Zum Hauptinhalt springen

Risikoregister (Medidentas)

Lebendes Register relevanter Risiken (Technik · Sicherheit · Datenschutz · Regulatorik) für die Zielmärkte DE · AT · CH und generell. Pflicht (CLAUDE.md §Compliance): zu Session-/PR-Beginn die relevanten Risiken sichten, neue eintragen, Status/Maßnahme pflegen; bei kritischen/regulatorisch relevanten Themen aktiv hinweisen + Optionen zeigen.

Skala: W = Wahrscheinlichkeit (1 niedrig · 2 mittel · 3 hoch) · A = Auswirkung (1 · 2 · 3) · Score = W×A (1–9; ≥6 = vorrangig). Status: offen · in Arbeit · gemindert · akzeptiert.

IDRisikoBereichWAScoreStatusMaßnahme / OwnerBezugLetzte Prüfung
RISK-1Klartext-PII in Logs/State/URLs (DSGVO/revDSG DE/AT/CH)Datenschutz236offenPII-Scrubbing im Logger-Wrapper; EU-/CH-Residenz; Datenminimierung (Kunde = Name + CRM-Link, S-1)OP-DSGVO-1, OP-OBS-1, G-52026-06-27
RISK-2E-Signatur rechtlich unzureichend (falsches eIDAS-Niveau für Dokumenttyp → Vertrag anfechtbar)Regulatorik236in ArbeitNiveau-Matrix gebaut (Slice 4): Vollmacht→QES, Vertrag→AES, Mandat→SES (domain/signatur-niveau.ts). Rest: Provider mit passender CSP/eIDAS-Zertifizierung je Niveau wählen (OP-SIGN-1)OP-SIGN-1, A-2, R42026-06-27
RISK-3Beratungsdokumentations-Pflicht nicht erfüllt (Versicherungs-/Finanzanlagen-/Immobiliardarlehensvermittlung)Regulatorik236offenBranche bestätigt (OP-DOMAIN-1 ✅); Pflichtfelder je Themenbereich aus §34d GewO/§61–62 VVG (IDD), §34f GewO/§18 FinVermV, §34i GewO ableiten; Audit-Log danach ausrichtenOP-DOMAIN-1, R6, G-42026-01-20
RISK-4Auftragsverarbeitung Dritter ohne AVV (NextCloud-Hosting, DocuSign/PandaDoc)Datenschutz/Vertrag236offenAV-Verträge schließen; Datenresidenz prüfen (US-Transfer bei DocuSign → SCC/Adequacy)OP-DSGVO-1, A-1, A-22026-06-27
RISK-5Audit-Log lückenhaft / manipulierbar → Rechtssicherheit verlorenDaten/Audit133gemindertAppend-only D1-Store + SHA-256-Hash-Verkettung + verify (Slice 6) erkennt Änderung/Löschung; quer verdrahtet (PII-arm). Rest: Cold-Storage-Archiv + Concurrency-Härtung der globalen Kette (OP-AUDIT-1)OP-AUDIT-1, G-4, R82026-06-27
RISK-6Externer Dienst nicht erreichbar (NextCloud/Signatur) → Status driftet, Vorgang hängtVerfügbarkeit224in ArbeitIdempotente Reconciliation gebaut: Dokument-/Signatur-Abgleich (Slices 2/4) + Wiedervorlage-Erinnerungen Cron-idempotent (erinnert_am, Slice 3). Rest: Webhooks statt Polling, Retry/QueueR9, A-5, R52026-06-27
RISK-7Aufbewahrungsfristen verletzt (zu früh gelöscht / zu lange gehalten)Regulatorik224offenRetention-/Löschkonzept je Dokumenttyp (GoBD/§147 AO + branchenspezifisch)OP-DSGVO-1, OP-AUDIT-12026-06-27
RISK-8Secret-Leak (NextCloud-App-Passwort · Signatur-API-Key · CRM-Token)Secrets/CI133gemindertKeine Secrets im Repo (GitHub-/Env-Secrets), least-privilege, Rotation/Ablauf; Cloudflare Access vor dem Worker (Slice 7) schützt die API; Audit-Actor = echte Identität (nicht mehr system-Platzhalter)OP-AUTH-1, R72026-06-27
RISK-9Supply-Chain / verwundbare DependenciesSicherheit224offen (App-Phase)SBOM + Dependency-Audit + Dependabot + gepinnte Actions — sobald Anwendungscode existiert2026-06-27
RISK-10Cross-Mandanten-Zugriff (falls Mehr-Mandanten-Betrieb); auch Cross-Tool-Zugriff (Spezial-Tools)Multi-Tenancy236in ArbeitAuthn + Rollen-RBAC gebaut (Slice 7): Access-Identität je Request, admin-gegate Verwaltung. Rest: RBAC je Mandant (feingranulare Sichtbarkeit) noch offen; Tenant- und Tool-Isolation (eigener Persistenz-Namespace je Tool, R10); vor Mehr-Mandanten-Betrieb PentestOP-AUTH-1, OP-EXT-12026-06-27
RISK-11Behandler-Leistungskontrolle (Dexman: Umsatz/Leistung je Behandler) ohne Mitbestimmung/Rechtsgrundlage → BetrVG-/Beschäftigtendatenschutz-VerstoßRegulatorik/Personal236offenBehandler-Vergleiche rollen-gegated; § 87 Abs. 1 Nr. 6 BetrVG (Betriebsrat) + § 26 BDSG beachten; Zweckbindung, Transparenz, NormalisierungOP-DEX-4, R72026-06-27
RISK-12Gesundheits-/Sozialdaten (DSGVO Art. 9) im Dexman-Datenfluss aus PVS → besondere Kategorien, SchweigepflichtDatenschutz236offenDatenminimierung/Aggregation, AV-Verträge mit PVS/Bank/Buchhaltung, EU-/CH-Residenz, Pseudonymisierung wo möglichOP-DSGVO-1, OP-DEX-12026-06-27
RISK-13Falsche Controlling-Stammdaten (Sätze/Benchmarks/Kostenzuordnung) → irreführende Margen/PrognosenDaten/Steuerung224offenSprechende, editierbare Stammdaten; Plausibilisierung; Daten-Lineage (Kennzahl→Quelle)DEX-1, DEX-22026-06-27
RISK-14KI-generierte Beratungsdoku fehlerhaft/unvollständig → Falschberatung/Haftung; KI-„Rechtssicherheits-Check" wird als Freigabe missverstandenRegulatorik/Haftung236in ArbeitUmgesetzt (Slice 5): pruefstatus trennt ki_geprüft (Assistenz) von freigegeben (Mensch); Prüf-Hinweis nennt Haftungsgrenze explizit; Inhaltsänderung setzt Prüfstand zurück. Rest: echtes Medidentas-GPT-Briefing versionieren (OP-AI-1)OP-AI-1, R62026-06-27
RISK-15PII in US-/Cloud-KI-Diensten (Whisper/ChatGPT/Grammarly/Plaud/Krisp/Notion-AI) ohne AVV/EU-Residenz → DSGVO-Verstoß; Gesundheits-/Finanzdaten (Art. 9)Datenschutz339offenNur Dienste mit AVV + EU-Residenz; keine Vollaufnahme (nur Zusammenfassung); Einwilligungs-/Hinweis-Flow; Datenminimierung, Roh-Audio nicht persistierenOP-MEET-1, OP-AI-1, OP-DSGVO-1, G-52026-01-20
RISK-16NextCloud-Auth via App-Passwort (Basic Auth, Slice 2) statt OAuth2 → keine Rotation/Ablauf, breiter Scope; Secret-Leak voller Datei-ZugriffSicherheit224offen (akzeptiert für MVP)Secret nur via wrangler secret/.dev.vars (nie im Repo, RISK-8); least-privilege-Nutzer/Group-Folder; OAuth2 als Produktiv-Verfeinerung (OP-DOC-1 Rest)OP-DOC-1, A-1, R92026-06-27
RISK-18Einwilligung rechtlich unzureichend dokumentiert (Self-Service-SES) → Einwilligung anfechtbar/nicht nachweisbarRegulatorik/Datenschutz236in ArbeitSES gebaut (Slice 9): Ankreuzen + Name + Absenden, append-only auditiert (G-4, Inhalts-Hash) + Einwilligungs-Fassung als Dokument (R3). Rest: Einwilligungstext juristisch prüfen, Widerrufs-/Auskunftsprozess (Art. 7/15 DSGVO), Versionierung der Textfassung.OP-ONBOARD-1, OP-DSGVO-1, R2/R42026-06-28
RISK-19Öffentlicher Onboarding-Endpunkt (außerhalb Cloudflare Access) → Bot-/Spam-/Enumeration-Fläche, PII-Einreichung durch UnbefugteSicherheit224in ArbeitToken-gebunden + Ablauf + Einmal-Einreichung (Slice 9); Turnstile vorgesehen (optional, TURNSTILE_*). Rest: Access-Bypass nur für /onboarding*+/oeffentlich* (nicht weiter), Turnstile produktiv aktivieren, Rate-Limiting.OP-ONBOARD-1, OP-AUTH-12026-06-28
RISK-17Datenresidenz außerhalb der EU beim Deploy (D1-Region · Cloudflare-Metadaten/Logs · NextCloud-Hosting · Signatur-Provider) → DSGVO/revDSG-Verstoß. EU-Residenz ist Pflicht (Nutzer-Vorgabe 28.06.).Datenschutz236offenD1 mit --location weur (EU), NextCloud EU-gehostet (A-1), Cloudflare Data Localization Suite (Regional Services + EU Metadata Boundary), Signatur-Provider mit EU-Residenz/AVV (OP-SIGN-1); keine US-Sub-Prozessoren ohne SCC (RISK-4/15). Vor Go-live verbindlich prüfen.OP-DEPLOY-1, OP-DSGVO-1, G-52026-06-28
RISK-20Vorformulierte Kunden-Pauschalbestätigung (R6-F20: „alles verstanden / über alles aufgeklärt / Hinweise selbst gegeben / exakt empfohlenes Produkt / zufrieden") → begrenzter Beweiswert (BGH), Gefahr unwirksamer/überraschender Klauseln und faktischer Umkehr der Dokumentationslast; ersetzt die konkrete Beratungsdoku nichtRegulatorik/Haftung236offenF20 nur als Ergänzung zur konkreten, individuellen Beratungsdoku (F06/F11–F18) führen — nicht als Ersatz; Formulierung juristisch prüfen; append-only auditieren (G-4).OP-BERATDOK-1, RISK-14, R62026-06-28

Review-Rhythmus

  • Je Session/PR: betroffene Risiken sichten; neue Risiken aus dem Change eintragen; Score/Status aktualisieren.
  • Vorrangig behandeln: Score ≥ 6. Bei neuen kritischen/regulatorischen Themen für DE/AT/CH sofort flaggen + Optionen aufzeigen (CLAUDE.md §Compliance) und hier eintragen.
  • Verknüpfung: Maßnahmen hängen an den OPs in HANDOFF.md §4 / Lastenheft §11; dieses Register bündelt die Risiko-Sicht.