diff --git a/admin-compliance/app/sdk/wiki/page.tsx b/admin-compliance/app/sdk/wiki/page.tsx
index d1d89eb..adcacd7 100644
--- a/admin-compliance/app/sdk/wiki/page.tsx
+++ b/admin-compliance/app/sdk/wiki/page.tsx
@@ -4,7 +4,7 @@ import { useState, useEffect, useCallback, useMemo } from 'react'
 import {
   Search, BookOpen, AlertTriangle, Shield, Scale, Handshake,
   Briefcase, MessageCircle, Building2, Database, ChevronRight,
-  ArrowLeft, ExternalLink, Tag,
+  ArrowLeft, ExternalLink, Tag, Clock, Globe, Gavel,
 } from 'lucide-react'
 import type { WikiCategory, WikiArticle, WikiSearchResult } from '@/lib/sdk/types'
 
@@ -19,6 +19,12 @@ function renderMarkdown(md: string): string {
     .replace(/</g, '&lt;')
     .replace(/>/g, '&gt;')
 
+  // Code blocks (``` ... ```)
+  html = html.replace(
+    /^```[\w]*\n([\s\S]*?)^```$/gm,
+    (_match, code: string) => `<pre class="bg-gray-50 border rounded p-3 my-3 text-xs font-mono overflow-x-auto whitespace-pre">${code.trimEnd()}</pre>`
+  )
+
   // Tables (must be before other block elements)
   html = html.replace(
     /^(\|.+\|)\n(\|[\s:|-]+\|)\n((?:\|.+\|\n?)*)/gm,
@@ -44,7 +50,7 @@ function renderMarkdown(md: string): string {
   html = html.replace(/((?:<li[^>]*>.*<\/li>\n?)+)/g, '<ul class="my-2 space-y-1">$1</ul>')
 
   // Paragraphs (lines that aren't already HTML)
-  html = html.replace(/^(?!<[hultd]|$)(.+)$/gm, '<p class="text-sm text-gray-700 my-2">$1</p>')
+  html = html.replace(/^(?!<[hultdp]|$)(.+)$/gm, '<p class="text-sm text-gray-700 my-2">$1</p>')
 
   return html
 }
@@ -62,6 +68,9 @@ const ICON_MAP: Record<string, React.ComponentType<{ className?: string }>> = {
   Briefcase,
   MessageCircle,
   Building2,
+  Clock,
+  Globe,
+  Gavel,
 }
 
 function CategoryIcon({ icon, className }: { icon: string; className?: string }) {
diff --git a/backend-compliance/migrations/041_compliance_wiki_enrichment.sql b/backend-compliance/migrations/041_compliance_wiki_enrichment.sql
new file mode 100644
index 0000000..cf7f16c
--- /dev/null
+++ b/backend-compliance/migrations/041_compliance_wiki_enrichment.sql
@@ -0,0 +1,1008 @@
+-- Migration 041: Compliance Wiki - Anreicherung mit DACH-Rechtsprechung und Quellen
+-- Aktualisiert bestehende Artikel mit echten Quellen-URLs und fuegt neue, umfassende Artikel hinzu.
+
+-- =============================================================================
+-- 1. Bestehende Artikel aktualisieren: Quellen-URLs hinzufuegen
+-- =============================================================================
+
+-- Gesundheitsdaten-Abgrenzung: Echte EuGH-Urteile und Quellen
+UPDATE compliance_wiki_articles SET
+  content = '## Ueberblick
+
+Der EuGH legt den Begriff "Gesundheitsdaten" nach Art. 9 DSGVO **sehr weit** aus (EuGH C-184/20). Auch Daten, aus denen Gesundheitsinformationen nur **indirekt** abgeleitet werden koennen, fallen darunter.
+
+## Was SIND Gesundheitsdaten?
+
+- Diagnosen, Krankheitsbilder, Befunde
+- AU-Bescheinigungen (auch **ohne Diagnose** — schon die Tatsache der Krankheit genuegt)
+- Schwerbehindertenausweis / Grad der Behinderung (GdB)
+- Medikamenteneinnahme / Online-Bestellung von Arzneimitteln (EuGH C-21/23 "Lindenapotheke")
+- Ergebnisse von Eignungsuntersuchungen
+- BEM-Daten (Betriebliches Eingliederungsmanagement)
+- Allergiehinweise (z.B. in der Betriebskantine)
+- Schwangerschaft
+- Fitnesstracker-/Wearable-Daten im Gesundheitskontext
+
+## Was sind KEINE Gesundheitsdaten?
+
+- **Name der Krankenkasse** — verraet i.d.R. nichts ueber den Gesundheitszustand (h.M.)
+- **Sozialversicherungsnummer (AT)** — oesterreichische DSB + BVwG haben entschieden: SV-Nr. ist kein Gesundheitsdatum, da sie nur aus Laufnummer + Geburtsdatum besteht (DSB-D213.692/0001-DSB/2018; BVwG W245 2236756-1)
+- Beitragssatz der Krankenkasse
+
+## Wichtige EuGH-Entscheidungen
+
+### EuGH C-184/20 — Weite Auslegung (01.08.2022)
+Art. 9 ist weit auszulegen. Auch wenn sensible Informationen nur durch "gedankliche Kombination oder Ableitung" aus normalen Daten hervorgehen, greift Art. 9.
+
+### EuGH C-21/23 — Lindenapotheke (04.10.2024)
+Online-Bestellungen von **apothekenpflichtigen Arzneimitteln** (auch OTC!) sind Gesundheitsdaten. Die Verknuepfung Person + Medikament + Indikation laesst Rueckschluesse auf den Gesundheitszustand zu.
+
+### EuGH C-667/21 — Kumulative Rechtsgrundlage (21.12.2023)
+Fuer Gesundheitsdaten braucht man **zwei** Rechtsgrundlagen: Art. 9 Abs. 2 DSGVO **und** Art. 6 Abs. 1 DSGVO. Art. 9 allein reicht nicht.
+
+## Erwagungsgrund 35 DSGVO
+
+ErwGr. 35 definiert Gesundheitsdaten **sehr weit**: Alle Daten ueber den frueheren, gegenwaertigen und kuenftigen koerperlichen oder geistigen Gesundheitszustand — einschliesslich Anmeldedaten fuer Gesundheitsdienstleistungen, Nummern/Kennzeichen fuer gesundheitliche Zwecke, Untersuchungsergebnisse, Informationen ueber Krankheiten, Behinderungen und Krankheitsrisiken.
+
+## Praxis-Tipp
+
+Pruefen Sie bei jeder Datenkategorie: Kann durch **indirekte Ableitung** auf den Gesundheitszustand geschlossen werden? Seit EuGH C-184/20 genuegt bereits die blosse Moeglichkeit der Ableitung.',
+  legal_refs = ARRAY['Art. 9 DSGVO', 'Art. 4 Nr. 15 DSGVO', 'ErwGr. 35 DSGVO', '§ 26 Abs. 3 BDSG', 'Art. 6 Abs. 1 DSGVO'],
+  tags = ARRAY['gesundheit', 'art9', 'abgrenzung', 'krankenkasse', 'eugh', 'lindenapotheke'],
+  source_urls = ARRAY[
+    'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
+    'https://curia.europa.eu/juris/document/document.jsf?docid=290696&doclang=DE',
+    'https://curia.europa.eu/juris/document/document.jsf?docid=280768&doclang=DE',
+    'https://www.dataprotect.at/2019/05/24/dsb-sozialversicherungsnummer-ist-kein-gesundheitsdatum/',
+    'https://www.ldi.nrw.de/Fortsetzungserkrankung',
+    'https://dsgvo-gesetz.de/erwaegungsgruende/nr-35/'
+  ],
+  version = 2,
+  updated_at = NOW()
+WHERE id = 'gesundheitsdaten-abgrenzung';
+
+-- Beschaeftigtendaten: Aktualisierung mit EuGH C-34/21, BeschDG, Aufbewahrungsfristen
+UPDATE compliance_wiki_articles SET
+  content = '## Ueberblick
+
+Im Arbeitsverhaeltnis fallen viele verschiedene personenbezogene Daten an. **Wichtig:** § 26 BDSG wurde durch EuGH C-34/21 (30.03.2023) als europarechtswidrig eingestuft. Die Zulaessigkeit richtet sich nun direkt nach Art. 6 Abs. 1 DSGVO. Ein Beschaeftigtendatengesetz (BeschDG) ist in Vorbereitung (Referentenentwurf 08.10.2024).
+
+## Datenkategorien mit Rechtsgrundlagen
+
+### Stammdaten
+- Name, Adresse, Geburtsdatum, Familienstand
+- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)
+- **Aufbewahrung:** 3 Jahre nach Austritt (§ 195 BGB)
+
+### Bankverbindung / Gehaltsdaten
+- IBAN, Gehalt, Zulagen, Praemien, Gehaltsabrechnungen
+- Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO
+- **Aufbewahrung:** 8 Jahre (§ 147 AO, seit 01.01.2025 von 10 auf 8 Jahre verkuerzt)
+
+### Sozialversicherungsdaten
+- SV-Nummer, Krankenkasse, Renten-/Pflegeversicherung
+- Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht, § 28f SGB IV)
+- **Aufbewahrung:** 5 Jahre (Beitragsnachweise), bis 30 Jahre (Versorgungsanwartschaften)
+
+### Steuerdaten
+- Steuer-ID, Steuerklasse, Lohnsteuerbescheinigungen
+- **Achtung:** Kirchensteuermerkmal = Art.-9-Datum (religioese Ueberzeugung)!
+- **Aufbewahrung:** 6 Jahre (§ 41 EStG)
+
+### Leistungsdaten
+- Beurteilungen, Zielvereinbarungen, Abmahnungen, Fortbildungsnachweise
+- **Abmahnungen:** Loeschung nach ca. 2-3 Jahren ohne erneuten Vorfall (BAG-Rspr.)
+
+### Bewerbungsdaten
+- Lebenslauf, Zeugnisse, Anschreiben, Gehaltsvorstellungen
+- **Loeschfrist bei Absage: max. 6 Monate** (2 Mon. AGG-Geltendmachung + 3 Mon. Klage + Puffer)
+
+### Gesundheitsdaten (Art. 9!)
+- AU-Bescheinigungen, BEM-Daten, Schwerbehinderung
+- BEM-Akte **getrennt** von Personalakte fuehren
+- AG darf keine Diagnose verlangen (LDI NRW)
+
+## EuGH C-34/21 — § 26 BDSG europarechtswidrig
+
+Der EuGH entschied am 30.03.2023, dass § 26 Abs. 1 S. 1 BDSG keine "spezifischere Vorschrift" i.S.v. Art. 88 DSGVO darstellt, da er lediglich die DSGVO-Vorgaben wiederholt. **Konsequenz:** Direkte Anwendung von Art. 6 Abs. 1 DSGVO. Die bisherige Auslegung ist aber weitgehend uebertragbar.
+
+## BeschDG — Referentenentwurf (08.10.2024)
+
+Das geplante Beschaeftigtendatengesetz soll § 26 BDSG ersetzen (4 Kapitel, 30 Paragrafen). Kernpunkte:
+- Konkretere Zulaessigkeitsregeln statt Generalklausel
+- Fragerecht des AG in der Bewerbungsphase klar definiert
+- Videoueberwachung nur zweckgebunden, max. 72h Speicherung
+- KI-Einsatz unter Bezug auf den EU AI Act geregelt
+- Verwertungsverbote bei rechtswidriger Datenerhebung
+- **Inkrafttreten:** fruehestens 2026, 12 Monate Uebergangsfrist
+
+## Praxis-Tipp
+
+Erfassen Sie Beschaeftigtendaten im VVT nach Kategorien getrennt (Stamm-, Vertrags-, Steuerdaten etc.) und ordnen Sie pro Kategorie die korrekte Aufbewahrungsfrist zu.',
+  legal_refs = ARRAY['Art. 6 Abs. 1 DSGVO', 'Art. 88 DSGVO', '§ 26 BDSG', '§ 147 AO', '§ 28f SGB IV', '§ 41 EStG', '§ 195 BGB'],
+  tags = ARRAY['beschaeftigte', 'personal', 'stammdaten', 'lohnabrechnung', 'eugh', 'beschdg', 'aufbewahrungsfristen'],
+  source_urls = ARRAY[
+    'https://legal.pwc.de/de/news/fachbeitraege/eugh-urteil-zum-beschaeftigtendatenschutz-europarechtswidrigkeit-paragraf-26-abs-1-s-1-bdsg',
+    'https://www.cmshs-bloggt.de/arbeitsrecht/referentenentwurf-des-beschaeftigtendatengesetzes-was-arbeitgeber-wissen-muessen/',
+    'https://www.baden-wuerttemberg.datenschutz.de/faq-rechtsgrundlagen-bei-beschaeftigtendaten/',
+    'https://www.haufe.de/personal/arbeitsrecht/digitale-personalakte-was-ist-rechtlich-zu-beachten/aufbewahrungsfristen-personalakten-und-loeschung_76_533160.html',
+    'https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf'
+  ],
+  version = 2,
+  updated_at = NOW()
+WHERE id = 'beschaeftigtendaten-umfang';
+
+-- Arbeitszeiterfassung: Quellen ergaenzen
+UPDATE compliance_wiki_articles SET
+  source_urls = ARRAY[
+    'https://www.bundesarbeitsgericht.de/entscheidung/1-abr-22-21/',
+    'https://curia.europa.eu/juris/document/document.jsf?docid=214043&doclang=DE',
+    'https://www.dr-datenschutz.de/gps-ueberwachung-am-arbeitsplatz-und-der-datenschutz/'
+  ],
+  version = 2,
+  updated_at = NOW()
+WHERE id = 'arbeitszeiterfassung-pflicht';
+
+-- HinSchG: Quellen ergaenzen
+UPDATE compliance_wiki_articles SET
+  source_urls = ARRAY[
+    'https://www.gesetze-im-internet.de/hinschg/',
+    'https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Datenschutz/Hinweisgeberschutz.html'
+  ],
+  version = 2,
+  updated_at = NOW()
+WHERE id = 'hinschg-grundlagen';
+
+-- AVV Website: Quellen ergaenzen
+UPDATE compliance_wiki_articles SET
+  source_urls = ARRAY[
+    'https://www.datenschutzkonferenz-online.de/media/oh/20191016_oh_auftragsverarbeitung.pdf',
+    'https://dsgvo-gesetz.de/art-28-dsgvo/'
+  ],
+  version = 2,
+  updated_at = NOW()
+WHERE id = 'avv-website-betrieb';
+
+-- AVV Lohnbuchhaltung: Quellen ergaenzen
+UPDATE compliance_wiki_articles SET
+  source_urls = ARRAY[
+    'https://www.paychex.de/wissenswertes/lohnabrechnung-updates/datenschutz-pflichten-lohnabrechnung',
+    'https://www.datenschutzexperte.de/blog/datenschutz-im-unternehmen/datenschutz-bei-der-gehaltsabrechnung/'
+  ],
+  version = 2,
+  updated_at = NOW()
+WHERE id = 'avv-lohnbuchhaltung';
+
+-- Kontaktdaten: Quellen ergaenzen
+UPDATE compliance_wiki_articles SET
+  source_urls = ARRAY[
+    'https://www.dr-datenschutz.de/rechtsgrundlage-fuer-die-weitergabe-von-kontaktdaten-im-b2b-bereich/',
+    'https://comp-lex.de/dsgvo-im-b2b-bereich/'
+  ],
+  version = 2,
+  updated_at = NOW()
+WHERE id = 'kontaktdaten-ansprechpartner';
+
+-- Gemeinsame Verantwortlichkeit: Quellen ergaenzen
+UPDATE compliance_wiki_articles SET
+  source_urls = ARRAY[
+    'https://curia.europa.eu/juris/document/document.jsf?docid=202543&doclang=DE',
+    'https://curia.europa.eu/juris/document/document.jsf?docid=216555&doclang=DE',
+    'https://dsgvo-gesetz.de/art-26-dsgvo/'
+  ],
+  version = 2,
+  updated_at = NOW()
+WHERE id = 'gemeinsame-verantwortlichkeit';
+
+-- Qualifikationsdaten: Quellen ergaenzen
+UPDATE compliance_wiki_articles SET
+  source_urls = ARRAY[
+    'https://www.haufe.de/personal/arbeitsrecht/digitale-personalakte-was-ist-rechtlich-zu-beachten/aufbewahrungsfristen-personalakten-und-loeschung_76_533160.html'
+  ],
+  version = 2,
+  updated_at = NOW()
+WHERE id = 'qualifikationsdaten';
+
+-- Religion Bewerbung: Quellen ergaenzen
+UPDATE compliance_wiki_articles SET
+  source_urls = ARRAY[
+    'https://curia.europa.eu/juris/document/document.jsf?docid=201148&doclang=DE'
+  ],
+  version = 2,
+  updated_at = NOW()
+WHERE id = 'religion-bewerbung';
+
+-- =============================================================================
+-- 2. Neue Kategorien
+-- =============================================================================
+
+INSERT INTO compliance_wiki_categories (id, name, description, icon, sort_order) VALUES
+('aufbewahrungsfristen', 'Aufbewahrungsfristen', 'Gesetzliche Aufbewahrungsfristen und Loeschpflichten nach DSGVO', 'Clock', 45),
+('eugh-leiturteile', 'EuGH-Leiturteile', 'Wegweisende Entscheidungen des Europaeischen Gerichtshofs zum Datenschutz', 'Gavel', 25),
+('dach-besonderheiten', 'DACH-Besonderheiten', 'Besonderheiten im Datenschutzrecht fuer Deutschland, Oesterreich und die Schweiz', 'Globe', 85)
+ON CONFLICT (id) DO NOTHING;
+
+-- =============================================================================
+-- 3. Neue Artikel: EuGH-Leiturteile
+-- =============================================================================
+
+-- EuGH C-184/20: Weite Auslegung Art. 9
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('eugh-c184-20-weite-auslegung', 'eugh-leiturteile',
+ 'EuGH C-184/20 — Weite Auslegung von Art. 9 DSGVO',
+ 'Der EuGH hat 2022 entschieden, dass Art. 9 DSGVO weit auszulegen ist: Auch indirekte Rueckschluesse auf sensible Daten loesen den besonderen Schutz aus.',
+ '## Sachverhalt
+
+Ein litauischer Beamter musste eine Interessenerklaerung abgeben, in der der Name seines Lebenspartners offengelegt wurde. Die Veroffentlichung auf der Website der Ethikkommission offenbarte indirekt seine **sexuelle Orientierung**.
+
+## Kernaussagen des EuGH (01.08.2022)
+
+1. Art. 9 Abs. 1 DSGVO ist **weit auszulegen**: Es genuegt, dass besondere Kategorien **indirekt** aus den verarbeiteten Daten abgeleitet werden koennen ("gedankliche Kombination oder Ableitung").
+
+2. Die Formulierung "aus denen ... hervorgeht" erfordert **keinen direkten Zusammenhang** zwischen Daten und sensiblen Informationen.
+
+3. Eine **enge Auslegung** wuerde dem Schutzzweck von Art. 9 zuwiderlaufen.
+
+## Bedeutung fuer die Praxis
+
+Dieses Urteil hat die Landschaft grundlegend veraendert:
+- **Fotos** koennen ethnische Herkunft offenbaren
+- **Kantinenbestellungen** (halal/koscher) koennen Religion offenbaren
+- **Behindertenparkplaetze** koennen Gesundheitszustand offenbaren
+- **Lebenspartner-Angaben** koennen sexuelle Orientierung offenbaren
+
+## Konsequenz
+
+Vor jeder Datenverarbeitung pruefen: Koennen aus den erhobenen Daten — auch durch Kombination oder Ableitung — Rueckschluesse auf Art.-9-Kategorien gezogen werden?',
+ ARRAY['Art. 9 Abs. 1 DSGVO', 'Art. 4 Nr. 15 DSGVO', 'ErwGr. 35 DSGVO'],
+ ARRAY['eugh', 'art9', 'weite-auslegung', 'indirekt', 'leiturteil'],
+ 'critical',
+ ARRAY[
+   'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
+   'https://gdprhub.eu/index.php?title=CJEU_-_C-184/20_-_Vyriausioji_tarnybin%C4%97s_etikos_komisija',
+   'https://www.delegedata.de/2022/08/sensible-daten-ueberall-versuch-einer-irgendwie-handhabbaren-interpretation-des-eugh-urteils/',
+   'https://www.datenschutz-notizen.de/eugh-zur-auslegung-des-anwendungsbereichs-des-art-9-dsgvo-5737570/'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- EuGH C-667/21: Kumulative Rechtsgrundlage
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('eugh-c667-21-kumulative-rechtsgrundlage', 'eugh-leiturteile',
+ 'EuGH C-667/21 — Kumulative Rechtsgrundlage bei Art. 9',
+ 'Seit diesem Urteil steht fest: Fuer die Verarbeitung besonderer Kategorien braucht man ZWEI Rechtsgrundlagen — Art. 9 Abs. 2 UND Art. 6 Abs. 1 DSGVO.',
+ '## Sachverhalt
+
+Ein Mitarbeiter des Medizinischen Dienstes Nordrhein verklagte seinen Arbeitgeber, weil dieser seine Gesundheitsdaten intern verarbeitet hatte. Das BAG legte die Frage dem EuGH vor.
+
+## Kernaussage (21.12.2023)
+
+Fuer die Verarbeitung von Gesundheitsdaten (und allen Art.-9-Daten) reicht ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO **allein nicht aus**. Zusaetzlich muss **kumulativ** eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegen.
+
+Art. 9 Abs. 2 ist **keine eigenstaendige Rechtsgrundlage**, sondern hebt nur das Verarbeitungsverbot des Art. 9 Abs. 1 auf.
+
+## Pruefungsschema (seit C-667/21)
+
+```
+1. Liegt ein Art.-9-Datum vor? → Verarbeitungsverbot
+2. Greift Ausnahme nach Art. 9 Abs. 2 lit. a-j? → Verbot aufgehoben
+3. Liegt ZUSAETZLICH Rechtsgrundlage nach Art. 6 Abs. 1 vor? → Verarbeitung zulaessig
+```
+
+## Praktische Auswirkung
+
+Jedes VVT und jede DSFA muss bei Art.-9-Daten **beide** Rechtsgrundlagen dokumentieren. Beispiel:
+- Art. 9 Abs. 2 lit. b (Arbeitsrecht) + Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung)
+- Art. 9 Abs. 2 lit. a (Einwilligung) + Art. 6 Abs. 1 lit. a (Einwilligung)',
+ ARRAY['Art. 9 Abs. 2 DSGVO', 'Art. 6 Abs. 1 DSGVO'],
+ ARRAY['eugh', 'art9', 'art6', 'rechtsgrundlage', 'kumulativ', 'leiturteil'],
+ 'critical',
+ ARRAY[
+   'https://curia.europa.eu/juris/document/document.jsf?docid=280768&doclang=DE',
+   'https://www.dr-datenschutz.de/eugh-verarbeitung-von-gesundheitsdaten/',
+   'https://www.seitzpartner.de/blog/eugh-rechtsgrundlage-nach-art-6-abs-1-dsgvo-auch-bei-vorliegen-eines-ausnahmetatbestandes-nach-art-9-abs-2-dsgvo-erforderlich/'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- EuGH C-34/21: § 26 BDSG europarechtswidrig
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('eugh-c34-21-par26-bdsg', 'eugh-leiturteile',
+ 'EuGH C-34/21 — § 26 BDSG ist europarechtswidrig',
+ 'Der EuGH hat 2023 entschieden, dass § 26 BDSG keine spezifischere Vorschrift i.S.v. Art. 88 DSGVO darstellt. Die Verarbeitung von Beschaeftigtendaten richtet sich nun direkt nach der DSGVO.',
+ '## Kernaussage (30.03.2023)
+
+§ 26 Abs. 1 S. 1 BDSG ist europarechtswidrig, da er lediglich die DSGVO-Vorgaben **wiederholt** und keine "spezifischere Vorschrift" i.S.v. Art. 88 DSGVO darstellt. Nationale Vorschriften muessen ueber die DSGVO **hinausgehen** und die Anforderungen von Art. 88 Abs. 2 DSGVO erfuellen.
+
+## Praktische Folge
+
+Die Zulaessigkeit der Datenverarbeitung im Beschaeftigungskontext richtet sich nun unmittelbar nach:
+- **Art. 6 Abs. 1 lit. b DSGVO** (Vertragserfuellung)
+- **Art. 6 Abs. 1 lit. c DSGVO** (rechtliche Verpflichtung)
+- **Art. 6 Abs. 1 lit. f DSGVO** (berechtigtes Interesse)
+
+Die bisherige Auslegung des § 26 BDSG ist aber **weitgehend uebertragbar**.
+
+## DSK-Reaktion
+
+Die DSK forderte am 11.05.2023 den Gesetzgeber dringend auf, ein eigenstaendiges Beschaeftigtendatengesetz zu schaffen. Ergebnis: Referentenentwurf BeschDG vom 08.10.2024.
+
+## Praxis-Tipp
+
+Im VVT bei Beschaeftigtendaten die Rechtsgrundlage auf Art. 6 Abs. 1 DSGVO umstellen — § 26 BDSG kann als ergaenzende nationale Regelung noch zitiert werden, ist aber nicht mehr tragende Rechtsgrundlage.',
+ ARRAY['Art. 88 DSGVO', '§ 26 BDSG', 'Art. 6 Abs. 1 DSGVO'],
+ ARRAY['eugh', 'par26', 'bdsg', 'beschaeftigte', 'europarechtswidrig', 'leiturteil'],
+ 'critical',
+ ARRAY[
+   'https://legal.pwc.de/de/news/fachbeitraege/eugh-urteil-zum-beschaeftigtendatenschutz-europarechtswidrigkeit-paragraf-26-abs-1-s-1-bdsg',
+   'https://www.baden-wuerttemberg.datenschutz.de/faq-rechtsgrundlagen-bei-beschaeftigtendaten/',
+   'https://www.datenschutzkonferenz-online.de/entschliessungen.html'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- EuGH C-634/21: SCHUFA-Scoring
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('eugh-c634-21-schufa-scoring', 'eugh-leiturteile',
+ 'EuGH C-634/21 — SCHUFA-Scoring und automatisierte Entscheidungen',
+ 'Der EuGH hat 2023 das SCHUFA-Scoring als moeglicherweise unzulaessige automatisierte Entscheidung nach Art. 22 DSGVO eingestuft und die Speicherfristen fuer Restschuldbefreiungen beschraenkt.',
+ '## SCHUFA-Scoring (C-634/21, 07.12.2023)
+
+Das SCHUFA-Scoring kann eine nach Art. 22 Abs. 1 DSGVO unzulaessige **automatisierte Entscheidung** darstellen, wenn der Score-Wert **massgeblich** fuer die Kreditvergabe ist. Die SCHUFA muss nach Art. 15 Abs. 1 lit. h DSGVO **aussagekraeftige Informationen ueber die involvierte Logik** offenlegen.
+
+## Restschuldbefreiung (C-26/22 und C-64/22, 07.12.2023)
+
+Die Speicherung von Restschuldbefreiungsdaten durch die SCHUFA ueber die **6-Monats-Frist** des Insolvenzregisters hinaus ist unzulaessig. Die Rechte der Betroffenen ueberwiegen.
+
+**Folge:** SCHUFA verkuerzte freiwillig die Speicherfrist auf 6 Monate (seit Maerz 2023).
+
+## Bedeutung fuer Unternehmen
+
+- Kreditentscheidungen duerfen **nicht allein** vom SCHUFA-Score abhaengen
+- Bei automatisierten Entscheidungen: Art. 22 DSGVO pruefen
+- Betroffene haben Recht auf **Erklaerung der Scoring-Logik**
+- Aufbewahrungsfristen fuer Bonitaetsdaten beachten',
+ ARRAY['Art. 22 DSGVO', 'Art. 15 Abs. 1 lit. h DSGVO', 'Art. 17 DSGVO'],
+ ARRAY['eugh', 'schufa', 'scoring', 'automatisiert', 'bonitaet', 'leiturteil'],
+ 'important',
+ ARRAY[
+   'https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/wichtige-urteile-eugh-weist-schufa-scoring-massiv-in-die-schranken-70963/',
+   'https://www.noerr.com/de/insights/eugh-urteil-zum-schufa-score---was-unternehmen-jetzt-beachten-muessen',
+   'https://www.gleisslutz.com/de/know-how/eugh-begrenzt-verarbeitung-von-verbraucherdaten-durch-die-schufa'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- EuGH C-582/14: IP-Adressen als personenbezogene Daten
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('eugh-c582-14-ip-adressen', 'eugh-leiturteile',
+ 'EuGH C-582/14 "Breyer" — IP-Adressen sind personenbezogene Daten',
+ 'Der EuGH hat 2016 klargestellt, dass auch dynamische IP-Adressen personenbezogene Daten sind, wenn der Betreiber die Person theoretisch identifizieren koennte.',
+ '## Kernaussage (19.10.2016)
+
+**Dynamische IP-Adressen** sind personenbezogene Daten, auch wenn der Website-Betreiber die Person nur mit Hilfe Dritter (z.B. Access-Provider) identifizieren **koennte**. Eine IP-Adresse ist nur dann kein personenbezogenes Datum, wenn die Identifizierung **praktisch unmoeglich** ist.
+
+## Bedeutung fuer die Praxis
+
+- **Server-Logs** mit IP-Adressen sind personenbezogene Daten
+- **Hosting-Anbieter** brauchen einen AVV (Zugriff auf IP-Adressen)
+- **CDN-Anbieter** (Cloudflare etc.) verarbeiten IP-Adressen
+- **Analytics-Tools** ohne IP-Anonymisierung erfassen personenbezogene Daten
+- Auch **temporaer** gespeicherte IP-Adressen fallen unter die DSGVO
+
+## Konsequenz fuer VVT
+
+Jede Verarbeitungstaetigkeit mit Internet-Bezug (Website, App, API) sollte "IP-Adressen" als Datenkategorie auffuehren und eine Rechtsgrundlage dokumentieren (meist Art. 6 Abs. 1 lit. f — berechtigtes Interesse an IT-Sicherheit).',
+ ARRAY['Art. 4 Nr. 1 DSGVO', 'Art. 6 Abs. 1 lit. f DSGVO'],
+ ARRAY['eugh', 'ip-adresse', 'personenbezogen', 'breyer', 'leiturteil'],
+ 'important',
+ ARRAY[
+   'https://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=DE',
+   'https://www.lto.de/recht/hintergruende/h/eugh-c-582-14-ip-adressen-personenbezogene-daten-verarbeitung-speicherung',
+   'https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2017/11_BGH_Breyer.html'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- =============================================================================
+-- 4. Neue Artikel: Art. 9 besondere Kategorien
+-- =============================================================================
+
+-- Biometrische Daten
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('biometrische-daten-art9', 'art9-besondere',
+ 'Biometrische Daten — Wann greift Art. 9?',
+ 'Biometrische Daten fallen nur dann unter Art. 9 DSGVO, wenn sie zur eindeutigen Identifizierung verarbeitet werden. Ein einfaches Passfoto ist kein biometrisches Datum.',
+ '## Definition (Art. 4 Nr. 14 DSGVO)
+
+Biometrische Daten sind mit **speziellen technischen Verfahren** gewonnene Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen, die die **eindeutige Identifizierung** ermoeglichen: Fingerabdruecke, Gesichtsgeometrie, Iris-Scans, Stimmmuster, Ganganalyse.
+
+## Entscheidende Einschraenkung
+
+Art. 9 greift nur, wenn biometrische Daten **zur eindeutigen Identifizierung** verarbeitet werden (ErwGr. 51):
+
+| Datum | Art. 9? | Grund |
+|-------|---------|-------|
+| Fingerabdruck zur Zutrittskontrolle | **Ja** | Zweck = Identifizierung |
+| Gesichtserkennung (Face-ID) | **Ja** | Zweck = Authentifizierung |
+| Einfaches Passfoto | **Nein** | Kein spezielles tech. Verfahren |
+| Foto + Gesichtserkennungssoftware | **Ja** | Spezielles tech. Verfahren |
+| Stimmaufnahme fuer Sprachassistent | Kommt drauf an | Nur wenn zur Identifizierung |
+
+## EU AI Act (seit 02.02.2025)
+
+- **Echtzeit-biometrische Fernidentifizierung** an oeffentlichen Orten ist **verboten**
+- Ausnahmen: Suche nach Entfuehrungsopfern, Terrorabwehr, schwere Straftaten
+- Ungezieltes Auslesen von Bildern fuer Gesichtserkennungs-DB ist **verboten**
+
+## DSK-Positionspapier (05.04.2019)
+
+Die DSK hat ein Positionspapier zu biometrischen Verfahren veroeffentlicht mit Empfehlungen fuer den Einsatz.
+
+## Praxis-Tipp
+
+Bei Zutrittskontrollsystemen mit Fingerabdruck/Gesichtserkennung: Immer eine **Alternative** anbieten (z.B. Chipkarte). Ausdrueckliche Einwilligung nach Art. 9 Abs. 2 lit. a oder Rechtsgrundlage nach § 22 BDSG pruefen.',
+ ARRAY['Art. 9 DSGVO', 'Art. 4 Nr. 14 DSGVO', 'ErwGr. 51 DSGVO', '§ 22 BDSG', 'EU AI Act'],
+ ARRAY['biometrie', 'art9', 'fingerabdruck', 'gesichtserkennung', 'ai-act'],
+ 'important',
+ ARRAY[
+   'https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_positionspapier_biometrie.pdf',
+   'https://www.europarl.europa.eu/topics/de/article/20230601STO93804/ki-gesetz-erste-regulierung-der-kunstlichen-intelligenz',
+   'https://dsgvo-gesetz.de/art-9-dsgvo/'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- Art. 9 Pruefungsschema
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('art9-pruefungsschema', 'art9-besondere',
+ 'Art. 9 DSGVO — Pruefungsschema und alle 8 Kategorien',
+ 'Uebersicht ueber alle 8 besonderen Kategorien nach Art. 9 DSGVO mit dem aktuellen Pruefungsschema nach EuGH-Rechtsprechung.',
+ '## Die 8 Kategorien nach Art. 9 Abs. 1
+
+1. **Rassische und ethnische Herkunft** — Nationalitaet, Hautfarbe, Migrationshintergrund; auch Fotos, die ethnische Herkunft offenbaren (nach EuGH C-184/20)
+2. **Politische Meinungen** — Parteimitgliedschaft, politische Demonstrationen, Spenden an politische Organisationen
+3. **Religioese/weltanschauliche Ueberzeugungen** — Konfession, Kirchensteuer, religioese Feiertage; auch Kantinenbestellung "halal/koscher"
+4. **Gewerkschaftszugehoerigkeit** — Einzige Vereinsmitgliedschaft in Art. 9; Gewerkschaftsbeitrag auf Lohnabrechnung
+5. **Genetische Daten** — DNA-Analysen, Chromosomenanalysen, Gentests; nicht: normales Blutbild
+6. **Biometrische Daten** — Nur wenn zur **eindeutigen Identifizierung** (Fingerabdruck, Face-ID); nicht: einfaches Foto
+7. **Gesundheitsdaten** — Sehr weit: Diagnosen, AU, Behinderung, Medikamente, Online-Arzneibestellung, Wearable-Daten
+8. **Sexualleben / sexuelle Orientierung** — Auch indirekt (Name des gleichgeschlechtlichen Partners, EuGH C-184/20)
+
+## Pruefungsschema (nach aktueller EuGH-Rspr.)
+
+**Schritt 1:** Liegt ein Art.-9-Datum vor?
+→ Weite Auslegung! Auch **indirekte** Ableitungen (C-184/20)
+
+**Schritt 2:** Greift eine Ausnahme nach Art. 9 Abs. 2 lit. a-j?
+→ Katalog ist **abschliessend** (numerus clausus)
+
+**Schritt 3:** Liegt **zusaetzlich** eine Rechtsgrundlage nach Art. 6 Abs. 1 vor?
+→ Kumulative Anforderung seit EuGH C-667/21
+
+**Schritt 4:** Nationale Sonderregelung? (§ 22 BDSG / § 39 DSG-AT)
+→ Zusaetzliche Schutzmassnahmen (Pseudonymisierung, Verschluesselung, Zugangskontrollen)
+
+**Schritt 5:** DSFA erforderlich? (Art. 35 DSGVO)
+→ Bei umfangreicher Verarbeitung besonderer Kategorien in der Regel **ja**
+
+## 10 Ausnahmetatbestaende (Art. 9 Abs. 2)
+
+| Lit. | Ausnahme | Praxis-Beispiel |
+|------|----------|-----------------|
+| a | Ausdrueckliche Einwilligung | Freiwillige Angabe der Religion in Mitarbeiterbefragung |
+| b | Arbeits-/Sozialrecht | Kirchensteuer-Abfuehrung, SV-Meldungen |
+| c | Lebenswichtige Interessen | Notfall: Allergieinfo an Rettungsdienst |
+| d | Stiftungen/Vereinigungen | Gewerkschaft verarbeitet Mitgliederdaten |
+| e | Offensichtlich oeffentlich | Person teilt Krankheit auf Social Media (eng! C-446/21) |
+| f | Rechtsansprueche | Arbeitsgerichtsprozess mit Gesundheitsdaten |
+| g | Erhebliches oeff. Interesse | Pandemiebekaempfung |
+| h | Gesundheitsversorgung | Arzt verarbeitet Patientendaten |
+| i | Oeffentliche Gesundheit | Infektionsschutz-Meldepflichten |
+| j | Archiv/Forschung/Statistik | Medizinische Forschung mit Ethikvotum |
+
+## Praxis-Tipp
+
+Dokumentieren Sie im VVT bei **jedem** Art.-9-Datum beide Rechtsgrundlagen (Art. 9 Abs. 2 + Art. 6 Abs. 1) und die konkreten Schutzmassnahmen nach § 22 Abs. 2 BDSG.',
+ ARRAY['Art. 9 DSGVO', 'Art. 6 Abs. 1 DSGVO', '§ 22 BDSG', 'Art. 35 DSGVO'],
+ ARRAY['art9', 'besondere-kategorien', 'pruefungsschema', 'uebersicht'],
+ 'critical',
+ ARRAY[
+   'https://www.lda.bayern.de/media/dsk_kpnr_17_besondere_kategorien.pdf',
+   'https://dsgvo-gesetz.de/art-9-dsgvo/',
+   'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
+   'https://curia.europa.eu/juris/document/document.jsf?docid=280768&doclang=DE'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- =============================================================================
+-- 5. Neue Artikel: Datenkategorien (vertieft)
+-- =============================================================================
+
+-- Aufbewahrungsfristen Uebersicht
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('aufbewahrungsfristen-uebersicht', 'aufbewahrungsfristen',
+ 'Aufbewahrungsfristen — Vollstaendige Uebersicht',
+ 'Welche Daten muessen wie lange aufbewahrt werden? Uebersicht aller relevanten gesetzlichen Fristen fuer Personalakten, Buchhaltung und weitere Bereiche.',
+ '## Personalakten & Beschaeftigtendaten
+
+| Datenkategorie | Frist | Rechtsgrundlage |
+|---------------|-------|----------------|
+| Allgemeine Personalakte | 3 Jahre nach Austritt | § 195 BGB |
+| Lohn-/Gehaltsabrechnungen | **8 Jahre** | § 147 AO (seit 01.01.2025, vorher 10 Jahre) |
+| Lohnsteuerunterlagen | 6 Jahre | § 41 EStG |
+| SV-Beitragsnachweise | 5 Jahre | § 28f SGB IV |
+| SV-Meldungen (DEUEV) | 5 Jahre | § 28f SGB IV |
+| Arbeitszeitdokumentation | 2 Jahre | § 16 Abs. 2 ArbZG |
+| Bewerbungsunterlagen (Absage) | max. 6 Monate | AGG §§ 15, 21 |
+| Betriebliche Altersvorsorge | **30 Jahre** | § 18a BetrAVG, § 199 Abs. 3 BGB |
+| Unfallversicherungsunterlagen | 5 Jahre | § 28f SGB IV |
+| Zeugnisse/Arbeitsbescheinigungen | 3 Jahre nach Austritt | § 195 BGB |
+| Abmahnungen | 2-3 Jahre | BAG-Rspr. (keine gesetzl. Frist) |
+| Mutterschutz-/Elternzeit | 2 Jahre nach Ende | § 27 MuSchG |
+
+## Buchhaltung & Finanzen
+
+| Datenkategorie | Frist | Rechtsgrundlage |
+|---------------|-------|----------------|
+| Rechnungen (ein-/ausgehend) | **8 Jahre** | § 147 AO (seit 2025) |
+| Buchungsbelege | **8 Jahre** | § 147 AO |
+| Jahresabschluesse | **8 Jahre** | § 147 AO |
+| Handelskorrespondenz | 6 Jahre | § 257 HGB |
+| Vertraege | 3 Jahre nach Beendigung | § 195 BGB + Aufbewahrung |
+
+## Weitere Bereiche
+
+| Datenkategorie | Frist | Rechtsgrundlage |
+|---------------|-------|----------------|
+| HinSchG-Meldungen | 3 Jahre nach Abschluss | § 11 Abs. 5 HinSchG |
+| SEPA-Lastschriftmandate | 10 Jahre + 2 Jahre Pruefung | § 147 AO |
+| Datenschutz-Einwilligungen | Dauer der Einwilligung + 3 Jahre | Nachweispflicht |
+| VVT-Dokumentation | Dauerhaft (solange Verarbeitung laeuft) | Art. 30 DSGVO |
+
+## Wichtige Neuerung
+
+**Ab 01.01.2027:** Sozialversicherungsrelevante Entgeltunterlagen muessen **ausschliesslich digital** vorgehalten werden (Digitalisierungspflicht).
+
+## Praxis-Tipp
+
+Implementieren Sie ein **automatisches Loeschkonzept** mit konkreten Loeschfristen pro Datenkategorie. Nach Ablauf der Aufbewahrungsfrist besteht eine **Loeschpflicht** nach Art. 17 DSGVO — die Daten duerfen dann nicht mehr aufbewahrt werden.',
+ ARRAY['§ 147 AO', '§ 257 HGB', '§ 195 BGB', '§ 28f SGB IV', '§ 41 EStG', '§ 16 Abs. 2 ArbZG', 'Art. 17 DSGVO'],
+ ARRAY['aufbewahrung', 'loeschfristen', 'personalakte', 'buchhaltung', 'loeschkonzept'],
+ 'critical',
+ ARRAY[
+   'https://www.haufe.de/personal/arbeitsrecht/digitale-personalakte-was-ist-rechtlich-zu-beachten/aufbewahrungsfristen-personalakten-und-loeschung_76_533160.html',
+   'https://www.lexware.de/wissen/mitarbeiter-gehalt/aufbewahrungsfristen-personalakte/',
+   'https://www.proliance.ai/blog/aufbewahrungsfristen-loschfristen-nach-dsgvo'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- Videoueberwachung am Arbeitsplatz
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('videoueberwachung-arbeitsplatz', 'arbeitsrecht',
+ 'Videoueberwachung am Arbeitsplatz — Rechtsrahmen und Grenzen',
+ 'BAG-Rechtsprechung zur Verwertbarkeit von Videoaufzeichnungen im Kuendigungsschutzprozess und datenschutzrechtliche Grenzen der Ueberwachung.',
+ '## BAG 2 AZR 296/22 — Offene Videoueberwachung (29.06.2023)
+
+**Sachverhalt:** Teamleiter wurde fristlos gekuendigt wegen Arbeitszeitbetrugs. Beweis: Aufzeichnung einer offenen Kamera, die laenger als die beschilderten 96 Stunden gespeichert wurde.
+
+**Kernaussage:** **Kein generelles Verwertungsverbot** fuer Aufzeichnungen offener Videoueberwachung im Kuendigungsschutzprozess — selbst wenn die Ueberwachung nicht vollstaendig DSGVO-konform war. Bei vorsaetzlichem Vertragsbruch ueberwiegt das Aufklaerungsinteresse des Arbeitgebers. Verwertungsverbot nur bei **schwerwiegenden Grundrechtsverletzungen**.
+
+## GPS-Tracking
+
+- **Anlasslose GPS-Ueberwachung** ist stets rechtswidrig
+- GPS-Tracking nur bei **konkretem Verdacht** auf schwere Pflichtverletzung und unter Verhaeltnismaessigkeit
+- **DSFA** nach Art. 35 DSGVO zwingend erforderlich
+- Speicherempfehlung: max. 7-30 Tage
+- Heimliches Tracking: grundsaetzlich unzulaessig
+
+## E-Mail-Ueberwachung (LAG Baden-Wuerttemberg, 12 Sa 56/21)
+
+Verdeckte Einsichtnahme in moeglicherweise private E-Mails ist rechtswidrig, wenn keine Regelung zur Privatnutzung existiert. Schadensersatzanspruch des Arbeitnehmers wurde bejaht.
+
+## BeschDG-Entwurf zur Videoueberwachung
+
+Das geplante Beschaeftigtendatengesetz sieht vor:
+- Videoueberwachung nur **zweckgebunden** und **erkennbar**
+- Max. **72 Stunden** Speicherung
+- Verdeckte Ueberwachung nur bei konkretem Straftatenverdacht
+
+## Praxis-Tipp
+
+Fuehren Sie ein **Videoueberwachungskonzept** mit Angabe der Zwecke, Speicherdauer und Zugriffsberechtigungen. Schilder mit Datenschutzhinweis (Art. 13 DSGVO) sind Pflicht. Betriebsrat hat Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG).',
+ ARRAY['Art. 6 Abs. 1 lit. f DSGVO', 'Art. 35 DSGVO', '§ 87 Abs. 1 Nr. 6 BetrVG', 'Art. 13 DSGVO'],
+ ARRAY['videoueberwachung', 'gps', 'ueberwachung', 'bag', 'arbeitsplatz'],
+ 'important',
+ ARRAY[
+   'https://www.haufe.de/personal/arbeitsrecht/bag-zu-offener-videoueberwachung-und-verwertungsverbot_76_599850.html',
+   'https://www.dr-datenschutz.de/gps-ueberwachung-am-arbeitsplatz-und-der-datenschutz/',
+   'https://www.activemind.legal/de/guides/gps-ueberwachung-beschaeftigte/',
+   'https://www.compliance-insider.com/2023/09/18/lag-baden-wuerttemberg-privatnutzung-dienstlicher-kommunikationsgeraete-wann-droht-ein-verwertungsverbot/'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- Kommunikationsdaten am Arbeitsplatz
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('kommunikationsdaten-arbeitsplatz', 'arbeitsrecht',
+ 'E-Mail, Chat & Telefon — Fernmeldegeheimnis und DSGVO',
+ 'Die Rechtslage bei dienstlicher und privater Kommunikation am Arbeitsplatz hat sich 2024 grundlegend geaendert: Das Fernmeldegeheimnis gilt fuer Arbeitgeber nicht mehr.',
+ '## Neue Rechtslage seit 2024
+
+Mehrere Aufsichtsbehoerden (u.a. **LDI NRW, Juli 2024**) gehen davon aus, dass Arbeitgeber, die private E-Mail-/Internetnutzung erlauben oder dulden, seit dem TDDDG **nicht mehr** dem Fernmeldegeheimnis unterliegen. Stattdessen greift **vollumfaenglich die DSGVO**.
+
+**Konsequenz:** Der Arbeitgeber ist nicht mehr als TK-Anbieter einzustufen. Er braucht fuer den Zugriff auf E-Mails eine DSGVO-Rechtsgrundlage (Art. 6), nicht mehr § 3 TDDDG.
+
+## Fernmeldegeheimnis — Gesetzesgeschichte
+
+- § 88 TKG → § 3 TTDSG (01.12.2021) → **§ 3 TDDDG** (Mai 2024)
+- Inhaltlich unveraendert, aber die **Anwendung auf Arbeitgeber** hat sich gewandelt
+
+## Regelungen zur Privatnutzung
+
+| Regelung | Konsequenz |
+|----------|-----------|
+| Privatnutzung **verboten** | AG darf stichprobenartig auf dienstliche E-Mails zugreifen (Art. 6 Abs. 1 lit. f) |
+| Privatnutzung **erlaubt/geduldet** | Seit 2024: DSGVO statt Fernmeldegeheimnis; trotzdem: Inhaltskontrolle nur mit Rechtsgrundlage |
+| Keine Regelung vorhanden | Duldung wird angenommen → DSGVO-Pflichten beachten |
+
+## Videokonferenzen (Teams, Zoom)
+
+- AVV mit Anbieter ist **Pflicht** (Art. 28 DSGVO)
+- Aufzeichnung nur mit **freiwilliger Einwilligung** aller Teilnehmer
+- EU-US Data Privacy Framework (seit Juli 2023) ermoeglicht Transfer an zertifizierte US-Anbieter
+
+## Praxis-Tipp
+
+Erstellen Sie eine **klare Regelung zur Privatnutzung** dienstlicher Kommunikationsmittel (Dienstanweisung/Betriebsvereinbarung). Das vermeidet Rechtsunsicherheit und schafft Transparenz fuer Beschaeftigte.',
+ ARRAY['§ 3 TDDDG', 'Art. 6 Abs. 1 DSGVO', 'Art. 28 DSGVO', '§ 87 Abs. 1 Nr. 6 BetrVG'],
+ ARRAY['e-mail', 'fernmeldegeheimnis', 'tdddg', 'privatnutzung', 'videokonferenz'],
+ 'important',
+ ARRAY[
+   'https://www.delegedata.de/2024/07/endlich-keine-anwendbarkeit-des-fernmeldegeheimnisses-fuer-arbeitgeber-bei-erlaubter-geduldeter-privater-nutzung-von-betrieblichen-e-mail-oder-internetdiensten-datenschutzbehoerde-nrw/',
+   'https://dsgvo-gesetz.de/tdddg/3-tdddg/',
+   'https://www.dr-datenschutz.de/fernmeldegeheimnis-am-arbeitsplatz-was-aendert-das-ttdsg/',
+   'https://sidit.de/blog/microsoft-teams-zoom-co-was-muessen-unternehmen-beim-einsatz-von-videokonferenz-tools-im-datenschutz-beachten/'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- Finanzdaten & PCI DSS
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('finanzdaten-kreditkarten', 'datenkategorien',
+ 'Finanzdaten, Kreditkarten und SEPA — Datenschutzanforderungen',
+ 'Finanzdaten sind keine Art.-9-Kategorie, aber hochsensibel. PCI DSS ergaenzt die DSGVO bei Kreditkartendaten. SEPA-Mandate haben eigene Speicherfristen.',
+ '## Rechtliche Einordnung
+
+Finanzdaten (IBAN, Kreditkarten, Gehalt) sind **keine** besondere Kategorie nach Art. 9 DSGVO, aber dennoch **hochsensibel** wegen des hohen Missbrauchspotenzials.
+
+**Achtung:** Lohnabrechnungen enthalten regelmaessig **Art.-9-Daten** (Kirchensteuermerkmal = Religion, Krankmeldungen = Gesundheit, Gewerkschaftsbeitrag).
+
+## Kreditkartendaten & PCI DSS
+
+Der **PCI DSS** (Payment Card Industry Data Security Standard) ergaenzt die DSGVO mit 12 Sicherheitsanforderungen:
+- Verschluesselung bei Uebertragung und Speicherung
+- Zugangsbeschraenkung nach Need-to-Know-Prinzip
+- Regelmaessige Sicherheitstests
+- Keine Speicherung von CVV/CVC nach Autorisierung
+
+Kreditkartendaten fallen als personenbezogene Daten auch unter die DSGVO.
+
+## SEPA-Lastschrift
+
+- Rechtsgrundlage: Art. 6 Abs. 1 lit. a (Einwilligung im SEPA-Mandat) oder lit. b (Vertragserfuellung)
+- Gespeicherte Daten: Name, Adresse, Kreditinstitut, IBAN
+- **Speicherdauer:** Mindestens 8 Jahre (§ 147 AO) + bis zu 2 Jahre Pruefungszeitraum = max. **10 Jahre**
+
+## Gehaltsdaten
+
+- Gehalt ist ein personenbezogenes Datum
+- Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO
+- Bei externer Lohnabrechnung: AVV nach Art. 28 DSGVO zwingend
+
+## Praxis-Tipp
+
+Fuehren Sie Finanzdaten im VVT als eigene Datenkategorie. Bei Online-Zahlungen: PCI-DSS-Compliance des Payment-Providers pruefen und im AVV dokumentieren.',
+ ARRAY['Art. 6 Abs. 1 DSGVO', '§ 147 AO', 'Art. 28 DSGVO', 'Art. 32 DSGVO'],
+ ARRAY['finanzdaten', 'kreditkarte', 'sepa', 'pci-dss', 'bankverbindung'],
+ 'info',
+ ARRAY[
+   'https://www.computerweekly.com/de/ratgeber/Datenschutz-bei-Bankdaten-und-Zahlungsverkehr',
+   'https://blog.ordix.de/sicherheit-fuer-kreditkartendatenbusiness-need-to-know-pci-dss-in-der-datenverarbeitung',
+   'https://kanzlei-lachenmann.de/datenschutz-bei-der-sepa-umstellung/'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- Minderjaehrigendaten
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('minderjaehrigendaten-art8', 'dsgvo-grundlagen',
+ 'Minderjaehrige — Einwilligung ab 16 Jahren (Art. 8 DSGVO)',
+ 'In Deutschland gilt eine starre Altersgrenze von 16 Jahren fuer die eigenstaendige Einwilligung bei Diensten der Informationsgesellschaft. Darunter braucht es die Zustimmung der Eltern.',
+ '## Art. 8 DSGVO — Einwilligung bei Kindern
+
+- Minderjaehrige koennen ab **16 Jahren** eigenstaendig in die Verarbeitung einwilligen
+- Unter 16: **Zustimmung der Erziehungsberechtigten** erforderlich
+- Deutschland hat von der Oeffnungsklausel (Absenkung auf 13 Jahre) **keinen Gebrauch gemacht**
+
+## Was ist ein "Dienst der Informationsgesellschaft"?
+
+Elektronisch, im Fernabsatz, auf individuellen Abruf erbrachte Dienstleistung:
+- Online-Shops, Apps
+- Social Media (Instagram, TikTok)
+- Lernplattformen, Schulportale
+- Newsletter
+
+## Ausserhalb von Art. 8
+
+Fuer Datenverarbeitungen **ausserhalb** von Diensten der Informationsgesellschaft (z.B. schulinterne Verwaltung) gilt: Abstellung auf die **individuelle Einsichtsfaehigkeit** des Minderjaehrigen — keine starre Altersgrenze.
+
+## ErwGr. 38 — Besonderer Schutz
+
+Kinder verdienen **besonderen Schutz**, da sie sich der Risiken, Folgen und Schutzvorkehrungen weniger bewusst sind. Dies gilt insbesondere fuer Profiling und die Erhebung von Kinderdaten fuer Marketingzwecke.
+
+## Praxis-Tipp
+
+Bei Plattformen mit minderjaehrigen Nutzern: Altersverifikation implementieren, kindgerechte Datenschutzerklaerung bereitstellen, und bei unter 16-Jaehrigen die Einwilligung der Eltern einholen und dokumentieren.',
+ ARRAY['Art. 8 DSGVO', 'ErwGr. 38 DSGVO', 'Art. 6 Abs. 1 lit. a DSGVO'],
+ ARRAY['minderjaehrige', 'kinder', 'einwilligung', 'altersgrenze', 'art8'],
+ 'important',
+ ARRAY[
+   'https://dsgvo-gesetz.de/art-8-dsgvo/',
+   'https://www.dr-datenschutz.de/datenschutz-bei-kindern-und-jugendlichen/',
+   'https://www.proliance.ai/blog/dsgvo-und-kinder-fragen-und-antworten-zum-thema-datenschutz-minderjahrige'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- =============================================================================
+-- 6. Neue Artikel: DACH-Besonderheiten
+-- =============================================================================
+
+-- Oesterreich DSG
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('oesterreich-dsg-besonderheiten', 'dach-besonderheiten',
+ 'Oesterreich — DSG-Besonderheiten im Beschaeftigtendatenschutz',
+ 'Oesterreich hat eigene Regeln zu Kontrollmassnahmen am Arbeitsplatz: Betriebsrat muss zustimmen, Menschenwuerde ist besonders geschuetzt.',
+ '## Rechtsrahmen
+
+DSGVO + oesterreichisches **DSG** + **§ 96 ArbVG** + **§ 10 AVRAG**
+
+## Kontrollmassnahmen (§ 96 Abs. 1 Z 3 ArbVG)
+
+Kontrollmassnahmen und technische Systeme zur Kontrolle der Arbeitnehmer beduerfern der **Zustimmung des Betriebsrats** (erzwingbare Mitbestimmung). Massnahmen, die die **Menschenwuerde beruehren** (z.B. Videoueberwachung, GPS), erfordern eine Betriebsvereinbarung.
+
+**In betriebsratslosen Betrieben:** Zustimmung des einzelnen Arbeitnehmers erforderlich, jederzeit widerruflich.
+
+**Zustimmungspflichtige Beispiele:**
+- Zeiterfassungssysteme
+- Videoueberwachung
+- Zugangskontrollen
+- E-Mail-Ueberwachung
+
+## Sozialversicherungsnummer (SVNR)
+
+Die oesterreichische DSB hat entschieden: Die SVNR ist **kein Gesundheitsdatum**, da sie nur aus Laufnummer + Pruefziffer + Geburtsdatum besteht (DSB-D213.692/0001-DSB/2018, bestaetigt durch BVwG W245 2236756-1).
+
+**Achtung:** Kontextabhaengig! Im Kontext einer Krankenhausbehandlung kann die Verarbeitung der SVNR dennoch als Gesundheitsdatenverarbeitung gelten.
+
+## § 39 DSG — Besondere Kategorien
+
+Oesterreich hat von der Moeglichkeit, die Einwilligung als Rechtsgrundlage fuer Art. 9 auszuschliessen, **keinen Gebrauch gemacht**. "Sensible Daten" = "besondere Kategorien" der DSGVO.',
+ ARRAY['DSGVO', '§ 96 ArbVG', '§ 10 AVRAG', '§ 39 DSG (AT)'],
+ ARRAY['oesterreich', 'dsg', 'betriebsrat', 'arbvg', 'svnr', 'dach'],
+ 'important',
+ ARRAY[
+   'https://www.bvdnet.de/en/arbeitnehmerdatenschutz-in-oesterreich/',
+   'https://www.dataprotect.at/2019/05/24/dsb-sozialversicherungsnummer-ist-kein-gesundheitsdatum/',
+   'https://www.verlagoesterreich.at/bvwg-die-sv-nummer-ist-nach-wie-vor-kein-gesundheitsdatum/99.105005-jmg202304033601'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- Schweiz revDSG
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('schweiz-revdsg-besonderheiten', 'dach-besonderheiten',
+ 'Schweiz — revDSG seit 01.09.2023: Unterschiede zur DSGVO',
+ 'Das revidierte Schweizer Datenschutzgesetz (revDSG) hat eigene Kategorien besonders schuetzenswerter Daten und kennt kein generelles Verarbeitungsverbot wie Art. 9 DSGVO.',
+ '## Besonders schuetzenswerte Personendaten (Art. 5 lit. c revDSG)
+
+1. Religioese, weltanschauliche, politische, gewerkschaftliche Ansichten
+2. Gesundheit, Intimsphaere, Rassen-/Ethniezugehoerigkeit
+3. **Genetische Daten** (neu seit revDSG)
+4. **Biometrische Daten** zur eindeutigen Identifizierung (neu)
+5. **Verwaltungs- und strafrechtliche Verfolgungen/Sanktionen** (in DSGVO: Art. 10!)
+6. **Massnahmen der sozialen Hilfe** (in DSGVO nicht separat erfasst)
+
+## Wesentliche Unterschiede zur DSGVO
+
+| Aspekt | DSGVO | revDSG |
+|--------|-------|--------|
+| Verarbeitungsverbot | Ja (Art. 9 Abs. 1) | **Nein** — Rechtfertigungsgrund erforderlich |
+| Strafrecht-Daten | Eigener Art. 10 | Teil der besonders schuetzenswerten Daten |
+| Soziale Hilfe | Nicht separat | Eigene Kategorie |
+| Sexualleben | Eigene Kategorie | Unter "Intimsphaere" |
+| Ausdrueckliche Einwilligung | Fuer Art. 9 erforderlich | Art. 6 Abs. 7 lit. a revDSG |
+
+## Beschaeftigtendaten (Art. 328b OR)
+
+Arbeitgeber duerfen nur Daten bearbeiten, die die **Eignung** des Arbeitnehmers betreffen oder fuer die **Durchfuehrung des Arbeitsvertrags** erforderlich sind.
+
+## Ueberwachung (Art. 26 ArGV 3)
+
+Ueberwachungssysteme, die das **Verhalten** der Arbeitnehmer ueberwachen sollen, sind **verboten**. Sachbezogene Ueberwachung (z.B. Sicherheit) ist zulaessig.
+
+## BGer 4A_518/2020
+
+Art. 328b OR ist kein absolutes Verbot, sondern ein **Bearbeitungsgrundsatz** (Verhaeltnismaessigkeitsprinzip).',
+ ARRAY['Art. 5 lit. c revDSG', 'Art. 328b OR', 'Art. 26 ArGV 3', 'Art. 6 Abs. 7 revDSG'],
+ ARRAY['schweiz', 'revdsg', 'dsg', 'besonders-schuetzenswert', 'dach'],
+ 'important',
+ ARRAY[
+   'https://www.edoeb.admin.ch/de/datenbearbeitung-durch-den-arbeitgeber',
+   'https://www.pwc.ch/de/insights/regulierung/besonders-schuetzenswerte-personendaten.html',
+   'https://www.edoeb.admin.ch/de/basiswissen'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- KI-Trainingsdaten
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('ki-trainingsdaten-datenschutz', 'branchenspezifisch',
+ 'KI-Trainingsdaten und Datenschutz — DSGVO + AI Act',
+ 'Personenbezogene Daten in KI-Trainingsdaten unterliegen vollumfaenglich der DSGVO. Der EU AI Act bringt zusaetzliche Anforderungen ab 2026.',
+ '## Grundsatz
+
+Personenbezogene Daten in KI-Trainingsdaten unterliegen **vollumfaenglich der DSGVO**. Fuer besondere Kategorien (Art. 9) gibt es **keine zusaetzliche Rechtfertigung** — technische Massnahmen (Filtersoftware, Anonymisierung) sind zwingend.
+
+## Rechtsgrundlagen fuer KI-Training
+
+- **Art. 6 Abs. 1 lit. f** (berechtigtes Interesse) — haeufigste Grundlage
+- **Art. 6 Abs. 1 lit. a** (Einwilligung) — bei sensiblen Daten bevorzugt
+- LfDI Baden-Wuerttemberg hat Leitlinien veroeffentlicht
+
+## EU AI Act — Relevante Fristen
+
+| Datum | Regelung |
+|-------|----------|
+| 02.02.2025 | Verbotene KI-Praktiken (Art. 5) in Kraft |
+| 02.08.2025 | Pflichten fuer KI-Modelle mit allgemeinem Verwendungszweck |
+| 02.08.2026 | Art. 101 — General Purpose AI Regelungen |
+
+## BeschDG-Entwurf und KI
+
+Das geplante Beschaeftigtendatengesetz regelt den KI-Einsatz im Arbeitsverhaeltnis:
+- **Profiling** nur in gesetzlich geregelten Faellen
+- **Menschliche Aufsicht** erforderlich
+- Bezugnahme auf den EU AI Act
+
+## EU Digital Omnibus (geplant 2026)
+
+Soll Regeln fuer KI-Trainingsdaten erweitern, insbesondere fuer oeffentlich zugaengliche Quellen. Ein **Opt-out-Recht** fuer Betroffene ist vorgesehen.
+
+## Praxis-Tipp
+
+Bei eigenem KI-Training: DSFA durchfuehren (Art. 35 DSGVO), Trainingsdaten auf Art.-9-Inhalte pruefen, Anonymisierung wo moeglich, und die AI-Act-Risikoklassifizierung dokumentieren.',
+ ARRAY['Art. 6 Abs. 1 DSGVO', 'Art. 9 DSGVO', 'Art. 35 DSGVO', 'EU AI Act Art. 5', 'EU AI Act Art. 101'],
+ ARRAY['ki', 'ai', 'trainingsdaten', 'ai-act', 'profiling'],
+ 'important',
+ ARRAY[
+   'https://www.baden-wuerttemberg.datenschutz.de/rechtsgrundlagen-datenschutz-ki/',
+   'https://www.europarl.europa.eu/topics/de/article/20230601STO93804/ki-gesetz-erste-regulierung-der-kunstlichen-intelligenz',
+   'https://www.ihk-muenchen.de/ratgeber/recht/datenschutz/ki/'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- "Aufgezwungene" besondere Kategorien
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('aufgezwungene-besondere-kategorien', 'art9-besondere',
+ 'Aufgezwungene besondere Kategorien — Wenn man Art.-9-Daten nicht vermeiden kann',
+ 'Der Hamburger Datenschutzbeauftragte hat 2024 das Problem behandelt, wenn Plattformen ueber APIs Art.-9-Daten erhalten, ohne dies kontrollieren zu koennen.',
+ '## Das Problem
+
+Plattformbetreibern werden ueber automatisierte Schnittstellen (APIs) Daten uebermittelt, die **besondere Kategorien** enthalten, ohne dass der Empfaenger dies kontrollieren kann. Beispiele:
+- Nutzer gibt in einem Freitext-Feld Gesundheitsinformationen ein
+- App uebermittelt Daten, die indirekt Religion oder Ethnie offenbaren
+- Kontaktformular enthaelt ungefragt sensible Informationen
+
+## Rechtliche Bewertung
+
+Auch **ungewollt erhaltene** Art.-9-Daten unterliegen den strengen Regeln des Art. 9 DSGVO. Der Empfaenger kann sich nicht darauf berufen, die Daten nicht angefordert zu haben.
+
+## Loesungsansaetze
+
+1. **Technische Filterung:** Automatische Erkennung und Sperrung/Pseudonymisierung sensibler Daten in Freitextfeldern
+2. **Organisatorische Massnahmen:** Sofortige Loeschung identifizierter Art.-9-Daten, die nicht benoetigt werden
+3. **Datenvermeidung:** Freitextfelder minimieren, strukturierte Eingaben bevorzugen
+4. **Transparenz:** In Datenschutzerklaerung darauf hinweisen, keine sensiblen Daten einzugeben
+
+## Praxis-Tipp
+
+Pruefen Sie bei allen Eingabeformularen und APIs, ob unstrukturierte Daten (Freitext, Datei-Uploads) Art.-9-Daten enthalten koennten. Implementieren Sie technische und organisatorische Schutzmassnahmen.',
+ ARRAY['Art. 9 DSGVO', 'Art. 5 Abs. 1 lit. c DSGVO', 'Art. 32 DSGVO'],
+ ARRAY['art9', 'aufgezwungen', 'api', 'freitext', 'plattform'],
+ 'info',
+ ARRAY[
+   'https://datenschutzbeauftragter-hamburg.de/2024/03/aufgezwungene-besondere-kategorien-personbezogener-daten/'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- Indirekte Art.-9-Daten im Alltag
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('indirekte-art9-daten-alltag', 'art9-besondere',
+ 'Indirekte Art.-9-Daten — Alltagsbeispiele und Abgrenzung',
+ 'Seit EuGH C-184/20 koennen auch alltaegliche Daten wie Kantinenbestellungen, Parkplatz-Zuweisungen oder Dienstplaneintraege unter Art. 9 fallen.',
+ '## Ueberblick
+
+Nach der **weiten Auslegung** des EuGH (C-184/20) genuegt es, wenn Art.-9-Informationen aus normalen Daten durch "gedankliche Kombination oder Ableitung" hervorgehen.
+
+## Praxisbeispiele: Indirekte Art.-9-Daten
+
+| Datum | Art.-9-Kategorie | Begruendung |
+|-------|-----------------|-------------|
+| Kantinenbestellung "halal"/"koscher" (personenbezogen) | Religion | Islamische/juedische Speisevorschriften offenbaren Glauben |
+| Dienstplan mit Jom Kippur / Eid al-Fitr | Religion | Religioese Feiertage offenbaren Konfession |
+| Parkplatz fuer Schwerbehinderte (zugeordnet) | Gesundheit | Behinderung = Gesundheitsdatum |
+| Mitgliedschaft Herzsportverein | Gesundheit | Rueckschluss auf Herzerkrankung |
+| Name gleichgeschlechtlicher Lebenspartner | Sexuelle Orientierung | EuGH C-184/20 direkt |
+| Brillenverordnung / Sehhilfe | Gesundheit | Sehschwaeche = Gesundheitszustand |
+| Allergiehinweis in Personalakte | Gesundheit | Allergie ist Gesundheitsinformation |
+| Online-Bestellung OTC-Arzneimittel | Gesundheit | EuGH C-21/23 "Lindenapotheke" |
+
+## Grenzfaelle (umstritten)
+
+| Datum | Tendenz | Argument |
+|-------|---------|----------|
+| Raucher/Nichtraucher | Eher ja (nach weiter Auslegung) | Gesundheitsrisiko-Information |
+| "Veganes Essen" Kantine | Eher nein (strittig) | Veganismus als Weltanschauung? |
+| Brillentraeger auf Bewerbungsfoto | Eher nein | Zu mittelbar |
+| Muttersprache/Akzent | Moeglich | Ethnische Herkunft ableitbar |
+
+## Loesungsansatz: Anonymisierung
+
+- Kantine: **Anonyme** Vorbestellung (nur Menge, keine Zuordnung)
+- Dienstplan: Feiertage ohne Grund angeben
+- Parkplaetze: Keine personenbezogene Zuordnung dokumentieren
+
+## Praxis-Tipp
+
+Vor jeder Datenerhebung die **Ableitung-Frage** stellen: "Koennte jemand aus diesem Datum auf Gesundheit, Religion, Ethnie, politische Meinung, Gewerkschafts-Zugehoerigkeit oder sexuelle Orientierung schliessen?" Wenn ja: Art. 9 beachten.',
+ ARRAY['Art. 9 DSGVO', 'Art. 4 Nr. 15 DSGVO', 'ErwGr. 35 DSGVO'],
+ ARRAY['art9', 'indirekt', 'kantine', 'alltag', 'abgrenzung', 'praxis'],
+ 'important',
+ ARRAY[
+   'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
+   'https://curia.europa.eu/juris/document/document.jsf?docid=290696&doclang=DE',
+   'https://www.dr-datenschutz.de/skurrile-gesundheitsdaten/',
+   'https://www.dr-datenschutz.de/sensible-daten-nach-der-dsgvo-definition-beispiele/'
+ ])
+ON CONFLICT (id) DO NOTHING;
+
+-- Kundendaten & CRM
+INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
+('kundendaten-crm-tdddg', 'datenkategorien',
+ 'Kundendaten im CRM — DSGVO-Anforderungen und Speicherfristen',
+ 'Die DSGVO unterscheidet nicht zwischen B2B und B2C — auch Daten von Unternehmensvertretern sind personenbezogen. Das TDDDG definiert Bestands-, Nutzungs- und Inhaltsdaten.',
+ '## TDDDG-Datenkategorien (seit Mai 2024)
+
+| Kategorie | Definition | Beispiel |
+|-----------|-----------|---------|
+| **Bestandsdaten** (§ 21 TDDDG) | Fuer Vertragsbegruendung/-aenderung erforderlich | Name, Adresse, Vertragsdaten |
+| **Nutzungsdaten** (§ 24 TDDDG) | Fuer Nutzungsermittlung/-abrechnung | Login-Zeiten, genutzte Dienste |
+| **Inhaltsdaten** | Die uebermittelten Inhalte selbst | E-Mail-Text, Chat-Nachrichten |
+
+## B2B-Kontaktdaten
+
+Die DSGVO unterscheidet **nicht** zwischen B2B und B2C. Auch Daten von Unternehmensvertretern (Name, E-Mail, Telefon) sind **personenbezogen**.
+
+- **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f (berechtigtes Interesse) — typisch fuer geschaeftliche Kontaktdaten
+- **Informationspflicht:** Art. 13 DSGVO gilt vollumfaenglich, auch bei B2B
+- **Widerspruchsrecht:** Muss stets respektiert werden
+
+## Kaufhistorie & Zahlungsdaten
+
+- **Rechtsgrundlage:** Art. 6 Abs. 1 lit. b (Vertragserfuellung)
+- **Speicherfrist:** Rechnungsdaten 8 Jahre (§ 147 AO); Bestelldaten ohne Kundenkonto nach ca. 6 Monaten loeschen
+- **Grundsatz der Datenminimierung:** Nur so viele Daten wie noetig
+
+## Praxis-Tipp
+
+Fuehren Sie im VVT separate Verarbeitungstaetigkeiten fuer "Kundenmanagement (CRM)" und "Buchhaltung". Dokumentieren Sie pro Datenkategorie die Speicherfrist und Rechtsgrundlage.',
+ ARRAY['§ 21 TDDDG', '§ 24 TDDDG', 'Art. 6 Abs. 1 lit. f DSGVO', 'Art. 13 DSGVO', '§ 147 AO'],
+ ARRAY['kundendaten', 'crm', 'b2b', 'tdddg', 'kaufhistorie', 'speicherfrist'],
+ 'info',
+ ARRAY[
+   'https://dsgvo-gesetz.de/tdddg/21-tdddg/',
+   'https://www.dr-datenschutz.de/rechtsgrundlage-fuer-die-weitergabe-von-kontaktdaten-im-b2b-bereich/',
+   'https://dsgvo-vorlagen.de/dsgvo-und-der-umgang-mit-kundendaten',
+   'https://www.proliance.ai/blog/aufbewahrungsfristen-loschfristen-nach-dsgvo'
+ ])
+ON CONFLICT (id) DO NOTHING;