSG/TDDDG, PIA/DPIA, AVV-Review, Datenpannenmeldung                                                                 |
+| `datenschutzrecht.zip`                    | DSGVO/BDSG/TDDDG, PIA/DPIA, AVV-Review, Datenpannenmeldung, US-Transfer mit DPF/SCC/TIA                                    |
 | `geldwaeschepraevention-aml-kyc.zip` | Geldwäscheprävention, AML/KYC, GwG-Risikoanalyse, UBO, PEP, Sanktionen, FIU/goAML, Transparenzregister, Monitoring, Audit und Behördenverfahren |
 | `ki-governance.zip`                       | EU-KI-VO + DSGVO: Use-Case-Triage, KI-Inventar, Vendor-Review                                                              |
 | `berufsrecht-ki-vertragspruefung.zip`     | Berufsrechtliche Vorprüfung von Verträgen mit Legal-Tech-Anbietern                                                         |
@@ -24,7 +24,7 @@ Dieses Repository trifft **keine Aussage** zur Zulässigkeit eines Einsatzes im
 | Kennzahl | Wert |
 |---|---|
 | **Plugins** | 101 |
-| **Skills (SKILL.md)** | 2386 — [Gesamtübersicht](./SKILLS.md) |
+| **Skills (SKILL.md)** | 2390 — [Gesamtübersicht](./SKILLS.md) |
 | **Testakten** | 52 |
 | **Fachanwalts-/-anwältinnen-Profile** | 24 |
 | **Letzter Release** | `v21.0.0` — [latest auf GitHub](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest) |
@@ -181,7 +181,7 @@ Plugins (in Claude-Code-Terminologie) für die wichtigsten Rechtsgebiete der deu
 | [`bgb-at-pruefer`](./bgb-at-pruefer) | Großes Prüfplugin zum BGB Allgemeiner Teil: Vertragsschluss, Willenserklärung, Zugang, Geschäftsfähigkeit, Form, qES, beA, § 130e ZPO, § 46h ArbGG, Anfechtung, Stellvertretung, Fristen und Verjährung. 53 Skills plus synthetische Testakte. |
 | [`common-law-kompass`](./common-law-kompass) | Freistehender Common-Law-Kompass für deutsche Wirtschaftsjuristen: UK/US-False-Friends, Vertragsbegriffe, Consideration, Suretyship, Indemnity, UCC, Precedent, Discovery und bilinguale Drafting-Reviews. |
 | [`corporate-kanzlei`](./corporate-kanzlei) | Corporate/M&A-Plugin (47 Skills) für transaktionsstarke Kanzleien: Deal-Kommandocenter, Datenraum, Due Diligence, Tabellenreview, SPA/APA, Disclosure Schedules, Signing/Closing, W&I, Public M&A, Fusionskontrolle, Investitionskontrolle, Umwandlungsrecht, StaRUG, Insolvenzplan, PMI. |
-| [`datenschutzrecht`](./datenschutzrecht) | DSGVO, BDSG, TDDDG, Auskunft, Datenpanne, AVV. |
+| [`datenschutzrecht`](./datenschutzrecht) | DSGVO, BDSG, TDDDG, Auskunft, Datenpanne, AVV, US-Transfers mit DPF/SCC/TIA und Behördenpaket. |
 | [`einfache-leichte-sprache-jura`](./einfache-leichte-sprache-jura) | Juristische Texte in Einfache Sprache oder Leichte Sprache übertragen: experimentelle Annäherung an einschlägige Standards, Zielgruppe klären, Rechtsinhalt sichern, schwere Wörter erklären und Qualitätsgate laufen lassen. |
 | [`email-umformulierer-berufsrecht`](./email-umformulierer-berufsrecht) | Formuliert unfreundliche, emotionale oder unsachliche E-Mails in höfliche, sachliche und berufsrechtskonforme Texte um. Fokus auf BRAO/BORA, mit Modi für Steuerberater, Notare und allgemeine Korrespondenz. |
 | [`energierecht`](./energierecht) | Freistehender Energierechts-Assistent für Stadtwerke, Energieversorger, Wärme, Netze, Vertrieb, Industriekunden, EEG/KWKG, Quartiere, E-Mobility, Wasserstoff, Verfahren, Transaktionen und Projektfinanzierung. |
@@ -231,7 +231,7 @@ Plugins (in Claude-Code-Terminologie) für die wichtigsten Rechtsgebiete der deu
 | [`kartellrecht-marktabgrenzung-pruefung`](./kartellrecht-marktabgrenzung-pruefung) | Hochspezialisierte kartellrechtliche Prüfinstanz für vorgelegte Marktabgrenzungen (eigenes Team, gegnerische Partei, Behörde). § 18 GWB, Art. 101 und Art. 102 AEUV, EU-Bekanntmachung Marktdefinition 2024. SSNIP-Test, Nachfrage-/Angebotssubstitution, räumlicher Markt, Evidenzbasierung, Konsistenzcheck, EuGH-Leitentscheidungen, Red Flags, alternative Marktdefinitionen, Marktbeherrschung. 25 Skills. |
 | [`ki-governance`](./ki-governance) | EU-KI-VO, KI-Inventar, AIA, Vendor Review. |
 | [`ki-richtlinie-kanzleien`](./ki-richtlinie-kanzleien) | Erstellt und pflegt eine berufsrechtskonforme KI-Nutzungsrichtlinie für Kanzleien und Rechtsabteilungen. 27 Skills zu BRAO, BORA, DSGVO, KI-Verordnung, Berufsrecht, Datenschutz, Halluzinations-Handhabung und Prompting. |
-| [`ki-vo-ai-act-pruefer`](./ki-vo-ai-act-pruefer) | Vollständiger Mechanik-Workflow zur Verordnung (EU) 2024/1689 (KI-VO): KI-System-Definition, Rollen, Risikoklassen, Hochrisiko-Pflichten, GPAI-Modelle, Sanktionen. Kein Rechtsrat. |
+| [`ki-vo-ai-act-pruefer`](./ki-vo-ai-act-pruefer) | Vollständiger Mechanik-Workflow zur Verordnung (EU) 2024/1689 (KI-VO): KI-System-Definition, Rollen, Risikoklassen, Hochrisiko-Pflichten, GPAI, Konformitätsbewertung, Evidence-Pack und Sanktionen. Kein Rechtsrat. |
 | [`krisenfrueherkennung-starug`](./krisenfrueherkennung-starug) | Krisenfrüherkennung und Krisenmanagement nach StaRUG: Pflicht zum 24-Monats-Frühwarnsystem nach § 1 StaRUG, § 102 StaRUG Warnpflicht der Berater, Geschäftsführerhaftung, drohende Zahlungsunfähigkeit, integrierte Planung, Restrukturierungsplan und Stabilisierungsanordnung. |
 | [`legistik-werkstatt`](./legistik-werkstatt) | Legistik-Werkstatt für Bundesministerien, Bundestag, Fraktionen/Opposition, Landesministerien, Landtage und sonstige Normgeber. Vom politischen Auftrag über Startbahn, Normhierarchie, Kompetenzprüfung, Normenkartierung und Terminologie zu Referentenentwurf, Kabinettsmappe, Gesetzentwurf aus der Mitte, Formulierungshilfe, Änderungsantrag, Antrag, Entschließungsantrag, Rechtsverordnung und Satzung. Inkl. Begründung, Synopse, Lesefassung, XML, Folgenabschätzung, Goldplating-Check und Schulungstrainings. Erzeugt am Ende DOCX und PDF im passenden offiziellen Layout. |
 | [`liquiditaetsplanung`](./liquiditaetsplanung) | Bündel-Plugin für die rollierende Liquiditätsplanung: 3-Wochen-Test § 17 InsO (BGH BGHZ 163, 134), 13/26/52-Wochen-Forecast mit Ampel, Fortführungsprognose IDW S 6/S 11 und insolvenzrechtliche Liquiditätsbilanz. Verweist auf die Skills in `steuerrecht-anwalt-und-berater` und `insolvenzrecht`. |
@@ -368,7 +368,7 @@ Dieses Repository ist vollständig auf das deutsche Recht und die Arbeitsweise d
 - Due Diligence läuft über Q&A, Datenraum und anwaltliche Sachverhaltsaufklärung.
 - Kündigungsschutz: Regelfall nach KSchG ab 6 Monate / mehr als 10 Arbeitnehmer.

-Aktueller Stand: **101 Plugins, 2386 Skills, 52 Testakten**. Abgedeckt sind klassische Mandantenpraxis, alle 24 Fachanwaltschaften, Großkanzlei- und Mittelstandsformate sowie Spezialdisziplinen wie Insolvenzverwaltung, Zwangsverwaltung, Zwangsversteigerung, Lobbyregister-Compliance mit Bundestags-Open-Data/API-Monitoring, Selbstvertretung vor Amts- und Sozialgericht, Steuerberater-Werkzeuge für BWA/Lohn/DBA, Markenrecht für Luxus-Fashion mit USPTO/Lanham-Act-Modul, betriebliche Altersversorgung in Konzernen mit Düsseldorf-Kyoto-Profil, StaRUG-Krisenfrüherkennung mit Vier-und-zwanzig-Monats-Horizont, Schriftform-/Textform-Workflow-Organisator nach BGH I ZR 202/25, BGH VIII ZR 155/23, BGH VIII ZR 159/23, § 130e ZPO und § 46h ArbGG, Wandeldarlehen-Lebenszyklus mit Cap-Table-Mechanik, BVG-/ÖPNV-Abschleppkosten nach § 23 MobG BE sowie generische Mechanik-Prüfer für BGB AT, Subsumtion, Bereicherungs-/Anfechtungsrecht inklusive vertiefter Dreiecks-, Entreicherungs- und KI-Anfechtungsscreening-Workflows und die KI-VO (Verordnung (EU) 2024/1689). Jedes Plugin hat einen `allgemein`-Einstiegsskill mit Schnelltriage, Workflow und Routing zu den plugin-eigenen Spezial-Skills.
+Aktueller Stand: **101 Plugins, 2390 Skills, 54 Testakten**. Abgedeckt sind klassische Mandantenpraxis, alle 24 Fachanwaltschaften, Großkanzlei- und Mittelstandsformate sowie Spezialdisziplinen wie Insolvenzverwaltung, Zwangsverwaltung, Zwangsversteigerung, Lobbyregister-Compliance mit Bundestags-Open-Data/API-Monitoring, Selbstvertretung vor Amts- und Sozialgericht, Steuerberater-Werkzeuge für BWA/Lohn/DBA, Datenschutz-US-Transfer mit DPF/SCC/TIA-Behördenpaket, Markenrecht für Luxus-Fashion mit USPTO/Lanham-Act-Modul, betriebliche Altersversorgung in Konzernen mit Düsseldorf-Kyoto-Profil, StaRUG-Krisenfrüherkennung mit Vier-und-zwanzig-Monats-Horizont, Schriftform-/Textform-Workflow-Organisator nach BGH I ZR 202/25, BGH VIII ZR 155/23, BGH VIII ZR 159/23, § 130e ZPO und § 46h ArbGG, Wandeldarlehen-Lebenszyklus mit Cap-Table-Mechanik, BVG-/ÖPNV-Abschleppkosten nach § 23 MobG BE sowie generische Mechanik-Prüfer für BGB AT, Subsumtion, Bereicherungs-/Anfechtungsrecht inklusive vertiefter Dreiecks-, Entreicherungs- und KI-Anfechtungsscreening-Workflows und die KI-VO (Verordnung (EU) 2024/1689) mit Konformitäts-Evidence-Pack. Jedes Plugin hat einen `allgemein`-Einstiegsskill mit Schnelltriage, Workflow und Routing zu den plugin-eigenen Spezial-Skills.

 ### Materielle Rechtsgebiete

@@ -1,6 +1,6 @@
 # Skill-Übersicht

-Automatisch gezählte Gesamtübersicht aller **2386 Skills** in **101 Plugins**. Jeder Skill verlinkt direkt auf seine `SKILL.md`.
+Automatisch gezählte Gesamtübersicht aller **2390 Skills** in **101 Plugins**. Jeder Skill verlinkt direkt auf seine `SKILL.md`.

 **Repository:** [Klotzkette/claude-fuer-deutsches-recht](https://github.com/Klotzkette/claude-fuer-deutsches-recht)

@@ -21,7 +21,7 @@ Automatisch gezählte Gesamtübersicht aller **2386 Skills** in **101 Plugins**.
 - [bgb-at-pruefer](#bgb-at-pruefer) — 53 Skills
 - [common-law-kompass](#common-law-kompass) — 19 Skills
 - [corporate-kanzlei](#corporate-kanzlei) — 47 Skills
- [datenschutzrecht](#datenschutzrecht) — 18 Skills
+- [datenschutzrecht](#datenschutzrecht) — 21 Skills
 - [dsa-dma-digitalregulierung](#dsa-dma-digitalregulierung) — 10 Skills
 - [einfache-leichte-sprache-jura](#einfache-leichte-sprache-jura) — 6 Skills
 - [email-umformulierer-berufsrecht](#email-umformulierer-berufsrecht) — 21 Skills
@@ -71,7 +71,7 @@ Automatisch gezählte Gesamtübersicht aller **2386 Skills** in **101 Plugins**.
 - [kartellrecht-marktabgrenzung-pruefung](#kartellrecht-marktabgrenzung-pruefung) — 25 Skills
 - [ki-governance](#ki-governance) — 11 Skills
 - [ki-richtlinie-kanzleien](#ki-richtlinie-kanzleien) — 27 Skills
- [ki-vo-ai-act-pruefer](#ki-vo-ai-act-pruefer) — 47 Skills
+- [ki-vo-ai-act-pruefer](#ki-vo-ai-act-pruefer) — 48 Skills
 - [krisenfrueherkennung-starug](#krisenfrueherkennung-starug) — 20 Skills
 - [legistik-werkstatt](#legistik-werkstatt) — 26 Skills
 - [liquiditaetsplanung](#liquiditaetsplanung) — 4 Skills
@@ -421,12 +421,14 @@ Automatisch gezählte Gesamtübersicht aller **2386 Skills** in **101 Plugins**.
 | [`allgemein`](./datenschutzrecht/skills/allgemein/SKILL.md) | [`anwendungsfall-triage`](./datenschutzrecht/skills/anwendungsfall-triage/SKILL.md) |
 | [`avv-pruefung`](./datenschutzrecht/skills/avv-pruefung/SKILL.md) | [`datenpanne-meldung`](./datenschutzrecht/skills/datenpanne-meldung/SKILL.md) |
 | [`datenschutzrecht-anpassen`](./datenschutzrecht/skills/datenschutzrecht-anpassen/SKILL.md) | [`datenschutzrecht-kaltstart-interview`](./datenschutzrecht/skills/datenschutzrecht-kaltstart-interview/SKILL.md) |
-| [`datenschutzrecht-mandat-arbeitsbereich`](./datenschutzrecht/skills/datenschutzrecht-mandat-arbeitsbereich/SKILL.md) | [`drittlandstransfer-pruefung`](./datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md) |
-| [`dsb-bestellungspflicht-pruefung`](./datenschutzrecht/skills/dsb-bestellungspflicht-pruefung/SKILL.md) | [`dsfa-erstellung`](./datenschutzrecht/skills/dsfa-erstellung/SKILL.md) |
-| [`dsgvo-auskunft`](./datenschutzrecht/skills/dsgvo-auskunft/SKILL.md) | [`dsgvo-auskunft-antwort`](./datenschutzrecht/skills/dsgvo-auskunft-antwort/SKILL.md) |
-| [`joint-controller-vereinbarung`](./datenschutzrecht/skills/joint-controller-vereinbarung/SKILL.md) | [`ki-verordnung-compliance`](./datenschutzrecht/skills/ki-verordnung-compliance/SKILL.md) |
-| [`mandantendaten-ki`](./datenschutzrecht/skills/mandantendaten-ki/SKILL.md) | [`regulierungs-luecken-analyse`](./datenschutzrecht/skills/regulierungs-luecken-analyse/SKILL.md) |
-| [`richtlinien-monitor`](./datenschutzrecht/skills/richtlinien-monitor/SKILL.md) | [`verarbeitungsverzeichnis-vvt-generator`](./datenschutzrecht/skills/verarbeitungsverzeichnis-vvt-generator/SKILL.md) |
+| [`datenschutzrecht-mandat-arbeitsbereich`](./datenschutzrecht/skills/datenschutzrecht-mandat-arbeitsbereich/SKILL.md) | [`drittlandtransfer-behoerdenpaket-output`](./datenschutzrecht/skills/drittlandtransfer-behoerdenpaket-output/SKILL.md) |
+| [`drittlandstransfer-pruefung`](./datenschutzrecht/skills/drittlandstransfer-pruefung/SKILL.md) | [`dsb-bestellungspflicht-pruefung`](./datenschutzrecht/skills/dsb-bestellungspflicht-pruefung/SKILL.md) |
+| [`dsfa-erstellung`](./datenschutzrecht/skills/dsfa-erstellung/SKILL.md) | [`dsgvo-auskunft`](./datenschutzrecht/skills/dsgvo-auskunft/SKILL.md) |
+| [`dsgvo-auskunft-antwort`](./datenschutzrecht/skills/dsgvo-auskunft-antwort/SKILL.md) | [`joint-controller-vereinbarung`](./datenschutzrecht/skills/joint-controller-vereinbarung/SKILL.md) |
+| [`ki-verordnung-compliance`](./datenschutzrecht/skills/ki-verordnung-compliance/SKILL.md) | [`mandantendaten-ki`](./datenschutzrecht/skills/mandantendaten-ki/SKILL.md) |
+| [`regulierungs-luecken-analyse`](./datenschutzrecht/skills/regulierungs-luecken-analyse/SKILL.md) | [`richtlinien-monitor`](./datenschutzrecht/skills/richtlinien-monitor/SKILL.md) |
+| [`standardvertragsklauseln-scc-paket`](./datenschutzrecht/skills/standardvertragsklauseln-scc-paket/SKILL.md) | [`us-transfer-tia-dokumentation`](./datenschutzrecht/skills/us-transfer-tia-dokumentation/SKILL.md) |
+| [`verarbeitungsverzeichnis-vvt-generator`](./datenschutzrecht/skills/verarbeitungsverzeichnis-vvt-generator/SKILL.md) |  |

 ## dsa-dma-digitalregulierung

@@ -1275,14 +1277,14 @@ Automatisch gezählte Gesamtübersicht aller **2386 Skills** in **101 Plugins**.
 | [`hochrisiko-transparenz-und-informationen-fuer-betreiber-art-13`](./ki-vo-ai-act-pruefer/skills/hochrisiko-transparenz-und-informationen-fuer-betreiber-art-13/SKILL.md) | [`hochrisiko-zuordnung-art-6-und-anhang-i-iii`](./ki-vo-ai-act-pruefer/skills/hochrisiko-zuordnung-art-6-und-anhang-i-iii/SKILL.md) |
 | [`liegt-ki-system-vor-art-3-nr-1`](./ki-vo-ai-act-pruefer/skills/liegt-ki-system-vor-art-3-nr-1/SKILL.md) | [`mandatsabbruch-empfehlung-komplexe-faelle`](./ki-vo-ai-act-pruefer/skills/mandatsabbruch-empfehlung-komplexe-faelle/SKILL.md) |
 | [`marktueberwachung-meldung-vorfaelle-art-72-bis-79`](./ki-vo-ai-act-pruefer/skills/marktueberwachung-meldung-vorfaelle-art-72-bis-79/SKILL.md) | [`nicht-hochrisiko-bestaetigt-end-to-end-roadmap`](./ki-vo-ai-act-pruefer/skills/nicht-hochrisiko-bestaetigt-end-to-end-roadmap/SKILL.md) |
-| [`output-betreiber-checkliste-und-folgenabschaetzung`](./ki-vo-ai-act-pruefer/skills/output-betreiber-checkliste-und-folgenabschaetzung/SKILL.md) | [`output-konformitaetserklaerung-eu-anhang-v`](./ki-vo-ai-act-pruefer/skills/output-konformitaetserklaerung-eu-anhang-v/SKILL.md) |
-| [`output-pruefdokument-ki-vo-mit-warnhinweisen`](./ki-vo-ai-act-pruefer/skills/output-pruefdokument-ki-vo-mit-warnhinweisen/SKILL.md) | [`persoenlicher-anwendungsbereich-rollen-art-3`](./ki-vo-ai-act-pruefer/skills/persoenlicher-anwendungsbereich-rollen-art-3/SKILL.md) |
-| [`risikoklassen-uebersicht-und-triage`](./ki-vo-ai-act-pruefer/skills/risikoklassen-uebersicht-und-triage/SKILL.md) | [`rolle-anbieter-pruefen-art-3-nr-3`](./ki-vo-ai-act-pruefer/skills/rolle-anbieter-pruefen-art-3-nr-3/SKILL.md) |
-| [`rolle-betreiber-pruefen-art-3-nr-4`](./ki-vo-ai-act-pruefer/skills/rolle-betreiber-pruefen-art-3-nr-4/SKILL.md) | [`rueckausnahme-art-6-abs-3`](./ki-vo-ai-act-pruefer/skills/rueckausnahme-art-6-abs-3/SKILL.md) |
-| [`sachlicher-ausschluss-art-2-abs-3-bis-12`](./ki-vo-ai-act-pruefer/skills/sachlicher-ausschluss-art-2-abs-3-bis-12/SKILL.md) | [`sanktionen-art-99-bis-101`](./ki-vo-ai-act-pruefer/skills/sanktionen-art-99-bis-101/SKILL.md) |
-| [`territorialer-anwendungsbereich-art-2`](./ki-vo-ai-act-pruefer/skills/territorialer-anwendungsbereich-art-2/SKILL.md) | [`triage-ki-vo-vorpruefung`](./ki-vo-ai-act-pruefer/skills/triage-ki-vo-vorpruefung/SKILL.md) |
-| [`verbotene-praktiken-art-5`](./ki-vo-ai-act-pruefer/skills/verbotene-praktiken-art-5/SKILL.md) | [`verhaeltnis-zu-anderen-unionsrechtsakten`](./ki-vo-ai-act-pruefer/skills/verhaeltnis-zu-anderen-unionsrechtsakten/SKILL.md) |
-| [`zeitlicher-geltungsbereich-uebergangsfristen`](./ki-vo-ai-act-pruefer/skills/zeitlicher-geltungsbereich-uebergangsfristen/SKILL.md) |  |
+| [`output-betreiber-checkliste-und-folgenabschaetzung`](./ki-vo-ai-act-pruefer/skills/output-betreiber-checkliste-und-folgenabschaetzung/SKILL.md) | [`output-konformitaetsbescheinigung-evidence-pack`](./ki-vo-ai-act-pruefer/skills/output-konformitaetsbescheinigung-evidence-pack/SKILL.md) |
+| [`output-konformitaetserklaerung-eu-anhang-v`](./ki-vo-ai-act-pruefer/skills/output-konformitaetserklaerung-eu-anhang-v/SKILL.md) | [`output-pruefdokument-ki-vo-mit-warnhinweisen`](./ki-vo-ai-act-pruefer/skills/output-pruefdokument-ki-vo-mit-warnhinweisen/SKILL.md) |
+| [`persoenlicher-anwendungsbereich-rollen-art-3`](./ki-vo-ai-act-pruefer/skills/persoenlicher-anwendungsbereich-rollen-art-3/SKILL.md) | [`risikoklassen-uebersicht-und-triage`](./ki-vo-ai-act-pruefer/skills/risikoklassen-uebersicht-und-triage/SKILL.md) |
+| [`rolle-anbieter-pruefen-art-3-nr-3`](./ki-vo-ai-act-pruefer/skills/rolle-anbieter-pruefen-art-3-nr-3/SKILL.md) | [`rolle-betreiber-pruefen-art-3-nr-4`](./ki-vo-ai-act-pruefer/skills/rolle-betreiber-pruefen-art-3-nr-4/SKILL.md) |
+| [`rueckausnahme-art-6-abs-3`](./ki-vo-ai-act-pruefer/skills/rueckausnahme-art-6-abs-3/SKILL.md) | [`sachlicher-ausschluss-art-2-abs-3-bis-12`](./ki-vo-ai-act-pruefer/skills/sachlicher-ausschluss-art-2-abs-3-bis-12/SKILL.md) |
+| [`sanktionen-art-99-bis-101`](./ki-vo-ai-act-pruefer/skills/sanktionen-art-99-bis-101/SKILL.md) | [`territorialer-anwendungsbereich-art-2`](./ki-vo-ai-act-pruefer/skills/territorialer-anwendungsbereich-art-2/SKILL.md) |
+| [`triage-ki-vo-vorpruefung`](./ki-vo-ai-act-pruefer/skills/triage-ki-vo-vorpruefung/SKILL.md) | [`verbotene-praktiken-art-5`](./ki-vo-ai-act-pruefer/skills/verbotene-praktiken-art-5/SKILL.md) |
+| [`verhaeltnis-zu-anderen-unionsrechtsakten`](./ki-vo-ai-act-pruefer/skills/verhaeltnis-zu-anderen-unionsrechtsakten/SKILL.md) | [`zeitlicher-geltungsbereich-uebergangsfristen`](./ki-vo-ai-act-pruefer/skills/zeitlicher-geltungsbereich-uebergangsfristen/SKILL.md) |

 ## krisenfrueherkennung-starug

@@ -1,7 +1,7 @@
 {
  "name": "datenschutzrecht",
  "version": "21.0.0",
-  "description": "DSGVO/BDSG/TDDDG – PIA/DPIA, AVV-Review als Verantwortlicher und Auftragsverarbeiter, Auskunftsersuchen Art. 15, Datenpannenmeldung Art. 33/34, Drittlandstransfer Art. 44 ff., Drift-Monitoring.",
+  "description": "DSGVO/BDSG/TDDDG – PIA/DPIA, AVV-Review, Auskunft Art. 15, Datenpanne Art. 33/34, Drittlandstransfer Art. 44 ff. inkl. US-Transfer, DPF, SCC, TIA und Behördenpaket.",
  "license": "Apache-2.0 OR MIT",
  "author": {
    "name": "Klotzkette"
@@ -1,6 +1,6 @@
 # Datenschutzrecht-Plugin

-Datenschutzrechtliche Arbeitsabläufe für Kanzleien und Datenschutzbeauftragte: AVV-Prüfung, Betroffenenauskunft, Datenschutz-Folgenabschätzung, Drittlandstransfer-Prüfung, regulatorische Lückenanalyse und Richtlinien-Monitoring. Vollständig ausgerichtet auf DSGVO, BDSG, TDDDG und KUG. Entwickelt für deutsche und EU-ansässige Verantwortliche und Auftragsverarbeiter.
+Datenschutzrechtliche Arbeitsabläufe für Kanzleien und Datenschutzbeauftragte: AVV-Prüfung, Betroffenenauskunft, Datenschutz-Folgenabschätzung, Drittlandstransfer-Prüfung, US-Transfer mit DPF/SCC/TIA, Behördenpaket, regulatorische Lückenanalyse und Richtlinien-Monitoring. Vollständig ausgerichtet auf DSGVO, BDSG, TDDDG und KUG. Entwickelt für deutsche und EU-ansässige Verantwortliche und Auftragsverarbeiter.

 **Jede Ausgabe ist ein Entwurf zur anwaltlichen Prüfung – zitiert, gekennzeichnet und freigabepflichtig, keine abschließende Rechtsauskunft.** Das Plugin übernimmt die Arbeit: es liest Dokumente, wendet Ihr Praxisprofil an, findet Schwachstellen und verfasst Memos. Der Anwalt prüft, verifiziert und entscheidet. Zitate sind nach Herkunft gekennzeichnet (Modellwissen vs. abgerufen). Mandatsgeheimnisschutz (§ 43a Abs. 2 BRAO, § 203 StGB) wird konservativ gehandhabt. Folgenreiche Maßnahmen – Übermittlung an Aufsichtsbehörden, Versand von Betroffenenschreiben, Vertragsunterzeichnung – werden erst nach ausdrücklicher Bestätigung durchgeführt.

@@ -28,6 +28,7 @@ Fiktive Mandatsakte zum sofortigen Testen — **kein Teil des Plugins**, separat
 | Testakte | Direkt-Download |
 | --- | --- |
 | **Solis Vision X (Smartglasses, DSGVO/CISG)** | [testakte-solis-vision-x-smartglasses.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-solis-vision-x-smartglasses.zip) |
+| **CloudSuite Assist (US-Transfer, DPF/SCC/TIA)** | [testakte-datenschutz-us-transfer-cloudsuite-rheinmain.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-datenschutz-us-transfer-cloudsuite-rheinmain.zip) |



@@ -61,11 +62,14 @@ Die Konfiguration wird gespeichert unter `~/.claude/plugins/config/claude-fuer-d
 | `/datenschutzrecht:dsgvo-auskunft-antwort` | Betroffenenanfrage (Art. 15–22 DSGVO) vollständig bearbeiten |
 | `/datenschutzrecht:dsfa-erstellung [Vorhaben]` | DSFA nach Art. 35 DSGVO erstellen |
 | `/datenschutzrecht:drittlandstransfer-pruefung [Empfaenger/Land]` | Drittlandstransfer nach Art. 44 ff. DSGVO prüfen (neu in v3.3.0) |
+| `/datenschutzrecht:us-transfer-tia-dokumentation [US-Dienst]` | US-Transfer mit DPF-Listing, Schrems-Historie, SCC/BCR-Ausweichpfad, TIA und ergänzenden Maßnahmen dokumentieren |
+| `/datenschutzrecht:standardvertragsklauseln-scc-paket [DPA/SaaS-Vertrag]` | SCC-Modul 1–4 wählen, Annex I–III und Subprozessoren prüfbar vorbereiten |
+| `/datenschutzrecht:drittlandtransfer-behoerdenpaket-output [Akte]` | Druckreifes Paket für deutsche Datenschutzaufsicht: Deckvermerk, Nachweise, Antwortschreiben, Maßnahmenplan |
 | `/datenschutzrecht:regulierungs-luecken-analyse [Leitlinie/Gesetz]` | Lückenanalyse neue Anforderung vs. aktueller Praxis |
 | `/datenschutzrecht:richtlinien-monitor` | Wöchentlicher Drift-Scan der Datenschutzerklärung und Richtlinien |
 | `/datenschutzrecht:datenschutzrecht-mandat-arbeitsbereich` | Mandate verwalten (für Mehrmandat-Kanzleien): neu, liste, wechsle, schließe |

-## Skills (18)
+## Skills (21)

 | Skill | Funktion |
 |---|---|
@@ -76,6 +80,9 @@ Die Konfiguration wird gespeichert unter `~/.claude/plugins/config/claude-fuer-d
 | **dsgvo-auskunft-antwort** | Identitätsprüfung → Systemabfrage → Ausnahmen → Antwortentwurf (Art. 15–22, Art. 12 Abs. 3 DSGVO) |
 | **dsfa-erstellung** | DSFA nach Art. 35 DSGVO, BfDI-Blacklist/-Whitelist, Schwellwertanalyse |
 | **drittlandstransfer-pruefung** | Drittlandstransfer Art. 44 ff. DSGVO: Angemessenheitsbeschlüsse, SCC 2021 Module 1–4, TIA nach Schrems II, BCR — **neu in v3.3.0** |
+| **us-transfer-tia-dokumentation** | US-Transfer nach Art. 44 ff. DSGVO: EU-US Data Privacy Framework, DPF-Scope, Schrems I/II, SCC/BCR-Ausweichpfad, TIA und supplementary measures |
+| **standardvertragsklauseln-scc-paket** | SCC-Modulwahl 1–4, Annex I–III, Subprozessoren, TOMs, AVV-Schnittstelle und Unterzeichnungspaket ohne Veränderung der offiziellen Klauseln |
+| **drittlandtransfer-behoerdenpaket-output** | Behördenfähiges Dokumentationspaket mit Deckvermerk, Transferregister, DPF-/SCC-/TIA-Nachweisen, Antwortentwurf und Review-Kalender |
 | **regulierungs-luecken-analyse** | Neue Leitlinie/VO vs. Ist-Zustand; EDSA- und DSK-Leitlinien |
 | **richtlinien-monitor** | Drift-Monitoring Datenschutzerklärung; Entwurf von Aktualisierungen |
 | **mandats-arbeitsbereich** | Mandate anlegen, auflisten, wechseln und schließen für Mehrmandat-Kanzleien |
@@ -117,6 +124,16 @@ Ergebnis: Richtung automatisch erkannt, Klausel-für-Klausel-Vergleich mit Ihrem

 Ergebnis: Angemessenheitsbeschluss-Check, SCC-Modul-Empfehlung, TIA-Checkliste, Risikoampel.

+### 4a. US-Transfer behördenfest dokumentieren
+
+```
+/datenschutzrecht:us-transfer-tia-dokumentation "US-SaaS mit Supportzugriff, DPF behauptet"
+/datenschutzrecht:standardvertragsklauseln-scc-paket anbieter-dpa.pdf
+/datenschutzrecht:drittlandtransfer-behoerdenpaket-output akte-cloudsuite.zip
+```
+
+Ergebnis: DPF-Listing- und Scope-Vermerk, Schrems-I/II-Historie ohne falsche Privacy-Shield-Berufung, SCC-Modul- und Annex-Paket, TIA, TOM-Matrix, Subprozessorenliste, Antwortentwurf für die Aufsichtsbehörde und Wiedervorlage.
+
 ### 5. Betroffenenanfrage bearbeiten

 ```
@@ -160,7 +177,10 @@ datenschutzrecht/
 │   ├── datenschutzrecht-anpassen/
 │   ├── datenschutzrecht-kaltstart-interview/
 │   ├── datenschutzrecht-mandat-arbeitsbereich/
-│   ├── drittlandstransfer-pruefung/       ← neu in v3.3.0
+│   ├── drittlandstransfer-pruefung/
+│   ├── us-transfer-tia-dokumentation/
+│   ├── standardvertragsklauseln-scc-paket/
+│   ├── drittlandtransfer-behoerdenpaket-output/
 │   ├── dsfa-erstellung/
 │   ├── dsgvo-auskunft/
 │   ├── dsgvo-auskunft-antwort/
@@ -175,12 +195,17 @@ datenschutzrecht/
 - **Bidirektionale AVV-Prüfung:** Derselbe Skill behandelt eingehende Anbieter-AVVs (operative Flexibilität verteidigen) und ausgehende Auftraggeber-AVVs (Datenschutz der Betroffenen sichern). Richtung wird automatisch erkannt oder kann angegeben werden.
 - **DSFA-Format:** Das Format richtet sich nach Ihrer Referenz-DSFA. Wurde keine angegeben, wird die DSFA-Methodik der Artikel-29-Gruppe / des EDSA genutzt – erneutes Setup mit einer Referenz-DSFA verbessert die Passgenauigkeit.
 - **Lückenanalyse vs. Policy-Monitor:** `regulierungs-luecken-analyse` analysiert eingehende neue Anforderungen (neue EDSA-Leitlinie, Gesetzesänderung). `richtlinien-monitor` überwacht internen Praxis-Drift. Zwei unterschiedliche Werkzeuge für zwei Richtungen der Veränderung.
- **Drittlandstransfer (neu v3.3.0):** `drittlandstransfer-pruefung` deckt den gesamten Prüfpfad nach Kapitel V DSGVO ab — von der Angemessenheitsbeschluss-Prüfung über SCC-Modul-Auswahl bis zum Transfer Impact Assessment nach EuGH C-311/18 Schrems II. Quervernetzt mit `avv-pruefung` und `dsfa-erstellung`.
+- **Drittlandstransfer:** `drittlandstransfer-pruefung` deckt den allgemeinen Prüfpfad nach Kapitel V DSGVO ab. Für US-Fälle vertieft `us-transfer-tia-dokumentation` DPF, Schrems I/II, SCC/BCR und TIA; `standardvertragsklauseln-scc-paket` baut die SCC-Anlagen; `drittlandtransfer-behoerdenpaket-output` macht daraus ein Behördenpaket.
 - **Aufsichtsbehörden:** Das Plugin kennt BfDI (Bundesebene) und alle 16 LfDI (Länderebene). Die zuständige Behörde wird aus der Organisationshauptschaft und dem Verarbeitungskontext bestimmt.
 - **Zitierweise:** Verbindlich nach `../references/zitierweise.md` (BGH-Stil). Alle normativen Verweise folgen dem dortigen Schema.

 ## Changelog

+### v21.0.0 Nachlauf (05/2026)
+- **Neue Skills:** `us-transfer-tia-dokumentation`, `standardvertragsklauseln-scc-paket`, `drittlandtransfer-behoerdenpaket-output`
+- US-Transfer-Workflow trennt aktuelle DPF-Basis, SCC/TIA-Ausweichpfad und historische Safe-Harbor-/Privacy-Shield-Prüfung.
+- Neue Testakte `datenschutz-us-transfer-cloudsuite-rheinmain` mit Behördenanfrage, DPF-Vermerk, SCC-Anlagen, TIA, TOMs, Subprozessoren und Antwortentwurf.
+
 ### v3.3.0 (05/2026)
 - **Neuer Skill:** `drittlandstransfer-pruefung` — vollständige Prüfung nach Art. 44 ff. DSGVO inkl. EU-US Data Privacy Framework 2023, SCC 2021 Module 1–4, TIA nach EuGH C-311/18 Schrems II
 - **dsgvo-auskunft:** Neuer Abschnitt Rechtsmissbrauch nach EuGH C-526/24 (Brillen Rottler, 19.03.2026) mit zweistufigem Prüfschema; EuGH C-579/21 (Protokolldaten) ergänzt
@@ -188,5 +213,5 @@ datenschutzrecht/
 - **avv-pruefung:** EDSA-Leitlinien 07/2020 zur Abgrenzung Verantwortlicher/Auftragsverarbeiter ergänzt
 - **datenpanne-meldung:** Quellen/Updates und Cross-Refs ergänzt (EuGH C-340/21 war bereits enthalten)
 - **mandantendaten-ki:** Querverweis auf geplantes Plugin `ki-richtlinie-kanzleien` (ab v3.3.0)
- Alle 18 Skills: Abschnitt „Quellen / Updates" ergänzt; Cross-References zwischen verwandten Skills ausgebaut
+- Alle damals 18 Skills: Abschnitt „Quellen / Updates" ergänzt; Cross-References zwischen verwandten Skills ausgebaut
 - `plugin.json` Version auf 3.3.0, description aktualisiert (TDDDG → TDDDG, Drittlandstransfer ergänzt)
@@ -9,7 +9,7 @@ description: "Einstieg, Schnelltriage und Workflow-Routing im Datenschutzrecht-P

 Dieser Allgemein-Skill ist der schöne, schnelle Eingang in das Plugin **Datenschutzrecht**. Er funktioniert wie Empfang, Triage, Projektsteuerung und Qualitätskontrolle in einem: erst knapp klären, dann den richtigen Arbeitsweg wählen, dann passende Spezial-Skills aus diesem Plugin vorschlagen.

-**Plugin-Fokus:** DSGVO/BDSG/TDDDG – PIA/DPIA, AVV-Review als Verantwortlicher und Auftragsverarbeiter, Auskunftsersuchen Art. 15, Datenpannenmeldung Art. 33/34, Drittlandstransfer Art. 44 ff., Drift-Monitoring.
+**Plugin-Fokus:** DSGVO/BDSG/TDDDG – PIA/DPIA, AVV-Review als Verantwortlicher und Auftragsverarbeiter, Auskunftsersuchen Art. 15, Datenpannenmeldung Art. 33/34, Drittlandstransfer Art. 44 ff., US-Transfer mit DPF/SCC/TIA, Behördenpaket, Drift-Monitoring.

 ### 0. Stummer Upload — Material ohne Begleittext

@@ -36,7 +36,7 @@ Wenn der Nutzer nur ein Dokument, einen Screenshot, eine Tabelle, ein ZIP oder e
 - **Erkannt:** [Materialart, Absender/Aktenzeichen falls sichtbar]
 - **Frist zuerst:** [konkretes Datum/Risiko oder `keine Frist erkennbar`]
 - **Einordnung:** [Rechtsgebiet/Normengruppe/Arbeitsmodus]
- **Primärer Pfad:** `skill-name` — [warum dieser Skill hilft]
+- **Primärer Pfad:** `passender-datenschutz-skill` — [warum dieser Skill hilft]
 - **Alternativen:** `...`, `...`
 - **Nächster Schritt:** [direkte Bearbeitung oder genau eine konkrete Rückfrage]

@@ -108,6 +108,9 @@ Nutze als erste Antwort nach Aktivierung möglichst dieses kompakte Format:
 | `datenschutzrecht-kaltstart-interview` | Neues Datenschutzmandat durch strukturiertes Erstgespraech aufnehmen. Art. 5 6 DSGVO Grundsaetze § 26 BDSG Beschaeftigtendaten. Prüfraster: Verarbeitungszweck Datenarten betroffene Personen Empfaenger… |
 | `datenschutzrecht-mandat-arbeitsbereich` | Datenschutzrechtliches Mandat strukturieren und Arbeitsbereich abgrenzen. Art. 5 24 DSGVO §§ 1 ff. BDSG. Prüfraster: Mandatsumfang Zuständigkeiten Fristen Risikostufe externe Datenschutzberatung. Output:… |
 | `drittlandstransfer-pruefung` | Datentransfer in Drittlaender außerhalb EU und EWR auf Zulässigkeit prüfen. Art. 44 ff. DSGVO Kapitel V Drittlandstransfer. Prüfraster: Angemessenheitsbeschluss SCC BCR Schrems-II-Folgen Transfer Impact Assessment… |
+| `us-transfer-tia-dokumentation` | US-Drittlandtransfer mit EU-US Data Privacy Framework, DPF-Listing, Schrems-I/II-Historie, SCC/BCR-Ausweichpfad, Transfer Impact Assessment, supplementary measures und Review-Kalender dokumentieren. |
+| `standardvertragsklauseln-scc-paket` | Standardvertragsklauseln vorbereiten: Modul 1-4 wählen, Annex I-III ausfüllen, Subprozessoren, TOMs, AVV-Schnittstelle, TIA-Andockung und Unterzeichnungspaket erstellen. |
+| `drittlandtransfer-behoerdenpaket-output` | Aus Transferregister, DPF/SCC/TIA, TOMs und Subprozessoren ein druckreifes Paket samt Antwortentwurf für deutsche Datenschutzaufsichtsbehörden bauen. |
 | `dsb-bestellungspflicht-pruefung` | Bestellungspflicht für Datenschutzbeauftragten prüfen. Art. 37 DSGVO § 38 BDSG Bestellungspflicht. Prüfraster: Schwellenwerte Art. 37 Abs. 1 Betriebsgroe Verarbeitungsart Pflichtbestellung freiwillige Bestellung.… |
 | `dsfa-erstellung` | Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchführen wenn hohes Risiko für Betroffene vorliegt. Art. 35 36 DSGVO DSFA § 67 BDSG. Prüfraster: Risikobewertung Verarbeitungsbeschreibung Notwendigkeit… |
 | `dsgvo-auskunft` | Auskunftsersuchen nach Art. 15 DSGVO prüfen und beantworten wenn Betroffener Auskunft verlangt. Art. 15 12 DSGVO Betroffenenrechte. Prüfraster: Identitätsnachweis Vollständigkeitsprüfung Auskunftsinhalt Fristen… |
@@ -121,7 +124,7 @@ Nutze als erste Antwort nach Aktivierung möglichst dieses kompakte Format:

 ## Worum geht es?

-Dieses Plugin unterstuetzt Rechtsanwaelte und Datenschutzbeauftragte bei der Bearbeitung datenschutzrechtlicher Mandate nach DSGVO und BDSG. Es deckt den vollstaendigen Workflow ab: von der ersten Triage ueber Auftragsverarbeitungsvertraege, Datenschutz-Folgenabschaetzungen und Auskunftsersuchen bis zu Datenpannenmeldungen, Drittlandstransfers und der laufenden Richtlinienpflege.
+Dieses Plugin unterstuetzt Rechtsanwaelte und Datenschutzbeauftragte bei der Bearbeitung datenschutzrechtlicher Mandate nach DSGVO und BDSG. Es deckt den vollstaendigen Workflow ab: von der ersten Triage ueber Auftragsverarbeitungsvertraege, Datenschutz-Folgenabschaetzungen und Auskunftsersuchen bis zu Datenpannenmeldungen, Drittlandstransfers, US-Transfer-Dokumentation und der laufenden Richtlinienpflege.

 Der Anwendungsbereich umfasst Unternehmen als Verantwortliche (Art. 4 Nr. 7 DSGVO), Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) und gemeinsam Verantwortliche (Art. 26 DSGVO), sowie den Einsatz von KI-Tools im Kanzleialltag.

@@ -131,6 +134,7 @@ Der Anwendungsbereich umfasst Unternehmen als Verantwortliche (Art. 4 Nr. 7 DSGV
 - Ein Datenschutzbeauftragter muss eine Datenpanne nach Art. 33 DSGVO binnen 72 Stunden an die Aufsichtsbehoerde melden.
 - Eine Kanzlei prueft, ob ein IT-Dienstleister einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO benoetigt.
 - Ein Unternehmen will Daten in ein Drittland (USA, Indien) uebertragen und braucht einen Transfer-Impact-Assessment.
+- Eine Aufsichtsbehoerde fragt nach US-Transfer, DPF-Listing, SCC, TIA und Schrems-II-Dokumentation.
 - Eine Behoerde oder Kanzlei prueft, ob KI-Werkzeuge datenschutzkonform eingesetzt werden koennen.

 ## Fachbegriffe (kurz erklaert)
@@ -180,6 +184,9 @@ Der Anwendungsbereich umfasst Unternehmen als Verantwortliche (Art. 4 Nr. 7 DSGV
 - `dsgvo-auskunft` — Auskunftsersuchen nach Art. 15 DSGVO pruefen und Bearbeitungsstrategie bestimmen.
 - `dsgvo-auskunft-antwort` — DSGVO-Auskunftsantwort an Betroffenen vollstaendig und rechtskonform gestalten.
 - `drittlandstransfer-pruefung` — Datentransfer in Drittlaender ausserhalb EU und EWR auf Zulaessigkeit pruefen.
+- `us-transfer-tia-dokumentation` — US-Transfer mit DPF, SCC/BCR-Ausweichpfad, TIA und ergänzenden Maßnahmen dokumentieren.
+- `standardvertragsklauseln-scc-paket` — SCC-Modulwahl, Annex I-III, Subprozessoren und TOMs behördenfest vorbereiten.
+- `drittlandtransfer-behoerdenpaket-output` — Deckvermerk, Anlagenverzeichnis, Behördenantwort und Maßnahmenplan ausgeben.
 - `dsb-bestellungspflicht-pruefung` — Bestellungspflicht fuer Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG pruefen.
 - `verarbeitungsverzeichnis-vvt-generator` — Verzeichnis der Verarbeitungstaetigkeiten nach Art. 30 DSGVO erstellen oder aktualisieren.
 - `ki-verordnung-compliance` — KI-Systeme auf Anforderungen der KI-VO und Datenschutz gemeinsam pruefen.
@@ -200,7 +207,7 @@ Der Anwendungsbereich umfasst Unternehmen als Verantwortliche (Art. 4 Nr. 7 DSGV
 - Auftragsverarbeitungsvertrag fehlt: Unternehmen gibt Daten an Cloud-Anbieter weiter ohne AVV nach Art. 28 DSGVO.
 - DSFA-Pflicht verkannt: Hochrisiko-Verarbeitung (z. B. Profilbildung, Scoring) wird ohne Folgenabschaetzung gestartet.
 - Auskunftsantwort unvollstaendig: Betroffener erhaelt keine Information ueber Empfaenger oder Speicherdauer.
- Drittlandstransfer nach Schrems II nicht geprueft: Alte Privacy-Shield-Grundlage wird weiter verwendet.
+- Drittlandstransfer nach Schrems II nicht geprueft: Alte Safe-Harbor- oder Privacy-Shield-Grundlage wird weiter verwendet.
 - DSB-Bestellungspflicht nicht erkannt: Unternehmen beschaeftigt mehr als 20 Personen mit Datenverarbeitung, bestellt aber keinen DSB.

 ## Querverweise
@@ -217,3 +224,4 @@ Der Anwendungsbereich umfasst Unternehmen als Verantwortliche (Art. 4 Nr. 7 DSGV
 - BDSG in der geltenden Fassung
 - TDDDG in der geltenden Fassung
 - Standardvertragsklauseln der EU-Kommission (2021/914)
+- EU-US Data Privacy Framework-Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 und offizielle DPF-Participant-Search.
@@ -221,6 +221,9 @@ Wer ist Exporteur?
 ## Querverweise

 - `datenschutzrecht/skills/avv-pruefung/SKILL.md` – Drittlandtransfer-Prüfung im AVV-Kontext (Schritt 5)
+- `datenschutzrecht/skills/us-transfer-tia-dokumentation/SKILL.md` – US-Transfers mit DPF-Listing, SCC/BCR-Ausweichpfad, Schrems-Historie und TIA vertiefen
+- `datenschutzrecht/skills/standardvertragsklauseln-scc-paket/SKILL.md` – SCC-Modulwahl und Annex I-III konkret erstellen
+- `datenschutzrecht/skills/drittlandtransfer-behoerdenpaket-output/SKILL.md` – Deckvermerk, Anlagenverzeichnis und Antwortpaket fuer Aufsichtsbehoerden ausgeben
 - `datenschutzrecht/skills/dsfa-erstellung/SKILL.md` – DSFA bei Hochrisiko-Drittlandtransfers
 - `datenschutzrecht/skills/mandantendaten-ki/SKILL.md` – Drittlandtransfer bei KI-Diensten für Berufsgeheimnisträger
 - `datenschutzrecht/skills/datenpanne-meldung/SKILL.md` – Datenpannen bei Drittlandempfaengern
@@ -248,12 +251,10 @@ Stand: 05/2026. Aktualität bei folgenden Ereignissen prüfen und Skill aktualis

 Nächste geplante Überprüfung: 05/2027 oder bei wesentlichen Änderungen.

-## Aktuelle Rechtsprechung (v14.2)
+## Leitrechtsprechung

- EuGH, Urt. v. 04.07.2023 — C-252/21 (Meta Platforms/Bundeskartellamt), NJW 2023, 2555 Rn. 88–120: Zum grenzüberschreitenden Datentransfer im Konzernkontext; Verantwortliche müssen für jede Übermittlung eigenständig das Schutzniveau im Zielland bewerten; konzerninterne Transfers sind nicht privilegiert.
- BGH, Urt. v. 12.10.2022 — I ZR 149/20, GRUR 2023, 145 Rn. 67: Zum Drittlandsübermittlungsregime; Verantwortliche können sich nicht auf AGB-Versprechen eines US-Anbieters verlassen, wenn die Rechtslage im Zielland den Schutz strukturell untergräbt; eigene TIA zwingend.
- BVerwG, Urt. v. 11.09.2019 — 8 C 6.19, BVerwGE 166, 289 Rn. 35: Zur Verwertbarkeit von Erkenntnissen aus US-Datenquellen im deutschen Verwaltungsverfahren — strukturelles Schutzdefizit durch FISA begründet auch verwaltungsrechtliche Nutzungsschranken.
- EuGH, Urt. v. 14.12.2023 — C-340/21 (Natsionalna agentsia), NJW 2024, 685 Rn. 55: Für die Meldepflicht Art. 33 DSGVO und für die TIA gilt: schon die Möglichkeit eines Risikos genügt; unzureichende Drittlandsabsicherung erhöht Haftungsrisiko für Datenpannen.
+- EuGH, Urt. v. 06.10.2015, C-362/14 (Schrems I): Safe-Harbor-Angemessenheitsentscheidung ungültig.
+- EuGH, Urt. v. 16.07.2020, C-311/18 (Schrems II): Privacy-Shield-Angemessenheitsentscheidung ungültig; Standardvertragsklauseln bleiben möglich, verlangen aber eine konkrete Prüfung, ob das Schutzniveau im Drittland praktisch eingehalten werden kann.

 ## Triage zu Beginn (Entscheidungsbaum)

@@ -261,7 +262,7 @@ Nächste geplante Überprüfung: 05/2027 oder bei wesentlichen Änderungen.
 Findet eine Übermittlung außerhalb EU/EWR statt?
  Nein → kein Kapitel-V-DSGVO-Problem
  Ja → Angemessenheitsbeschluss vorhanden?
-        Ja (USA/DPF, UK, Schweiz etc.) → DPF-Listung aktuell prüfen; Schrems-II-Risiko bleibt
+        Ja (USA/DPF, UK, Schweiz etc.) → Angemessenheitsbeschluss, Scope, Empfänger und Monitoring prüfen
        Nein → SCC (Beschluss 2021/914) vorhanden?
                 Ja → TIA erforderlich; Modul korrekt?
                 Nein → BCR / Art. 49 Ausnahme?
@@ -0,0 +1,139 @@
+---
+name: drittlandtransfer-behoerdenpaket-output
+description: "Behördenfähiges Dokumentations- und Antwortpaket für Drittlandtransfers erstellen: Deckvermerk, Transferregister, DPF/SCC/TIA-Nachweise, TOMs, Subprozessoren, Maßnahmenplan und Antwort an deutsche Datenschutzaufsicht."
+---
+
+# Drittlandtransfer-Behördenpaket-Output
+
+## Zweck
+
+Dieser Skill erstellt aus vorhandenen Prüfungen ein geordnetes Paket für Datenschutzaufsichtsbehörden, interne Audits, DSB-Berichte oder Geschäftsführungsfreigaben. Er sammelt nicht nur Dokumente, sondern macht sichtbar, warum der Transfer erlaubt, eingeschränkt erlaubt oder vorläufig gestoppt ist.
+
+## Startsignal
+
+Nutze diesen Skill, wenn der Nutzer sagt:
+
+- "Die Aufsichtsbehörde fragt nach dem US-Transfer."
+- "Wir brauchen ein Paket, das wir vorlegen können."
+- "Bitte druckreif dokumentieren."
+- "Zeig, dass DPF/SCC/TIA geprüft wurden."
+- "Wir müssen nachweisen, dass ein Anbieter gelistet oder nicht gelistet ist."
+
+## Eingangslogik
+
+1. Liegt bereits ein TIA vor? Wenn nein, `us-transfer-tia-dokumentation` vorschlagen und den fehlenden Kern extrahieren.
+2. Liegen SCC vor? Wenn unklar, `standardvertragsklauseln-scc-paket` vorschlagen.
+3. Liegt ein DPF-Nachweis vor? Wenn nein, Abruf/Prüfung als `nicht verifiziert` markieren und Nachholung als Sofortmaßnahme setzen.
+4. Ist die Behördenfrist bekannt? Wenn ja, Ausgabe nach Frist priorisieren.
+
+## Paketstruktur
+
+### 1. Deckvermerk
+
+Erstelle einen klaren Vermerk:
+
+- Aktenzeichen/Behördenbezug.
+- Verantwortliche Stelle und Datenschutzkontakt.
+- Betroffener Dienst/Transfer.
+- Kurzentscheidung: DPF / SCC + TIA / BCR / Art. 49 / Stop.
+- Standdatum.
+- Liste der beigefügten Nachweise.
+- Offene Punkte und Nachreichungsangebot.
+
+### 2. Entscheidungsmatrix
+
+| Frage | Ergebnis | Nachweis | Risiko | Maßnahme |
+|---|---|---|---|---|
+| Gibt es einen Drittlandtransfer? | Ja/Nein | Transferregister | ... | ... |
+| Ist ein Angemessenheitsbeschluss einschlägig? | Ja/Nein/Teilweise | DPF-Check | ... | ... |
+| Sind SCC/BCR erforderlich? | Ja/Nein | Vertrag/Annex | ... | ... |
+| Liegt ein TIA vor? | Ja/Nein | TIA-Vermerk | ... | ... |
+| Sind Subprozessoren prüfbar? | Ja/Nein | Subprozessorliste | ... | ... |
+| Sind ergänzende Maßnahmen ausreichend? | Ja/Nein/Offen | TOM-Matrix | ... | ... |
+
+### 3. Anlagenverzeichnis
+
+Nummeriere die Anlagen:
+
+1. Transferregister-Auszug.
+2. DPF-Prüfvermerk mit Abrufdatum.
+3. AVV/DPA.
+4. SCC mit Modul- und Annex-I-III-Übersicht.
+5. TIA-Vermerk.
+6. TOM-/Security-Anlage.
+7. Subprozessoren-Archiv.
+8. Datenschutzhinweis-/VVT-Auszug.
+9. Managemententscheidung.
+10. Review-Kalender und Maßnahmenplan.
+
+### 4. Behördenantwort
+
+Formuliere neutral, präzise und ohne Überbehauptung:
+
+- Was geprüft wurde.
+- Welche Rechtsgrundlage aktuell herangezogen wird.
+- Warum Safe Harbor/Privacy Shield nicht als aktuelle Grundlage genutzt werden.
+- Ob DPF trägt und für welchen Scope.
+- Falls DPF nicht trägt: welche SCC/BCR/TIA-Maßnahmen greifen.
+- Welche Lücken erkannt und bis wann geschlossen werden.
+
+**Keine falsche Sicherheit:** Wenn ein Nachweis fehlt, schreibe nicht "liegt vor", sondern "wird bis [Datum] nachgereicht" oder "ist beim Anbieter angefordert".
+
+## Drei Standardszenarien
+
+### A. US-Anbieter aktiv DPF-gelistet
+
+Output-Schwerpunkt:
+
+- DPF-Check als Hauptnachweis.
+- Scope-Abgleich.
+- Transferregister und AVV.
+- TOMs und Subprozessoren als Kontrollnachweise.
+- Review alle 6 bis 12 Monate und bei Zertifizierungsablauf.
+
+### B. US-Anbieter nicht oder nicht passend DPF-gelistet
+
+Output-Schwerpunkt:
+
+- SCC-Modulwahl.
+- TIA mit Drittlandsrecht/Praxis und Zusatzmaßnahmen.
+- Subprozessoren.
+- Entscheidung "Freigabe mit Auflagen" oder "Stop".
+- Keine Berufung auf DPF für diesen Transfer.
+
+### C. Altfall Safe Harbor/Privacy Shield
+
+Output-Schwerpunkt:
+
+- Historische Grundlage ausdrücklich als überholt markieren.
+- Zeitraum und Datenflüsse abgrenzen.
+- Aktuelle Ersatzgrundlage festlegen.
+- Nachbereinigung von Datenschutzhinweisen, AVV, VVT und Einkaufsakten.
+
+## Druckreifes Ausgabeformat
+
+Wenn der Nutzer "ausdrucken", "vorlegen", "Behörde" oder "Aktenvermerk" sagt, liefere:
+
+1. **Einseitige Executive Summary**.
+2. **Vollvermerk** mit Tabellen.
+3. **Anlagenliste**.
+4. **Antwortschreiben**.
+5. **Offene-Punkte-Liste** mit Eigentümer und Datum.
+
+## Qualitätsgate vor Abschluss
+
+- Stimmen Rechtsträgernamen überall überein?
+- Ist der genaue Transfer benannt, nicht nur der Anbieter?
+- Sind DPF/SCC/TIA logisch konsistent?
+- Gibt es keine Behauptung "Shield gültig"?
+- Sind Dokumentstände datiert?
+- Sind offene Punkte sichtbar statt versteckt?
+- Ist die nächste Wiedervorlage gesetzt?
+
+## Quellen und Aktualität
+
+- Stand: 05/2026.
+- DSGVO Art. 5 Abs. 2, Art. 24, Art. 28, Art. 30, Art. 44-49.
+- EU-US Data Privacy Framework-Angemessenheitsbeschluss vom 10.07.2023.
+- Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914.
+- EDSA Recommendations 01/2020.
@@ -0,0 +1,141 @@
+---
+name: standardvertragsklauseln-scc-paket
+description: "Standardvertragsklauseln fuer Drittlandtransfers nach Art. 46 DSGVO vorbereiten: SCC-Modulwahl 1-4, Annex I-III, Subprozessoren, TOMs, AVV-Schnittstelle, TIA-Andockung, Signatur- und Behördenpaket ohne Veränderung der offiziellen Klauseln."
+---
+
+# Standardvertragsklauseln-SCC-Paket
+
+## Zweck
+
+Dieser Skill erstellt ein praxistaugliches SCC-Arbeitspaket für Drittlandtransfers. Er wählt das richtige Modul, bereitet die Anlagen vor, verbindet die SCC mit AVV/DPA, TIA und Subprozessoren und erzeugt eine unterschriftsreife Dokumentationsstruktur.
+
+**Wichtig:** Die offiziellen Standardvertragsklauseln der EU-Kommission werden nicht umformuliert. Das Tool erstellt Auswahl, Anlagen, Begleitvermerk, Verhandlungs- und Lückenliste. Der endgültige Vertrag muss die offiziellen Klauseln unverändert enthalten, soweit keine zulässige Ergänzung außerhalb des Klauselkerns erfolgt.
+
+## Einsatzfälle
+
+- US- oder sonstiger Drittlandanbieter ist nicht oder nicht passend über einen Angemessenheitsbeschluss abgedeckt.
+- DPF-Listing ist unklar, unvollständig oder nur für andere Datenkategorien einschlägig.
+- AVV/DPA enthält SCC, aber Modul, Anlagen oder Subprozessoren passen nicht.
+- Ein Auftragsverarbeiter nutzt Drittland-Subprozessoren.
+- Ein Konzern braucht SCC für interne Transfers.
+- Eine Behörde verlangt SCC-Nachweise und TIA-Dokumentation.
+
+## Intake
+
+| Punkt | Frage |
+|---|---|
+| Rollen | Wer ist Datenexporteur und wer Datenimporteur? Verantwortlicher oder Auftragsverarbeiter? |
+| Transferbeziehung | Direktvertrag, Subprozessor, Konzerntransfer, Weiterübermittlung, Supportzugriff? |
+| Daten | Kategorien, Art. 9 DSGVO, Beschäftigtendaten, Kinder, Mandats-/Berufsgeheimnisse |
+| Zweck | Hauptverarbeitung, Support, Hosting, Analyse, KI, Sicherheit, Abrechnung |
+| Länder | Importland, Subprozessorländer, Zugriffsländer |
+| Dokumente | AVV/DPA, Master Service Agreement, TOMs, Subprozessorliste, Datenschutzanhang |
+| Stand | Bereits unterschrieben, Entwurf, Anbieterformular, Konzernmuster, Renewal |
+
+## Modulwahl
+
+| Modul | Konstellation | Typisches Beispiel |
+|---|---|---|
+| Modul 1 | Verantwortlicher an Verantwortlichen | EU-Unternehmen übermittelt Lead-Daten an eigenständig entscheidenden US-Partner |
+| Modul 2 | Verantwortlicher an Auftragsverarbeiter | EU-Unternehmen nutzt US-SaaS als Processor |
+| Modul 3 | Auftragsverarbeiter an Unterauftragsverarbeiter | EU-Processor beauftragt US-Subprocessor |
+| Modul 4 | Auftragsverarbeiter an Verantwortlichen | EU-Processor sendet Daten zurück/an Drittland-Controller |
+
+Wenn mehrere Rollen nebeneinander bestehen, erstelle eine Modulmatrix. Bei Dienstleistungsketten niemals nur den ersten Transfer prüfen; Onward Transfers gesondert abbilden.
+
+## SCC-Paketstruktur
+
+### 1. Modul- und Parteienvermerk
+
+Erzeuge:
+
+- Modulentscheidung mit Begründung.
+- Parteienübersicht mit Rechtsträger, Adresse, Rolle, Kontakt, Datenschutzkontakt.
+- Zeichnungsbefugnis und Unterzeichner.
+- Datum des Inkrafttretens und Laufzeit.
+
+### 2. Annex I: Parteien, Beschreibung, zuständige Behörde
+
+Annex I muss praktisch ausgefüllt sein:
+
+- Datenexporteur und Datenimporteur.
+- Kategorien betroffener Personen.
+- Kategorien personenbezogener Daten.
+- Sensible Daten und zusätzliche Schutzmaßnahmen.
+- Häufigkeit der Übermittlung.
+- Art und Zweck der Verarbeitung.
+- Speicherdauer oder Kriterien.
+- Unterauftragsverarbeiter und Weiterübermittlungen.
+- Zuständige Aufsichtsbehörde.
+
+### 3. Annex II: TOMs und ergänzende Maßnahmen
+
+Strukturiere Annex II so, dass er auditierbar ist:
+
+- Verschlüsselung in Transit und at Rest.
+- Key Management, idealerweise EU/EWR-kontrolliert, wenn Risikolage das verlangt.
+- Zugriffskontrolle, MFA, Least Privilege, Rollen.
+- Logging, Monitoring, Alerting, Audit Trails.
+- Pseudonymisierung/Maskierung.
+- Mandantentrennung.
+- Backup, Löschung, Rückgabe.
+- Incident Response und Behörden-/Betroffenenkommunikation.
+- Government-Access-Policy, Challenge-Verfahren, Transparenzberichte.
+
+### 4. Annex III: Subprozessoren
+
+Erstelle eine Subprozessorentabelle:
+
+| Subprozessor | Rolle | Land | Datenarten | Zweck | Transferinstrument | TOMs | Genehmigungsstatus | Änderungsvorbehalt |
+|---|---|---|---|---|---|---|---|---|
+
+Markiere fehlende Angaben als `Blocker`, wenn dadurch die Transferkette nicht prüfbar ist.
+
+### 5. AVV/DPA-Schnittstelle
+
+Prüfe Konsistenz:
+
+- Art. 28 DSGVO-Pflichten im AVV/DPA.
+- Weisungsrecht, Unterstützungspflichten, Löschung/Rückgabe.
+- Audit- und Informationsrechte.
+- Subprozessor-Genehmigung.
+- Vorrangregel bei Konflikt zwischen AVV, MSA und SCC.
+- Haftung, Indemnity und technische Leistungsversprechen.
+
+## Output
+
+Lieferbare Dokumente:
+
+1. **SCC-Modulmatrix** mit Entscheidung.
+2. **Annex-I-Arbeitsfassung**.
+3. **Annex-II-TOM-Matrix**.
+4. **Annex-III-Subprozessorenliste**.
+5. **Lücken- und Verhandlungsprotokoll**.
+6. **Unterzeichnungscheckliste**.
+7. **Behördenfähiger SCC-Deckvermerk**.
+8. **TIA-Andockliste** für `us-transfer-tia-dokumentation`.
+
+## Lückenbewertung
+
+| Ampel | Bedeutung |
+|---|---|
+| Grün | Modul richtig, Anlagen vollständig, TIA vorhanden, Subprozessoren transparent |
+| Gelb | Vertrag nutzbar mit Auflagen oder Nachweisen |
+| Rot | Falsches Modul, fehlende Anlagen, unklare Parteien, nicht prüfbare Subprozessoren, keine ergänzenden Maßnahmen |
+
+## Typische Fehler
+
+- Anbieter legt SCC bei, aber Annex II enthält nur Marketing-Floskeln.
+- Konzernmutter unterschreibt, tatsächlich verarbeitet eine andere US-Gesellschaft.
+- Modul 2 wird verwendet, obwohl der Empfänger eigenständig über Zwecke entscheidet.
+- DPF wird behauptet, aber SCC werden trotzdem als Backup benötigt, weil Transferumfang nicht abgedeckt ist.
+- Subprozessorliste verweist nur auf eine URL ohne Archivierung des Stands.
+- SCC werden unterschrieben, aber keine TIA-Entscheidung dokumentiert.
+
+## Quellen und Aktualität
+
+- Stand: 05/2026.
+- DSGVO Art. 28, 44-46.
+- Durchführungsbeschluss (EU) 2021/914 der Kommission zu Standardvertragsklauseln.
+- EDSA Recommendations 01/2020 zu ergänzenden Maßnahmen.
+- Bei US-Transfers immer mit `us-transfer-tia-dokumentation` kombinieren.
@@ -0,0 +1,147 @@
+---
+name: us-transfer-tia-dokumentation
+description: "US-Drittlandtransfer nach Art. 44 ff. DSGVO dokumentieren: EU-US Data Privacy Framework, DPF-Listing, Schrems I/II-Historie, SCC/BCR-Ausweichpfad, Transfer Impact Assessment, supplementary measures, Behördennachweis und Review-Kalender."
+---
+
+# US-Transfer-TIA-Dokumentation
+
+## Zweck
+
+Dieser Skill erstellt ein belastbares Dokumentationspaket für personenbezogene Datenübermittlungen in die USA. Er ist für Kanzleien, Datenschutzbeauftragte und Rechtsabteilungen gedacht, die gegenüber einer deutschen Aufsichtsbehörde zeigen müssen: Transfer identifiziert, Rechtsgrundlage gewählt, DPF-Listing geprüft, Alternativpfad SCC/BCR/TIA sauber dokumentiert, technische und organisatorische Maßnahmen bewertet, Wiedervorlage gesetzt.
+
+**Wichtige Grundregel:** Safe Harbor und EU-US Privacy Shield sind keine aktuelle Transfergrundlage. Sie werden nur als historische Einordnung oder Altlastenprüfung dokumentiert. Aktuelle Pfade sind insbesondere Art. 45 DSGVO über den EU-US Data Privacy Framework-Angemessenheitsbeschluss bei teilnehmenden US-Organisationen, Art. 46 DSGVO mit Standardvertragsklauseln/BCR plus TIA oder im Ausnahmefall Art. 49 DSGVO.
+
+## Wann verwenden?
+
+- Ein US-SaaS-, Cloud-, KI-, Support- oder Analyseanbieter verarbeitet personenbezogene Daten.
+- Ein Anbieter behauptet DPF-Zertifizierung, aber Produkt, Konzernunternehmen, HR-Daten oder Subprozessoren sind unklar.
+- Eine Aufsichtsbehörde fragt nach Drittlandtransfer, Schrems-II-Prüfung oder ergänzenden Maßnahmen.
+- Ein AVV, DPA, SaaS-Vertrag oder Einkaufsvorgang braucht ein dokumentiertes Transfer Impact Assessment.
+- Ein Altsystem berief sich früher auf Safe Harbor oder Privacy Shield und muss bereinigt werden.
+
+## Intake
+
+Frage nur fehlende Punkte ab. Wenn Unterlagen vorliegen, zuerst aus den Dokumenten extrahieren.
+
+| Punkt | Konkret abfragen oder extrahieren |
+|---|---|
+| Exporteur | Verantwortlicher/Auftragsverarbeiter, Sitz, zuständige Aufsichtsbehörde, Rolle im Transfer |
+| Importeur | US-Rechtsträger, Adresse, Mutter-/Tochtergesellschaft, DPF-Name, Produktname |
+| Daten | Kategorien personenbezogener Daten, besondere Kategorien Art. 9 DSGVO, Beschäftigtendaten, Mandantendaten |
+| Zwecke | Hosting, Support, Fernwartung, Analyse, KI-Training, Ticketing, CRM, Sicherheit, Abrechnung |
+| Zugriff | Speicherung USA, Remote Access, Subprozessoren, Support Level, Zugriff durch US-Personen |
+| Transferpfad | DPF, SCC Modul 1-4, BCR, Art. 49, Kombination |
+| Unterlagen | AVV/DPA, SCC, TOMs, Subprozessorliste, DPF-Auszug, Security Whitepaper, Datenschutzhinweise |
+| Frist | Behördenfrist, Vertragsdeadline, Go-live, Incident, Audit-Termin |
+
+## Prüf- und Arbeitsworkflow
+
+### 1. Transferlandkarte
+
+Erstelle zuerst eine Tabelle:
+
+| Verarbeitung | Datenexporteur | Datenimporteur | Land | Datenarten | Zweck | Empfänger/Subprozessor | Transferinstrument | Status |
+|---|---|---|---|---|---|---|---|---|
+
+Markiere getrennt:
+
+- Primärtransfer in die USA.
+- Onward Transfers zu Subprozessoren.
+- Reiner Zugriff aus den USA auf EU-gehostete Daten.
+- Konzerninterne Transfers.
+- Support-/Fernwartungssituationen.
+
+### 2. DPF-Listing-Check
+
+Prüfe und dokumentiere:
+
+1. Exakter Name des US-Rechtsträgers in der offiziellen DPF-Liste.
+2. Status aktiv/inaktiv, Zertifizierungsdatum und Re-Zertifizierungsdatum.
+3. Abdeckung EU-US DPF, nicht nur Swiss-US oder UK Extension.
+4. Abdeckung der relevanten Datenkategorien, insbesondere HR-Daten.
+5. Abdeckung des konkreten Produkts oder Dienstes, soweit aus DPF-Eintrag, Datenschutzerklärung und Vertrag ersichtlich.
+6. Beschwerdemechanismus, unabhängige Streitbeilegung und Kontaktstellen.
+7. Onward-Transfer-Regeln und Subprozessoren.
+8. Screenshot-/PDF-/Abrufnachweis mit Datum und Bearbeiter.
+
+**Bewertung:**
+
+- `DPF tragfähig`: Exakter Importeur ist aktiv gelistet und der konkrete Transfer ist abgedeckt.
+- `DPF nur teilweise tragfähig`: Konzernmutter gelistet, Produkt/Tochter/HR-Daten/Subprozessoren unklar.
+- `DPF nicht tragfähig`: Kein aktiver Eintrag oder Transfer außerhalb der Abdeckung.
+
+### 3. Schrems-Historie sauber einordnen
+
+Für die Akte:
+
+- Safe Harbor: durch EuGH, Urt. v. 06.10.2015, C-362/14, Schrems I, ungültig.
+- EU-US Privacy Shield: durch EuGH, Urt. v. 16.07.2020, C-311/18, Schrems II, ungültig.
+- EU-US Data Privacy Framework: aktueller Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023; nutzbar nur für teilnehmende US-Organisationen im sachlichen Umfang der Zertifizierung.
+
+Formuliere nie, dass Safe Harbor oder Privacy Shield heute eine gültige Rechtsgrundlage seien.
+
+### 4. Alternativpfad SCC/BCR/TIA
+
+Wenn DPF nicht eindeutig trägt, prüfe:
+
+- SCC Modul 1: Verantwortlicher an Verantwortlichen.
+- SCC Modul 2: Verantwortlicher an Auftragsverarbeiter.
+- SCC Modul 3: Auftragsverarbeiter an Auftragsverarbeiter.
+- SCC Modul 4: Auftragsverarbeiter an Verantwortlichen.
+- BCR, wenn konzerninterne genehmigte Regeln nachweislich passen.
+- Art. 49 DSGVO nur eng und ausnahmsweise; nicht als Dauerlösung.
+
+Verweise für die konkrete SCC-Ausarbeitung auf `standardvertragsklauseln-scc-paket`.
+
+### 5. Transfer Impact Assessment
+
+Dokumentiere entlang dieser Struktur:
+
+| Kapitel | Inhalt |
+|---|---|
+| A. Transferbeschreibung | Wer übermittelt was, wohin, zu welchem Zweck, wie oft und über welche Infrastruktur? |
+| B. Transferinstrument | DPF, SCC/BCR oder Ausnahme; Begründung und Nachweise |
+| C. Drittlandsrecht und Praxis | Relevante Zugriffsbefugnisse, Importeurangaben, Transparenzberichte, Warrant-Canary/Policy, tatsächliche Zugriffserfahrung |
+| D. Risiko für Betroffene | Datenart, Sensibilität, Menge, Identifizierbarkeit, Schutzbedarf, mögliche Schäden |
+| E. Ergänzende Maßnahmen | Verschlüsselung, Key Management in EU/EWR, Pseudonymisierung, Zugriffsbeschränkung, Logging, Challenge Policy, Transparenz |
+| F. Restrestrisiko | Ampel, Begründung, offene Punkte, Entscheidungsträger |
+| G. Wiedervorlage | Trigger: Zertifizierungsablauf, neue Subprozessoren, Produktänderung, Behördenpraxis, EuGH/EDSA-Update |
+
+### 6. Ergebnislogik
+
+Gib immer ein klares Ergebnis aus:
+
+- **Freigabe möglich:** Transferinstrument trägt, Dokumente vollständig, Restrestrisiko vertretbar.
+- **Freigabe mit Auflagen:** Nachbesserungen nötig, z. B. SCC-Anlagen, Key Management, Subprozessor-Auskunft, DPF-Nachweis.
+- **Stop bis Klärung:** Importeur nicht identifizierbar, DPF nicht tragfähig, keine SCC, hohes ungemindertes Risiko.
+- **Legacy-Bereinigung:** Alte Safe-Harbor-/Privacy-Shield-Dokumentation ablösen, neue Grundlage festlegen.
+
+## Output-Paket
+
+Erzeuge auf Wunsch ein zusammenhängendes Paket:
+
+1. **Kurzvermerk für Geschäftsführung oder Mandant** mit Entscheidung und Restfragen.
+2. **Transferregister-Auszug** nach Verarbeitungstätigkeit.
+3. **DPF-Prüfvermerk** mit Abrufdatum, Treffer, Scope und Lücken.
+4. **TIA-Vollvermerk** mit Maßnahmenmatrix.
+5. **SCC/BCR-Verweisblatt** mit Modulwahl und Anlagenstatus.
+6. **TOM- und Supplementary-Measures-Anlage**.
+7. **Antwortbaustein für Aufsichtsbehörde**.
+8. **Wiedervorlage- und Monitoringplan**.
+
+## Qualitätsregeln
+
+- Keine erfundenen DPF-Listungen. Wenn nicht live geprüft, Ausgabe als `nicht verifiziert` kennzeichnen.
+- Keine pauschale Aussage "USA immer unzulässig" oder "DPF immer ausreichend".
+- Keine SCC umschreiben. Die offiziellen Klauseln unverändert verwenden; nur Modulwahl, Anlagen und Dokumentation vorbereiten.
+- Beschäftigtendaten und Mandats-/Berufsgeheimnisdaten gesondert markieren.
+- Bei KI-Diensten zusätzlich `mandantendaten-ki`, `ki-verordnung-compliance` oder `ki-vo-ai-act-pruefer` vorschlagen.
+
+## Quellen und Aktualität
+
+- Stand: 05/2026.
+- DSGVO Art. 44-49.
+- EU-Kommission: EU-US Data Privacy Framework, Angemessenheitsbeschluss vom 10.07.2023.
+- Offizielle DPF-Liste: Data Privacy Framework Program, Participant Search.
+- EU-Kommission: Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914.
+- EDSA: Recommendations 01/2020 zu ergänzenden Maßnahmen, Final Version 18.06.2021.
@@ -1,7 +1,7 @@
 {
  "name": "ki-vo-ai-act-pruefer",
  "version": "21.0.0",
-  "description": "Mechanik-Workflow zur KI-VO (EU 2024/1689): KI-System-Definition, Rollen, Risikoklassen, verbotene Praktiken, Hochrisiko-Diagnose und 12-Schritte-Roadmap bis CE, Konformitätsbewertung, EU-DB, Marktbeobachtung. Auch Negativ-Diagnose über Rückausnahme Art. 6 Abs. 3, GPAI, Sanktionen.",
+  "description": "Mechanik-Workflow zur KI-VO (EU 2024/1689): KI-System-Definition, Rollen, Risikoklassen, Hochrisiko-Diagnose, GPAI, Art. 43-Konformitätsbewertung, CE/EU-DB, Marktbeobachtung und Konformitäts-Evidence-Pack.",
  "license": "Apache-2.0 OR MIT",
  "author": {
    "name": "Klotzkette"
@@ -1,6 +1,6 @@
 # ki-vo-ai-act-pruefer

-Vollständiger Mechanik-Workflow zur Verordnung (EU) 2024/1689 (KI-VO): KI-System-Definition, Rollen, Risikoklassen, Hochrisiko-Pflichten, GPAI-Modelle, Sanktionen und Entscheidungsbaum-Workflow.
+Vollständiger Mechanik-Workflow zur Verordnung (EU) 2024/1689 (KI-VO): KI-System-Definition, Rollen, Risikoklassen, Hochrisiko-Pflichten, GPAI-Modelle, Konformitätsbewertung, Konformitäts-Evidence-Pack, Sanktionen und Entscheidungsbaum-Workflow.

 **Keine Rechtsberatung. Mechanische Prüfung anhand vom Nutzer behaupteter Tatsachen.**

@@ -53,7 +53,7 @@ Drei mögliche Diagnose-Ergebnisse, drei Workflows:

 ---

-## Skills (47 Stück)
+## Skills (48 Stück)

 ### Einstieg

@@ -135,8 +135,13 @@ Drei mögliche Diagnose-Ergebnisse, drei Workflows:

 - `output-pruefdokument-ki-vo-mit-warnhinweisen`
 - `output-konformitaetserklaerung-eu-anhang-v`
+- `output-konformitaetsbescheinigung-evidence-pack` — interne Konformitätsbescheinigung/Readiness-Vermerk, EU-Konformitätserklärung, Art.-43-Nachweis, Evidence Index und Lückenliste ohne falsche finale Bescheinigung
 - `output-betreiber-checkliste-und-folgenabschaetzung`

+### Zum Ausprobieren: Testakte
+
+- [`testakten/ki-vo-konformitaetsbescheinigung-bewerberpilot`](../testakten/ki-vo-konformitaetsbescheinigung-bewerberpilot/) — fiktive Hochrisiko-Recruiting-KI mit Art.-3-/Art.-6-Vermerk, Risikoregister, Daten-Governance, Human Oversight, Art.-43-Checkliste, Konformitätsvermerk, EU-Konformitätserklärung-Entwurf und Lückenliste.
+
 ---

 ## Wichtige Hinweise
@@ -146,6 +151,7 @@ Drei mögliche Diagnose-Ergebnisse, drei Workflows:
 - **Zweckbestimmung entscheidet.** Ein allgemeiner Chatbot oder ein GPAI-System ist nicht automatisch Hochrisiko; der konkrete Einsatz in Anhang-III-Kontexten kann die Einstufung aber auslösen.
 - **Übergangsfristen beachten.** Nicht alle Pflichten sind bereits anwendbar — siehe `zeitlicher-geltungsbereich-uebergangsfristen`.
 - **Fachanwalt bei Hochrisiko.** Bei verbotenen Praktiken, Hochrisiko-KI und GPAI-Modellen mit systemischem Risiko ist ein Fachanwalt für IT-Recht hinzuzuziehen.
+- **Konformität sauber bezeichnen.** Eine interne Bescheinigung oder Readiness-Bestätigung ist keine behördliche Zertifizierung. Finale EU-Konformitätserklärungen und CE-/EU-DB-Aussagen erst nach abgeschlossenem Art.-43-Pfad und belegter Akte ausgeben.

 ---

@@ -9,7 +9,7 @@ description: "Einstieg, Schnelltriage und Workflow-Routing im KI VO AI Act Pruef

 Dieser Allgemein-Skill ist der schöne, schnelle Eingang in das Plugin **KI VO AI Act Pruefer**. Er funktioniert wie Empfang, Triage, Projektsteuerung und Qualitätskontrolle in einem: erst knapp klären, dann den richtigen Arbeitsweg wählen, dann passende Spezial-Skills aus diesem Plugin vorschlagen.

-**Plugin-Fokus:** Vollständiger Mechanik-Workflow zur Verordnung (EU) 2024/1689 (KI-VO): KI-System-Definition, Rollen, Risikoklassen, Hochrisiko-Pflichten, GPAI-Modelle, Sanktionen. Kein Rechtsrat.
+**Plugin-Fokus:** Vollständiger Mechanik-Workflow zur Verordnung (EU) 2024/1689 (KI-VO): KI-System-Definition, Rollen, Risikoklassen, Hochrisiko-Pflichten, GPAI-Modelle, Konformitätsbewertung, Evidence-Pack, Sanktionen. Kein Rechtsrat.

 **Neuer Schwerpunkt für Art. 3 und Art. 6 Abs. 2:** Wenn es um allgemeine Chatbots, ChatGPT-ähnliche Systeme, GPAI, Mitarbeitenden-Fehlgebrauch oder Hochrisiko nach Anhang III geht, immer Zweckbestimmung und tatsächliche Nutzung trennen. Ein allgemeiner Chatbot ist nicht automatisch Hochrisiko; der konkrete Einsatz in Personal, Bildung, Kredit, Justiz, Migration, Strafverfolgung, Notfalltriage, kritischer Infrastruktur oder Biometrie kann aber Hochrisiko auslösen.

@@ -38,7 +38,7 @@ Wenn der Nutzer nur ein Dokument, einen Screenshot, eine Tabelle, ein ZIP oder e
 - **Erkannt:** [Materialart, Absender/Aktenzeichen falls sichtbar]
 - **Frist zuerst:** [konkretes Datum/Risiko oder `keine Frist erkennbar`]
 - **Einordnung:** [Rechtsgebiet/Normengruppe/Arbeitsmodus]
- **Primärer Pfad:** `skill-name` — [warum dieser Skill hilft]
+- **Primärer Pfad:** `passender-ki-vo-skill` — [warum dieser Skill hilft]
 - **Alternativen:** `...`, `...`
 - **Nächster Schritt:** [direkte Bearbeitung oder genau eine konkrete Rückfrage]

@@ -69,6 +69,7 @@ Bei KI-VO-Fragen zusätzlich sofort klären:
 | Anhang-III-Nähe | Berührt es Personal, Bildung, Kredit, Justiz, Migration, Strafverfolgung, Biometrie, kritische Infrastruktur oder Notfalltriage? | `hochrisiko-art-6-abs-2-anhang-iii` |
 | Fehlgebrauch | Können Mitarbeitende es entgegen der Zweckbestimmung hochriskant einsetzen? | `betreiber-deployer-pflichten-art-26`, ggf. `anbieter-werden-art-25` |
 | Dokumentation | Soll ein Vermerk für die Compliance-Akte entstehen? | `output-pruefdokument-ki-vo-mit-warnhinweisen` |
+| Konformität | Soll ein druckreifes Konformitätspaket, eine Bescheinigung oder ein Evidence Index entstehen? | `output-konformitaetsbescheinigung-evidence-pack` |

 ### 2. Sofort-Triage

@@ -150,6 +151,7 @@ Nutze als erste Antwort nach Aktivierung möglichst dieses kompakte Format:
 | `nicht-hochrisiko-bestaetigt-end-to-end-roadmap` | Prüfung hat ergeben: kein Hochrisiko. Unternehmen fragt: Welche KI-VO-Pflichten gelten trotzdem und wie dokumentieren wir das Negativ-Ergebnis rechtssicher? Drei Pfade Anhang I/III nicht zutreffend Rückausnahme Art. 6… |
 | `output-betreiber-checkliste-und-folgenabschaetzung` | Betreiber von Hochrisiko-KI benoetigt fertige Compliance-Dokumentation für interne Zwecke oder Aufsichtsbehoerde. Art. 26 und 27 KI-VO Betreiber-Compliance-Output. Zwei Output-Dokumente: Betreiber-Compliance-Checkliste… |
 | `output-konformitaetserklaerung-eu-anhang-v` | Anbieter benoetigt das fertige Musterdokument für die EU-Konformitätserklärung zum Ausfuellen und Unterzeichnen. Art. 47 i.V.m. Anhang V KI-VO EU-Konformitätserklärung. Pflichtinhalt Anhang V: eindeutige… |
+| `output-konformitaetsbescheinigung-evidence-pack` | Anbieter braucht ein druckreifes Konformitätspaket: interne Bescheinigung oder Readiness-Vermerk, EU-Konformitätserklärung, Art.-43-Nachweis, Evidence Index, Lückenliste und klare Warnung vor falscher finaler Bescheinigung. |
 | `output-pruefdokument-ki-vo-mit-warnhinweisen` | Abschlussvermerk mit Art.-3-Einordnung, Zweckbestimmung, Anhang-III-Matrix, Rückausnahme, Off-label-Governance und Re-Evaluation. |
 | `persoenlicher-anwendungsbereich-rollen-art-3` | Erster Schritt der KI-VO-Prüfung: Wer ist betroffen? Unternehmen fragt welche Rolle es in der KI-VO einnimmt. Art. 3 KI-VO Rollendefinitionen. Prüfraster: Anbieter Art. 3 Nr. 3 Betreiber Art. 3 Nr. 4 Einführer Art. 3… |
 | `risikoklassen-uebersicht-und-triage` | Schnelle Risikoklassen-Erstdiagnose mit Schwerpunkt Art. 6 Abs. 2/Anhang III, GPAI/Chatbot und Zweckbestimmung. |
@@ -174,6 +176,7 @@ Zusaetzlich behandelt das Plugin General-Purpose-AI (GPAI)-Modelle, die Ausnahme

 - Ein Unternehmen fragt, ob die eigene Software unter die KI-VO faellt und welche Pflichten daraus folgen.
 - Ein Anbieter von KI hat die Hochrisiko-Einstufung erhalten und braucht eine vollstaendige Roadmap bis zur CE-Kennzeichnung.
+- Ein Anbieter will eine Konformitätsbescheinigung, EU-Konformitätserklärung oder ein Evidence-Pack erzeugen, ohne mehr zu behaupten als die Akte trägt.
 - Ein Betreiber kauft ein KI-System ein und muss seine Betreiberpflichten nach Art. 26 KI-VO kennen.
 - Ein Anbieter von GPAI-Modellen (Sprachmodelle, Basismodelle) fragt, ob er unter die GPAI-Pflichten faellt und ob systemisches Risiko vorliegt.
 - Compliance-Beauftragter will wissen, welche Sanktionen bei Verstoessen drohen und wie Verfahren ablaufen.
@@ -187,6 +190,7 @@ Zusaetzlich behandelt das Plugin General-Purpose-AI (GPAI)-Modelle, die Ausnahme
 - **GPAI** — General-Purpose-AI-Modell nach Art. 3 Nr. 63 KI-VO; Basismodell mit Allzweck-Faehigkeiten; eigene Pflichtenkategorie.
 - **Systemisches Risiko** — Erhebliche Risiken bei GPAI-Modellen mit mehr als 10 hoch 25 FLOP Trainingsaufwand (Art. 51 KI-VO).
 - **Konformitaetsbewertung** — Verfahren nach Art. 43 ff. KI-VO zur CE-Kennzeichnung von Hochrisiko-KI.
+- **Evidence-Pack** — Dokumentationspaket aus Art.-3-/Art.-6-Vermerk, Art.-9-bis-15-Nachweisen, Art.-43-Bewertung, EU-Konformitätserklärung, Lückenliste und Freigabeentscheidung.
 - **EU-KI-Datenbank** — Oeffentliches Register nach Art. 71 KI-VO, in dem Hochrisiko-KI-Systeme registriert werden muessen.

 ## Rechtsgrundlagen
@@ -255,6 +259,7 @@ Zusaetzlich behandelt das Plugin General-Purpose-AI (GPAI)-Modelle, die Ausnahme
 - `zeitlicher-geltungsbereich-uebergangsfristen` — Uebergangsfristen und zeitlicher Geltungsbeginn je Pflichtenkategorie der KI-VO.
 - `output-pruefdokument-ki-vo-mit-warnhinweisen` — Abschliessendes Pruefdokument mit allen Ergebnissen und Warnhinweisen erstellen.
 - `output-konformitaetserklaerung-eu-anhang-v` — Muster der EU-Konformitaetserklaerung zum Ausfuellen und Unterzeichnen (Anhang V KI-VO).
+- `output-konformitaetsbescheinigung-evidence-pack` — Konformitätsbescheinigung oder Readiness-Vermerk, EU-Erklärung, Evidence Index und Lückenliste erzeugen.
 - `output-betreiber-checkliste-und-folgenabschaetzung` — Fertige Betreiber-Compliance-Dokumentation und Folgenabschaetzung erstellen.
 - `mandatsabbruch-empfehlung-komplexe-faelle` — Erkennung von Faellen, die anwaltliche Spezialkenntnisse erfordern, und Eskalationsempfehlung.

@@ -190,7 +190,7 @@ Dieser Skill liefert den vollständigen Mandanten-Workflow von "Hochrisiko-Diagn

 **Output:** EU-Konformitätserklärung nach Anhang V.

-→ Detail-Skills: `hochrisiko-konformitaetsbewertung-art-43-bis-49`, `output-konformitaetserklaerung-eu-anhang-v`, `code-of-practice-und-harmonisierte-normen`
+→ Detail-Skills: `hochrisiko-konformitaetsbewertung-art-43-bis-49`, `output-konformitaetserklaerung-eu-anhang-v`, `output-konformitaetsbescheinigung-evidence-pack`, `code-of-practice-und-harmonisierte-normen`

 ---

@@ -1,6 +1,6 @@
 ---
 name: hochrisiko-konformitaetsbewertung-art-43-bis-49
-description: "Anbieter von Hochrisiko-KI fragt: Muessen wir eine benannte Stelle einschalten oder koennen wir die Konformitätsbewertung selbst durchführen? Art. 43 bis 49 KI-VO Konformitätsbewertung. Prüfraster: Entscheidungsbaum Selbstbewertung Modul A vs. Drittstellenprüfung Modul H vollständiges QMS. CE-Kennzeichnung EU-Konformitätserklärung Anhang V Registrierung EU-Datenbank. Output: Verfahrensauswahl-Entscheidungsbaum und Zeitplanung. Abgrenzung zu output-konformitätserklärung-eu-anhang-v (fertiges Muster-Dokument)."
+description: "Anbieter von Hochrisiko-KI fragt: Muessen wir eine benannte Stelle einschalten oder koennen wir die Konformitätsbewertung selbst durchführen? Art. 43 bis 49 KI-VO Konformitätsbewertung. Prüfraster: Entscheidungsbaum Selbstbewertung Modul A vs. Drittstellenprüfung Modul H vollständiges QMS. CE-Kennzeichnung EU-Konformitätserklärung Anhang V Registrierung EU-Datenbank. Output: Verfahrensauswahl-Entscheidungsbaum und Zeitplanung. Abgrenzung zu output-konformitaetserklaerung-eu-anhang-v und output-konformitaetsbescheinigung-evidence-pack."
 ---

 # Konformitätsbewertung — Art. 43 bis 49 KI-VO
@@ -9,6 +9,8 @@ description: "Anbieter von Hochrisiko-KI fragt: Muessen wir eine benannte Stelle

 Vor dem Inverkehrbringen oder der Inbetriebnahme eines Hochrisiko-KI-Systems muss eine Konformitätsbewertung durchgeführt werden. Dieser Skill liefert den Entscheidungsbaum: Wer bewertet? Welches Verfahren? Was ist danach zu tun?

+Wenn das Ergebnis anschließend druckreif als Bescheinigung, EU-Konformitätserklärung, Evidence Index und Lückenliste ausgegeben werden soll, an `output-konformitaetsbescheinigung-evidence-pack` übergeben.
+
 ## Entscheidungsbaum — Selbstbewertung oder benannte Stelle?

 ### Schritt 1 — Anhang-I-Systeme oder Anhang-III-Systeme?
@@ -0,0 +1,155 @@
+---
+name: output-konformitaetsbescheinigung-evidence-pack
+description: "Druckreifes KI-VO-Konformitätspaket erzeugen: interne Konformitätsbescheinigung, EU-Konformitätserklärung nach Art. 47/Anhang V, Art.-43-Bewertungsnachweis, CE-/EU-DB-/Post-Market-Check, Evidence Index und Lückenliste ohne falsche Bescheinigung."
+---
+
+# Output Konformitätsbescheinigung und Evidence-Pack
+
+## Zweck
+
+Dieser Skill erzeugt ein druckreifes Konformitätspaket für KI-Systeme nach der Verordnung (EU) 2024/1689. Er ist der Output-Skill nach Art.-3-Prüfung, Rollenklärung, Hochrisiko-Einstufung, Anforderungen Art. 9-15 und Konformitätsbewertung Art. 43.
+
+**Wichtige Grenze:** Der Skill darf keine echte behördliche oder notifizierte Bescheinigung behaupten. Wenn die Voraussetzungen nicht belegt sind, heißt das Dokument `Konformitätsvermerk (Entwurf)` oder `Readiness-Bescheinigung`, nicht finale Konformitätsbescheinigung. Eine EU-Konformitätserklärung nach Art. 47 i.V.m. Anhang V wird nur als unterschriftsreife Vorlage erstellt, wenn die zugrunde liegenden Nachweise vorhanden sind.
+
+## Wann verwenden?
+
+- Anbieter eines Hochrisiko-KI-Systems braucht eine Akte für Geschäftsführung, Audit, Kunden oder Marktaufsicht.
+- Die Konformitätsbewertung nach Art. 43 soll dokumentiert werden.
+- Eine EU-Konformitätserklärung nach Art. 47 und Anhang V soll vorbereitet werden.
+- Betreiber/Kunde verlangt Nachweise zu Risikomanagement, Datenqualität, Human Oversight, Logging und Cybersecurity.
+- Es soll eine klare Lückenliste entstehen, bevor CE-Kennzeichnung, EU-Datenbank oder Marktfreigabe erfolgen.
+
+## Vorprüfung
+
+Vor dem Output prüfen:
+
+1. **Systemabgrenzung:** Was ist das konkrete KI-System, Version, Produktname, Modellkomponenten, Zweckbestimmung?
+2. **Rolle:** Anbieter, Betreiber, Importeur, Händler, Bevollmächtigter, Produkthersteller?
+3. **Risikoklasse:** Art. 6 Abs. 1/2, Anhang I/III, Rückausnahme Art. 6 Abs. 3, GPAI-Schnittstelle.
+4. **Pflichtenstatus:** Art. 9 bis 15 erfüllt oder offen?
+5. **Konformitätsbewertung:** Art. 43-Pfad, interne Kontrolle oder benannte Stelle?
+6. **Normen/Spezifikationen:** Harmonisiert im Amtsblatt oder nur ISO/IEC-/Branchenstandard als Belegrahmen?
+7. **Registrierung/CE:** Art. 48/49/71 einschlägig?
+8. **Post-Market:** Art. 72 ff. Monitoring und Incident-Prozess vorhanden?
+
+Wenn diese Punkte nicht belegt sind, zuerst die passenden Spezial-Skills vorschlagen:
+
+- `liegt-ki-system-vor-art-3-nr-1`
+- `hochrisiko-art-6-abs-2-anhang-iii`
+- `hochrisiko-risikomanagementsystem-art-9`
+- `hochrisiko-technische-dokumentation-art-11-und-anhang-iv`
+- `hochrisiko-konformitaetsbewertung-art-43-bis-49`
+- `output-konformitaetserklaerung-eu-anhang-v`
+
+## Output-Paket
+
+### 1. Konformitätsbescheinigung / Konformitätsvermerk
+
+Erzeuge ein Dokument mit Statuskopf:
+
+| Status | Bezeichnung | Wann verwenden |
+|---|---|---|
+| Final | `Interne Konformitätsbescheinigung des Anbieters` | Alle Nachweise vollständig, Art.-43-Pfad abgeschlossen, zeichnungsbefugte Freigabe |
+| Entwurf | `Konformitätsvermerk (Entwurf)` | Prüfung weitgehend abgeschlossen, aber Nachweise oder Freigaben fehlen |
+| Readiness | `KI-VO-Readiness-Bescheinigung` | Noch keine finale Konformität, aber dokumentierter Stand und Maßnahmenplan |
+| Drittstelle | `Bescheinigung unter Bezugnahme auf notifizierte Stelle` | Nur wenn eine echte benannte Stelle beteiligt war und Nachweis vorliegt |
+
+Pflichtinhalt:
+
+- Systemname, Version, eindeutige Kennung.
+- Anbieter/Rechtsträger, Anschrift, Datenschutz-/Compliancekontakt.
+- Zweckbestimmung und bestimmungsgemäßer Einsatz.
+- Risikoeinstufung mit Art.-6-/Anhang-Begründung.
+- Konformitätsbewertungspfad nach Art. 43.
+- Nachweisübersicht Art. 9-15.
+- Normen, Standards, Common Specifications, angewandte Testmethoden.
+- EU-Datenbank-/CE-/Post-Market-Status.
+- Abweichungen, Auflagen, Gültigkeitsdauer, Review-Trigger.
+- Unterschriftsblock.
+
+### 2. EU-Konformitätserklärung nach Art. 47 / Anhang V
+
+Erstelle eine Vorlage nur mit den erforderlichen Angaben:
+
+- Name und Anschrift des Anbieters oder Bevollmächtigten.
+- Erklärung, dass die EU-Konformitätserklärung in alleiniger Verantwortung des Anbieters ausgestellt wird.
+- Eindeutige Identifizierung des KI-Systems.
+- Erklärung der Konformität mit der KI-VO und ggf. sonstigem Unionsrecht.
+- Verweise auf angewandte harmonisierte Normen oder gemeinsame Spezifikationen, soweit einschlägig.
+- Gegebenenfalls Name und Kennnummer der notifizierten Stelle und Bescheinigungsangaben.
+- Ort, Datum, Name, Funktion und Unterschrift.
+
+Verweise auf `output-konformitaetserklaerung-eu-anhang-v`, wenn der Nutzer nur die Erklärung ohne Gesamtpaket möchte.
+
+### 3. Evidence Index
+
+Erzeuge eine Aktenliste:
+
+| ID | Nachweis | Artikel | Stand | Eigentümer | Status | Fundstelle |
+|---|---|---|---|---|---|---|
+| E-01 | Risikomanagementakte | Art. 9 | ... | ... | grün/gelb/rot | ... |
+| E-02 | Data-Governance-Bericht | Art. 10 | ... | ... | ... | ... |
+| E-03 | Technische Dokumentation | Art. 11/Anhang IV | ... | ... | ... | ... |
+| E-04 | Logging-Konzept | Art. 12 | ... | ... | ... | ... |
+| E-05 | Gebrauchsanweisung/Transparenz | Art. 13 | ... | ... | ... | ... |
+| E-06 | Human-Oversight-Konzept | Art. 14 | ... | ... | ... | ... |
+| E-07 | Accuracy/Robustness/Cybersecurity | Art. 15 | ... | ... | ... | ... |
+| E-08 | QMS | Art. 17 | ... | ... | ... | ... |
+| E-09 | Konformitätsbewertung | Art. 43 | ... | ... | ... | ... |
+| E-10 | Post-Market Monitoring | Art. 72 | ... | ... | ... | ... |
+
+### 4. Lückenliste und Maßnahmenplan
+
+Jede Lücke mit:
+
+- Pflicht.
+- Befund.
+- Risiko.
+- Maßnahme.
+- Verantwortlicher.
+- Frist.
+- Blockiert Marktfreigabe: ja/nein.
+
+### 5. Kunden- oder Behördenpaket
+
+Wenn der Nutzer "für Kunden", "für Behörde" oder "zum Ausdrucken" sagt, zusätzlich:
+
+- Einseitige Management Summary.
+- Nicht-technische Systembeschreibung.
+- Zweckbestimmungs- und Nutzungsgrenzen.
+- Art.-6-/Anhang-III-Matrix.
+- Zusammenfassung der Konformitätsbewertung.
+- Auflagen und Review-Prozess.
+
+## Standards und Normen
+
+- Harmonisierten Normen kommt Vermutungswirkung nur zu, soweit die Fundstelle im Amtsblatt der Europäischen Union veröffentlicht ist.
+- ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 22989, ISO/IEC 23053 und vergleichbare Standards können als Governance- und Nachweisrahmen dienen, ersetzen aber nicht automatisch KI-VO-Anforderungen.
+- Wenn keine harmonisierte Norm einschlägig oder veröffentlicht ist, dokumentiere alternative angemessene Mittel und Tests.
+
+## Warnsignale
+
+Setze den Status nie auf final, wenn:
+
+- System und Version nicht eindeutig sind.
+- Zweckbestimmung und tatsächliche Nutzung auseinanderfallen.
+- Anhang-III-Einstufung nicht entschieden ist.
+- Art. 9-15 nur behauptet, aber nicht belegt sind.
+- Bei erforderlicher Drittstellenprüfung keine benannte Stelle vorliegt.
+- CE-Kennzeichnung oder EU-Datenbank-Registrierung als erledigt behauptet wird, aber Nachweise fehlen.
+- GPAI-Komponenten genutzt werden, deren Anbieterpflichten/Lieferantennachweise unklar sind.
+
+## Abschlussformat
+
+Am Ende immer:
+
+1. **Status:** Final / Entwurf / Readiness / Stop.
+2. **Darf unterschrieben werden?** Ja/Nein/Ja mit Auflagen.
+3. **Nicht behaupten:** Liste von Aussagen, die wegen fehlender Nachweise nicht gemacht werden dürfen.
+4. **Nächste Schritte:** Maximal sieben priorisierte Maßnahmen.
+
+## Quellen und Aktualität
+
+- Stand: 05/2026.
+- Verordnung (EU) 2024/1689, insbesondere Art. 3, 6, 9-17, 25, 43-49, 71-73 und Anhang IV/V.
+- Europäische Kommission/JRC: harmonisierte Standards geben erst nach Veröffentlichung im Amtsblatt eine Vermutungswirkung.
@@ -56,9 +56,9 @@ Nr.: [Eindeutige Erklärungsnummer]
   Normen, gemeinsamen Spezifikationen oder
   sonstigen Spezifikationen, auf die sich
   die Konformitätserklärung bezieht:
-   [Verweis auf harmonisierte Normen, z.B. EN ISO/IEC 42001:2023]
-   [Verweis auf gemeinsame Spezifikationen]
-   [Verweis auf sonstige technische Spezifikationen]
+   [Harmonisierte Norm nur nennen, wenn einschlaegige Fundstelle im Amtsblatt der EU veroeffentlicht ist]
+   [Verweis auf gemeinsame Spezifikationen, falls einschlaegig]
+   [Verweis auf sonstige technische Spezifikationen, z.B. interne Tests oder ISO/IEC-Standards ohne Vermutungswirkung]

 8. Angaben zur beteiligten benannten Stelle
   (falls zutreffend):
@@ -95,6 +95,10 @@ Die Erklärung muss mindestens enthalten:

 Die EU-Konformitätserklärung ist zehn Jahre ab dem Datum des Inverkehrbringens oder der Inbetriebnahme aufzubewahren. Marktüberwachungsbehörden müssen auf Anfrage Zugang erhalten.

+## Verbindung zum Evidence-Pack
+
+Wenn nicht nur die Erklärung, sondern eine druckreife Konformitätsbescheinigung, ein Art.-43-Nachweis, ein Evidence Index und eine Lückenliste gebraucht werden, nutze `output-konformitaetsbescheinigung-evidence-pack`. Dieser Skill verhindert, dass eine interne Readiness-Bewertung fälschlich als finale Konformität oder als Bescheinigung einer notifizierten Stelle ausgegeben wird.
+
 ## Aktualisierung

 Die Erklärung ist zu aktualisieren, wenn:
@@ -2,7 +2,7 @@

 Dieser Ordner enthält **fiktive Mandatsakten**, mit denen sich die Skills sofort ausprobieren lassen. Jede Akte ist bewusst so unstrukturiert wie ein echter Datenraum: PDFs mit handgemachten Briefköpfen, Excel-Tabellen, Word-Entwürfen, schiefen Dateinamen, Bildbeschreibungen, Chattranskripten und Fehlblättern, Mandantennotizen mit Tippfehlern. **Die Akten sind kein Bestandteil der Plugins und werden nicht mitinstalliert.** Wer die Skills produktiv einsetzt, lädt sich die Akten bei Bedarf separat als ZIP herunter.

-**Stand v21.0.0:** 52 Testakten. Auf GitHub liest man jede Datei direkt als Markdown (`*.md`-Vorschauen für DOCX und XLSX werden automatisch generiert). Im ZIP-Download bekommt man die **Originalformate** (DOCX, XLSX, PDF, JPEG, CSV) für realistische Tests. Schriftsätze sind 800-3000 Wörter, Verträge enthalten alle Paragrafen, Mandantennotizen sind realistisch detailliert mit eckigen Klammern für variable Daten. Akten sind typischerweise 100-700 KB groß.
+**Stand v21.0.0:** 54 Testakten. Auf GitHub liest man jede Datei direkt als Markdown (`*.md`-Vorschauen für DOCX und XLSX werden automatisch generiert). Im ZIP-Download bekommt man die **Originalformate** (DOCX, XLSX, PDF, JPEG, CSV) für realistische Tests. Schriftsätze sind 800-3000 Wörter, Verträge enthalten alle Paragrafen, Mandantennotizen sind realistisch detailliert. Akten sind typischerweise 100-700 KB groß.

 ## Verfügbare Akten

@@ -19,6 +19,7 @@ Dieser Ordner enthält **fiktive Mandatsakten**, mit denen sich die Skills sofor
 | [`bgb-at-altfraenkische-werkstatt/`](./bgb-at-altfraenkische-werkstatt/) | Fiktive Altfränkische Werkstatt mit Online-Auktion, verspäteter E-Mail-Annahme, Preis- und Eigenschaftsirrtum, Minderjährigenkauf, Vollmacht, Missbrauchsverdacht, Bedingung, § 138 BGB und beA-/qES-/Formfiktion-Nachtrag. | `bgb-at-pruefer` |
 | [`bvg-widerspruchsstelle-abschleppen-mobg/`](./bvg-widerspruchsstelle-abschleppen-mobg/) | Berliner Verkehrsbetriebe AöR — Widerspruchsstelle Rechtsabteilung: sechs Vorgänge gegen Gebührenbescheide nach § 23 MobG BE (Abschleppen aus Bushaltestelle/Sonderspur). Klare Halterhaftung, Streit um Anfahrtsbereich, Halter benennt Tochter als Fahrerin, Leerfahrt vor Verladung, Geburtsnotfall mit Notizzettel an der Scheibe, mobile Beschilderung in Bewohnerparkzone mit AU-Bescheinigung. Gebührenbescheide, Umsetzungsprotokolle, KBA-Halterabfragen, Lichtbild-Beschreibungen, Widerspruchsschreiben, Anlagen. Keine Musterlösungen. | `fachanwalt-verwaltungsrecht` (Skill `fa-vwgo-widerspruchsbescheid-abschleppen-oepnv`) |
 | [`common-law-kompass-crossborder-contract/`](./common-law-kompass-crossborder-contract/) | Fiktive deutsch-amerikanisch-britische Vertragsakte mit Bürgschaft/Guarantee/Indemnity, Consideration, Governing Law, UCC, Warranty-Paket, Remedies und bilingualem Bedeutungsdrift. | `common-law-kompass` |
+| [`datenschutz-us-transfer-cloudsuite-rheinmain/`](./datenschutz-us-transfer-cloudsuite-rheinmain/) | RheinMain Präzisionstechnik GmbH mit CloudSuite Assist: US-Supportzugriffe, DPF-Behauptung, SCC Modul 2, ReplyPilot-KI-Feature, Subprozessorlücken, Transferregister, TIA, TOMs und Antwortentwurf an die hessische Datenschutzaufsicht. | `datenschutzrecht` (Skills `us-transfer-tia-dokumentation`, `standardvertragsklauseln-scc-paket`, `drittlandtransfer-behoerdenpaket-output`) |
 | [`dsa-dma-bayrische-baustube-meissner/`](./dsa-dma-bayrische-baustube-meissner/) | Baustube Meißnerlein GmbH (Höchstadt an der Aisch) gegen US-Plattform „Glitzerwald“: Account-Sperre Art. 17/20-23 DSA, VLOP-Designations-Streit, Self-Preferencing-Verdacht gegen Mitbewerber Lindheim & Söhne KG Schwabach, Art.-40-Forschungsantrag Dr. Vogelbroich (FAU Erlangen), Zustellungsproblem Art. 13 DSA EU-Vertreter Dublin. 17 fragmentarische Dokumente (.md/.csv/.eml). | `dsa-dma-digitalregulierung` |
 | [`einfache-leichte-sprache-jura-mandantenbrief/`](./einfache-leichte-sprache-jura-mandantenbrief/) | Juristischer Mandantenbrief zu Bescheid, Widerspruch, Frist und Akteneinsicht mit Zielfassungen in Einfacher Sprache und Leichter Sprache sowie Qualitätscheck-Protokollen. | `einfache-leichte-sprache-jura` |
 | [`energierecht-stadtwerke-quartier/`](./energierecht-stadtwerke-quartier/) | Fiktives Stadtwerke- und Quartiersprojekt: Nahwärme, PV, Ladepunkte, Industriekunde, Netzanschluss, Wärmevertrag, Sondernetzentgelt, Energie-DD und Projektfinanzierung. | `energierecht` |
@@ -36,6 +37,7 @@ Dieser Ordner enthält **fiktive Mandatsakten**, mit denen sich die Skills sofor
 | [`jveg-zeugin-berger-lg-tuebingen/`](./jveg-zeugin-berger-lg-tuebingen/) | JVEG-Zeuginnenfall Berger vor dem LG Tübingen: Vorschussantrag, Gerichtsschreiben, anwaltlicher Schriftsatz, Rechenblatt, Belegmatrix und Antwortbaustein zu Fahrtkosten, Übernachtung und Verdienstausfall. | `jveg-kostenpruefer` |
 | [`kanzlei-allgemein-alltag/`](./kanzlei-allgemein-alltag/) | Fiktiver Alltag für Kanzlei-Allgemein-Plugin: edles Cowork-Kommandocenter, Nachtblau/Silber/Orange-Look, Integrationscheck, Simulationsmodus, Mandatsannahme/GwG, KYC, PEP, Kontoblatt, beA-Journal mit EB, Schreib-Canvas, Klage-/Replik-Turbo, Rechtsprechungsrecherche, Vertragsentwurf, Handelsregisterabruf, Qualitätsgate, Rechnung, Geschäftskonto, Bankmatching, E-Rechnung und UStVA. | `kanzlei-allgemein` |
 | [`ki-richtlinie-musterkanzlei/`](./ki-richtlinie-musterkanzlei/) | Generischer Muster-Entwurf einer KI-Nutzungsrichtlinie für eine fiktive Anwaltskanzlei. Word-Dokument als Entwurf-Vorlage. | `ki-richtlinie-kanzleien` |
+| [`ki-vo-konformitaetsbescheinigung-bewerberpilot/`](./ki-vo-konformitaetsbescheinigung-bewerberpilot/) | BewerberPilot TalentRank 2.4 als Hochrisiko-KI für Recruiting: Art.-3-/Art.-6-Vermerk, Risikomanagement, Daten-Governance, Bias-Test, technische Dokumentation, Human Oversight, Art.-43-Checkliste, Konformitätsvermerk, EU-Konformitätserklärung-Entwurf und Lückenliste. | `ki-vo-ai-act-pruefer` (Skill `output-konformitaetsbescheinigung-evidence-pack`) |
 | [`krisenfrueherkennung-starug-vier-varianten/`](./krisenfrueherkennung-starug-vier-varianten/) | Vier kontrastierende Krisenfrüherkennungs-Szenarien nach § 1 StaRUG: VEYRA AI Foundation gGmbH, Herrenbluse & Zwirn Hartmannschmidt AG, Nordfels Power Cells SE und Salaltbar UG. Liquiditätspläne, Filialkostenrechnung, Sanierungsbausteine, Stress-Szenarien. | `krisenfrueherkennung-starug` |
 | [`kuendigungsschutzklage-weber-techlogix/`](./kuendigungsschutzklage-weber-techlogix/) | Markus Weber ./. TechLogix GmbH Berlin: betriebsbedingte Kündigung vom 30.04.2026, § 4 KSchG-Frist 20.05.2026. Betrieb mit 23 AN (§ 23 KSchG anwendbar), lückenhafte BR-Anhörung (Datum fehlt, Seite 2 fehlt), fragwürdige Sozialauswahl (Weber 8 J. BZ + 2 Kinder vs. Grunewald 2 J. BZ). Kanzleinotiz, handschriftliche Mandantennotiz, Kündigungsschreiben, AV-Auszug, BR-Anhörungsentwurf (roh), Sozialauswahl-Tabelle (roh), Vollmacht. | `kueschk-*` (Kündigungsschutz-Skills) |
 | [`legistik-pflichtpostfach/`](./legistik-pflichtpostfach/) | Schulungsakte Legistik-Werkstatt: aus Koalitionsvertrags-Auszug zum elektronischen Pflichtpostfach (HGB-Gesellschaften, VLOP DSA, Interop beA/beBPo/eBO/ELSTER/Mein Unternehmenskonto) ein Stammgesetz "PflPostG" inklusive Folgeänderungen HGB, ZPO, FamFG, VwZG, AO. Bezüge zu DSA, eIDAS 2.0, GoBD; Notifizierung 2015/1535. Bewusst eingebaute Lernfallen: Goldplating, Bestimmtheit, Art. 80 GG, Notifizierungsfrist, Zuständigkeit, Zirkelschluss. Trainerhandbuch durch alle 26 Skills. | `legistik-werkstatt` |
@@ -76,6 +78,7 @@ Jede Akte wird beim Release-Build als eigenes ZIP an den GitHub-Release angehän
 - [testakte-bgb-at-altfraenkische-werkstatt.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-bgb-at-altfraenkische-werkstatt.zip)
 - [testakte-bvg-widerspruchsstelle-abschleppen-mobg.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-bvg-widerspruchsstelle-abschleppen-mobg.zip)
 - [testakte-common-law-kompass-crossborder-contract.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-common-law-kompass-crossborder-contract.zip)
+- [testakte-datenschutz-us-transfer-cloudsuite-rheinmain.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-datenschutz-us-transfer-cloudsuite-rheinmain.zip)
 - [testakte-dsa-dma-bayrische-baustube-meissner.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-dsa-dma-bayrische-baustube-meissner.zip)
 - [testakte-einfache-leichte-sprache-jura-mandantenbrief.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-einfache-leichte-sprache-jura-mandantenbrief.zip)
 - [testakte-energierecht-stadtwerke-quartier.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-energierecht-stadtwerke-quartier.zip)
@@ -93,6 +96,7 @@ Jede Akte wird beim Release-Build als eigenes ZIP an den GitHub-Release angehän
 - [testakte-jveg-zeugin-berger-lg-tuebingen.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-jveg-zeugin-berger-lg-tuebingen.zip)
 - [testakte-kanzlei-allgemein-alltag.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-kanzlei-allgemein-alltag.zip)
 - [testakte-ki-richtlinie-musterkanzlei.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-ki-richtlinie-musterkanzlei.zip)
+- [testakte-ki-vo-konformitaetsbescheinigung-bewerberpilot.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-ki-vo-konformitaetsbescheinigung-bewerberpilot.zip)
 - [testakte-krisenfrueherkennung-starug-vier-varianten.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-krisenfrueherkennung-starug-vier-varianten.zip)
 - [testakte-kuendigungsschutzklage-weber-techlogix.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-kuendigungsschutzklage-weber-techlogix.zip)
 - [testakte-legistik-pflichtpostfach.zip](https://github.com/Klotzkette/claude-fuer-deutsches-recht/releases/latest/download/testakte-legistik-pflichtpostfach.zip)
@@ -0,0 +1,33 @@
+# Hessischer Beauftragter für Datenschutz und Informationsfreiheit
+
+**Fiktives Schreiben für Testzwecke**
+
+Aktenzeichen: HBDI-4.2-DS-2026-0512-PTG
+Datum: 12.05.2026
+An: RheinMain Präzisionstechnik GmbH, z. Hd. Geschäftsführung, Hanauer Landstraße 188, 60314 Frankfurt am Main
+
+## Auskunftsersuchen nach Art. 58 Abs. 1 lit. a und e DSGVO
+
+Sehr geehrte Damen und Herren,
+
+uns liegt eine Beschwerde eines ehemaligen Kundenkontakts Ihres Unternehmens vor. Der Beschwerdeführer trägt vor, dass seine Kontaktdaten, Kommunikationsinhalte und Supporthistorie im System "CloudSuite Assist" verarbeitet würden und dass hierbei Daten an ein Unternehmen in den Vereinigten Staaten von Amerika übermittelt würden. Ferner sei ihm auf Nachfrage lediglich mitgeteilt worden, der Anbieter sei "Privacy Shield zertifiziert".
+
+Wir bitten Sie daher um Stellungnahme und Vorlage der einschlägigen Dokumentation bis zum **04.06.2026**.
+
+Bitte beantworten Sie insbesondere:
+
+1. Welche Verarbeitungstätigkeiten werden mit CloudSuite Assist abgebildet?
+2. Welche Kategorien personenbezogener Daten und betroffener Personen sind umfasst?
+3. Welche Rechtsträger sind Vertragspartner, Auftragsverarbeiter, Unterauftragsverarbeiter und Empfänger in Drittstaaten?
+4. Kommt es zu einer Übermittlung personenbezogener Daten in die USA oder zu einem Zugriff aus den USA?
+5. Auf welches Transferinstrument nach Art. 44 ff. DSGVO stützen Sie die Übermittlung?
+6. Falls Sie den EU-US Data Privacy Framework-Angemessenheitsbeschluss heranziehen: Bitte legen Sie den dokumentierten Abgleich des konkreten US-Rechtsträgers, des Zertifizierungsumfangs und der betroffenen Datenkategorien vor.
+7. Falls Standardvertragsklauseln genutzt werden: Bitte legen Sie die Modulwahl, die ausgefüllten Anlagen und die Bewertung ergänzender Maßnahmen vor.
+8. Bitte erläutern Sie, ob und wie Sie die Vorgaben aus dem Urteil des EuGH vom 16.07.2020, C-311/18, berücksichtigt haben.
+9. Bitte legen Sie Ihre Prüfung von Unterauftragsverarbeitern und Weiterübermittlungen vor.
+10. Bitte teilen Sie mit, ob Beschäftigtendaten, besondere Kategorien personenbezogener Daten oder Berufsgeheimnisse betroffen sind.
+
+Wir weisen darauf hin, dass die frühere EU-US-Privacy-Shield-Entscheidung nicht mehr als Grundlage für Übermittlungen herangezogen werden kann.
+
+Mit freundlichen Grüßen
+Referat Wirtschaft, Beschäftigtendatenschutz und internationale Datentransfers
@@ -0,0 +1,51 @@
+# Anbieterprofil CloudSuite Assist
+
+Bearbeiterin: Nora Weidemann, Legal Operations
+Stand: 16.05.2026
+
+## 1. Vertragskette
+
+| Rolle | Rechtsträger | Sitz | Dokumentenfundstelle |
+|---|---|---|---|
+| Kunde / Verantwortlicher | RheinMain Präzisionstechnik GmbH | Frankfurt am Main | Rahmenvertrag 22.11.2024 |
+| Vertrieb / Vertragspartner | CloudSuite Ireland Ltd. | Dublin, Irland | Order Form, DPA Intro |
+| Technische Plattform / Importeur | CloudSuite Assist Inc. | 221 Harbor Street, San José, CA, USA | DPA Annex 1, Security Addendum |
+| EU-Hosting | MainRack GmbH | Frankfurt am Main | Subprocessor List, Stand 15.04.2026 |
+| KI-Feature | NorthPeak Analytics LLC | Austin, TX, USA | AI Addendum, Stand 04.04.2026 |
+
+## 2. Produktnutzung bei RheinMain Präzisionstechnik
+
+CloudSuite Assist wird in Vertrieb, Kundenservice und Ersatzteilmanagement eingesetzt. Die Plattform führt Kontaktprofile, Supporttickets, Maschinenseriennummern, Reklamationshistorien, E-Mail-Threadauszüge und interne Bearbeitungsvermerke zusammen. Seit März 2026 ist das Zusatzmodul "ReplyPilot" aktiviert. ReplyPilot erstellt Antwortvorschläge für Supportmitarbeitende, darf aber laut interner Arbeitsanweisung keine vollautomatischen Entscheidungen treffen.
+
+Die Geschäftsführung hat am 10.03.2026 entschieden, dass keine besonderen Kategorien personenbezogener Daten und keine Beschäftigtendaten in CloudSuite Assist verarbeitet werden sollen. Praktisch finden sich in Tickets aber gelegentlich Krankheits- oder Urlaubsangaben von Ansprechpartnern, wenn Kunden Verzögerungen erklären. Ein Vertriebsleiter hat außerdem im April 2026 zwei Bewerberkontakte in CloudSuite als "potenzielle Sales-Kandidaten" angelegt. Das wurde am 14.05.2026 gelöscht und als Abweichung dokumentiert.
+
+## 3. Datenkategorien
+
+- Namen, geschäftliche E-Mail-Adressen, Telefonnummern.
+- Funktion, Abteilung, Unternehmenszuordnung.
+- Kommunikationsinhalte aus Supporttickets.
+- Maschinenseriennummern und Wartungshistorie.
+- Reklamationsgründe und Kulanzentscheidungen.
+- Nutzungs- und Telemetriedaten der Plattform.
+- Freitextfelder mit möglicher Fehlbefüllung.
+
+## 4. Datenflüsse
+
+1. Webanwendung: EU-Login über Frankfurt/Dublin.
+2. Primäre Datenbank: Frankfurt am Main.
+3. Backup: Dublin, 35 Tage rollierend.
+4. 2nd-Level-Support: CloudSuite Assist Inc., USA, Zugriff im Ticketsystem nach Freigabe.
+5. Telemetrie/Abuse Detection: Ereignisdaten an Virginia-Cluster, IP-Adresse gekürzt nach 24 Stunden.
+6. ReplyPilot: Ticketauszug maximal 2.000 Zeichen an NorthPeak Analytics LLC; Anbieter behauptet "no training on customer prompts".
+
+## 5. Anbieterzusagen
+
+Aus Anbieter-Mail vom 03.04.2026:
+
+> CloudSuite participates in the EU-U.S. Data Privacy Framework and provides the 2021 Standard Contractual Clauses as fallback for all enterprise customers.
+
+Aus DPA Ziff. 8.4:
+
+> International transfers are covered by the EU-U.S. Data Privacy Framework where applicable, and otherwise by the Standard Contractual Clauses, Module 2, incorporated by reference.
+
+Problem: Die Order Form nennt CloudSuite Ireland Ltd.; der DPF-Hinweis nennt "CloudSuite"; der Security-Anhang nennt CloudSuite Assist Inc. als technischen Importeur. Der offizielle Scope wurde bei Vertragsschluss nicht archiviert.
@@ -0,0 +1,48 @@
+# DPF-Prüfvermerk: CloudSuite Assist
+
+Bearbeiter: Datenschutzteam RheinMain Präzisionstechnik
+Stand: 17.05.2026
+Prüfzweck: Dokumentation für Behördenanfrage HBDI-4.2-DS-2026-0512-PTG
+
+## 1. Anbieterbehauptung
+
+Der Anbieter behauptet in E-Mail vom 03.04.2026, "CloudSuite participates in the EU-U.S. Data Privacy Framework". Eine PDF-Kopie oder ein Screenshot des offiziellen Eintrags wurde bei Vertragsschluss nicht in der Einkaufsakte abgelegt.
+
+## 2. Interner Prüfstand
+
+Für diese fiktive Testakte wird angenommen, dass bei manueller Recherche am 17.05.2026 folgender Treffer dokumentiert wurde:
+
+| Prüffeld | Ergebnis in der Akte |
+|---|---|
+| Treffername | CloudSuite Assist Inc. |
+| Adresse | 221 Harbor Street, San José, CA, USA |
+| Status | Active |
+| Framework | EU-U.S. Data Privacy Framework |
+| Re-Zertifizierung | 31.08.2026 |
+| Datenkategorien | Customer relationship data, support data, service telemetry |
+| HR-Daten | Nicht ausdrücklich umfasst |
+| Produktbezug | CloudSuite Assist Platform; ReplyPilot nicht ausdrücklich erwähnt |
+| Beschwerdemechanismus | TrustLine Dispute Resolution Services |
+
+**Hinweis:** Dies ist ein fiktiver Treffer zur Testakte, kein realer Nachweis über eine tatsächliche DPF-Listung.
+
+## 3. Bewertung
+
+Der DPF-Pfad ist für einfache CRM- und Supportdaten plausibel, aber nicht als alleiniger Nachweis ausreichend dokumentiert, solange folgende Punkte offen sind:
+
+1. ReplyPilot wird im DPF-Scope nicht ausdrücklich genannt.
+2. NorthPeak Analytics LLC ist eigener US-Subprozessor und muss gesondert geprüft werden.
+3. HR-Daten sind nicht im Scope; versehentliche HR-Ticketinhalte müssen technisch und organisatorisch abgefangen werden.
+4. Die CloudSuite Ireland Ltd. ist Vertragspartnerin, aber nicht Importeurin.
+5. Die Anbieterunterlagen enthalten zusätzlich SCC Module 2; deshalb muss entschieden werden, ob SCC als Backup oder Hauptpfad dokumentiert werden.
+
+## 4. Ergebnis
+
+Für die Behördenantwort wird vorgeschlagen:
+
+- DPF als primärer Angemessenheitsbeschlusspfad nur für den konkret abgedeckten Transfer CloudSuite Assist Inc. und nur für CRM-/Supportdaten benennen.
+- SCC Modul 2 als zusätzliche vertragliche Absicherung und Backup dokumentieren.
+- Für ReplyPilot/NorthPeak Analytics LLC ein TIA und SCC-Modul-3- oder Modul-2-Anschluss prüfen.
+- Freitext- und HR-Fehlbefüllung durch technische Hinweise, Filter, Schulung und Stichproben reduzieren.
+
+Ampel: **Gelb**. Fortführung mit Auflagen vertretbar; keine ungeprüfte Berufung auf "Privacy Shield".
@@ -0,0 +1,32 @@
+# Transferregister und VVT-Auszug
+
+Organisation: RheinMain Präzisionstechnik GmbH
+Verarbeitungstätigkeit: CRM, Support und Ersatzteilservice CloudSuite Assist
+Stand: 18.05.2026
+
+## Verarbeitungstätigkeit
+
+| Feld | Eintrag |
+|---|---|
+| Verantwortlicher | RheinMain Präzisionstechnik GmbH, Frankfurt am Main |
+| Fachbereich | Vertrieb, Customer Service, Ersatzteilmanagement |
+| System | CloudSuite Assist, Modul CRM, TicketDesk, ReplyPilot |
+| Zweck | Kundenkommunikation, Supportbearbeitung, Ersatzteilkoordination, Antwortvorschläge |
+| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO bei Vertragskontakten; Art. 6 Abs. 1 lit. f DSGVO bei B2B-Ansprechpartnern und Serviceorganisation |
+| Betroffene | Kundenkontakte, Lieferantenkontakte, Interessenten, gelegentlich interne Ansprechpartner |
+| Datenarten | Kontaktdaten, Kommunikationsinhalte, Supporthistorie, Maschinenbezug, Ticketmetadaten |
+| Löschfrist | Kontaktstammdaten 3 Jahre nach letztem Geschäftskontakt; Supporttickets 6 Jahre, soweit handels-/steuerrechtlich relevant; Telemetrie 180 Tage |
+| Empfänger | CloudSuite Ireland Ltd., CloudSuite Assist Inc., MainRack GmbH, NorthPeak Analytics LLC |
+
+## Drittlandtransfermatrix
+
+| Datenfluss | Drittlandbezug | Datenarten | Transferinstrument | Status |
+|---|---|---|---|---|
+| 2nd-Level-Support CloudSuite Assist Inc. | Zugriff aus USA auf EU-Tickets | Ticketinhalte, Kontaktdaten, Systemlogs | DPF + SCC Modul 2 Backup | Gelb, Scope prüfen |
+| Telemetrie Virginia-Cluster | Übermittlung in USA | Loginmetadaten, Eventlogs, gekürzte IP nach 24h | SCC Modul 2 + TIA | Gelb |
+| ReplyPilot an NorthPeak Analytics LLC | Übermittlung in USA | Ticketauszug bis 2.000 Zeichen | SCC noch unvollständig, TIA erforderlich | Rot bis Nachtrag |
+| Subprozessor TicketForge LLC | USA, nur Notfall-Wartung | Fehlerlog, Ticket-ID | DPF behauptet, Nachweis offen | Gelb/Rot |
+
+## Schutzbedarfsnotiz
+
+Die regulären Daten sind überwiegend B2B-Kommunikationsdaten. Das Risiko steigt durch Freitextfelder, weil Kundinnen und Kunden ungefragt private Informationen, Krankheitsangaben oder personenbezogene Eskalationsdetails mitteilen können. Deshalb muss der Transfer nicht nur nach Tabellenfeldern, sondern nach realistischen Ticketinhalten bewertet werden.
@@ -0,0 +1,68 @@
+# SCC Modul 2: Annex I-III Arbeitsfassung
+
+Dokumenttyp: Interne Arbeitsfassung, nicht unterschriftsersetzend
+Stand: 18.05.2026
+
+## 1. Modulwahl
+
+Für die Kernverarbeitung CloudSuite Assist wird **Modul 2** der EU-Standardvertragsklauseln 2021/914 gewählt: Verantwortlicher in der EU übermittelt Daten an einen Auftragsverarbeiter in einem Drittland.
+
+Begründung:
+
+- RheinMain Präzisionstechnik entscheidet über Zwecke und Mittel der CRM- und Supportverarbeitung.
+- CloudSuite Assist Inc. verarbeitet die Daten nach Weisung zur Bereitstellung der SaaS-Plattform.
+- CloudSuite Ireland Ltd. ist Vertragspartnerin, aber die US-Gesellschaft erhält Zugriff und verarbeitet Telemetrie.
+
+Für NorthPeak Analytics LLC ist zu prüfen, ob CloudSuite Assist Inc. diese als Unterauftragsverarbeiter einbindet (dann Modul 3 in der Anbieter-Kette) oder ob RheinMain eine direkte funktionale Beauftragung vornimmt (dann Modul 2).
+
+## 2. Annex I.A Parteien
+
+**Datenexporteur:**
+RheinMain Präzisionstechnik GmbH, Hanauer Landstraße 188, 60314 Frankfurt am Main.
+Kontakt Datenschutz: datenschutz@rheinmain-pt.example.
+
+**Datenimporteur:**
+CloudSuite Assist Inc., 221 Harbor Street, San José, CA 95113, USA.
+Kontakt Datenschutz: privacy@cloudsuite-assist.example.
+
+## 3. Annex I.B Beschreibung der Übermittlung
+
+| Kategorie | Beschreibung |
+|---|---|
+| Betroffene Personen | B2B-Kundenkontakte, Lieferantenkontakte, Interessenten, Serviceansprechpartner |
+| Datenkategorien | Name, geschäftliche Kontaktdaten, Unternehmen, Funktion, Kommunikationsinhalte, Ticketverlauf, Maschinenseriennummer, Logdaten |
+| Sensible Daten | Nicht vorgesehen; Freitext kann zufällige Gesundheits- oder HR-Angaben enthalten |
+| Zweck | CRM, Support, Ersatzteilkoordination, KI-gestützte Antwortvorschläge |
+| Häufigkeit | Kontinuierlicher SaaS-Betrieb; US-Supportzugriff anlassbezogen |
+| Speicherdauer | Nach Löschkonzept RheinMain; Telemetrie 180 Tage; Backups 35 Tage |
+| Subprozessoren | MainRack GmbH, NorthPeak Analytics LLC, TicketForge LLC |
+
+## 4. Annex I.C Zuständige Aufsichtsbehörde
+
+Hessischer Beauftragter für Datenschutz und Informationsfreiheit, soweit RheinMain Präzisionstechnik GmbH Hauptniederlassung und Entscheidungszentrum in Hessen hat.
+
+## 5. Annex II Technische und organisatorische Maßnahmen
+
+| Maßnahme | Anbieterangabe | Bewertung RheinMain |
+|---|---|---|
+| Transportverschlüsselung | TLS 1.3 | Plausibel, Zertifikatspinning nicht erforderlich |
+| Verschlüsselung ruhender Daten | AES-256 | Nachweis aus Security Addendum vorhanden |
+| Key Management | Kundenschlüssel optional, Standard: Anbieter-KMS | Für ReplyPilot EU-kontrollierte Schlüssel prüfen |
+| Zugriffskontrolle | MFA, rollenbasiert, JIT-Supportzugriff | Supportfreigabe protokollieren und monatlich prüfen |
+| Logging | Admin- und Supportzugriffe 365 Tage | Exportrecht für Audit klären |
+| Pseudonymisierung | Ticket-ID statt Klarnamen in Telemetrie teilweise | Freitextmaskierung vor ReplyPilot fehlt |
+| Government Access | Policy: notification and challenge where legally permitted | Transparenzbericht 2025 anfordern |
+| Löschung | API und Admin-Konsole | Testlöschung halbjährlich |
+
+## 6. Annex III Unterauftragsverarbeiter
+
+Siehe `08_subprocessor_map.csv`. Offen ist, ob TicketForge LLC nur Notfall-Wartung oder regulären Zugriff erhält. Bis zur Klärung darf TicketForge nicht als vollständig bewertet gelten.
+
+## 7. Lückenliste SCC
+
+| Lücke | Gewicht | Maßnahme |
+|---|---|---|
+| ReplyPilot im Produkt-Scope unklar | Hoch | Anbieterbestätigung und TIA-Nachtrag |
+| Annex II Key Management zu allgemein | Mittel | EU-Key-Option oder zusätzliche Verschlüsselung prüfen |
+| Subprozessor TicketForge unklar | Hoch | Rollen- und Zugriffsbeschreibung anfordern |
+| Kein archivierter DPF-Abruf bei Vertragsschluss | Mittel | Aktuellen Abruf archivieren und Review-Kalender setzen |
@@ -0,0 +1,57 @@
+# Transfer Impact Assessment: CloudSuite Assist USA
+
+Organisation: RheinMain Präzisionstechnik GmbH
+Stand: 20.05.2026
+Bearbeitung: Datenschutzteam, Legal, IT Security, Einkauf
+
+## A. Transferbeschreibung
+
+RheinMain nutzt CloudSuite Assist für CRM und Support. Die produktive Datenbank liegt in Frankfurt; Backups liegen in Dublin. Es bestehen Drittlandbezüge durch anlassbezogenen Supportzugriff aus den USA, Telemetrieverarbeitung in Virginia und ReplyPilot-Verarbeitung durch NorthPeak Analytics LLC in Texas.
+
+Die Daten betreffen überwiegend geschäftliche Ansprechpartner von Kunden und Lieferanten. Freitextfelder enthalten realistisch auch personenbezogene Details, die nicht geplant sind. Besondere Kategorien personenbezogener Daten werden nicht gezielt verarbeitet, können aber zufällig auftauchen.
+
+## B. Transferinstrument
+
+| Transfer | Instrument | Bewertung |
+|---|---|---|
+| CloudSuite Assist Inc. Support | DPF, sofern Scope bestätigt; SCC Modul 2 als Backup | Tragfähig mit Auflagen |
+| Telemetrie Virginia | SCC Modul 2 + TIA | Tragfähig mit technischen Auflagen |
+| NorthPeak ReplyPilot | SCC-Kette und TIA noch unvollständig | Vorläufig nicht freigegeben für sensible Freitexte |
+| TicketForge Notfall-Wartung | Nachweis offen | Stop bis Rollenklärung |
+
+## C. Drittlandsrecht und Praxis
+
+Die USA sind Gegenstand des EU-US Data Privacy Framework-Angemessenheitsbeschlusses vom 10.07.2023. Für teilnehmende US-Organisationen kann Art. 45 DSGVO greifen. Zusätzlich bleiben Dokumentationspflichten, Scope-Prüfung, Subprozessorprüfung und Review erforderlich.
+
+Für Transfers außerhalb des konkreten DPF-Scopes stützt RheinMain die Übermittlung auf SCC und ergänzende Maßnahmen. Die Anbieterunterlagen beschreiben eine Policy zur Benachrichtigung und Anfechtung von Behördenzugriffen, soweit rechtlich zulässig. Ein aktueller Transparenzbericht wurde angefordert, liegt aber nur als Zusammenfassung für 2025 vor.
+
+## D. Risiko für Betroffene
+
+| Risiko | Einschätzung |
+|---|---|
+| Identifizierbarkeit | Mittel, da Namen und Kontaktdaten enthalten sind |
+| Sensibilität | Niedrig bis mittel; Freitext kann sensible Zufallsdaten enthalten |
+| Umfang | Etwa 18.400 Kontaktprofile, 42.000 Tickets seit 2021 |
+| Zugriffswahrscheinlichkeit | Niedrig bis mittel; Supportzugriffe anlassbezogen, Telemetrie dauerhaft |
+| Schadenspotenzial | Reputations- und Vertraulichkeitsrisiko, besonders bei Reklamations- und Eskalationsdetails |
+
+## E. Ergänzende Maßnahmen
+
+1. Supportzugriff nur nach Ticketfreigabe durch RheinMain-Admin.
+2. Monatlicher Export der Support-Access-Logs.
+3. Freitext-Hinweis im Ticketformular: keine Gesundheits-, HR- oder privaten Daten eintragen.
+4. ReplyPilot-Freigabe nur für Ticketkategorien `Standard`, `Ersatzteil`, `Lieferstatus`; Sperre für `Beschwerde Geschäftsführung`, `Personal`, `Rechtsfall`.
+5. EU-Key-Option für besonders schutzbedürftige Kundengruppen prüfen.
+6. Subprozessoränderungen mit 30 Tagen Vorlauf und Widerspruchsprozess.
+7. Halbjährliche DPF- und Subprozessorprüfung.
+
+## F. Restrestrisiko
+
+Das Restrestrisiko ist für den Kernbetrieb CRM/Support **vertretbar mit Auflagen**. Für ReplyPilot und TicketForge besteht bis zur Vertrags- und Scope-Klärung ein **nicht ausreichend dokumentierter Transfer**. Diese Komponenten sind nicht sofort abzuschalten, aber für Freitexte mit erhöhtem Schutzbedarf zu sperren und vertraglich nachzuziehen.
+
+## G. Entscheidung
+
+**Entscheidungsvorschlag:** Fortführung CloudSuite Assist Kernbetrieb mit DPF/SCC-Dokumentation und Maßnahmenplan. ReplyPilot eingeschränkt fortführen; keine sensiblen Freitexttickets an ReplyPilot. TicketForge-Zugriff bis zur Klärung deaktivieren.
+
+Entscheidungsträger: Geschäftsführung, DSB, IT Security Lead.
+Review: 30.06.2026 und danach halbjährlich.
@@ -0,0 +1,48 @@
+# TOMs und ergänzende Maßnahmen
+
+Stand: 20.05.2026
+
+## 1. Zugriff und Freigabe
+
+Supportzugriffe aus den USA dürfen nur nach Freigabe eines RheinMain-Administrators erfolgen. Die Freigabe ist ticketbezogen, zeitlich befristet und muss den Zweck enthalten. CloudSuite protokolliert Nutzerkennung, Zeit, Ticket-ID, Zugriffsdauer und ausgeführte Admin-Aktionen.
+
+## 2. Verschlüsselung
+
+| Bereich | Stand | Bewertung |
+|---|---|---|
+| Transport | TLS 1.3 | Ausreichend |
+| Datenbank | AES-256 | Ausreichend |
+| Backups | AES-256, getrennte Backup-Schlüssel | Ausreichend |
+| ReplyPilot-Payload | Anbieter-KMS, keine Kundenschlüssel | Für sensible Freitexte unzureichend |
+| Exportdateien | SFTP oder verschlüsselter Downloadlink | Nur mit Ablaufdatum und MFA |
+
+## 3. Key Management
+
+CloudSuite nutzt standardmäßig Anbieter-KMS. RheinMain prüft die kostenpflichtige EU-Key-Option. Bis zur Entscheidung werden Ticketkategorien mit erhöhtem Schutzbedarf von ReplyPilot ausgeschlossen. Für Supportexporte wird ein RheinMain-PGP-Schlüssel eingesetzt.
+
+## 4. Datenminimierung
+
+- ReplyPilot erhält nur den letzten relevanten Ticketauszug, nicht die vollständige Historie.
+- Maschinenseriennummern werden für Telemetrie gehasht.
+- IP-Adressen werden nach 24 Stunden gekürzt.
+- Anhänge werden nicht an ReplyPilot übertragen.
+
+## 5. Organisatorische Maßnahmen
+
+- Schulung Supportteam am 22.05.2026: keine privaten, gesundheitlichen oder HR-bezogenen Angaben in CloudSuite erfassen.
+- Ticketkategorie `Rechtsfall` nur noch mit manueller Bearbeitung ohne KI-Vorschlag.
+- Monatliche Stichprobe von 50 Tickets auf Freitextabweichungen.
+- Subprozessor-Änderungen gehen an Legal, DSB und IT Security.
+
+## 6. Behördenzugriff
+
+CloudSuite verpflichtet sich laut Security Addendum, Behördenanfragen zu prüfen, anzufechten, soweit rechtlich zulässig, und RheinMain zu informieren, soweit kein Verbot besteht. Ein Jahresbericht 2025 liegt als Summary vor. RheinMain fordert für 2026 quartalsweise Aktualisierung oder Negativbestätigung.
+
+## 7. Offene TOM-Punkte
+
+| Punkt | Risiko | Termin |
+|---|---|---|
+| EU-Key-Option technisch und preislich klären | Mittel | 15.06.2026 |
+| ReplyPilot-Payload-Maskierung testen | Hoch | 31.05.2026 |
+| TicketForge Zugriff deaktiviert bestätigen | Hoch | 24.05.2026 |
+| Audit-Log-Export automatisieren | Mittel | 30.06.2026 |
@@ -0,0 +1,7 @@
+Name,Rolle,Land,Datenarten,Zweck,Transferinstrument,Status,Naechste Aktion
+CloudSuite Assist Inc.,Technischer Plattformbetreiber/Importer,USA,CRM-Kontakte Supporttickets Telemetrie,Support und Plattformbetrieb,DPF behauptet plus SCC Modul 2,Gelb,DPF-Scope und Produktabdeckung archivieren
+CloudSuite Ireland Ltd.,Vertragspartner/EU Processor,Irland,CRM-Kontakte Supporttickets,Vertragsverwaltung und EU-Betrieb,Kein Drittlandtransfer,Gruen,DPA-Rollenbeschreibung anpassen
+MainRack GmbH,Hosting-Subprozessor,Deutschland,Produktive Datenbank und Logs,Hosting Frankfurt,Kein Drittlandtransfer,Gruen,ISO-Nachweis 2026 ablegen
+NorthPeak Analytics LLC,KI-Subprozessor ReplyPilot,USA,Ticketauszuege bis 2000 Zeichen,Antwortvorschlaege,SCC-Kette unvollstaendig,Rot,SCC/TIA Nachtrag und Freitextsperre
+TicketForge LLC,Notfall-Wartung,USA,Fehlerlogs und Ticket-ID,Incident Support,Nachweis offen,Rot,Zugriff deaktivieren bis Rollenklärung
+TrustLine Dispute Resolution Services,Streitbeilegung,USA,Beschwerdedaten nur im Streitfall,DPF-Beschwerdemechanismus,DPF-spezifisch,Gelb,Kontakt und Prozess in Datenschutzhinweis aufnehmen
@@ -0,0 +1,43 @@
+# Antwortentwurf an die Datenschutzaufsicht
+
+**Fiktiver Entwurf zur Testakte**
+
+RheinMain Präzisionstechnik GmbH
+Hanauer Landstraße 188
+60314 Frankfurt am Main
+
+An den Hessischen Beauftragten für Datenschutz und Informationsfreiheit
+Referat Wirtschaft, Beschäftigtendatenschutz und internationale Datentransfers
+
+Frankfurt am Main, 28.05.2026
+
+## Ihr Auskunftsersuchen vom 12.05.2026, Az. HBDI-4.2-DS-2026-0512-PTG
+
+Sehr geehrte Damen und Herren,
+
+wir nehmen zu Ihrem Auskunftsersuchen fristgerecht Stellung und legen die in der Anlage bezeichnete Dokumentation vor.
+
+Die RheinMain Präzisionstechnik GmbH nutzt CloudSuite Assist zur Bearbeitung von B2B-Kundenkontakten, Supporttickets und Ersatzteilvorgängen. Verantwortlicher ist die RheinMain Präzisionstechnik GmbH. Vertragspartner ist CloudSuite Ireland Ltd.; technische Plattformbetreiberin und US-Importeurin ist CloudSuite Assist Inc. Es kommt zu einem Drittlandbezug durch anlassbezogene Supportzugriffe aus den USA, Telemetrieverarbeitung in den USA und das Zusatzmodul ReplyPilot.
+
+Eine frühere Berufung auf Safe Harbor oder EU-US Privacy Shield erfolgt nicht. Die interne Formulierung eines Mitarbeiters, der Anbieter sei "Privacy Shield zertifiziert", war ungenau und ist korrigiert worden.
+
+Für die CloudSuite Assist Inc. haben wir den EU-US Data Privacy Framework-Status zum Stand 17.05.2026 dokumentiert. Die Dokumentation ergibt eine aktive Zertifizierung für CRM-, Support- und Service-Telemetriedaten. Da der konkrete Produktzuschnitt ReplyPilot sowie einzelne Unterauftragsverarbeiter nicht vollständig aus dem DPF-Scope hervorgehen, stützen wir die Verarbeitung nicht pauschal allein auf DPF, sondern dokumentieren ergänzend die Standardvertragsklauseln 2021/914, Modul 2, sowie ein Transfer Impact Assessment.
+
+Für das Zusatzmodul ReplyPilot und den Unterauftragsverarbeiter NorthPeak Analytics LLC haben wir eine Einschränkung beschlossen: Tickets mit erhöhtem Schutzbedarf, Rechtsfallbezug, Personalbezug oder sensiblen Freitextangaben werden nicht an ReplyPilot übermittelt. Der Zugriff des Subprozessors TicketForge LLC ist bis zur Rollenklärung deaktiviert.
+
+Als Anlagen übersenden wir:
+
+1. Transferregister- und VVT-Auszug CloudSuite Assist.
+2. DPF-Prüfvermerk mit Scope-Bewertung.
+3. SCC-Modul-2-Arbeitsfassung mit Annex-I-III-Übersicht.
+4. Transfer Impact Assessment vom 20.05.2026.
+5. TOM- und Supplementary-Measures-Vermerk.
+6. Subprozessorenübersicht.
+7. Maßnahmen- und Reviewplan.
+
+Offen sind derzeit noch die Anbieterbestätigung zum ReplyPilot-Scope, die vollständige Rollenbeschreibung von TicketForge LLC und die technische Bewertung einer EU-Key-Option. Wir haben hierzu verbindliche Fristen gesetzt und werden die Nachweise nachreichen.
+
+Mit freundlichen Grüßen
+
+RheinMain Präzisionstechnik GmbH
+Geschäftsführung / Datenschutzkoordination
@@ -0,0 +1,29 @@
+# Maßnahmenplan und Review-Kalender
+
+Stand: 21.05.2026
+
+| Nr. | Maßnahme | Verantwortlich | Frist | Status |
+|---|---|---|---|---|
+| 1 | Offiziellen DPF-Abruf als PDF/Screenshot archivieren | Legal Operations | 24.05.2026 | offen |
+| 2 | CloudSuite-Bestätigung zum ReplyPilot-DPF-Scope anfordern | Einkauf | 24.05.2026 | angefragt |
+| 3 | TicketForge-Zugriff technisch deaktivieren lassen | IT Security | 24.05.2026 | in Umsetzung |
+| 4 | SCC Annex II mit konkretem Key Management nachschärfen | Datenschutzteam | 31.05.2026 | offen |
+| 5 | ReplyPilot-Freitextsperre für sensible Kategorien konfigurieren | Customer Service Ops | 31.05.2026 | offen |
+| 6 | Datenschutzinformation B2B-Kontakte aktualisieren | Legal | 07.06.2026 | offen |
+| 7 | VVT und Subprozessorenarchiv versionieren | Datenschutzteam | 07.06.2026 | offen |
+| 8 | EU-Key-Option wirtschaftlich und technisch bewerten | IT Security / Finance | 15.06.2026 | offen |
+| 9 | Monatliche Log-Stichprobe etablieren | IT Security | 30.06.2026 | geplant |
+| 10 | Halbjährlicher DPF-/SCC-/TIA-Review | DSB | 30.11.2026 | geplant |
+
+## Review-Trigger
+
+- Änderung des DPF-Status von CloudSuite Assist Inc.
+- Neuer oder geänderter US-Subprozessor.
+- Aktivierung weiterer KI-Funktionen.
+- Verarbeitung von Beschäftigtendaten oder besonderen Kategorien.
+- Behördenhinweis, EDSA-Leitlinie, EuGH-Entscheidung oder nationale Aufsichtspraxis mit Bezug zu US-Transfers.
+- Sicherheitsvorfall oder behördliche Zugriffsmitteilung.
+
+## Interne Entscheidung
+
+Bis zum Abschluss der offenen Punkte bleibt CloudSuite Assist im Kernbetrieb freigegeben. ReplyPilot ist eingeschränkt. TicketForge bleibt gesperrt. Der DSB erhält am 30.06.2026 einen Fortschrittsbericht.
@@ -0,0 +1,31 @@
+# Testakte Datenschutz: US-Transfer CloudSuite Assist
+
+**Fiktive Testakte.** Alle Personen, Unternehmen, Aktenzeichen, Vertragsdaten und Dienste sind erfunden. Die Akte dient dazu, die Datenschutz-Skills zu US-Transfers, DPF-Listing, SCC, TIA und Behördenkommunikation realistisch zu testen.
+
+## Kurzsachverhalt
+
+Die RheinMain Präzisionstechnik GmbH aus Frankfurt am Main nutzt seit Januar 2025 die SaaS-Plattform **CloudSuite Assist** für CRM, Supporttickets und KI-gestützte Antwortvorschläge. Vertragspartner im Rahmenvertrag ist die CloudSuite Ireland Ltd.; technische Betreiberin und US-Importeurin ist nach DPA und Security-Anhang die CloudSuite Assist Inc., Delaware/San José. Die produktiven Kundendaten liegen laut Vertrag in Frankfurt und Dublin, aber der 2nd-Level-Support, Telemetrieauswertung, Abuse-Detection und einzelne KI-Logfragmente werden in den USA verarbeitet.
+
+Im Mai 2026 fragt die hessische Datenschutzaufsicht nach, auf welcher Grundlage die US-Transfers laufen. Der Einkauf hat bislang nur eine Anbieter-Mail "we are DPF certified" abgelegt. Die Rechtsabteilung findet außerdem SCC, aber nicht vollständig ausgefüllte Annex-II- und Annex-III-Anlagen. Die Testakte enthält bewusst kleine Reibungen: Konzernnamen weichen voneinander ab, der DPF-Scope ist unklar, HR-Daten dürfen eigentlich nicht in Tickets landen, und ein Subprozessor ist erst im April 2026 ergänzt worden.
+
+## Enthaltene Unterlagen
+
+| Datei | Inhalt |
+|---|---|
+| `01_behoerdenanfrage_hbdi_2026-05-12.md` | Fiktive Anfrage der hessischen Datenschutzaufsicht |
+| `02_anbieterprofil_cloudsuite_assist.md` | Anbieter-, Vertrags- und Datenflussprofil |
+| `03_dpf_pruefvermerk_listung_und_luecken.md` | Interner Vermerk zum behaupteten DPF-Listing |
+| `04_transferregister_vvt_auszug.md` | Auszug aus Transferregister und VVT |
+| `05_scc_modul_2_annex_i_bis_iii_arbeitsfassung.md` | Arbeitsfassung SCC-Modulwahl und Anlagen |
+| `06_tia_us_transfer_cloudsuite.md` | Transfer Impact Assessment |
+| `07_tom_verschluesselung_key_management.md` | TOMs und ergänzende Maßnahmen |
+| `08_subprocessor_map.csv` | Subprozessoren und Weiterübermittlungen |
+| `09_antwortentwurf_aufsichtsbehoerde.md` | Antwortentwurf an die Behörde |
+| `10_massnahmenplan_reviewkalender.md` | Maßnahmenplan und Wiedervorlage |
+
+## Vorführziele
+
+- Mit `us-transfer-tia-dokumentation` prüfen, ob DPF als alleinige Grundlage reicht.
+- Mit `standardvertragsklauseln-scc-paket` SCC-Modul 2 und Annex I-III nachziehen.
+- Mit `drittlandtransfer-behoerdenpaket-output` ein druckfähiges Behördenpaket erstellen.
+- Die Akte zeigt, warum "Anbieter sagt DPF" nicht genügt, wenn Rechtsträger, Produkt, Datenkategorien oder Subprozessoren nicht sauber belegt sind.
@@ -0,0 +1,59 @@
+# Systembeschreibung BewerberPilot TalentRank 2.4
+
+Hersteller/Anbieter: BewerberPilot Score GmbH, Köln
+Produkt: BewerberPilot TalentRank 2.4
+Stand: 13.05.2026
+Pilotkundin: Elbtal Klinikservice gGmbH, Dresden
+
+## 1. Zweckbestimmung
+
+BewerberPilot TalentRank unterstützt Recruitingteams bei der Sichtung eingehender Bewerbungen. Das System extrahiert aus Lebensläufen, Anschreiben und Zeugnissen strukturierte Merkmale, vergleicht diese mit Stellenanforderungen und erzeugt eine priorisierte Prüfliste. Es trifft nach Produktbeschreibung keine finale Einstellungsentscheidung und darf nicht ohne menschliche Prüfung zur Ablehnung verwendet werden.
+
+Bestimmungsgemäße Nutzung:
+
+- Sortierung eingehender Bewerbungen nach fachlicher Passung.
+- Hervorhebung fehlender Muss-Anforderungen.
+- Vorschlag von Interviewfragen.
+- Zusammenfassung von Qualifikationen für Recruitingteams.
+
+Nicht bestimmungsgemäße Nutzung:
+
+- Automatisierte Absage ohne menschliche Prüfung.
+- Bewertung von Krankheit, Schwangerschaft, Gewerkschaft, Religion, politischer Haltung oder Herkunft.
+- Einsatz für Beschäftigtenüberwachung.
+- Einsatz zur Leistungs- oder Verhaltensbewertung bestehender Mitarbeitender.
+
+## 2. Rollen
+
+| Akteur | Rolle nach KI-VO | Begründung |
+|---|---|---|
+| BewerberPilot Score GmbH | Anbieter | Entwickelt und bringt TalentRank unter eigenem Namen in Verkehr |
+| Elbtal Klinikservice gGmbH | Betreiber | Nutzt das System in eigener Recruitingorganisation |
+| LexiCore Systems Inc. | Komponentenlieferant/GPAI-Anbieter | Liefert allgemeines Sprachmodell für Textzusammenfassung |
+| MedData Hosting GmbH | Auftragsverarbeiter/Hosting | Betreibt EU-Hosting in Nürnberg |
+
+## 3. Architektur
+
+1. Upload von Bewerbungsunterlagen in EU-Hosting.
+2. Dokumentklassifikation und OCR.
+3. Extraktion von Qualifikationen, Berufserfahrung, Zertifikaten.
+4. Abgleich mit Stellenprofil.
+5. Score zwischen 0 und 100, zusätzlich Muss-Kriterium-Flag.
+6. Zusammenfassung und Interviewfragen durch GPAI-Komponente.
+7. Anzeige im Recruiter-Dashboard.
+8. Menschliche Entscheidung und Protokollierung.
+
+## 4. Daten
+
+- Lebenslauf, Anschreiben, Zeugnisse, Zertifikate.
+- Kontaktdaten.
+- Berufserfahrung, Ausbildung, Sprachkenntnisse.
+- Bewerbungsstatus.
+- Manuelle Recruiterkommentare.
+- Systemscore und Erklärmerkmale.
+
+Besondere Kategorien personenbezogener Daten sollen technisch nicht ausgewertet werden. Das System kann solche Angaben aber in Bewerbungsunterlagen erkennen; sie werden maskiert und nicht als positives oder negatives Bewertungskriterium verwendet.
+
+## 5. Freigabestand
+
+TalentRank 2.4 ist intern als Release Candidate freigegeben. Der Pilot bei Elbtal soll am 01.08.2026 beginnen. Die Anbieterin möchte vorher keine finale Konformitätsbehauptung abgeben, solange Lücken in Datenherkunft, Human-Oversight-Test und Lieferantennachweisen bestehen.
@@ -0,0 +1,42 @@
+# Art.-3- und Art.-6-Vermerk
+
+Produkt: BewerberPilot TalentRank 2.4
+Bearbeitung: Compliance Team, 14.05.2026
+
+## 1. Liegt ein KI-System vor?
+
+TalentRank ist ein maschinenbasiertes System, das aus Eingaben wie Lebenslauf, Stellenprofil und Bewerbungsunterlagen Ausgaben erzeugt, die den Recruitingprozess beeinflussen. Die Ausgaben sind Score, Rangfolge, Zusammenfassung und Interviewvorschläge.
+
+Die Inferenz erfolgt durch ML-Modelle zur Dokumentklassifikation und Merkmalsextraktion sowie durch ein Sprachmodell zur Zusammenfassung. Das System ist nicht nur eine starre Wenn-dann-Automation. Es verarbeitet unstrukturierte Texte und erzeugt probabilistische Ergebnisse.
+
+**Ergebnis:** KI-System im Sinne von Art. 3 Nr. 1 KI-VO liegt vor.
+
+## 2. Zweckbestimmung
+
+Zweckbestimmung ist die Unterstützung bei Bewerberauswahl und Priorisierung im Recruiting. Das System ist ausdrücklich nicht als allgemeiner Chatbot vermarktet, sondern als HR-Fachsystem für Bewerbungsmanagement.
+
+Die GPAI-Komponente LexiCore ist für sich nicht automatisch Hochrisiko. Die Einbettung in TalentRank ändert aber den Systemzweck: Die konkrete Anwendung betrifft Beschäftigung und Zugang zu Beschäftigung.
+
+## 3. Hochrisiko-Einstufung
+
+Die Anwendung fällt nach erster Prüfung unter Art. 6 Abs. 2 i.V.m. Anhang III Bereich Beschäftigung, Arbeitnehmermanagement und Zugang zur Selbstständigkeit. Das System wird zur Bewertung und Priorisierung von Bewerbungen eingesetzt.
+
+Die Rückausnahme nach Art. 6 Abs. 3 wird nicht in Anspruch genommen. Das System ist nicht nur eine eng begrenzte vorbereitende Hilfstätigkeit ohne Einfluss auf die Entscheidung. Score und Rangfolge können die Reihenfolge menschlicher Prüfung und faktisch die Auswahlchancen beeinflussen.
+
+**Ergebnis:** Hochrisiko-KI.
+
+## 4. Off-label-Risiko
+
+Obwohl automatisierte Absagen untersagt sind, besteht Missbrauchsrisiko:
+
+- Recruiter könnten nur Top-20-Bewerbungen ansehen.
+- Niedrige Scores könnten faktisch wie Ablehnungen wirken.
+- Manuelle Übersteuerung könnte nicht begründet werden.
+- Kundinnen könnten das System für Beschäftigtenbewertung zweckentfremden.
+
+Maßnahmen:
+
+- Nutzungsvertrag verbietet automatisierte Ablehnung.
+- UI zeigt Rangfolge nur mit Hinweis "Vorschlag, nicht Entscheidung".
+- System verlangt menschliche Prüfung vor Status "Ablehnung".
+- Monatliches Betreiberreporting über Nutzungsmuster.
@@ -0,0 +1,26 @@
+# Risikomanagementregister Art. 9 KI-VO
+
+Stand: 15.05.2026
+
+| Risiko-ID | Risiko | Betroffene | Schwere | Eintritt | Maßnahme | Status |
+|---|---|---|---|---|---|---|
+| R-01 | Diskriminierende Benachteiligung wegen unbalancierter Trainingsdaten | Bewerbende | Hoch | Mittel | Bias-Test nach Stellenfamilie, Geschlecht, Alterssurrogaten, Sprachmustern | Gelb |
+| R-02 | Automatisierte faktische Ablehnung durch Rangfolge | Bewerbende | Hoch | Mittel | UI-Sperre, Entscheidung erst nach menschlicher Prüfung, Auditlog | Grün/Gelb |
+| R-03 | Unzulässige Verarbeitung besonderer Kategorien | Bewerbende | Hoch | Niedrig/Mittel | Maskierung sensibler Angaben, Nichtverwendung im Score | Gelb |
+| R-04 | Halluzinierte Zusammenfassung durch GPAI-Komponente | Bewerbende, Recruiter | Mittel | Mittel | Quellenanker, Unsicherheitshinweis, menschliche Prüfung | Gelb |
+| R-05 | Fehlende Nachvollziehbarkeit des Scores | Bewerbende, Betreiber | Hoch | Mittel | Erklärmerkmale, Versionsprotokoll, technische Dokumentation | Gelb |
+| R-06 | Zweckentfremdung zur Beschäftigtenbewertung | Beschäftigte | Hoch | Niedrig | Vertragsverbot, technische Tenant-Konfiguration, Monitoring | Grün/Gelb |
+| R-07 | Cyberangriff auf Bewerbungsdaten | Bewerbende | Hoch | Niedrig | EU-Hosting, Verschlüsselung, MFA, Pen-Test | Grün |
+| R-08 | Unzureichende Betreiberanweisung | Betreiber, Bewerbende | Mittel | Mittel | Gebrauchsanweisung und Schulung vor Pilot | Gelb |
+
+## Bewertung
+
+Der Risikomanagementprozess ist eingerichtet, aber noch nicht vollständig geschlossen. Insbesondere R-01, R-03, R-04 und R-05 blockieren eine finale Konformitätsbescheinigung, solange Testberichte und Freigaben nicht vollständig vorliegen.
+
+## Review-Zyklus
+
+- Vor jedem Major Release.
+- Bei neuem Stellencluster.
+- Bei Änderung der GPAI-Komponente.
+- Bei Beschwerden oder auffälligen Ablehnungsquoten.
+- Mindestens quartalsweise im ersten Pilotjahr.
@@ -0,0 +1,41 @@
+# Daten-Governance und Bias-Test Art. 10 KI-VO
+
+Stand: 16.05.2026
+
+## 1. Datensätze
+
+| Datensatz | Quelle | Umfang | Zweck | Status |
+|---|---|---|---|---|
+| D-Train-2024-HR | Historische Bewerbungen aus drei Pilotkunden, bereinigt | 48.200 Profile | Merkmalsextraktion und Rankingkalibrierung | Dokumentation unvollständig |
+| D-Val-2025-General | Synthetisch angereicherte Lebensläufe | 12.000 Profile | Validierung | Plausibel |
+| D-Test-2026-Care | Pflege- und Klinikprofile | 4.800 Profile | Domänentest Elbtal | Neu, noch nicht final freigegeben |
+| D-Adverse-Set | Randfälle, Lücken, ungewöhnliche Lebensläufe | 1.200 Profile | Robustheit | In Aufbau |
+
+## 2. Qualitätsmaßnahmen
+
+- Duplikatprüfung.
+- Entfernung direkter Merkmale wie Foto, Geburtsdatum, Familienstand, Religionsangabe.
+- Maskierung sensibler Passagen.
+- Labelprüfung durch zwei unabhängige Reviewer.
+- Dokumentation von Datenherkunft und Einwilligungs-/Rechtsgrundlagenprüfung.
+
+## 3. Bias-Test
+
+Getestete Vergleichsgruppen sind nicht als Entscheidungsmerkmale im Modell enthalten. Sie werden nur für Fairnessanalyse und Qualitätskontrolle verwendet, soweit rechtlich zulässig und datenschutzrechtlich freigegeben.
+
+Vorläufige Ergebnisse:
+
+| Test | Ergebnis | Bewertung |
+|---|---|---|
+| Geschlechtsnahe Vornamen als Surrogat | Scoreabweichung 2,8 Prozentpunkte | Beobachten |
+| Nicht-lineare Karriereverläufe | Scoreabweichung 7,4 Prozentpunkte | Maßnahme erforderlich |
+| Sprachliche Nicht-Muttersprachlichkeit | Scoreabweichung 5,1 Prozentpunkte | Maßnahme erforderlich |
+| Pflegeauslandserfahrung | Scoreabweichung 3,2 Prozentpunkte | Beobachten |
+
+## 4. Offene Punkte
+
+Die Trainingsdatenherkunft 2024 ist nicht für alle Pilotkunden gleich gut dokumentiert. Für eine finale Konformitätsbehauptung müssen die Datenliefervereinbarungen, Lösch-/Pseudonymisierungsprotokolle und Reviewer-Guidelines nachgelegt werden.
+
+## 5. Entscheidung
+
+Art.-10-Nachweis ist **noch gelb**. Das System kann nicht final bescheinigt werden, bevor die zwei Bias-Maßnahmen umgesetzt und die Datenherkunft geschlossen sind.
@@ -0,0 +1,26 @@
+# Technische Dokumentation: Anhang-IV-Index
+
+Stand: 17.05.2026
+
+| Index | Dokument | Artikel/Anhang | Status | Fundstelle |
+|---|---|---|---|---|
+| TD-01 | Systembeschreibung und Zweckbestimmung | Anhang IV Nr. 1 | Grün | Produktakte Kapitel 1 |
+| TD-02 | Architekturdiagramm und Datenflüsse | Anhang IV Nr. 2 | Gelb | Architekturordner, Diagramm v0.9 |
+| TD-03 | Modellbeschreibung Merkmalsextraktion | Anhang IV Nr. 2 | Grün | Model Card Extractor v2.4 |
+| TD-04 | GPAI-Komponente LexiCore | Anhang IV / Lieferant | Gelb | Supplier Attestation 2026-05 |
+| TD-05 | Trainings-, Validierungs- und Testdaten | Art. 10, Anhang IV | Gelb/Rot | Data Governance Ordner |
+| TD-06 | Risikomanagementakte | Art. 9 | Gelb | Risk Register 2026-05 |
+| TD-07 | Human-Oversight-Konzept | Art. 14 | Gelb | Oversight SOP v0.8 |
+| TD-08 | Logging-Konzept | Art. 12 | Grün/Gelb | Logging Spec v1.1 |
+| TD-09 | Accuracy/Robustness/Cybersecurity | Art. 15 | Gelb | Test Report RC2 |
+| TD-10 | Gebrauchsanweisung Betreiber | Art. 13 | Gelb | User Manual Draft |
+| TD-11 | Konformitätsbewertung | Art. 43 | Gelb | Checklist 2026-05 |
+| TD-12 | Post-Market Monitoring | Art. 72 | Gelb | PMM Plan Draft |
+
+## Lieferantennachweis LexiCore
+
+LexiCore Systems Inc. liefert eine allgemeine Erklärung, dass das Modell nicht für finale HR-Entscheidungen bestimmt sei, keine Kundendaten zum Training verwende und technische Dokumentation auf Anfrage bereitstelle. Der Nachweis reicht für das Evidence-Pack noch nicht aus, weil Angaben zu Modellversion, Evaluationsgrenzen und Sicherheitsfiltern fehlen.
+
+## Dokumentationsentscheidung
+
+Der technische Dokumentationsstand ist für eine Readiness-Bescheinigung brauchbar, aber für eine finale Konformitätsbescheinigung noch nicht geschlossen.
@@ -0,0 +1,41 @@
+# Human Oversight und Logging
+
+Stand: 18.05.2026
+
+## 1. Menschliche Aufsicht
+
+TalentRank zeigt Recruitern Score, Ranggruppe, Muss-Kriterium-Flag und Erklärmerkmale an. Jede Ablehnung muss durch eine menschliche Person bestätigt werden. Das System erzwingt einen Prüfschritt:
+
+1. Bewerbung öffnen.
+2. Systemvorschlag anzeigen.
+3. Recruiter bestätigt, korrigiert oder verwirft Vorschlag.
+4. Bei Ablehnung muss mindestens ein menschlich geprüfter Grund gewählt oder frei begründet werden.
+5. System speichert Entscheidung, Zeitpunkt, Nutzerkennung und Abweichung vom KI-Vorschlag.
+
+## 2. UI-Hinweise
+
+Jede Rankingansicht enthält:
+
+- "Dieser Vorschlag ist keine Entscheidung."
+- "Prüfen Sie Muss-Kriterien und Kontext selbst."
+- "Niedrige Scores dürfen nicht automatisch zur Ablehnung führen."
+- "Sensible Angaben dürfen nicht berücksichtigt werden."
+
+## 3. Logging
+
+| Ereignis | Inhalt | Aufbewahrung |
+|---|---|---|
+| Upload | Bewerbungs-ID, Zeitpunkt, Nutzer, Stellenprofil | 24 Monate |
+| Scoring | Modellversion, Score, Erklärmerkmale, Datenversion | 24 Monate |
+| Ansicht | Recruiter-ID, Zeitpunkt, Bewerbungs-ID | 18 Monate |
+| Entscheidung | Status, menschliche Begründung, Abweichung vom Score | 24 Monate |
+| Override | Grund, Freigabe, Kommentar | 24 Monate |
+| Export | Empfänger, Zweck, Zeitpunkt | 24 Monate |
+
+## 4. Teststand
+
+Das Logging funktioniert im Release Candidate. Noch offen ist ein Praxistest mit 20 Recruitern, ob die Hinweise verstanden werden und ob niedrige Scores faktisch doch zu Nichtprüfung führen. Dieser Test ist für Juni 2026 geplant.
+
+## 5. Bewertung
+
+Art. 12 ist technisch weitgehend belegt. Art. 14 ist konzeptionell stark, aber ohne Nutzerakzeptanztest noch nicht final freigabereif.
@@ -0,0 +1,37 @@
+# Konformitätsbewertung Art. 43 Checkliste
+
+Produkt: BewerberPilot TalentRank 2.4
+Stand: 19.05.2026
+
+## 1. Bewertungsweg
+
+TalentRank ist als Hochrisiko-KI nach Art. 6 Abs. 2 i.V.m. Anhang III Bereich Beschäftigung/Recruiting eingestuft. Es handelt sich nicht um biometrische Fernidentifizierung und nicht um ein Sicherheitsbauteil eines Anhang-I-Produkts.
+
+Vorläufiger Pfad: interne Kontrolle mit vollständiger technischer Dokumentation, Risikomanagement, QMS-Elementen, EU-Konformitätserklärung, CE-/Registrierungsprüfung und Post-Market-Monitoring. Eine notifizierte Stelle ist nach aktueller Einschätzung nicht zwingend, muss aber erneut geprüft werden, sobald einschlägige harmonisierte Normen, gemeinsame Spezifikationen oder Behördenhinweise konkret vorliegen.
+
+## 2. Checkliste
+
+| Schritt | Nachweis | Status |
+|---|---|---|
+| Systemabgrenzung | Systembeschreibung TalentRank 2.4 | Grün |
+| KI-System-Einstufung | Art.-3-Vermerk | Grün |
+| Hochrisiko-Einstufung | Art.-6-/Anhang-III-Vermerk | Grün |
+| Risikomanagement | Risk Register | Gelb |
+| Daten-Governance | Datensatz- und Bias-Vermerk | Gelb/Rot |
+| Technische Dokumentation | Anhang-IV-Index | Gelb |
+| Logging | Logging Spec | Grün/Gelb |
+| Transparenz/Gebrauchsanweisung | User Manual Draft | Gelb |
+| Menschliche Aufsicht | Oversight SOP | Gelb |
+| Accuracy/Robustness/Cybersecurity | Test Report RC2 | Gelb |
+| QMS | ISO/IEC-42001-orientiertes QMS-Handbuch | Gelb |
+| EU-Konformitätserklärung | Entwurf | Gelb |
+| CE-/EU-Datenbank | Entscheidungsvorlage offen | Gelb |
+| Post-Market Monitoring | PMM Draft | Gelb |
+
+## 3. Standards
+
+BewerberPilot nutzt ISO/IEC 42001 und ISO/IEC 23894 als interne Strukturhilfen. Diese werden nicht als harmonisierte Normen mit automatischer Vermutungswirkung behandelt. Eine Vermutungswirkung wird erst angenommen, wenn eine einschlägige harmonisierte Norm im Amtsblatt der EU veröffentlicht und tatsächlich angewandt wurde.
+
+## 4. Ergebnis
+
+Eine finale Konformitätsbescheinigung ist noch nicht freigabefähig. Zulässig ist ein **Konformitätsvermerk (Entwurf)** mit klarer Lückenliste und eine **Readiness-Bescheinigung** für den kontrollierten Pilotbetrieb, wenn die offenen Punkte transparent ausgewiesen werden.
@@ -0,0 +1,51 @@
+# Konformitätsvermerk (Entwurf)
+
+**Nicht zur finalen Marktfreigabe bestimmt. Fiktives Muster für Testzwecke.**
+
+Anbieter: BewerberPilot Score GmbH, Köln
+System: BewerberPilot TalentRank 2.4
+Datum: 28.05.2026
+
+## 1. Gegenstand
+
+Die BewerberPilot Score GmbH bestätigt im Entwurf, dass für das KI-System BewerberPilot TalentRank 2.4 eine KI-VO-Konformitätsprüfung begonnen und strukturiert dokumentiert wurde. Das System unterstützt Recruitingteams bei der Sichtung und Priorisierung von Bewerbungen.
+
+## 2. Einstufung
+
+TalentRank 2.4 ist ein KI-System im Sinne von Art. 3 Nr. 1 der Verordnung (EU) 2024/1689. Aufgrund der Zweckbestimmung im Recruiting wird es als Hochrisiko-KI nach Art. 6 Abs. 2 i.V.m. Anhang III Beschäftigung/Arbeitnehmermanagement eingeordnet.
+
+## 3. Prüfstand
+
+| Bereich | Status |
+|---|---|
+| Art. 9 Risikomanagement | eingerichtet, mehrere Maßnahmen offen |
+| Art. 10 Daten-Governance | teilweise belegt, Trainingsdatenherkunft offen |
+| Art. 11/Anhang IV Technische Dokumentation | Index vorhanden, Inhalte teilweise Entwurf |
+| Art. 12 Logging | weitgehend umgesetzt |
+| Art. 13 Transparenz/Gebrauchsanweisung | Entwurf vorhanden |
+| Art. 14 Menschliche Aufsicht | Konzept vorhanden, Praxistest offen |
+| Art. 15 Genauigkeit/Robustheit/Cybersicherheit | RC2-Testbericht vorhanden, finale Freigabe offen |
+| Art. 43 Konformitätsbewertung | Bewertungsweg dokumentiert, Abschluss offen |
+
+## 4. Nicht bescheinigte Punkte
+
+Dieser Entwurf bestätigt noch nicht:
+
+- finale Erfüllung aller Anforderungen aus Art. 9-15 KI-VO,
+- Berechtigung zur CE-Kennzeichnung,
+- abgeschlossene EU-Datenbankregistrierung,
+- vollständige Lieferantennachweise zur GPAI-Komponente,
+- abschließende Bias-Freiheit,
+- Freigabe für automatisierte Ablehnungsentscheidungen.
+
+## 5. Vorläufige Freigabeempfehlung
+
+Ein kontrollierter Pilotbetrieb kann vorbereitet werden, wenn:
+
+1. automatisierte Ablehnungen technisch ausgeschlossen bleiben,
+2. Human-Oversight-Schulung abgeschlossen ist,
+3. Bias-Maßnahmen für nicht-lineare Karriereverläufe und Sprachmuster umgesetzt sind,
+4. LexiCore-Lieferantennachweise nachgereicht sind,
+5. Betreiberinnen schriftlich auf Nutzungsgrenzen verpflichtet werden.
+
+Unterschrift final erst nach Schließen der Lückenliste.
@@ -0,0 +1,48 @@
+# EU-Konformitätserklärung nach Art. 47 / Anhang V (Entwurf)
+
+**Fiktiver Entwurf. Nicht unterschreiben, bevor Evidence Index und Lückenliste geschlossen sind.**
+
+## 1. Anbieter
+
+BewerberPilot Score GmbH
+Riehler Straße 44
+50668 Köln
+Deutschland
+
+## 2. KI-System
+
+Produktname: BewerberPilot TalentRank
+Version: 2.4 Release Candidate
+Eindeutige Kennung: BP-TR-2.4-RC-2026-05
+Zweckbestimmung: Unterstützung menschlicher Recruitingteams bei Sichtung, Priorisierung und Zusammenfassung eingehender Bewerbungen.
+
+## 3. Verantwortlichkeit
+
+Diese EU-Konformitätserklärung wird in alleiniger Verantwortung der BewerberPilot Score GmbH ausgestellt.
+
+## 4. Erklärung
+
+Die BewerberPilot Score GmbH erklärt, dass das oben bezeichnete KI-System nach Abschluss der Konformitätsbewertung mit den einschlägigen Anforderungen der Verordnung (EU) 2024/1689 übereinstimmt.
+
+**Entwurfsvermerk:** Der Abschluss der Konformitätsbewertung ist noch nicht dokumentiert. Diese Erklärung darf daher derzeit nicht als finale Erklärung verwendet werden.
+
+## 5. Angewandte Normen und Spezifikationen
+
+- ISO/IEC 42001 als internes Managementsystem-Rahmenwerk.
+- ISO/IEC 23894 als Risikomanagement-Rahmenwerk.
+- Interne Testmethodik BP-QA-ML-11.
+
+Entwurfsvermerk: Es wird derzeit keine Vermutungswirkung aus harmonisierten Normen behauptet.
+
+## 6. Notifizierte Stelle
+
+Nach aktueller interner Einschätzung ist keine notifizierte Stelle eingebunden. Diese Einschätzung ist vor finaler Marktfreigabe erneut zu bestätigen.
+
+## 7. Unterzeichnung
+
+Köln, 28.05.2026
+Für die BewerberPilot Score GmbH
+Miriam Dornfeld, Geschäftsführerin
+Dr. Caspar Lintorf, Compliance Officer
+
+**Entwurfsstatus:** Dieses Dokument ist intern vorbereitet, aber wegen der offenen Lücken nicht unterschrifts- oder ausgabereif.
@@ -0,0 +1,30 @@
+# Lückenliste und Maßnahmenplan
+
+Stand: 20.05.2026
+
+| Nr. | Lücke | Pflichtbezug | Risiko | Maßnahme | Verantwortlich | Frist | Blockiert final? |
+|---|---|---|---|---|---|---|---|
+| 1 | Trainingsdatenherkunft 2024 unvollständig | Art. 10 | Diskriminierungs- und Nachweisrisiko | Datenliefervereinbarungen und Pseudonymisierungsprotokolle nachziehen | Data Governance | 14.06.2026 | Ja |
+| 2 | Bias bei nicht-linearen Karriereverläufen | Art. 10/15 | Benachteiligung bestimmter Bewerbungsprofile | Featuregewichtung testen, Review-Set erweitern | ML Lead | 21.06.2026 | Ja |
+| 3 | Sprachmuster-Bias | Art. 10/15 | Benachteiligung Nicht-Muttersprachler | Robustheitstest und Schwellenanpassung | ML Lead | 21.06.2026 | Ja |
+| 4 | LexiCore-Lieferantennachweis knapp | Lieferkette/GPAI | Unklare Modellgrenzen | Model Card, Sicherheitsbericht, No-Training-Nachweis anfordern | Vendor Management | 07.06.2026 | Ja |
+| 5 | Human-Oversight-Praxistest fehlt | Art. 14 | Faktische Automatisierung | 20-Recruiter-Test mit Verständnisfragen | Product Compliance | 30.06.2026 | Ja |
+| 6 | Gebrauchsanweisung nur Entwurf | Art. 13 | Fehlbedienung durch Betreiber | Kundenversion finalisieren | Documentation | 14.06.2026 | Ja |
+| 7 | EU-Datenbankentscheidung offen | Art. 49/71 | Registrierungsfehler | Rechtsprüfung und Entscheidungsvorlage | Legal | 30.06.2026 | Ja |
+| 8 | Post-Market Monitoring nur Entwurf | Art. 72 | Vorfälle werden nicht systematisch erkannt | PMM-Prozess verabschieden | Compliance | 21.06.2026 | Ja |
+| 9 | QMS nicht vollständig auditiert | Art. 17 | Prozessnachweis schwach | internes Audit nach ISO/IEC-42001-Struktur | Quality | 15.07.2026 | Ja |
+| 10 | Kundenschulung nicht terminiert | Betreiberpflichten/Art. 13/14 | Fehlgebrauch im Pilot | Schulung Elbtal durchführen | Customer Success | 20.07.2026 | Nein für Readiness, ja für Pilotstart |
+
+## Entscheidung
+
+Bis zum 30.06.2026 darf nur ein Readiness-Paket ausgegeben werden. Eine finale Konformitätsbescheinigung und eine unterschriebene EU-Konformitätserklärung sind erst nach Schließung der blockierenden Lücken zulässig.
+
+## Kommunikationsregel
+
+Vertrieb und Customer Success dürfen gegenüber Kunden sagen:
+
+"TalentRank 2.4 befindet sich im strukturierten KI-VO-Konformitätsprozess. Die Hochrisiko-Einstufung ist dokumentiert. Der Pilotbetrieb erfolgt kontrolliert und nur mit menschlicher Entscheidung."
+
+Sie dürfen nicht sagen:
+
+"Vollständig zertifiziert", "behördlich geprüft", "CE-konform" oder "diskriminierungsfrei garantiert".
@@ -0,0 +1,31 @@
+# Testakte KI-VO: BewerberPilot TalentRank
+
+**Fiktive Testakte.** Alle Unternehmen, Personen, Produktnamen, Zahlen und Dokumente sind erfunden. Die Akte dient dazu, den KI-VO-Prüfer bei Konformitätsbescheinigung, EU-Konformitätserklärung, Evidence Index und Lückenliste zu testen.
+
+## Kurzsachverhalt
+
+Die BewerberPilot Score GmbH aus Köln entwickelt das Produkt **BewerberPilot TalentRank 2.4**. Das System liest Bewerbungsunterlagen, extrahiert Qualifikationsmerkmale, erstellt eine Rangfolge und schlägt Recruitingteams vor, welche Bewerbungen zuerst geprüft werden sollen. Eine Kundin, die Elbtal Klinikservice gGmbH, möchte das System ab August 2026 für Pflege-, Verwaltungs- und IT-Stellen einsetzen.
+
+Die Anbieterin hat das System als Hochrisiko-KI nach Art. 6 Abs. 2 i.V.m. Anhang III Bereich Beschäftigung/Recruiting eingestuft. Sie will vor dem Pilotbetrieb ein druckreifes Konformitätspaket: interne Bescheinigung, Evidence Index, EU-Konformitätserklärung-Entwurf, Art.-43-Bewertung, Lückenliste und Kundenzusammenfassung. Es gibt echte Reibungspunkte: Die Trainingsdaten sind nicht vollständig dokumentiert, die Human-Oversight-Anweisung ist gut, aber noch nicht getestet, ein GPAI-Komponentenlieferant liefert nur eine kurze Compliance-Zusicherung, und die EU-Datenbank-Registrierungsentscheidung ist noch offen.
+
+## Enthaltene Unterlagen
+
+| Datei | Inhalt |
+|---|---|
+| `01_systembeschreibung_bewerberpilot.md` | Produkt, Zweckbestimmung, Rollen und Einsatzgrenzen |
+| `02_art_3_und_art_6_vermerk.md` | KI-System- und Hochrisiko-Einstufung |
+| `03_risikomanagement_art_9_register.md` | Risikoregister und Maßnahmen |
+| `04_daten_governance_bias_test_art_10.md` | Datensatz-, Bias- und Qualitätsvermerk |
+| `05_technische_dokumentation_anhang_iv_index.md` | Index zur technischen Dokumentation |
+| `06_human_oversight_logging_art_12_14.md` | Logging und menschliche Aufsicht |
+| `07_konformitaetsbewertung_art_43_checkliste.md` | Konformitätsbewertungspfad |
+| `08_konformitaetsbescheinigung_entwurf.md` | Interne Bescheinigung als Entwurf |
+| `09_eu_konformitaetserklaerung_anhang_v_entwurf.md` | EU-Konformitätserklärung als Entwurf |
+| `10_lueckenliste_massnahmenplan.md` | Maßnahmenplan bis Pilotfreigabe |
+
+## Vorführziele
+
+- Mit `output-konformitaetsbescheinigung-evidence-pack` ein druckreifes Paket erzeugen.
+- Prüfen, warum ein allgemeiner GPAI-Baustein nicht automatisch Hochrisiko ist, die Recruiting-Zweckbestimmung aber sehr wohl.
+- Sichtbar machen, welche Aussagen final unterschrieben werden dürfen und welche wegen Lücken nur als Entwurf gelten.
+- Die Akte zeigt die Grenze zwischen Compliance-Readiness und echter Konformitätsbehauptung.