Risikoregister (Medidentas)
Lebendes Register relevanter Risiken (Technik · Sicherheit · Datenschutz · Regulatorik) für die Zielmärkte DE · AT · CH und generell. Pflicht (CLAUDE.md §Compliance): zu Session-/PR-Beginn die relevanten Risiken sichten, neue eintragen, Status/Maßnahme pflegen; bei kritischen/regulatorisch relevanten Themen aktiv hinweisen + Optionen zeigen.
Skala: W = Wahrscheinlichkeit (1 niedrig · 2 mittel · 3 hoch) · A = Auswirkung (1 · 2 · 3) · Score = W×A (1–9; ≥6 = vorrangig). Status: offen · in Arbeit · gemindert · akzeptiert.
| ID | Risiko | Bereich | W | A | Score | Status | Maßnahme / Owner | Bezug | Letzte Prüfung |
|---|---|---|---|---|---|---|---|---|---|
| RISK-1 | Klartext-PII in Logs/State/URLs (DSGVO/revDSG DE/AT/CH) | Datenschutz | 2 | 3 | 6 | offen | PII-Scrubbing im Logger-Wrapper; EU-/CH-Residenz; Datenminimierung (Kunde = Name + CRM-Link, S-1) | OP-DSGVO-1, OP-OBS-1, G-5 | 2026-06-27 |
| RISK-2 | E-Signatur rechtlich unzureichend (falsches eIDAS-Niveau für Dokumenttyp → Vertrag anfechtbar) | Regulatorik | 2 | 3 | 6 | in Arbeit | Niveau-Matrix gebaut (Slice 4): Vollmacht→QES, Vertrag→AES, Mandat→SES (domain/signatur-niveau.ts). Rest: Provider mit passender CSP/eIDAS-Zertifizierung je Niveau wählen (OP-SIGN-1) | OP-SIGN-1, A-2, R4 | 2026-06-27 |
| RISK-3 | Beratungsdokumentations-Pflicht nicht erfüllt (Versicherungs-/Finanzanlagen-/Immobiliardarlehensvermittlung) | Regulatorik | 2 | 3 | 6 | offen | Branche bestätigt (OP-DOMAIN-1 ✅); Pflichtfelder je Themenbereich aus §34d GewO/§61–62 VVG (IDD), §34f GewO/§18 FinVermV, §34i GewO ableiten; Audit-Log danach ausrichten | OP-DOMAIN-1, R6, G-4 | 2026-01-20 |
| RISK-4 | Auftragsverarbeitung Dritter ohne AVV (NextCloud-Hosting, DocuSign/PandaDoc) | Datenschutz/Vertrag | 2 | 3 | 6 | offen | AV-Verträge schließen; Datenresidenz prüfen (US-Transfer bei DocuSign → SCC/Adequacy) | OP-DSGVO-1, A-1, A-2 | 2026-06-27 |
| RISK-5 | Audit-Log lückenhaft / manipulierbar → Rechtssicherheit verloren | Daten/Audit | 1 | 3 | 3 | gemindert | Append-only D1-Store + SHA-256-Hash-Verkettung + verify (Slice 6) erkennt Änderung/Löschung; quer verdrahtet (PII-arm). Rest: Cold-Storage-Archiv + Concurrency-Härtung der globalen Kette (OP-AUDIT-1) | OP-AUDIT-1, G-4, R8 | 2026-06-27 |
| RISK-6 | Externer Dienst nicht erreichbar (NextCloud/Signatur) → Status driftet, Vorgang hängt | Verfügbarkeit | 2 | 2 | 4 | in Arbeit | Idempotente Reconciliation gebaut: Dokument-/Signatur-Abgleich (Slices 2/4) + Wiedervorlage-Erinnerungen Cron-idempotent (erinnert_am, Slice 3). Rest: Webhooks statt Polling, Retry/Queue | R9, A-5, R5 | 2026-06-27 |
| RISK-7 | Aufbewahrungsfristen verletzt (zu früh gelöscht / zu lange gehalten) | Regulatorik | 2 | 2 | 4 | offen | Retention-/Löschkonzept je Dokumenttyp (GoBD/§147 AO + branchenspezifisch) | OP-DSGVO-1, OP-AUDIT-1 | 2026-06-27 |
| RISK-8 | Secret-Leak (NextCloud-App-Passwort · Signatur-API-Key · CRM-Token) | Secrets/CI | 1 | 3 | 3 | gemindert | Keine Secrets im Repo (GitHub-/Env-Secrets), least-privilege, Rotation/Ablauf; Cloudflare Access vor dem Worker (Slice 7) schützt die API; Audit-Actor = echte Identität (nicht mehr system-Platzhalter) | OP-AUTH-1, R7 | 2026-06-27 |
| RISK-9 | Supply-Chain / verwundbare Dependencies | Sicherheit | 2 | 2 | 4 | offen (App-Phase) | SBOM + Dependency-Audit + Dependabot + gepinnte Actions — sobald Anwendungscode existiert | — | 2026-06-27 |
| RISK-10 | Cross-Mandanten-Zugriff (falls Mehr-Mandanten-Betrieb); auch Cross-Tool-Zugriff (Spezial-Tools) | Multi-Tenancy | 2 | 3 | 6 | in Arbeit | Authn + Rollen-RBAC gebaut (Slice 7): Access-Identität je Request, admin-gegate Verwaltung. Rest: RBAC je Mandant (feingranulare Sichtbarkeit) noch offen; Tenant- und Tool-Isolation (eigener Persistenz-Namespace je Tool, R10); vor Mehr-Mandanten-Betrieb Pentest | OP-AUTH-1, OP-EXT-1 | 2026-06-27 |
| RISK-11 | Behandler-Leistungskontrolle (Dexman: Umsatz/Leistung je Behandler) ohne Mitbestimmung/Rechtsgrundlage → BetrVG-/Beschäftigtendatenschutz-Verstoß | Regulatorik/Personal | 2 | 3 | 6 | offen | Behandler-Vergleiche rollen-gegated; § 87 Abs. 1 Nr. 6 BetrVG (Betriebsrat) + § 26 BDSG beachten; Zweckbindung, Transparenz, Normalisierung | OP-DEX-4, R7 | 2026-06-27 |
| RISK-12 | Gesundheits-/Sozialdaten (DSGVO Art. 9) im Dexman-Datenfluss aus PVS → besondere Kategorien, Schweigepflicht | Datenschutz | 2 | 3 | 6 | offen | Datenminimierung/Aggregation, AV-Verträge mit PVS/Bank/Buchhaltung, EU-/CH-Residenz, Pseudonymisierung wo möglich | OP-DSGVO-1, OP-DEX-1 | 2026-06-27 |
| RISK-13 | Falsche Controlling-Stammdaten (Sätze/Benchmarks/Kostenzuordnung) → irreführende Margen/Prognosen | Daten/Steuerung | 2 | 2 | 4 | offen | Sprechende, editierbare Stammdaten; Plausibilisierung; Daten-Lineage (Kennzahl→Quelle) | DEX-1, DEX-2 | 2026-06-27 |
| RISK-14 | KI-generierte Beratungsdoku fehlerhaft/unvollständig → Falschberatung/Haftung; KI-„Rechtssicherheits-Check" wird als Freigabe missverstanden | Regulatorik/Haftung | 2 | 3 | 6 | in Arbeit | Umgesetzt (Slice 5): pruefstatus trennt ki_geprüft (Assistenz) von freigegeben (Mensch); Prüf-Hinweis nennt Haftungsgrenze explizit; Inhaltsänderung setzt Prüfstand zurück. Rest: echtes Medidentas-GPT-Briefing versionieren (OP-AI-1) | OP-AI-1, R6 | 2026-06-27 |
| RISK-15 | PII in US-/Cloud-KI-Diensten (Whisper/ChatGPT/Grammarly/Plaud/Krisp/Notion-AI) ohne AVV/EU-Residenz → DSGVO-Verstoß; Gesundheits-/Finanzdaten (Art. 9) | Datenschutz | 3 | 3 | 9 | offen | Nur Dienste mit AVV + EU-Residenz; keine Vollaufnahme (nur Zusammenfassung); Einwilligungs-/Hinweis-Flow; Datenminimierung, Roh-Audio nicht persistieren | OP-MEET-1, OP-AI-1, OP-DSGVO-1, G-5 | 2026-01-20 |
| RISK-16 | NextCloud-Auth via App-Passwort (Basic Auth, Slice 2) statt OAuth2 → keine Rotation/Ablauf, breiter Scope; Secret-Leak voller Datei-Zugriff | Sicherheit | 2 | 2 | 4 | offen (akzeptiert für MVP) | Secret nur via wrangler secret/.dev.vars (nie im Repo, RISK-8); least-privilege-Nutzer/Group-Folder; OAuth2 als Produktiv-Verfeinerung (OP-DOC-1 Rest) | OP-DOC-1, A-1, R9 | 2026-06-27 |
| RISK-18 | Einwilligung rechtlich unzureichend dokumentiert (Self-Service-SES) → Einwilligung anfechtbar/nicht nachweisbar | Regulatorik/Datenschutz | 2 | 3 | 6 | in Arbeit | SES gebaut (Slice 9): Ankreuzen + Name + Absenden, append-only auditiert (G-4, Inhalts-Hash) + Einwilligungs-Fassung als Dokument (R3). Rest: Einwilligungstext juristisch prüfen, Widerrufs-/Auskunftsprozess (Art. 7/15 DSGVO), Versionierung der Textfassung. | OP-ONBOARD-1, OP-DSGVO-1, R2/R4 | 2026-06-28 |
| RISK-19 | Öffentlicher Onboarding-Endpunkt (außerhalb Cloudflare Access) → Bot-/Spam-/Enumeration-Fläche, PII-Einreichung durch Unbefugte | Sicherheit | 2 | 2 | 4 | in Arbeit | Token-gebunden + Ablauf + Einmal-Einreichung (Slice 9); Turnstile vorgesehen (optional, TURNSTILE_*). Rest: Access-Bypass nur für /onboarding*+/oeffentlich* (nicht weiter), Turnstile produktiv aktivieren, Rate-Limiting. | OP-ONBOARD-1, OP-AUTH-1 | 2026-06-28 |
| RISK-17 | Datenresidenz außerhalb der EU beim Deploy (D1-Region · Cloudflare-Metadaten/Logs · NextCloud-Hosting · Signatur-Provider) → DSGVO/revDSG-Verstoß. EU-Residenz ist Pflicht (Nutzer-Vorgabe 28.06.). | Datenschutz | 2 | 3 | 6 | offen | D1 mit --location weur (EU), NextCloud EU-gehostet (A-1), Cloudflare Data Localization Suite (Regional Services + EU Metadata Boundary), Signatur-Provider mit EU-Residenz/AVV (OP-SIGN-1); keine US-Sub-Prozessoren ohne SCC (RISK-4/15). Vor Go-live verbindlich prüfen. | OP-DEPLOY-1, OP-DSGVO-1, G-5 | 2026-06-28 |
| RISK-20 | Vorformulierte Kunden-Pauschalbestätigung (R6-F20: „alles verstanden / über alles aufgeklärt / Hinweise selbst gegeben / exakt empfohlenes Produkt / zufrieden") → begrenzter Beweiswert (BGH), Gefahr unwirksamer/überraschender Klauseln und faktischer Umkehr der Dokumentationslast; ersetzt die konkrete Beratungsdoku nicht | Regulatorik/Haftung | 2 | 3 | 6 | offen | F20 nur als Ergänzung zur konkreten, individuellen Beratungsdoku (F06/F11–F18) führen — nicht als Ersatz; Formulierung juristisch prüfen; append-only auditieren (G-4). | OP-BERATDOK-1, RISK-14, R6 | 2026-06-28 |
Review-Rhythmus
- Je Session/PR: betroffene Risiken sichten; neue Risiken aus dem Change eintragen; Score/Status aktualisieren.
- Vorrangig behandeln: Score ≥ 6. Bei neuen kritischen/regulatorischen Themen für DE/AT/CH sofort flaggen + Optionen aufzeigen (CLAUDE.md §Compliance) und hier eintragen.
- Verknüpfung: Maßnahmen hängen an den OPs in
HANDOFF.md§4 / Lastenheft §11; dieses Register bündelt die Risiko-Sicht.