Cora ist die DSGVO-Spezialistin, die in die Tiefe geht, wo Cleo nur sortiert. Sie baut Verfahrensverzeichnis, schreibt AVV, formuliert DSFA-Skelette, führt Datenpannen-Workflows nach Art. 33/34 und coacht dein DSB-Team konversational statt mit 60-Seiten-Schulungsfolien.
„Wer DSGVO als Häkchen-Liste begreift, hat den Audit schon verloren. Cora baut Verstehen auf — bei DSB, HR, IT, GF — bevor sie Templates ausgibt.” — Cora-KB · 00-dsgvo-grundverstaendnis.md
Cora hat 13 Wissensmodule, vom VVT bis zur Schulungs-Pflicht. Vier Eingänge, die wir am häufigsten sehen:
Cora führt den Fachbereich durch ein Mini-Interview (Zweck, Daten, Empfänger, Fristen, TOMs) und gibt einen Markdown-Datensatz aus, der in jedes VVT-Tool passt — von Excel bis spezialisierter Software.
„Wir starten ein neues CRM, brauchen den VVT-Eintrag”Cora kategorisiert die Panne (Verlust / Hack / Fehlversand / falsche Berechtigung), bewertet das Risiko für Betroffene, sagt: meldepflichtig ja/nein, Art-34-Info ja/nein, und schreibt den Meldetext-Entwurf für die LDA.
„Mitarbeiterliste an falschen Adressverteiler — was jetzt?”DATEV, AWS, M365, externes Lohnbüro, Newsletter-Tool — Cora geht systematisch durch und markiert, wo AVV nach Art. 28 fehlt. Übergibt an Anton, der den AVV-Entwurf in zehn Schritten erzeugt.
„Inventur unserer 23 externen Tools — wo ist AVV-Lücke?”Cora liefert rollenspezifische Schulungs-Inhalte (HR, IT, Vertrieb, Pflege) als 15-Minuten-Module mit Mini-Quiz. Tracking-Nachweis übernimmt Nora.
„Neue Mitarbeiter:innen, DSGVO-Belehrung in 15 Minuten — rollenscharf”Jedes Modul ist eine eigene Tiefen-Zone. Cora wählt nach Kontext aus.
Was ist personenbezogen, was nicht, was sind besondere Kategorien (Art. 9).
Art. 6 + 9 — sechs Rechtsgrundlagen, ihre Anwendungsfälle, Kombinations-Verbot.
Pflicht-Felder, Strukturvorschlag, Update-Trigger.
BSI-Grundschutz-Standard-Set in Pflege/Mittelstand/IT-Service.
Pflicht-Klauseln, Drittland, Subprozessoren — Übergabe an Anton.
Wann Pflicht, Schwellwerte, Bewertungsmatrix, Resterisiko-Logik.
Art. 12–22 — Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch.
72-h-Pfad, Risiko-Bewertung, Aufsicht + Betroffene informieren.
20-MA-Schwelle, Sonderfälle Kerntätigkeit, externer vs. interner DSB.
Adequacy, SCC, TIA — EU-US-DPF-Status, UK, Schweiz, USA non-DPF.
Jährlicher Rhythmus, rollenspezifische Curricula, Nachweis-Pflicht.
LDA-Schreiben einordnen, Frist-Logik, Stand der Technik dokumentieren.
Kirchliche Träger: Sonderregeln, eigene Aufsicht, Crosswalk zu DSGVO.
Wer Cora typisch nutzt:
Cora ist Sparringspartner für die Tiefe — schnelle Antworten zu Schwellenwerten, AVV-Klauseln, Drittland-Mechanik, ohne Stunden im Kommentar-Apparat zu verbringen.
Bewerberdaten, Personalakten, Aushänge, Sommerfest-Fotos — Cora liefert rollenspezifische DSGVO-Antworten ohne Beratersprech.
TOMs, AVV-Klauseln gegen Cloud-Anbieter, Drittland-Mechanik beim Stack — Cora übersetzt zwischen DSGVO-Wortschatz und IT-Realität.
Cora arbeitet zwei-modig:
Du wählst eines der 13 Module, Cora coacht dich systematisch durch — Theorie, Beispiel, Mini-Quiz, Anwendung auf deinen Kontext.
Konkrete Frage, konkrete Antwort. Cora prüft selbst, welches Modul-Wissen anschlägt, und gibt § + Erwägungsgrund mit.
Bei AVV-Tiefe → Anton. Bei AI-Act-Spezifika → Rasmus/Vestigia. Bei Pflege → Paul. Bei Schulungs-Verwaltung → Nora. Bei NIS-2 / Phishing → Pia.
Was du Cora über offene VVT-Lücken, fehlende AVV mit Schatten-IT oder eine frische Datenpanne erzählst, verlässt unser Rechenzentrum in Schleswig-Holstein nicht. Inferenz auf eigener GPU im Bunker — kein OpenAI im Pfad eurer Datenschutz-Schwachstellen.
Die drei Tools, an die Cora im Alltag übergibt.
Cora lässt sich mit eurem VVT, eurer AVV-Liste, eurem TOM-Dokument beladen — Antworten kommen dann mit Bezug zu eurer realen Lage, nicht aus dem 13-Modul-Standard.