Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat(document-generator): 33 policy + module document templates
Some checks failed
CI/CD / go-lint (push) Has been skipped
Details
CI/CD / python-lint (push) Has been skipped
Details
CI/CD / nodejs-lint (push) Has been skipped
Details
CI/CD / test-go-ai-compliance (push) Failing after 36s
Details
CI/CD / test-python-backend-compliance (push) Successful in 34s
Details
CI/CD / test-python-document-crawler (push) Successful in 25s
Details
CI/CD / test-python-dsms-gateway (push) Successful in 18s
Details
CI/CD / validate-canonical-controls (push) Successful in 11s
Details
CI/CD / Deploy (push) Has been skipped
Details

Browse Source 
- Migration 071: 14 IT-Security policy templates (ISO 27001/BSI)
  information_security, access_control, password, encryption, logging,
  backup, incident_response, change_management, patch_management,
  asset_management, cloud_security, devsecops, secrets_management,
  vulnerability_management
- Migration 072: 15 Data/HR/Vendor/BCM policy templates
  data_protection, data_classification, data_retention, data_transfer,
  privacy_incident, employee_security, security_awareness, remote_work,
  offboarding, vendor_risk_management, third_party_security,
  supplier_security, business_continuity, disaster_recovery,
  crisis_management
- Migration 073: 4 module document reference templates
  vvt_register, tom_documentation, loeschkonzept, pflichtenregister
- TemplateType union: 17 → 61 types with German labels
- VALID_DOCUMENT_TYPES: +6 types (cybersecurity_policy, dsfa, 4 module docs)
- CATEGORIES: new "DSGVO-Dokumente" category for module documents

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-03-19 23:27:25 +01:00
parent 5dd7a27336
commit 1cc34c23d9
6 changed files with 4919 additions and 2 deletions
Download Patch File Download Diff File Expand all files Collapse all files

9
backend-compliance/compliance/api/legal_template_routes.py
View File

@@ -92,6 +92,15 @@ VALID_DOCUMENT_TYPES = {
"business_continuity_policy",
"disaster_recovery_policy",
"crisis_management_policy",
# CRA Cybersecurity (Migration 056)
"cybersecurity_policy",
# DSFA template
"dsfa",
# Module document templates (Migration 073)
"vvt_register",
"tom_documentation",
"loeschkonzept",
"pflichtenregister",
}
VALID_STATUSES = {"published", "draft", "archived"}

1731
backend-compliance/migrations/071_policy_templates_it_security.sql Normal file
View File

File diff suppressed because it is too large Load Diff

2203
backend-compliance/migrations/072_policy_templates_data_hr_vendor_bcm.sql Normal file
View File

File diff suppressed because it is too large Load Diff

873
backend-compliance/migrations/073_module_document_templates.sql Normal file
View File

@@ -0,0 +1,873 @@
-- Migration 073: Module Document Templates
-- Reference templates for VVT, TOM, Loeschfristen and Pflichten modules
-- These match the structure of the module-specific document generators
-- and enable versioning in the document-generator
-- ===========================================================================
-- Template 1: VVT — Verarbeitungsverzeichnis (Art. 30 DSGVO)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'vvt_register',
'Verarbeitungsverzeichnis (Art. 30 DSGVO)',
'Vollstaendiges Verzeichnis von Verarbeitungstaetigkeiten gemaess Art. 30 Abs. 1 DSGVO. Dokumentiert alle Verarbeitungen mit Rechtsgrundlagen, Datenkategorien, Empfaengern, Drittlandtransfers und Loeschfristen.',
$template$# Verarbeitungsverzeichnis (Art. 30 DSGVO)
## Dokumentenkontrolle
| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Dokumenttyp | Verzeichnis von Verarbeitungstaetigkeiten |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Klassifizierung | Vertraulich |
| Datenschutzbeauftragter | {{DPO_NAME}} |
| Kontakt DSB | {{DPO_CONTACT}} |
| Verantwortlicher | {{RESPONSIBLE_PERSON}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
### Aenderungshistorie
| Version | Datum | Autor | Aenderung |
|---------|-------|-------|-----------|
| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{DPO_NAME}} | Erstfassung |
---
## 1. Ziel und Zweck
Dieses Verarbeitungsverzeichnis dient der Dokumentation aller Verarbeitungstaetigkeiten von **{{COMPANY_NAME}}** gemaess Art. 30 Abs. 1 DSGVO. Es enthaelt saemtliche Pflichtangaben und wird regelmaessig auf Vollstaendigkeit und Aktualitaet geprueft.
### Gesetzliche Grundlage
| Rechtsgrundlage | Inhalt |
|-----------------|--------|
| **Art. 30 Abs. 1 DSGVO** | Pflicht des Verantwortlichen, ein Verzeichnis aller Verarbeitungstaetigkeiten zu fuehren |
| **Art. 30 Abs. 2 DSGVO** | Pflicht des Auftragsverarbeiters, ein Verzeichnis aller Kategorien von Verarbeitungstaetigkeiten zu fuehren |
| **Art. 30 Abs. 4 DSGVO** | Bereitstellungspflicht gegenueber der Aufsichtsbehoerde |
| **Art. 5 Abs. 2 DSGVO** | Rechenschaftspflicht Nachweis der Einhaltung der DSGVO-Grundsaetze |
---
## 2. Organisation und Verantwortlichkeiten
| Rolle | Person / Abteilung |
|-------|--------------------|
| Verantwortlicher (Art. 4 Nr. 7) | {{RESPONSIBLE_PERSON}} |
| Datenschutzbeauftragter (Art. 37-39) | {{DPO_NAME}} ({{DPO_CONTACT}}) |
| VVT-Pflege | Fachabteilungen in Abstimmung mit DSB |
**Hinweis:** Jede Fachabteilung ist verpflichtet, neue Verarbeitungstaetigkeiten vor deren Beginn beim DSB zu melden. Aenderungen an bestehenden Verarbeitungen sind unverzueglich zu kommunizieren.
---
## 3. Verarbeitungstaetigkeiten (Art. 30 Abs. 1)
### Pflichtangaben je Verarbeitungstaetigkeit
Fuer jede Verarbeitungstaetigkeit werden folgende Pflichtfelder nach Art. 30 DSGVO dokumentiert:
| Pflichtfeld (Art. 30) | Beschreibung |
|------------------------|-------------|
| **VVT-Nr.** | Eindeutige Kennung der Verarbeitungstaetigkeit |
| **Bezeichnung** | Bezeichnung der Verarbeitungstaetigkeit |
| **Verantwortlicher** | Name und Kontaktdaten des Verantwortlichen |
| **Geschaeftsbereich** | Zustaendige Organisationseinheit |
| **Zwecke der Verarbeitung** | Beschreibung aller Verarbeitungszwecke |
| **Rechtsgrundlage(n)** | Art. 6 Abs. 1 lit. a-f DSGVO; ggf. Art. 9 Abs. 2 DSGVO |
| **Kategorien betroffener Personen** | z.B. Mitarbeiter, Kunden, Lieferanten, Schueler |
| **Kategorien personenbezogener Daten** | z.B. Stammdaten, Kontaktdaten, Vertragsdaten; Art. 9-Kategorien gesondert kennzeichnen |
| **Empfaengerkategorien** | Intern, extern, Auftragsverarbeiter, Behoerden |
| **Uebermittlung an Drittlaender** | Zielland, Empfaenger, Transfermechanismus (Art. 44-49) |
| **Loeschfristen** | Vorgesehene Fristen fuer die Loeschung, Rechtsgrundlage, Verfahren |
| **TOM (Art. 32)** | Beschreibung der technischen und organisatorischen Massnahmen |
### Verarbeitungsuebersicht
*Die konkreten Verarbeitungstaetigkeiten werden vom VVT-Modul automatisch in das Dokument eingefuegt. Jede Verarbeitungstaetigkeit wird als separate Detailkarte mit allen Pflichtfeldern dargestellt.*
| VVT-Nr. | Bezeichnung | Geschaeftsbereich | Rechtsgrundlage | Status |
|----------|-------------|-------------------|-----------------|--------|
| *Wird automatisch befuellt* | | | | |
### Detailkarten
Fuer jede Verarbeitungstaetigkeit wird eine Detailkarte erstellt mit:
- Alle Pflichtangaben nach Art. 30 in tabellarischer Form
- Kennzeichnung besonderer Kategorien (Art. 9 DSGVO)
- Kennzeichnung DSFA-Pflicht (Art. 35 DSGVO)
- Kennzeichnung Drittlanduebermittlung (Art. 44-49 DSGVO)
- Strukturierte TOMs nach Kategorie (Zugriffskontrolle, Vertraulichkeit, Integritaet, Verfuegbarkeit, Trennbarkeit)
- Schutzniveau und Deployment-Modell
---
## 4. Auftragsverarbeiter (Art. 30 Abs. 2)
Sofern **{{COMPANY_NAME}}** als Auftragsverarbeiter taetig ist, wird ein separates Verzeichnis nach Art. 30 Abs. 2 DSGVO gefuehrt. Dieses enthaelt:
| Pflichtfeld (Art. 30 Abs. 2) | Beschreibung |
|-------------------------------|-------------|
| Name und Kontaktdaten des Auftragsverarbeiters | {{COMPANY_NAME}} |
| Kategorien von Verarbeitungen | Art der im Auftrag durchgefuehrten Verarbeitungen |
| Name und Kontaktdaten des Verantwortlichen | Auftraggeber |
| Uebermittlungen in Drittlaender | Zielland, Empfaenger, Garantien |
| Technische und organisatorische Massnahmen | Art. 32 DSGVO |
---
## 5. TOM-Beschreibung (Art. 32 DSGVO)
Fuer jede Verarbeitungstaetigkeit werden die technischen und organisatorischen Massnahmen dokumentiert:
| Kategorie | Beschreibung |
|-----------|-------------|
| **Zugriffskontrolle** | Massnahmen zur Steuerung des Zugriffs auf personenbezogene Daten |
| **Vertraulichkeit** | Verschluesselung, Pseudonymisierung, Zutrittskontrolle |
| **Integritaet** | Eingabekontrolle, Weitergabekontrolle, Protokollierung |
| **Verfuegbarkeit** | Backup, Redundanz, Disaster Recovery |
| **Trennbarkeit** | Mandantentrennung, Zweckbindung |
**Verweis:** Die vollstaendige TOM-Dokumentation wird im separaten TOM-Modul gefuehrt und hier je Verarbeitungstaetigkeit referenziert.
---
## 6. Pruefverfahren und Revision
| Eigenschaft | Wert |
|-------------|------|
| Pruefintervall | Jaehrlich |
| Letzte Pruefung | {{VERSION_DATE}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
| Aktuelle Version | {{DOCUMENT_VERSION}} |
### Pruefpunkte
Bei jeder Pruefung wird das VVT auf folgende Punkte ueberprueft:
- Vollstaendigkeit: Sind alle Verarbeitungstaetigkeiten erfasst?
- Aktualitaet: Stimmen die Angaben noch mit der Praxis ueberein?
- Art. 30-Konformitaet: Enthalten alle Eintraege die Pflichtangaben?
- Art. 9-Kennzeichnung: Sind besondere Kategorien korrekt markiert?
- Drittlandtransfers: Sind Transfermechanismen dokumentiert?
- Loeschfristen: Sind Aufbewahrungsfristen definiert und aktuell?
- TOM-Verweise: Sind Massnahmen je Verarbeitung beschrieben?
---
*Dieses Dokument wird automatisch vom VVT-Modul generiert und enthaelt alle erfassten Verarbeitungstaetigkeiten mit vollstaendigen Pflichtangaben nach Art. 30 DSGVO.*
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}*
$template$,
'["COMPANY_NAME","DPO_NAME","DPO_CONTACT","RESPONSIBLE_PERSON","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'vvt_register'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
-- ===========================================================================
-- Template 2: TOM — TOM-Dokumentation (Art. 32 DSGVO)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'tom_documentation',
'TOM-Dokumentation (Art. 32 DSGVO)',
'Dokumentation aller technischen und organisatorischen Massnahmen gemaess Art. 32 DSGVO. Umfasst Schutzbedarf, Risikoprofil, Massnahmenkatalog nach Kategorie, SDM-Gewaehrleistungsziele und Compliance-Status.',
$template$# TOM-Dokumentation (Art. 32 DSGVO)
## Dokumentenkontrolle
| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Dokumenttyp | Technische und Organisatorische Massnahmen |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Klassifizierung | Vertraulich |
| IT-Sicherheitsbeauftragter | {{ISB_NAME}} |
| Datenschutzbeauftragter | {{DPO_NAME}} |
| Geschaeftsfuehrung | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
### Aenderungshistorie
| Version | Datum | Autor | Aenderung |
|---------|-------|-------|-----------|
| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Erstfassung |
---
## 1. Ziel und Zweck
Diese TOM-Dokumentation beschreibt die technischen und organisatorischen Massnahmen zum Schutz personenbezogener Daten bei **{{COMPANY_NAME}}**. Sie dient der Umsetzung folgender DSGVO-Anforderungen:
| Rechtsgrundlage | Inhalt |
|-----------------|--------|
| **Art. 32 Abs. 1 lit. a DSGVO** | Pseudonymisierung und Verschluesselung personenbezogener Daten |
| **Art. 32 Abs. 1 lit. b DSGVO** | Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Systeme auf Dauer sicherstellen |
| **Art. 32 Abs. 1 lit. c DSGVO** | Rasche Wiederherstellung der Verfuegbarkeit bei physischem oder technischem Zwischenfall |
| **Art. 32 Abs. 1 lit. d DSGVO** | Regelmaessige Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit der Massnahmen |
Die TOM-Dokumentation ist fester Bestandteil des Datenschutz-Managementsystems und wird regelmaessig ueberprueft und aktualisiert.
---
## 2. Geltungsbereich
Diese TOM-Dokumentation gilt fuer alle IT-Systeme, Anwendungen und Verarbeitungsprozesse von **{{COMPANY_NAME}}**. Die dokumentierten Massnahmen stammen aus zwei Quellen:
- **Embedded Library (TOM-xxx):** Integrierte Kontrollbibliothek mit spezifischen Massnahmen fuer Art. 32 DSGVO
- **Canonical Control Library (CP-CLIB):** Uebergreifende Kontrollbibliothek mit framework-uebergreifenden Massnahmen
---
## 3. Grundprinzipien Art. 32
- **Vertraulichkeit:** Schutz personenbezogener Daten vor unbefugter Kenntnisnahme durch Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle und Verschluesselung (Art. 32 Abs. 1 lit. b DSGVO).
- **Integritaet:** Sicherstellung, dass personenbezogene Daten nicht unbefugt oder unbeabsichtigt veraendert werden koennen, durch Eingabekontrolle, Weitergabekontrolle und Protokollierung (Art. 32 Abs. 1 lit. b DSGVO).
- **Verfuegbarkeit und Belastbarkeit:** Gewaehrleistung, dass Systeme und Dienste bei Lastspitzen und Stoerungen zuverlaessig funktionieren, durch Backup, Redundanz und Disaster Recovery (Art. 32 Abs. 1 lit. b DSGVO).
- **Rasche Wiederherstellbarkeit:** Faehigkeit, nach einem physischen oder technischen Zwischenfall Daten und Systeme schnell wiederherzustellen, durch getestete Recovery-Prozesse (Art. 32 Abs. 1 lit. c DSGVO).
- **Regelmaessige Wirksamkeitspruefung:** Verfahren zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit aller technischen und organisatorischen Massnahmen (Art. 32 Abs. 1 lit. d DSGVO).
---
## 4. Schutzbedarf und Risikoanalyse
Die Schutzbedarfsanalyse bildet die Grundlage fuer die Auswahl und Priorisierung der Massnahmen.
| Kriterium | Bewertung |
|-----------|-----------|
| Vertraulichkeit | *Wird vom TOM-Generator automatisch ermittelt* |
| Integritaet | *Wird vom TOM-Generator automatisch ermittelt* |
| Verfuegbarkeit | *Wird vom TOM-Generator automatisch ermittelt* |
| Schutzniveau | *Basiert auf CIA-Bewertung* |
| DSFA-Pflicht | *Wird automatisch berechnet* |
**Hinweis:** Die detaillierte Schutzbedarfsanalyse wird im TOM-Modul ueber den Risiko-Wizard durchgefuehrt. Die Ergebnisse fliessen automatisch in die Massnahmenauswahl ein.
---
## 5. Massnahmenkatalog
### 5.1 Zutrittskontrolle
Massnahmen zur Verhinderung des unbefugten Zutritts zu Datenverarbeitungsanlagen.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.2 Zugangskontrolle
Massnahmen zur Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.3 Zugriffskontrolle
Massnahmen, die gewaehrleisten, dass ausschliesslich berechtigte Personen auf Daten zugreifen koennen.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.4 Weitergabekontrolle
Massnahmen zum Schutz personenbezogener Daten bei elektronischer Uebertragung und Transport.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.5 Eingabekontrolle
Massnahmen zur nachtraeglichen Ueberpruefung, ob und von wem Daten eingegeben, veraendert oder entfernt worden sind.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.6 Auftragskontrolle
Massnahmen, die gewaehrleisten, dass personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.7 Verschluesselung und Pseudonymisierung
Massnahmen zur Pseudonymisierung und Verschluesselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO).
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.8 Verfuegbarkeit und Belastbarkeit
Massnahmen zur Gewaehrleistung der Verfuegbarkeit und Belastbarkeit der Systeme (Art. 32 Abs. 1 lit. b DSGVO).
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.9 Wiederherstellbarkeit
Massnahmen zur raschen Wiederherstellung der Verfuegbarkeit nach einem Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO).
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.10 Ueberpruefung und Bewertung
Verfahren zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO).
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
---
## 6. SDM Gewaehrleistungsziele
Das Standard-Datenschutzmodell (SDM) definiert sieben Gewaehrleistungsziele. Die implementierten Massnahmen decken folgende Ziele ab:
| Gewaehrleistungsziel | Abgedeckt | Gesamt | Abdeckung (%) |
|----------------------|-----------|--------|---------------|
| Verfuegbarkeit | *automatisch* | | |
| Integritaet | *automatisch* | | |
| Vertraulichkeit | *automatisch* | | |
| Nichtverkettung | *automatisch* | | |
| Intervenierbarkeit | *automatisch* | | |
| Transparenz | *automatisch* | | |
| Datenminimierung | *automatisch* | | |
---
## 7. Verantwortlichkeiten
| Rolle | Aufgabe |
|-------|---------|
| Geschaeftsfuehrung ({{GF_NAME}}) | Gesamtverantwortung, Freigabe der TOM-Dokumentation |
| IT-Sicherheitsbeauftragter ({{ISB_NAME}}) | Pflege und Umsetzung technischer Massnahmen |
| Datenschutzbeauftragter ({{DPO_NAME}}) | Ueberwachung, Beratung, Compliance-Check |
| Fachabteilungen | Umsetzung organisatorischer Massnahmen, Meldepflicht |
---
## 8. Compliance-Status
*Der aktuelle Compliance-Score wird vom TOM-Modul automatisch berechnet und enthaelt Befunde nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig).*
| Kennzahl | Wert |
|----------|------|
| Gepruefte Massnahmen | *automatisch* |
| Bestanden | *automatisch* |
| Beanstandungen | *automatisch* |
---
## 9. Pruef- und Revisionszyklus
| Eigenschaft | Wert |
|-------------|------|
| Pruefintervall | Jaehrlich |
| Letzte Pruefung | {{VERSION_DATE}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
| Aktuelle Version | {{DOCUMENT_VERSION}} |
### Pruefpunkte
- Vollstaendigkeit aller Massnahmen (neue Systeme oder Verarbeitungen erfasst?)
- Aktualitaet des Umsetzungsstatus (Aenderungen seit letzter Pruefung?)
- Wirksamkeit der technischen Massnahmen (Penetration-Tests, Audit-Ergebnisse)
- Angemessenheit der organisatorischen Massnahmen (Schulungen, Richtlinien aktuell?)
- Abdeckung aller SDM-Gewaehrleistungsziele
- Zuordnung von Verantwortlichkeiten zu allen Massnahmen
---
*Dieses Dokument wird automatisch vom TOM-Modul generiert und enthaelt alle erfassten technischen und organisatorischen Massnahmen nach Art. 32 DSGVO.*
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}*
$template$,
'["COMPANY_NAME","ISB_NAME","GF_NAME","DPO_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'tom_documentation'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
-- ===========================================================================
-- Template 3: Loeschkonzept (Art. 5/17 DSGVO)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'loeschkonzept',
'Loeschkonzept (Art. 5/17 DSGVO)',
'Systematisches Loeschkonzept gemaess Art. 5 Abs. 1 lit. e und Art. 17 DSGVO. Dokumentiert Loeschregeln, Aufbewahrungstreiber, Loeschmethoden, Legal Holds und Auftragsverarbeiter-Verknuepfungen.',
$template$# Loeschkonzept (Art. 5/17 DSGVO)
## Dokumentenkontrolle
| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Dokumenttyp | Loeschkonzept |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Klassifizierung | Vertraulich |
| Datenschutzbeauftragter | {{DPO_NAME}} |
| Kontakt DSB | {{DPO_CONTACT}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
### Aenderungshistorie
| Version | Datum | Autor | Aenderung |
|---------|-------|-------|-----------|
| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{DPO_NAME}} | Erstfassung |
---
## 1. Ziel und Zweck
Dieses Loeschkonzept definiert die systematischen Regeln und Verfahren fuer die Loeschung personenbezogener Daten bei **{{COMPANY_NAME}}**. Es dient der Umsetzung folgender DSGVO-Anforderungen:
| Rechtsgrundlage | Inhalt |
|-----------------|--------|
| **Art. 5 Abs. 1 lit. e DSGVO** | Grundsatz der Speicherbegrenzung Daten nur so lange speichern, wie fuer den Zweck erforderlich |
| **Art. 17 DSGVO** | Recht auf Loeschung ("Recht auf Vergessenwerden") Betroffene koennen Loeschung verlangen |
| **Art. 30 DSGVO** | Verzeichnis von Verarbeitungstaetigkeiten Loeschfristen muessen dokumentiert werden |
| **Art. 25 DSGVO** | Datenschutz durch Technikgestaltung Loeschmechanismen moeglichst automatisiert |
Das Loeschkonzept ist fester Bestandteil des Datenschutz-Managementsystems und wird regelmaessig ueberprueft und aktualisiert.
---
## 2. Rechtsgrundlagen und Aufbewahrungstreiber
### Gesetzliche Aufbewahrungspflichten
| Aufbewahrungstreiber | Gesetz / Vorschrift | Frist |
|----------------------|---------------------|-------|
| Handelsrechtliche Aufbewahrung | § 257 HGB | 6 Jahre (Handelsbriefe), 10 Jahre (Buchungsbelege) |
| Steuerrechtliche Aufbewahrung | § 147 AO | 6 Jahre (Geschaeftsbriefe), 10 Jahre (Buchungsbelege) |
| Arbeitsrechtliche Aufbewahrung | Diverse arbeitsrechtliche Vorschriften | 3-10 Jahre je nach Dokumenttyp |
| Sozialversicherungsrechtlich | §§ 28f, 110 SGB IV | 5 Jahre |
| Produkthaftung | § 10 ProdHaftG | 10 Jahre |
| Beweissicherung | §§ 195-199 BGB | 3 Jahre (regelmaessige Verjaehrung) |
### 3-Level-Loeschlogik
Die Loeschung folgt einer dreistufigen Priorisierung:
1. **Zweckende:** Daten werden geloescht, sobald der Verarbeitungszweck entfaellt
2. **Gesetzliche Aufbewahrungspflichten:** Laengere Fristen aus HGB, AO etc. ueberschreiben Zweckende
3. **Legal Hold:** Aufbewahrungspflicht aufgrund rechtlicher Verfahren setzt alle anderen Fristen aus
---
## 3. Datenkategorien und Fristen
### Loeschregeln-Uebersicht
| LF-Nr. | Datenobjekt | Loeschtrigger | Aufbewahrungsfrist | Loeschmethode | Status |
|--------|-------------|---------------|--------------------|--------------:|--------|
| *Wird automatisch vom Loeschfristen-Modul befuellt* | | | | | |
### Detaillierte Loeschregeln
Fuer jede Loeschregel werden folgende Informationen dokumentiert:
| Feld | Beschreibung |
|------|-------------|
| Beschreibung | Detaillierte Beschreibung der betroffenen Daten |
| Betroffenengruppen | Kategorien betroffener Personen |
| Datenkategorien | Art der personenbezogenen Daten |
| Verarbeitungszweck | Primaerer Zweck der Datenverarbeitung |
| Loeschtrigger | Ereignis, das die Loeschfrist ausloest |
| Aufbewahrungstreiber | Gesetzliche Grundlage fuer die Aufbewahrung |
| Aufbewahrungsfrist | Dauer der Aufbewahrung mit Einheit |
| Startereignis | Beginn der Fristberechnung |
| Loeschmethode | Technisches Verfahren (Loeschung, Anonymisierung, Vernichtung) |
| Speicherorte | Betroffene Systeme und Datenbanken |
| Verantwortlich | Person oder Rolle |
| Pruefintervall | Frequenz der Kontrolle |
---
## 4. Loeschmethoden
| Methode | Beschreibung | Anwendung |
|---------|-------------|-----------|
| **Physische Loeschung** | Unwiderrufliches Entfernen der Daten aus allen Systemen | Standard fuer nicht mehr benoetigte Daten |
| **Anonymisierung** | Entfernen des Personenbezugs, sodass Daten nicht mehr zuordenbar sind | Statistik, Forschung, Archivierung |
| **Pseudonymisierung** | Ersetzen identifizierender Merkmale durch Pseudonyme | Zwischenschritt, kein Ersatz fuer Loeschung |
| **Physische Vernichtung** | Physische Zerstoerung der Datentraeger (Shredding, Degaussing) | Datentraeger-Entsorgung |
| **Kryptographische Loeschung** | Vernichtung der Schluessel bei verschluesselten Daten | Cloud-Umgebungen, verschluesselte Backups |
---
## 5. Verantwortlichkeiten
| Rolle | Aufgabe |
|-------|---------|
| Datenschutzbeauftragter ({{DPO_NAME}}) | Ueberwachung, Beratung, Compliance-Pruefung |
| Fachabteilungen | Definition der Zweckende, Meldung neuer Datenkategorien |
| IT-Abteilung | Technische Umsetzung der Loeschmechanismen |
| Rechtsabteilung | Bewertung gesetzlicher Aufbewahrungspflichten, Legal Hold |
---
## 6. Legal Hold Verfahren
Ein Legal Hold setzt die regulaere Loeschung aus. Betroffene Daten duerfen trotz abgelaufener Frist nicht geloescht werden, bis der Hold aufgehoben wird.
### Verfahrensschritte
1. Rechtsabteilung / DSB identifiziert betroffene Datenkategorien
2. Legal Hold wird im System aktiviert (Status: Aktiv)
3. Automatische Loeschung wird fuer betroffene Policies ausgesetzt
4. Regelmaessige Pruefung, ob der Legal Hold noch erforderlich ist
5. Nach Aufhebung: Regulaere Loeschfristen greifen wieder
### Aktive Legal Holds
*Wird automatisch vom Loeschfristen-Modul befuellt. Enthaelt: Datenobjekt, Grund, Rechtsgrundlage, Beginn, voraussichtliches Ende.*
---
## 7. Auftragsverarbeiter mit Loeschpflichten
Loeschregeln, die mit Auftragsverarbeitern verknuepft sind, stellen sicher, dass auch bei extern verarbeiteten Daten die Loeschpflichten eingehalten werden (Art. 28 DSGVO).
| Loeschregel | LF-Nr. | Auftragsverarbeiter | Aufbewahrungsfrist |
|-------------|--------|--------------------|--------------------|
| *Wird automatisch vom Loeschfristen-Modul befuellt* | | | |
**Hinweis:** Die vollstaendige Auftragsverarbeiter-Dokumentation wird im Vendor-Compliance-Modul gefuehrt.
---
## 8. VVT-Verknuepfung
Die Loeschregeln sind mit den Verarbeitungstaetigkeiten im Verarbeitungsverzeichnis (Art. 30 DSGVO) verknuepft:
| Loeschregel | LF-Nr. | VVT-Nr. | Verarbeitungstaetigkeit |
|-------------|--------|---------|-------------------------|
| *Wird automatisch vom Loeschfristen-Modul befuellt* | | | |
---
## 9. Compliance-Status
*Der aktuelle Compliance-Score wird vom Loeschfristen-Modul automatisch berechnet und enthaelt Befunde nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig).*
| Kennzahl | Wert |
|----------|------|
| Gepruefte Policies | *automatisch* |
| Bestanden | *automatisch* |
| Beanstandungen | *automatisch* |
---
## 10. Pruef- und Revisionszyklus
| Eigenschaft | Wert |
|-------------|------|
| Pruefintervall | Jaehrlich |
| Letzte Pruefung | {{VERSION_DATE}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
| Aktuelle Version | {{DOCUMENT_VERSION}} |
### Pruefpunkte
- Vollstaendigkeit aller Loeschregeln (neue Verarbeitungen erfasst?)
- Aktualitaet der gesetzlichen Aufbewahrungsfristen
- Wirksamkeit der technischen Loeschmechanismen
- Einhaltung der definierten Loeschfristen
- Angemessenheit der Verantwortlichkeiten
- VVT-Verknuepfung vollstaendig?
---
*Dieses Dokument wird automatisch vom Loeschfristen-Modul generiert und enthaelt alle erfassten Loeschregeln mit Aufbewahrungstreibern, Fristen und Verantwortlichkeiten.*
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}*
$template$,
'["COMPANY_NAME","DPO_NAME","DPO_CONTACT","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'loeschkonzept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
-- ===========================================================================
-- Template 4: Pflichtenregister (DSGVO/AI-Act)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'pflichtenregister',
'Pflichtenregister (DSGVO/AI-Act)',
'Vollstaendiges Pflichtenregister fuer alle regulatorischen Pflichten aus DSGVO, AI Act, NIS2 und BDSG. Dokumentiert Pflichten, Verantwortlichkeiten, Fristen, Nachweise und Compliance-Status.',
$template$# Pflichtenregister (DSGVO / AI Act / NIS2)
## Dokumentenkontrolle
| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Dokumenttyp | Pflichtenregister |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Klassifizierung | Vertraulich |
| Datenschutzbeauftragter | {{DPO_NAME}} |
| Kontakt DSB | {{DPO_CONTACT}} |
| Verantwortlicher | {{RESPONSIBLE_PERSON}} |
| Rechtsabteilung | {{LEGAL_DEPARTMENT}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
### Aenderungshistorie
| Version | Datum | Autor | Aenderung |
|---------|-------|-------|-----------|
| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{DPO_NAME}} | Erstfassung |
---
## 1. Ziel und Zweck
Dieses Pflichtenregister dokumentiert alle regulatorischen Pflichten, denen **{{COMPANY_NAME}}** unterliegt. Es dient der systematischen Erfassung, Ueberwachung und Nachverfolgung aller Compliance-Anforderungen aus den anwendbaren Regulierungen.
### Zwecke des Registers
- Vollstaendige Erfassung aller anwendbaren regulatorischen Pflichten
- Zuordnung von Verantwortlichkeiten und Fristen
- Nachverfolgung des Umsetzungsstatus
- Dokumentation von Nachweisen fuer Audits
- Identifikation von Compliance-Luecken und Handlungsbedarf
### Rechtsrahmen
| Rechtsrahmen | Relevanz |
|-------------|----------|
| **DSGVO (EU) 2016/679** | Datenschutz-Grundverordnung Kernregulierung fuer personenbezogene Daten |
| **AI Act (EU) 2024/1689** | KI-Verordnung Anforderungen an KI-Systeme nach Risikoklasse |
| **NIS2 (EU) 2022/2555** | Netzwerk- und Informationssicherheit Cybersicherheitspflichten |
| **BDSG** | Bundesdatenschutzgesetz Nationale Ergaenzung zur DSGVO |
---
## 2. Geltungsbereich
Dieses Pflichtenregister gilt fuer alle Geschaeftsprozesse und IT-Systeme von **{{COMPANY_NAME}}**. Es umfasst Pflichten aus allen anwendbaren Regulierungen, gruppiert nach Rechtsquelle.
### Anwendbare Regulierungen
| Regulierung | Anzahl Pflichten | Status |
|-------------|-----------------|--------|
| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | |
---
## 3. Methodik
Die Identifikation und Bewertung der Pflichten erfolgt in drei Schritten:
1. **Pflicht-Identifikation:** Systematische Analyse aller anwendbaren Regulierungen und Extraktion der einzelnen Pflichten mit Artikel-Referenz, Beschreibung und Zielgruppe.
2. **Bewertung und Priorisierung:** Jede Pflicht wird nach Prioritaet (kritisch, hoch, mittel, niedrig) und Dringlichkeit (Frist) bewertet. Die Bewertung basiert auf dem Risikopotenzial bei Nichterfuellung.
3. **Ueberwachung und Nachverfolgung:** Regelmaessige Pruefung des Umsetzungsstatus, Aktualisierung der Fristen und Dokumentation von Nachweisen.
Die Pflichten werden ueber einen automatisierten Compliance-Check geprueft, der 11 Kriterien umfasst (siehe Abschnitt 10: Compliance-Status).
---
## 4. Regulatorische Grundlagen
| Regulierung | Pflichten | Kritisch | Hoch | Mittel | Niedrig | Abgeschlossen |
|-------------|----------|----------|------|--------|---------|---------------|
| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | | | | |
---
## 5. Pflichtenuebersicht
Uebersicht aller Pflichten nach Regulierung und Status:
| Regulierung | Gesamt | Ausstehend | In Bearbeitung | Abgeschlossen | Ueberfaellig |
|-------------|--------|------------|----------------|---------------|--------------|
| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | | | |
---
## 6. Detaillierte Pflichten
Fuer jede Pflicht werden folgende Informationen als Detailkarte dokumentiert:
| Feld | Beschreibung |
|------|-------------|
| Rechtsquelle | Regulierung und Artikel-Referenz |
| Beschreibung | Detaillierte Beschreibung der Pflicht |
| Prioritaet | Kritisch / Hoch / Mittel / Niedrig |
| Status | Ausstehend / In Bearbeitung / Abgeschlossen / Ueberfaellig |
| Verantwortlich | Person oder Abteilung |
| Frist | Umsetzungsfrist |
| Nachweise | Dokumentierte Belege fuer die Umsetzung |
| Betroffene Systeme | IT-Systeme, die von der Pflicht betroffen sind |
| Notizen | Zusaetzliche Anmerkungen und Handlungsempfehlungen |
### Pflichten nach Regulierung
*Die einzelnen Pflichten werden vom Pflichtenregister-Modul automatisch nach Rechtsquelle gruppiert und als Detailkarten mit allen Feldern in das Dokument eingefuegt. Die Sortierung erfolgt nach Prioritaet (kritisch zuerst).*
---
## 7. Verantwortlichkeiten
| Verantwortlich | Pflichten | Anzahl | Davon offen |
|----------------|----------|--------|-------------|
| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | |
### Rollenmatrix
| Rolle | Aufgabe |
|-------|---------|
| Verantwortlicher ({{RESPONSIBLE_PERSON}}) | Gesamtverantwortung fuer Compliance |
| Datenschutzbeauftragter ({{DPO_NAME}}) | Ueberwachung DSGVO-Pflichten, Beratung |
| Rechtsabteilung ({{LEGAL_DEPARTMENT}}) | Bewertung regulatorischer Aenderungen, NIS2/AI-Act |
| Fachabteilungen | Umsetzung zugewiesener Pflichten |
| IT-Abteilung | Umsetzung technischer Anforderungen |
---
## 8. Fristen-Uebersicht
### Ueberfaellige Pflichten
| Pflicht | Regulierung | Frist | Tage ueberfaellig | Prioritaet |
|---------|-------------|-------|--------------------:|-----------|
| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | | |
### Anstehende Fristen
| Pflicht | Regulierung | Frist | Verbleibend | Verantwortlich |
|---------|-------------|-------|-------------|----------------|
| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | | |
---
## 9. Nachweisregister
Dokumentation der Nachweise (Evidence) fuer die Umsetzung der Pflichten:
| Pflicht | Regulierung | Nachweise | Status |
|---------|-------------|-----------|--------|
| *Wird automatisch vom Pflichtenregister-Modul befuellt* | | | |
### Pflichten ohne Nachweise
*Das Modul identifiziert automatisch alle Pflichten, fuer die noch keine Nachweise hinterlegt wurden, und listet diese als Handlungsbedarf auf.*
---
## 10. Compliance-Status
*Der aktuelle Compliance-Score wird vom Pflichtenregister-Modul automatisch berechnet. Der Check umfasst 11 Kriterien und bewertet Befunde nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig).*
| Kennzahl | Wert |
|----------|------|
| Compliance-Score | *automatisch (0-100)* |
| Befunde gesamt | *automatisch* |
| Kritisch | *automatisch* |
| Hoch | *automatisch* |
| Mittel | *automatisch* |
| Niedrig | *automatisch* |
### Befunde und Empfehlungen
| Schweregrad | Befund | Betroffene Pflichten | Empfehlung |
|-------------|--------|---------------------|------------|
| *Wird automatisch vom Compliance-Check befuellt* | | | |
---
## 11. Pruef- und Revisionszyklus
| Eigenschaft | Wert |
|-------------|------|
| Pruefintervall | Jaehrlich |
| Letzte Pruefung | {{VERSION_DATE}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
| Aktuelle Version | {{DOCUMENT_VERSION}} |
### Pruefpunkte
- Vollstaendigkeit: Sind alle anwendbaren Pflichten erfasst?
- Aktualitaet: Gibt es neue Regulierungen oder Gesetzesaenderungen?
- Umsetzungsstatus: Sind ueberfaellige Pflichten eskaliert?
- Nachweise: Sind fuer alle abgeschlossenen Pflichten Belege hinterlegt?
- Verantwortlichkeiten: Sind alle Pflichten zugewiesen?
- Fristen: Sind neue Fristen aus Gesetzesaenderungen beruecksichtigt?
---
*Dieses Dokument wird automatisch vom Pflichtenregister-Modul generiert und enthaelt alle erfassten regulatorischen Pflichten mit Verantwortlichkeiten, Fristen und Nachweisen.*
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}*
$template$,
'["COMPANY_NAME","DPO_NAME","DPO_CONTACT","RESPONSIBLE_PERSON","LEGAL_DEPARTMENT","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'pflichtenregister'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);