Benjamin_Boenisch/breakpilot-compliance
1
1
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity

Merge feat/zeroclaw-compliance-agent into main

Browse Source 
Brings all compliance doc-check features:
- 162 regex checks + 1874 Master Controls
- LLM-agnostic agent with tool calling
- Banner check (46 checks, 30 CMPs, stealth, Shadow DOM)
- Impressum check (24 checks)
- Deep consent verification (DataLayer, GCM, TCF)
- CMP E2E tests (39 tests)
- HTML email reports, FAQ, persistent history

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-05-11 11:44:20 +02:00
parent e80bbe000f 2f0f76e365
commit 36c6101b91
175 changed files with 20063 additions and 1283 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend-compliance/migrations/085_dsr_process_templates.sql
+7 -7
View File
@@ -7,7 +7,7 @@ VALUES
-- ============================================================================
-- Art. 15 DSGVO — Auskunftsrecht
-- ============================================================================
(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art15',
(gen_random_uuid(), '__default__', 'dsr_process_art15',
'Prozessbeschreibung: Auskunftsrecht (Art. 15 DSGVO)', 'de', 'published',
'<h1>Prozessbeschreibung: Auskunftsrecht nach Art. 15 DSGVO</h1>
<p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -88,7 +88,7 @@ NOW(), NOW()),
-- ============================================================================
-- Art. 16 DSGVO — Recht auf Berichtigung
-- ============================================================================
(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art16',
(gen_random_uuid(), '__default__', 'dsr_process_art16',
'Prozessbeschreibung: Recht auf Berichtigung (Art. 16 DSGVO)', 'de', 'published',
'<h1>Prozessbeschreibung: Recht auf Berichtigung nach Art. 16 DSGVO</h1>
<p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -151,7 +151,7 @@ NOW(), NOW()),
-- ============================================================================
-- Art. 17 DSGVO — Recht auf Loeschung
-- ============================================================================
(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art17',
(gen_random_uuid(), '__default__', 'dsr_process_art17',
'Prozessbeschreibung: Recht auf Loeschung (Art. 17 DSGVO)', 'de', 'published',
'<h1>Prozessbeschreibung: Recht auf Loeschung nach Art. 17 DSGVO</h1>
<p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -225,7 +225,7 @@ NOW(), NOW()),
-- ============================================================================
-- Art. 18 DSGVO — Recht auf Einschraenkung der Verarbeitung
-- ============================================================================
(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art18',
(gen_random_uuid(), '__default__', 'dsr_process_art18',
'Prozessbeschreibung: Einschraenkung der Verarbeitung (Art. 18 DSGVO)', 'de', 'published',
'<h1>Prozessbeschreibung: Einschraenkung der Verarbeitung nach Art. 18 DSGVO</h1>
<p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -289,7 +289,7 @@ NOW(), NOW()),
-- ============================================================================
-- Art. 19 DSGVO — Mitteilungspflicht
-- ============================================================================
(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art19',
(gen_random_uuid(), '__default__', 'dsr_process_art19',
'Prozessbeschreibung: Mitteilungspflicht (Art. 19 DSGVO)', 'de', 'published',
'<h1>Prozessbeschreibung: Mitteilungspflicht nach Art. 19 DSGVO</h1>
<p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -344,7 +344,7 @@ NOW(), NOW()),
-- ============================================================================
-- Art. 20 DSGVO — Recht auf Datenuebertragbarkeit
-- ============================================================================
(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art20',
(gen_random_uuid(), '__default__', 'dsr_process_art20',
'Prozessbeschreibung: Datenuebertragbarkeit (Art. 20 DSGVO)', 'de', 'published',
'<h1>Prozessbeschreibung: Recht auf Datenuebertragbarkeit nach Art. 20 DSGVO</h1>
<p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
@@ -405,7 +405,7 @@ NOW(), NOW()),
-- ============================================================================
-- Art. 21 DSGVO — Widerspruchsrecht
-- ============================================================================
(gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', 'dsr_process_art21',
(gen_random_uuid(), '__default__', 'dsr_process_art21',
'Prozessbeschreibung: Widerspruchsrecht (Art. 21 DSGVO)', 'de', 'published',
'<h1>Prozessbeschreibung: Widerspruchsrecht nach Art. 21 DSGVO</h1>
<p><strong>Verantwortliche Stelle:</strong> {{FIRMENNAME}}<br/>
backend-compliance/migrations/086_agent_scans.sql
+33
View File
@@ -0,0 +1,33 @@
-- Migration 086: Agent Scan Results persistence
-- Stores scan results so they survive page reloads and can be reviewed later
CREATE TABLE IF NOT EXISTS compliance_agent_scans (
id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
tenant_id UUID NOT NULL DEFAULT '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
user_id TEXT NOT NULL DEFAULT 'default',
url TEXT NOT NULL,
scan_type TEXT NOT NULL, -- 'quick', 'scan', 'consent_test'
analysis_mode TEXT NOT NULL DEFAULT 'post_launch', -- 'pre_launch', 'post_launch'
classification TEXT,
risk_level TEXT,
risk_score FLOAT DEFAULT 0,
escalation_level TEXT,
responsible_role TEXT,
services JSONB DEFAULT '[]',
findings JSONB DEFAULT '[]',
corrections JSONB DEFAULT '[]',
consent_test JSONB,
text_references JSONB DEFAULT '[]',
mandatory_checks JSONB DEFAULT '[]',
summary_html TEXT,
pages_scanned INT DEFAULT 0,
pages_list JSONB DEFAULT '[]',
email_sent BOOLEAN DEFAULT FALSE,
email_recipient TEXT,
created_at TIMESTAMPTZ DEFAULT now()
);
CREATE INDEX IF NOT EXISTS idx_agent_scans_tenant ON compliance_agent_scans(tenant_id);
CREATE INDEX IF NOT EXISTS idx_agent_scans_url ON compliance_agent_scans(url);
CREATE INDEX IF NOT EXISTS idx_agent_scans_created ON compliance_agent_scans(created_at DESC);
CREATE INDEX IF NOT EXISTS idx_agent_scans_type ON compliance_agent_scans(scan_type);
backend-compliance/migrations/087_tom_documentation_v2.sql
+314
View File
@@ -0,0 +1,314 @@
-- Migration 087: TOM-Dokumentation v2
-- Ueberarbeitetes Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Aenderungen: Verhaeltnismaessigkeit, AVV-Kontext, erweiterte Einleitungstexte,
-- konkrete Massnahmentabellen, neuer Abschnitt 5.11 Trennungskontrolle,
-- Abschnitt 5.10 Ueberpruefung mit Patch Management
UPDATE compliance_legal_templates
SET
content = $template$# TOM-Dokumentation (Art. 32 DSGVO)
## Dokumentenkontrolle
| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Dokumenttyp | Technische und Organisatorische Massnahmen |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Klassifizierung | Vertraulich |
| IT-Sicherheitsbeauftragter | {{ISB_NAME}} |
| Datenschutzbeauftragter | {{DPO_NAME}} |
| Geschaeftsfuehrung | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
### Aenderungshistorie
| Version | Datum | Autor | Aenderung |
|---------|-------|-------|-----------|
| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Aktuelle Fassung |
---
## 1. Ziel und Zweck
Diese TOM-Dokumentation beschreibt die technischen und organisatorischen Massnahmen, die **{{COMPANY_NAME}}** zum Schutz personenbezogener Daten getroffen hat. Sie gilt sowohl als eigenstaendiges Compliance-Dokument als auch als Anlage zu Auftragsverarbeitungsvertraegen (Art. 28 Abs. 3 lit. h DSGVO).
Bei der Auswahl und Umsetzung der Massnahmen wird der Grundsatz der Verhaeltnismaessigkeit beruecksichtigt: Art und Umfang richten sich nach dem Stand der Technik, den Implementierungskosten sowie der Art, dem Umfang und den Zwecken der Verarbeitung (Art. 32 Abs. 1 DSGVO).
Die Massnahmen dienen der Umsetzung folgender DSGVO-Anforderungen:
| Rechtsgrundlage | Inhalt |
|-----------------|--------|
| **Art. 32 Abs. 1 lit. a DSGVO** | Pseudonymisierung und Verschluesselung personenbezogener Daten |
| **Art. 32 Abs. 1 lit. b DSGVO** | Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Systeme auf Dauer sicherstellen |
| **Art. 32 Abs. 1 lit. c DSGVO** | Rasche Wiederherstellung der Verfuegbarkeit bei physischem oder technischem Zwischenfall |
| **Art. 32 Abs. 1 lit. d DSGVO** | Regelmaessige Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit der Massnahmen |
Die TOM-Dokumentation ist fester Bestandteil des Datenschutz-Managementsystems und wird regelmaessig ueberprueft und aktualisiert.
---
## 2. Geltungsbereich
Diese TOM-Dokumentation gilt fuer alle IT-Systeme, Anwendungen und Verarbeitungsprozesse von **{{COMPANY_NAME}}**. Die dokumentierten Massnahmen stammen aus zwei Quellen:
- **Embedded Library (TOM-xxx):** Integrierte Kontrollbibliothek mit spezifischen Massnahmen fuer Art. 32 DSGVO
- **Canonical Control Library (CP-CLIB):** Uebergreifende Kontrollbibliothek mit framework-uebergreifenden Massnahmen
---
## 3. Grundprinzipien Art. 32
- **Vertraulichkeit:** Schutz personenbezogener Daten vor unbefugter Kenntnisnahme durch Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle und Verschluesselung (Art. 32 Abs. 1 lit. b DSGVO).
- **Integritaet:** Sicherstellung, dass personenbezogene Daten nicht unbefugt oder unbeabsichtigt veraendert werden koennen, durch Eingabekontrolle, Weitergabekontrolle und Protokollierung (Art. 32 Abs. 1 lit. b DSGVO).
- **Verfuegbarkeit und Belastbarkeit:** Gewaehrleistung, dass Systeme und Dienste bei Lastspitzen und Stoerungen zuverlaessig funktionieren, durch Backup, Redundanz und Disaster Recovery (Art. 32 Abs. 1 lit. b DSGVO).
- **Rasche Wiederherstellbarkeit:** Faehigkeit, nach einem physischen oder technischen Zwischenfall Daten und Systeme schnell wiederherzustellen, durch getestete Recovery-Prozesse (Art. 32 Abs. 1 lit. c DSGVO).
- **Regelmaessige Wirksamkeitspruefung:** Verfahren zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit aller technischen und organisatorischen Massnahmen (Art. 32 Abs. 1 lit. d DSGVO).
- **Trennbarkeit:** Gewaehrleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden (Art. 5 Abs. 1 lit. b DSGVO).
---
## 4. Schutzbedarf und Risikoanalyse
Die Schutzbedarfsanalyse bildet die Grundlage fuer die Auswahl und Priorisierung der Massnahmen.
| Kriterium | Bewertung |
|-----------|-----------|
| Vertraulichkeit | *Wird vom TOM-Generator automatisch ermittelt* |
| Integritaet | *Wird vom TOM-Generator automatisch ermittelt* |
| Verfuegbarkeit | *Wird vom TOM-Generator automatisch ermittelt* |
| Schutzniveau | *Basiert auf CIA-Bewertung* |
| DSFA-Pflicht | *Wird automatisch berechnet* |
**Hinweis:** Die detaillierte Schutzbedarfsanalyse wird im TOM-Modul ueber den Risiko-Wizard durchgefuehrt. Die Ergebnisse fliessen automatisch in die Massnahmenauswahl ein.
---
## 5. Massnahmenkatalog
### 5.1 Zutrittskontrolle
Der physische Zugang zu Raeumen und Gebaeuden, in denen personenbezogene Daten verarbeitet oder gespeichert werden, ist durch geeignete Massnahmen beschraenkt. Zutrittsberechtigungen werden nach dem Need-to-know-Prinzip vergeben, dokumentiert und regelmaessig ueberprueft. Zutritte zu gesicherten Bereichen (Serverraeume, Netzwerkinfrastruktur) werden protokolliert.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Elektronisches Zutrittskontrollsystem (Chipkarte/Transponder) | Technisch | *automatisch* | |
| Mechanische Schliesssysteme mit dokumentierter Schluesselausgabe | Technisch | *automatisch* | |
| Videoueberwachung der Zugaenge (unter Beachtung der DSGVO) | Technisch | *automatisch* | |
| Sicherheitsschloesser und abschliessbare Serverschraenke | Technisch | *automatisch* | |
| Empfangskontrolle mit Besucherprotokollierung | Organisatorisch | *automatisch* | |
| Tragepflicht von Zugangsausweisen | Organisatorisch | *automatisch* | |
| Sorgfaeltige Auswahl und Verpflichtung von Fremdpersonal | Organisatorisch | *automatisch* | |
| Automatische Protokollierung aller Zutrittsereignisse | Technisch | *automatisch* | |
### 5.2 Zugangskontrolle
Die unbefugte Nutzung von Datenverarbeitungssystemen wird durch ein mehrstufiges Authentifizierungskonzept verhindert. Jeder Benutzer erhaelt eine eindeutige Kennung mit persoenlichem Passwort. Passwoerter werden nach dem Stand der Technik gespeichert (gehashte Ablage) und unterliegen definierten Komplexitaetsanforderungen. Ein dokumentierter Prozess fuer Passwortzuruecksetzung ist etabliert.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Eindeutige Benutzerkennungen mit persoenlicher Passwortvergabe | Technisch | *automatisch* | |
| Multi-Faktor-Authentifizierung (MFA) fuer privilegierte und Remote-Zugaenge | Technisch | *automatisch* | |
| Rollenbasierte Benutzerprofile mit Zuordnung zu IT-Systemen | Technisch | *automatisch* | |
| Automatische Bildschirmsperre und Session-Timeout | Technisch | *automatisch* | |
| Account-Sperrung nach definierten Fehlversuchen | Technisch | *automatisch* | |
| VPN fuer externe Zugriffe | Technisch | *automatisch* | |
| Regelung externer Schnittstellen (USB) gemaess IT-Richtlinie | Organisatorisch | *automatisch* | |
| Intrusion-Detection-/Prevention-Systeme | Technisch | *automatisch* | |
| Anti-Viren- und Anti-Malware-Software | Technisch | *automatisch* | |
| Verschluesselung mobiler Endgeraete (Laptops, Smartphones) | Technisch | *automatisch* | |
| Hardware- und Software-Firewall | Technisch | *automatisch* | |
### 5.3 Zugriffskontrolle
Der Zugriff auf personenbezogene Daten ist durch ein rollenbasiertes Berechtigungskonzept (RBAC) auf das erforderliche Minimum beschraenkt (Least-Privilege-Prinzip). Berechtigungen werden nicht personengebunden, sondern ueber definierte Rollen vergeben. Zugriffsrechte werden regelmaessig ueberprueft und bei Personalveraenderungen unverzueglich angepasst.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Dokumentiertes Berechtigungskonzept mit Rollendefinitionen | Organisatorisch | *automatisch* | |
| Least-Privilege-Prinzip fuer alle Datenzugriffe | Organisatorisch | *automatisch* | |
| Anzahl administrativer Zugaenge auf das Notwendige reduziert | Technisch | *automatisch* | |
| Protokollierung von Datenzugriffen (Lesen, Aendern, Loeschen) | Technisch | *automatisch* | |
| Regelmaessige Rechte-Rezertifizierung (mind. jaehrlich + anlassbezogen) | Organisatorisch | *automatisch* | |
| Sofortiger Berechtigungsentzug bei Ausscheiden von Mitarbeitenden | Organisatorisch | *automatisch* | |
| Dokumentierte Vertretungsregelungen mit begrenzten Sonderzugriffen | Organisatorisch | *automatisch* | |
| Ordnungsgemaesse Vernichtung von Datentraegern (Verweis Loeschkonzept) | Technisch | *automatisch* | |
### 5.4 Weitergabekontrolle
Personenbezogene Daten werden bei der elektronischen Uebertragung durch Verschluesselung nach dem Stand der Technik geschuetzt. Alle Uebertragungswege (Web, API, E-Mail, Datenbankverbindungen) sind transportverschluesselt. Datentransfers werden protokolliert, sodass nachvollziehbar ist, an welche Stellen personenbezogene Daten uebermittelt wurden.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Transportverschluesselung fuer alle Uebertragungswege (TLS) | Technisch | *automatisch* | |
| VPN fuer standortuebergreifende Verbindungen | Technisch | *automatisch* | |
| Ende-zu-Ende-Verschluesselung fuer besonders schutzwuerdige Daten | Technisch | *automatisch* | |
| Sichere Dateiuebertragung (SFTP/SCP, keine unverschluesselten Protokolle) | Technisch | *automatisch* | |
| Pseudonymisierung/Anonymisierung bei Datenweitergabe wo moeglich | Technisch | *automatisch* | |
| Protokollierung aller Datentransfers (Firewall-Logs, Anwendungsprotokolle) | Technisch | *automatisch* | |
| {{#IF HAS_PHYSICAL_TRANSPORT}} Sichere Transportbehaelter und dokumentierte Uebergabe bei physischem Datentraegertransport {{/IF}} | Organisatorisch | *automatisch* | |
| {{#IF HAS_THIRD_COUNTRY_TRANSFER}} Garantien fuer Drittlandtransfers gemaess Art. 44-49 DSGVO (SCC, Angemessenheitsbeschluss) {{/IF}} | Organisatorisch | *automatisch* | |
### 5.5 Eingabekontrolle
Durch individuelle Benutzerkennungen und systematische Protokollierung ist jederzeit nachvollziehbar, wer personenbezogene Daten eingegeben, veraendert oder geloescht hat. Sammelkennungen oder geteilte Benutzerkonten sind nicht zulaessig. Die Protokollierung beschraenkt sich auf das fuer die Nachvollziehbarkeit erforderliche Mass eine anlasslose Verhaltens- oder Leistungskontrolle von Beschaeftigten findet nicht statt.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Protokollierung aller Eingabe-, Aenderungs- und Loeschvorgaenge mit Benutzerkennung und Zeitstempel | Technisch | *automatisch* | |
| Ausschliesslich individuelle Benutzerkennungen (keine Sammelaccounts) | Organisatorisch | *automatisch* | |
| Differenzierte Rechte fuer Eingabe, Aenderung und Loeschung | Technisch | *automatisch* | |
| Manipulationsschutz der Protokolldaten (zentrale, schreibgeschuetzte Log-Sammlung) | Technisch | *automatisch* | |
| Vier-Augen-Prinzip fuer kritische Datenveraenderungen | Organisatorisch | *automatisch* | |
| Definierte Aufbewahrungsfristen fuer Protokolldaten (Details im Logging-Konzept) | Organisatorisch | *automatisch* | |
### 5.6 Auftragskontrolle
Soweit personenbezogene Daten im Auftrag durch Dritte verarbeitet werden, ist dies durch einen Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO geregelt. Die Auswahl, Pruefung und laufende Ueberwachung von Auftragsverarbeitern erfolgt ueber das Vendor-Compliance-Verfahren. Fernwartungszugriffe mit moeglicher Einsichtnahme in personenbezogene Daten werden wie eine Auftragsverarbeitung behandelt.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| AVV mit allen Auftragsverarbeitern abgeschlossen (Art. 28 DSGVO) | Organisatorisch | *automatisch* | |
| Sorgfaeltige Auswahl und Vorabpruefung der Sicherheitsmassnahmen | Organisatorisch | *automatisch* | |
| Verpflichtung der Mitarbeitenden des Auftragsverarbeiters auf Vertraulichkeit | Organisatorisch | *automatisch* | |
| Vereinbarte Kontrollrechte und regelmaessige Auditierung | Organisatorisch | *automatisch* | |
| Regelung fuer Unterauftragnehmer (Genehmigungsvorbehalt) | Organisatorisch | *automatisch* | |
| Fernwartungszugriffe vertraglich geregelt und protokolliert | Technisch | *automatisch* | |
| Datenrueckgabe und -loeschung bei Auftragsende vertraglich gesichert | Organisatorisch | *automatisch* | |
*Detaillierte Regelungen: siehe AVV-Vorlage und Vendor-Compliance-Modul*
### 5.7 Pseudonymisierung und Verschluesselung (Art. 32 Abs. 1 lit. a DSGVO)
Personenbezogene Daten werden, soweit der Verarbeitungszweck dies zulaesst, pseudonymisiert. Dadurch ist ohne Hinzuziehung gesondert aufbewahrter Zuordnungsinformationen kein Rueckschluss auf die betroffene Person moeglich. Zum Schutz vor unbefugtem Zugriff werden Daten sowohl bei der Uebertragung (Transport) als auch bei der Speicherung (Data at Rest) durch Verschluesselung nach dem Stand der Technik gesichert. Die eingesetzten Algorithmen und Protokolle werden regelmaessig anhand aktueller Empfehlungen (insb. BSI TR-02102) ueberprueft.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.8 Verfuegbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Systeme und Dienste sind so ausgelegt, dass die Verfuegbarkeit personenbezogener Daten auch bei erhoehter Last, Teilausfaellen oder physischen Einwirkungen gewaehrleistet bleibt. Die Infrastruktur wird kontinuierlich ueberwacht; bei Stoerungen erfolgt eine automatische Alarmierung.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Unterbrechungsfreie Stromversorgung (USV) fuer kritische Systeme | Technisch | *automatisch* | |
| Klimatisierung der Serverraeume | Technisch | *automatisch* | |
| Ueberspannungsschutz | Technisch | *automatisch* | |
| Brand- und Rauchmeldeanlage mit Feuerloescheinrichtung | Technisch | *automatisch* | |
| Schutz vor Wasserschaeden (Standortwahl, Leckage-Sensoren) | Technisch | *automatisch* | |
| Redundante Systemauslegung fuer kritische Komponenten (N+1) | Technisch | *automatisch* | |
| Monitoring und automatische Alarmierung bei Verfuegbarkeitsstoerungen | Technisch | *automatisch* | |
| Dokumentiertes Backup-Konzept mit definierten Sicherungsintervallen | Organisatorisch | *automatisch* | |
| Ausgelagerte Aufbewahrung von Datensicherungen | Technisch | *automatisch* | |
*Wiederherstellungsverfahren und Notfallplan: siehe Abschnitt 5.9*
### 5.9 Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
Im Falle eines technischen Zwischenfalls oder eines Sicherheitsvorfalls (z.B. Ransomware-Angriff) ist die rasche Wiederherstellung der Verfuegbarkeit personenbezogener Daten gewaehrleistet. Hierzu werden dokumentierte Backup- und Recovery-Verfahren vorgehalten und deren Wirksamkeit durch regelmaessige Restore-Tests ueberprueft.
Detaillierte Wiederherstellungszeitziele (RTO/RPO) sind im Backup-Recovery-Konzept definiert. Der Notfallplan regelt die organisatorischen Ablaeufe im Ernstfall.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.10 Ueberpruefung und Bewertung (Art. 32 Abs. 1 lit. d DSGVO)
Die Wirksamkeit aller technischen und organisatorischen Massnahmen wird regelmaessig ueberprueft und bewertet. Die Ergebnisse fliessen in die kontinuierliche Verbesserung des Datenschutz-Managementsystems ein.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Regelmaessige interne Datenschutz-Audits | Organisatorisch | *automatisch* | |
| Regelmaessiges Patch Management aller eingesetzten Systeme und Software | Technisch | *automatisch* | |
| Penetrationstests und Schwachstellenanalysen (mind. jaehrlich) | Technisch | *automatisch* | |
| Auswertung von Sicherheitsvorfaellen und Ableitung von Verbesserungsmassnahmen | Organisatorisch | *automatisch* | |
| Regelmaessige Ueberpruefung der Berechtigungen und Zugriffsrechte | Organisatorisch | *automatisch* | |
| Dokumentation aller Pruefergebnisse und Massnahmen | Organisatorisch | *automatisch* | |
### 5.11 Trennungskontrolle
Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden getrennt verarbeitet (Art. 5 Abs. 1 lit. b DSGVO). Bei mandantenfaehigen Systemen ist gewaehrleistet, dass Mandanten ausschliesslich auf eigene Daten zugreifen koennen. Die Wirksamkeit der Trennung wird regelmaessig ueberprueft.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Logische Mandantentrennung in allen Anwendungen und Datenbanken | Technisch | *automatisch* | |
| Festlegung separater Datenbankrechte je Mandant/Zweck | Technisch | *automatisch* | |
| Strikte Trennung von Produktiv-, Test- und Entwicklungsumgebungen | Technisch | *automatisch* | |
| Keine personenbezogenen Echtdaten in Test- oder Entwicklungsumgebungen | Organisatorisch | *automatisch* | |
| Regelmaessige Pruefung der Mandantentrennung (Soll-Ist-Abgleich) | Organisatorisch | *automatisch* | |
| {{#IF HAS_CLOUD_SERVICES}} Nachweis der Mandantentrennung beim Cloud-Anbieter eingefordert und dokumentiert {{/IF}} | Organisatorisch | *automatisch* | |
---
## 6. SDM Gewaehrleistungsziele
Das Standard-Datenschutzmodell (SDM) definiert sieben Gewaehrleistungsziele. Die implementierten Massnahmen decken folgende Ziele ab:
| Gewaehrleistungsziel | Abgedeckt | Gesamt | Abdeckung (%) |
|----------------------|-----------|--------|---------------|
| Verfuegbarkeit | *automatisch* | | |
| Integritaet | *automatisch* | | |
| Vertraulichkeit | *automatisch* | | |
| Nichtverkettung | *automatisch* | | |
| Intervenierbarkeit | *automatisch* | | |
| Transparenz | *automatisch* | | |
| Datenminimierung | *automatisch* | | |
---
## 7. Verantwortlichkeiten
| Rolle | Aufgabe |
|-------|---------|
| Geschaeftsfuehrung ({{GF_NAME}}) | Gesamtverantwortung, Freigabe der TOM-Dokumentation |
| IT-Sicherheitsbeauftragter ({{ISB_NAME}}) | Pflege und Umsetzung technischer Massnahmen |
| Datenschutzbeauftragter ({{DPO_NAME}}) | Ueberwachung, Beratung, Compliance-Check |
| Fachabteilungen | Umsetzung organisatorischer Massnahmen, Meldepflicht |
---
## 8. Compliance-Status
*Der aktuelle Compliance-Score wird vom TOM-Modul automatisch berechnet und enthaelt Befunde nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig).*
| Kennzahl | Wert |
|----------|------|
| Gepruefte Massnahmen | *automatisch* |
| Bestanden | *automatisch* |
| Beanstandungen | *automatisch* |
---
## 9. Pruef- und Revisionszyklus
| Eigenschaft | Wert |
|-------------|------|
| Pruefintervall | Jaehrlich |
| Letzte Pruefung | {{VERSION_DATE}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
| Aktuelle Version | {{DOCUMENT_VERSION}} |
### Pruefpunkte
- Vollstaendigkeit aller Massnahmen (neue Systeme oder Verarbeitungen erfasst?)
- Aktualitaet des Umsetzungsstatus (Aenderungen seit letzter Pruefung?)
- Wirksamkeit der technischen Massnahmen (Penetration-Tests, Audit-Ergebnisse)
- Angemessenheit der organisatorischen Massnahmen (Schulungen, Richtlinien aktuell?)
- Abdeckung aller SDM-Gewaehrleistungsziele
- Zuordnung von Verantwortlichkeiten zu allen Massnahmen
- Wirksamkeit der Mandantentrennung (Soll-Ist-Abgleich)
---
*Dieses Dokument wird automatisch vom TOM-Modul generiert und enthaelt alle erfassten technischen und organisatorischen Massnahmen nach Art. 32 DSGVO.*
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}*
$template$,
version = '2.0.0',
description = 'Dokumentation aller technischen und organisatorischen Massnahmen gemaess Art. 32 DSGVO. Erweitert um Verhaeltnismaessigkeitsgrundsatz, AVV-Kontext, konkrete Massnahmenkataloge mit 11 Kategorien (inkl. Trennungskontrolle), Abgrenzung zu IT-Sicherheitskonzept und Loeschkonzept.',
updated_at = NOW()
WHERE document_type = 'tom_documentation'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/088_avv_template.sql
+276
View File
@@ -0,0 +1,276 @@
-- Migration 088: AVV-Template (Auftragsverarbeitungsvertrag Art. 28 DSGVO)
-- Komplett neues Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Enthält {{#IF}} Bloecke fuer optionale Klauseln
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'dpa',
'Auftragsverarbeitungsvertrag (Art. 28 DSGVO)',
'Vollstaendiger Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO mit 11 Paragraphen und 3 Anlagen (TOM, Unterauftragnehmer, Weisungsberechtigte). Enthält optionale Klauseln fuer Drittlandtransfer, Haftungsschutz, Kuendigungsrechte und Kostenregelungen.',
$template$# Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO
zwischen dem Verantwortlichen
**{{AG_NAME}}**
{{AG_STRASSE}}
{{AG_PLZ_ORT}}
(im Folgenden Auftraggeber")
und dem Auftragsverarbeiter
**{{AN_NAME}}**
{{AN_STRASSE}}
{{AN_PLZ_ORT}}
(im Folgenden „Auftragnehmer")
(Auftraggeber und Auftragnehmer zusammen als Parteien" bezeichnet)
---
## 1. Vertragsgegenstand und Rahmenbedingungen
1.1 Fuer diesen Vertrag zur Auftragsverarbeitung gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 (DSGVO), insbesondere Art. 4 DSGVO.
1.2 {{AN_NAME}} verarbeitet im Rahmen des zwischen den Parteien geschlossenen Hauptvertrags personenbezogene Daten im Auftrag des Auftraggebers gemaess Art. 28 DSGVO. Gegenstand, Art, Zweck und Dauer der Verarbeitung ergeben sich aus dem Hauptvertrag und den folgenden Festlegungen:
| Festlegung | Beschreibung |
|-----------|-------------|
| **Gegenstand** | {{VERARBEITUNGSGEGENSTAND}} |
| **Zweck** | {{VERARBEITUNGSZWECK}} |
| **Art der Verarbeitung** | {{VERARBEITUNGSARTEN}} |
| **Dauer** | Fuer die Laufzeit des Hauptvertrags, sofern nicht anders vereinbart |
1.3 Folgende Kategorien personenbezogener Daten werden verarbeitet:
{{DATENKATEGORIEN}}
1.4 Folgende Kategorien betroffener Personen sind betroffen:
{{PERSONENKATEGORIEN}}
1.5 Die Verarbeitung findet ausschliesslich innerhalb der EU/des EWR statt. Eine Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und setzt die Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO voraus.
{{#IF THIRD_COUNTRY_OBJECTION_PERIOD}}
Alternativ: Der Auftragnehmer informiert den Auftraggeber ueber eine beabsichtigte Verlagerung in ein Drittland in Textform. Der Auftraggeber kann innerhalb von {{THIRD_COUNTRY_OBJECTION_WEEKS}} Wochen begruendet widersprechen. Die Verlagerung darf nur bei Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO erfolgen.
{{/IF}}
---
## 2. Laufzeit und Kuendigung
2.1 Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags. Soweit nach Beendigung des Hauptvertrags personenbezogene Daten des Auftraggebers beim Auftragnehmer verbleiben, gilt dieser Vertrag bis zur vollstaendigen Loeschung oder Rueckgabe der Daten fort.
2.2 Das Recht auf ausserordentliche fristlose Kuendigung aus wichtigem Grund bleibt hiervon unberuehrt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragnehmer gegen wesentliche Bestimmungen dieses Vertrags oder datenschutzrechtliche Vorschriften verstoesst.
2.3 Die Rechte und Pflichten zur Loeschung und Rueckgabe der Daten nach Vertragsende richten sich nach § 10 dieses Vertrags.
---
## 3. Rechte und Pflichten des Auftraggebers
3.1 Die Verarbeitung der vertragsgegenstaendlichen Daten durch den Auftragnehmer erfolgt ausschliesslich auf Grundlage der vertraglichen Vereinbarungen und der Weisungen des Auftraggebers. Eine abweichende Verarbeitung ist nur aufgrund zwingender europaeischer oder mitgliedsstaatlicher Rechtsvorschriften zulaessig. Ist eine solche Verarbeitung erforderlich, teilt der Auftragnehmer dies dem Auftraggeber vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen oeffentlichen Interesses verbietet.
3.2 Fuer die Beurteilung der Zulaessigkeit der Verarbeitung gemaess Art. 6 DSGVO sowie fuer die Wahrung der Rechte der betroffenen Personen nach Art. 12-22 DSGVO ist allein der Auftraggeber verantwortlich. Aenderungen des Verarbeitungsgegenstands oder der Verarbeitungstaetigkeiten sind gemeinsam abzustimmen und in Textform festzulegen.
3.3 Der Auftraggeber stellt sicher, dass dem Auftragnehmer personenbezogene Daten nur im Rahmen der vereinbarten Leistungserbringung zukommen.
3.4 Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Datenschutzvorschriften vor Beginn und waehrend der Vertragslaufzeit — nach vorheriger Terminvereinbarung — im erforderlichen Umfang zu kontrollieren. Die Kontrollmassnahmen muessen verhaeltnismaessig sein und den Betrieb des Auftragnehmers nicht ueber das erforderliche Mass beeintraechtigen. Die Ergebnisse der Kontrollen werden protokolliert.
3.5 Die Parteien behandeln alle im Rahmen des Vertragsverhaeltnisses erlangten Kenntnisse von Geschaeftsgeheimnissen und Datensicherheitsmassnahmen vertraulich. Diese Verpflichtung besteht auch nach Beendigung dieses Vertrags fort.
---
## 4. Weisungsbefugnisse des Auftraggebers
4.1 Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitaeten der Datenverarbeitung zu. Der Auftragnehmer informiert den Auftraggeber unverzueglich, falls eine Weisung nach Auffassung des Auftragnehmers gegen gesetzliche Vorschriften verstoesst. Der Auftragnehmer ist berechtigt, die Ausfuehrung einer solchen Weisung auszusetzen, bis der Auftraggeber diese ausdruecklich bestaetigt oder aendert.
{{#IF LIABILITY_PROTECTION_CLAUSE}}
4.1a Besteht die Moeglichkeit, dass der Auftragnehmer durch das Befolgen einer Weisung einem Haftungsrisiko ausgesetzt wird, kann die Durchfuehrung bis zur Klaerung der Haftung im Innenverhaeltnis ausgesetzt werden.
{{/IF}}
4.2 Weisungen sind grundsaetzlich in Textform (schriftlich oder per E-Mail) zu erteilen. Muendliche Weisungen sind in begruendeten Einzelfaellen zulaessig und vom Auftraggeber unverzueglich in Textform zu bestaetigen. In der Bestaetigung ist zu begruenden, warum keine Weisung in Textform erfolgen konnte. Beide Parteien dokumentieren jede Weisung in Textform. Weisungen sind fuer die Geltungsdauer dieses Vertrags und anschliessend noch fuer {{INSTRUCTION_RETENTION_YEARS}} Jahre aufzubewahren.
4.3 Der Auftraggeber legt die weisungsberechtigten Personen fest. Der Auftragnehmer legt Weisungsempfaenger fest. Die Angaben sind Anlage 3 dieses Vertrags zu entnehmen. Bei einem Wechsel oder einer laengerfristigen Verhinderung sind dem Vertragspartner unverzueglich die Nachfolger oder Vertreter in Textform mitzuteilen.
---
## 5. Vertraulichkeit
5.1 Der Auftragnehmer bestaetigt, dass ihm die fuer die Auftragsverarbeitung massgeblichen datenschutzrechtlichen Vorschriften bekannt sind.
5.2 Der Auftragnehmer wahrt bei der Verarbeitung personenbezogener Daten des Auftraggebers die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertrags fort.
5.3 Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung betrauten Beschaeftigten auf die Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 S. 2 lit. b DSGVO) oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung besteht auch nach Beendigung des Beschaeftigungsverhaeltnisses fort. Die Beschaeftigten werden regelmaessig mit den fuer sie massgeblichen Datenschutzbestimmungen vertraut gemacht. Der Auftragnehmer ueberwacht die Einhaltung in seinem Unternehmen.
5.4 Der Auftragnehmer erteilt Betroffenen oder Dritten ohne vorherige Zustimmung des Auftraggebers keine Auskuenfte ueber die vertragsgegenstaendlichen Daten. Anfragen von Betroffenen leitet der Auftragnehmer unverzueglich an den Auftraggeber weiter (Details siehe § 9.3).
---
## 6. Technische und organisatorische Massnahmen
6.1 Der Auftragnehmer hat die in Anlage 1 beschriebenen technischen und organisatorischen Massnahmen unter Beachtung von Art. 32 DSGVO festgelegt. Sie gewaehrleisten ein dem Risiko der Verarbeitung angemessenes Schutzniveau.
6.2 Die Massnahmen koennen im Laufe des Auftragsverhaeltnisses an den Stand der Technik angepasst werden. Das Schutzniveau darf dabei nicht unterschritten werden. Wesentliche Aenderungen teilt der Auftragnehmer dem Auftraggeber vorab mit.
6.3 Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der vereinbarten Massnahmen zur Verfuegung (Art. 28 Abs. 3 S. 2 lit. h DSGVO).
---
## 7. Unterstuetzungspflichten des Auftragnehmers
7.1 Der Auftragnehmer unterstuetzt den Auftraggeber bei der Erfuellung der Betroffenenrechte nach Art. 12-22 DSGVO (Art. 28 Abs. 3 S. 2 lit. e DSGVO). Dies umfasst insbesondere die Bereitstellung der fuer Auskuenfte erforderlichen Daten, die Durchfuehrung von Loeschungen, Berichtigungen und Einschraenkungen der Verarbeitung sowie die Bereitstellung von Datenexporten (Art. 20 DSGVO).
7.2 Der Auftragnehmer unterstuetzt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Art. 28 Abs. 3 S. 2 lit. f DSGVO), insbesondere bei:
- der Sicherstellung geeigneter technischer und organisatorischer Massnahmen (Art. 32),
- der Meldung von Datenschutzverletzungen an die Aufsichtsbehoerde (Art. 33),
- der Benachrichtigung betroffener Personen (Art. 34),
- der Durchfuehrung von Datenschutz-Folgenabschaetzungen (Art. 35),
- der vorherigen Konsultation der Aufsichtsbehoerde (Art. 36).
7.3 Die Reichweite der Unterstuetzungspflichten bestimmt sich nach der Art der Verarbeitung und den dem Auftragnehmer zur Verfuegung stehenden Informationen.
{{#IF SUPPORT_COST_CLAUSE}}
7.4 Unterstuetzungsleistungen, die ueber den vertraglich vereinbarten Umfang hinausgehen, erfolgen gegen angemessene Aufwandsentschaedigung.
{{/IF}}
---
## 8. Einsatz von Unterauftragsverarbeitern
8.1 Der Auftragnehmer ist zum Einsatz von Unterauftragsverarbeitern berechtigt. Die bei Vertragsschluss bestehenden Unterauftragsverhaeltnisse sind in Anlage 2 aufgefuehrt. Der Auftraggeber erteilt seine Zustimmung zu den dort genannten Unterauftragsverarbeitern.
8.2 Der Auftragnehmer informiert den Auftraggeber ueber beabsichtigte Aenderungen bei Unterauftragsverarbeitern mindestens {{SUB_PROCESSOR_NOTICE_WEEKS}} Wochen vor deren Einsatz in Textform. Die Information umfasst Name, Sitz, Taetigkeit und getroffene Datenschutzmassnahmen des Unterauftragsverarbeiters. Der Auftraggeber kann der Hinzuziehung innerhalb von {{SUB_PROCESSOR_OBJECTION_WEEKS}} Wochen nach Zugang der Information begruendet widersprechen. Erfolgt ein fristgerechter begruendeter Widerspruch, duerfen die betroffenen Unterauftragsverarbeiter nicht eingesetzt werden.
{{#IF SUB_PROCESSOR_SILENCE_APPROVAL}}
8.2a Erfolgt innerhalb der Widerspruchsfrist kein Widerspruch, gilt die Hinzuziehung als genehmigt.
{{/IF}}
{{#IF SUB_PROCESSOR_TERMINATION_RIGHT}}
8.3 Bei begruendetem Widerspruch, ueber den keine Einigung erzielt werden kann, sind beide Parteien berechtigt, den Hauptvertrag und diesen AVV mit einer Frist von {{TERMINATION_WEEKS}} Wochen zu kuendigen.
{{/IF}}
8.4 Der Auftragnehmer waehlt Unterauftragsverarbeiter unter Beruecksichtigung der Eignung ihrer technischen und organisatorischen Massnahmen sorgfaeltig aus. Alle Vertraege mit Unterauftragsverarbeitern genuegen den Anforderungen des Art. 28 DSGVO.
8.5 Der Einsatz von Unterauftragsverarbeitern in Drittstaaten setzt die Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO voraus.
8.6 Der Auftragnehmer haftet gegenueber dem Auftraggeber fuer die Einhaltung der Datenschutzpflichten durch seine Unterauftragsverarbeiter wie fuer eigenes Handeln (Art. 28 Abs. 4 DSGVO).
8.7 Der Auftraggeber hat gegenueber dem Unterauftragsverarbeiter dieselben Weisungs- und Kontrollrechte wie gegenueber dem Auftragnehmer.
---
## 9. Informationspflichten des Auftragnehmers
9.1 Der Auftragnehmer informiert den Auftraggeber unverzueglich ueber Verstoesse gegen diesen Vertrag, gegen Weisungen des Auftraggebers oder gegen datenschutzrechtliche Vorschriften. Dies gilt auch bei begruendetem Verdacht sowie unabhaengig davon, ob der Verstoss durch den Auftragnehmer selbst, dessen Beschaeftigte, Unterauftragsverarbeiter oder sonstige eingesetzte Personen verursacht wurde.
9.2 Datenschutzverletzungen im Sinne von Art. 4 Nr. 12 DSGVO meldet der Auftragnehmer dem Auftraggeber unverzueglich, spaetestens jedoch innerhalb von **{{BREACH_NOTIFICATION_HOURS}} Stunden** nach Kenntniserlangung. Die Meldung umfasst mindestens:
- die Art der Verletzung,
- die betroffenen Datenkategorien und die ungefaehre Anzahl betroffener Personen,
- die wahrscheinlichen Folgen der Verletzung,
- die ergriffenen oder vorgeschlagenen Abhilfemassnahmen.
9.3 Anfragen betroffener Personen, Behoerden oder Dritter, die sich auf die vertragsgegenstaendliche Datenverarbeitung beziehen, leitet der Auftragnehmer unverzueglich an den Auftraggeber weiter. Der Auftragnehmer erteilt ohne vorherige Abstimmung mit dem Auftraggeber keine inhaltlichen Auskuenfte.
9.4 Der Auftragnehmer informiert den Auftraggeber unverzueglich ueber bevorstehende Aufsichtshandlungen oder Massnahmen einer Behoerde, soweit sie die vertragsgegenstaendliche Verarbeitung betreffen. Gleiches gilt fuer Ereignisse oder Massnahmen Dritter, durch die die vertragsgegenstaendlichen Daten gefaehrdet werden koennten.
---
## 10. Vertragsbeendigung, Loeschung und Rueckgabe der Daten
{{#IF REACTIVATION_PERIOD}}
10.1 Dieser Vertrag gilt nach Beendigung des Hauptvertrags fuer {{REACTIVATION_MONTHS}} Monate fort, um eine Reaktivierung zu ermoeglichen. Danach gelten die folgenden Loeschpflichten.
{{/IF}}
10.2 Nach Beendigung der Verarbeitung hat der Auftragnehmer saemtliche personenbezogene Daten des Auftraggebers nach dessen Wahl zu loeschen oder in einem gaengigen, maschinenlesbaren Format ({{DATA_EXPORT_FORMAT}}) zurueckzugeben (Art. 28 Abs. 3 S. 2 lit. g DSGVO). Der Auftraggeber teilt seine Wahl innerhalb von {{RETURN_CHOICE_WEEKS}} Wochen nach Vertragsende mit. Erfolgt keine Erklaerung, werden die Daten geloescht.
10.3 Die Loeschung erfolgt spaetestens {{DELETION_DAYS}} Tage nach Vertragsende, sofern keine vorrangigen gesetzlichen Aufbewahrungspflichten bestehen. Eine fruehere Loeschung ist auf Wunsch des Auftraggebers moeglich.
10.4 Der Auftragnehmer bestaetigt dem Auftraggeber die vollstaendige Loeschung in Textform und stellt auf Anfrage einen Loeschnachweis zur Verfuegung. Die Loeschpflicht erstreckt sich auch auf Daten bei Unterauftragsverarbeitern.
{{#IF RETURN_COST_CLAUSE}}
10.5 Die Uebersendung der Daten stellt eine zusaetzliche Unterstuetzungsleistung dar, fuer die der Auftragnehmer eine angemessene Verguetung verlangen darf.
{{/IF}}
---
## 11. Schlussbestimmungen
11.1 Es gilt das Recht der Bundesrepublik Deutschland. {{#IF GERICHTSSTAND_CLAUSE}} Gerichtsstand fuer alle Streitigkeiten aus diesem Vertrag ist {{GERICHTSSTAND}}, sofern beide Parteien Kaufleute oder juristische Personen des oeffentlichen Rechts sind. {{/IF}}
11.2 Soweit die Verarbeitung personenbezogener Daten betroffen ist, gehen die Regelungen dieses Vertrags den Regelungen des Hauptvertrags vor.
11.3 Aenderungen und Ergaenzungen dieses Vertrags beduerfender Schriftform oder eines dokumentierten elektronischen Formats. Dies gilt auch fuer den Verzicht auf dieses Formerfordernis.
11.4 Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, so beruehrt dies die Wirksamkeit der uebrigen Bestimmungen nicht. Die Parteien werden die unwirksame Bestimmung durch eine wirksame ersetzen, die dem Vertragszweck am naechsten kommt.
11.5 Datenschutzbeauftragter des Auftragnehmers: {{AN_DSB_NAME}}, erreichbar unter {{AN_DSB_EMAIL}}.
{{#IF UNILATERAL_CHANGE_RIGHT}}
*Hinweis: Dieses einseitige Aenderungsrecht ist AGB-rechtlich umstritten und sollte nur in begruendeten Faellen aktiviert werden.*
11.6 Der Auftragnehmer ist berechtigt, diesen Vertrag aus sachlich gerechtfertigten Gruenden und unter Einhaltung einer Frist von {{CHANGE_NOTICE_WEEKS}} Wochen zu aendern. Der Auftraggeber wird hierueber in Textform benachrichtigt. Im Falle eines begruendeten Widerspruchs ist der Auftragnehmer berechtigt, den Vertrag zum Zeitpunkt des Inkrafttretens der Aenderung ausserordentlich zu kuendigen.
{{/IF}}
---
{{AG_ORT}}, den {{VERTRAGSDATUM}}
\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
{{AG_UNTERZEICHNER_NAME}}
({{AG_UNTERZEICHNER_FUNKTION}})
fuer den Auftraggeber
{{AN_ORT}}, den {{VERTRAGSDATUM}}
\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
{{AN_UNTERZEICHNER_NAME}}
({{AN_UNTERZEICHNER_FUNKTION}})
fuer den Auftragnehmer
---
## Anlagen
| Nr. | Bezeichnung |
|-----|-------------|
| Anlage 1 | Technische und organisatorische Massnahmen (Art. 32 DSGVO) |
| Anlage 2 | Unterauftragsverarbeiter |
| Anlage 3 | Weisungsberechtigte und Weisungsempfaenger |
*Erstellt mit BreakPilot Compliance — Stand: {{VERTRAGSDATUM}}*
$template$,
'["AG_NAME","AG_STRASSE","AG_PLZ_ORT","AN_NAME","AN_STRASSE","AN_PLZ_ORT","VERARBEITUNGSGEGENSTAND","VERARBEITUNGSZWECK","VERARBEITUNGSARTEN","DATENKATEGORIEN","PERSONENKATEGORIEN","SUB_PROCESSOR_NOTICE_WEEKS","SUB_PROCESSOR_OBJECTION_WEEKS","BREACH_NOTIFICATION_HOURS","INSTRUCTION_RETENTION_YEARS","DATA_EXPORT_FORMAT","RETURN_CHOICE_WEEKS","DELETION_DAYS","AN_DSB_NAME","AN_DSB_EMAIL","AG_ORT","AN_ORT","VERTRAGSDATUM","AG_UNTERZEICHNER_NAME","AG_UNTERZEICHNER_FUNKTION","AN_UNTERZEICHNER_NAME","AN_UNTERZEICHNER_FUNKTION","GERICHTSSTAND","REACTIVATION_MONTHS","TERMINATION_WEEKS","CHANGE_NOTICE_WEEKS","THIRD_COUNTRY_OBJECTION_WEEKS"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'dpa'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND version = '1.0.0'
AND content IS NOT NULL
AND length(content) > 1000
);
-- Falls ein leerer/minimaler dpa-Eintrag existiert, updaten statt insert
UPDATE compliance_legal_templates
SET
title = 'Auftragsverarbeitungsvertrag (Art. 28 DSGVO)',
description = 'Vollstaendiger Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO mit 11 Paragraphen und 3 Anlagen (TOM, Unterauftragnehmer, Weisungsberechtigte). Enthält optionale Klauseln fuer Drittlandtransfer, Haftungsschutz, Kuendigungsrechte und Kostenregelungen.',
version = '2.0.0',
updated_at = NOW()
WHERE document_type = 'dpa'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND (content IS NULL OR length(content) < 1000);
backend-compliance/migrations/089_template_cross_doc_updates.sql
+90
View File
@@ -0,0 +1,90 @@
-- Migration 089: Cross-Document Updates aus TOM/AVV-Review
-- Verschiebungsliste: Inhalte die in andere Templates gehoeren
-- Quelle: TOM-Review 2026-04-30
-- ===========================================================================
-- 1. Loeschkonzept: DIN 66399 Details + Backup-Aufbewahrung ergaenzen
-- ===========================================================================
-- Erweitert Abschnitt 4 (Loeschmethoden) um DIN 66399 Sicherheitsstufen
-- Erweitert um neuen Abschnitt zur Backup-Einbeziehung in den Loeschzyklus
UPDATE compliance_legal_templates
SET content = REPLACE(
content,
'| **Physische Vernichtung** | Physische Zerstoerung der Datentraeger (Shredding, Degaussing) | Datentraeger-Entsorgung |',
'| **Physische Vernichtung** | Physische Zerstoerung der Datentraeger nach DIN 66399 (siehe Sicherheitsstufen unten) | Datentraeger-Entsorgung |'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'loeschkonzept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- Fuege DIN 66399 Sicherheitsstufen nach der Loeschmethoden-Tabelle ein
UPDATE compliance_legal_templates
SET content = REPLACE(
content,
'| **Kryptographische Loeschung** | Vernichtung der Schluessel bei verschluesselten Daten | Cloud-Umgebungen, verschluesselte Backups |
---',
'| **Kryptographische Loeschung** | Vernichtung der Schluessel bei verschluesselten Daten | Cloud-Umgebungen, verschluesselte Backups |
### Sicherheitsstufen nach DIN 66399
Die Vernichtung physischer Datentraeger erfolgt gemaess DIN 66399. Die Sicherheitsstufe richtet sich nach dem Schutzbedarf der gespeicherten Daten:
| Stufe | Schutzbedarf | Anwendung |
|-------|-------------|-----------|
| 1-2 | Normal | Allgemeine interne Daten ohne Personenbezug |
| 3 | Erhoehter Schutzbedarf | Personenbezogene Daten (Standard fuer DSGVO) |
| 4-5 | Hoher Schutzbedarf | Besondere Kategorien (Art. 9 DSGVO), Gesundheitsdaten |
| 6-7 | Sehr hoher Schutzbedarf | Geheimhaltungspflichtige Daten, nachrichtendienstliche Sicherheit |
**Mindeststandard:** Fuer personenbezogene Daten wird grundsaetzlich mindestens Sicherheitsstufe 3 angewendet. Bei besonderen Kategorien nach Art. 9 DSGVO ist mindestens Stufe 4 erforderlich.
### Einbeziehung von Backups in den Loeschzyklus
Loeschpflichten erstrecken sich auch auf Datensicherungen (Backups). Die Loeschung in Backups erfolgt:
- **Automatisch:** Durch rollierende Backup-Zyklen, bei denen aeltere Sicherungen nach Ablauf der Aufbewahrungsfrist ueberschrieben werden
- **Manuell:** Bei Einzelloeschungsanfragen (Art. 17 DSGVO) wird die Loeschung in den Backup-Medien zum naechsten planmaessigen Ueberschreibungszeitpunkt durchgefuehrt
- **Dokumentiert:** Aufbewahrungsfristen fuer Backups sind im Backup-Recovery-Konzept definiert und im Loeschfristen-Modul verknuepft
**Hinweis:** Verschluesselte Backups koennen alternativ durch kryptographische Loeschung (Schluesselvernichtung) unwiderruflich unzugaenglich gemacht werden.
---'
)
WHERE document_type = 'loeschkonzept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 2. VVT-Register: Empfaenger-Dokumentation erweitern
-- ===========================================================================
-- Erweitert die Pflichtangaben-Tabelle um detailliertere Empfaenger-Dokumentation
UPDATE compliance_legal_templates
SET content = REPLACE(
content,
'| **Empfaengerkategorien** | Intern, extern, Auftragsverarbeiter, Behoerden |',
'| **Empfaengerkategorien** | Intern (Fachabteilungen), extern (Kunden, Partner), Auftragsverarbeiter (Art. 28), Behoerden (Art. 6 Abs. 1 lit. c/e) |'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'vvt_register'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- Erweitert die Detailkarten-Beschreibung um Empfaenger-Details
UPDATE compliance_legal_templates
SET content = REPLACE(
content,
'- Strukturierte TOMs nach Kategorie (Zugriffskontrolle, Vertraulichkeit, Integritaet, Verfuegbarkeit, Trennbarkeit)
- Schutzniveau und Deployment-Modell',
'- Strukturierte TOMs nach Kategorie (Zugriffskontrolle, Vertraulichkeit, Integritaet, Verfuegbarkeit, Trennbarkeit)
- Schutzniveau und Deployment-Modell
- Empfaenger-Details: Name/Kategorie des Empfaengers, Rechtsgrundlage der Uebermittlung, vereinbarte Loeschfristen beim Empfaenger
- Bei Auftragsverarbeitern: Verweis auf AVV und Vendor-Compliance-Eintrag'
)
WHERE document_type = 'vvt_register'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/090_agb_saas_v2.sql
+397
View File
@@ -0,0 +1,397 @@
-- Migration 090: AGB SaaS v2
-- Ueberarbeitetes Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Aenderungen: B2B-only Option, B2B2C Drei-Parteien, Testphase, Sperrung,
-- Vertraulichkeit, Force Majeure, § 312k BGB, Fehlerkategorien,
-- IP-Indemnification, § 536a BGB, Preisanpassung, Wartungszugang
UPDATE compliance_legal_templates
SET
content = $template$# Allgemeine Geschaeftsbedingungen (AGB)
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## § 1 Geltungsbereich
(1) Diese AGB gelten fuer alle Vertraege zwischen {{COMPANY_LEGAL_NAME}} (Anbieter") und Kunden ueber die Nutzung von **{{SERVICE_NAME}}**.
(2) Abweichende Kundenbedingungen werden nicht Vertragsbestandteil, es sei denn, der Anbieter stimmt ihnen ausdruecklich zu. Individuell vereinbarte Leistungen gehen den Regelungen dieser AGB vor.
{{#IF B2B_ONLY}}
(3) Diese AGB richten sich ausschliesslich an Unternehmer im Sinne von § 14 BGB. Vertraege mit Verbrauchern (§ 13 BGB) werden nicht geschlossen.
{{/IF}}
{{#IF_NOT B2B_ONLY}}
(3) Diese AGB gelten gegenueber Unternehmern und Verbrauchern, soweit nicht ausdruecklich unterschieden.
{{/IF_NOT}}
---
## § 2 Leistungsbeschreibung
(1) Der Anbieter stellt **{{SERVICE_NAME}}** als webbasierte Software (Software as a Service) einschliesslich Wartung und Pflege zur Verfuegung: {{SERVICE_DESCRIPTION_SHORT}}.
(2) Umfang und Systemvoraussetzungen ergeben sich aus der jeweils aktuellen Leistungsbeschreibung.
{{#IF HAS_MODULAR_PACKAGES}}
(3) Die Software wird in verschiedenen Leistungspaketen mit unterschiedlichem Funktionsumfang angeboten. Der konkrete Leistungsumfang und das Preismodell ergeben sich aus dem gewaehlten Paket.
{{/IF}}
{{#IF HAS_STORAGE}}
(4) Im Rahmen der Nutzung wird dem Kunden Speicherplatz fuer seine Daten bereitgestellt. {{#IF HAS_STORAGE_LIMITS}} Umfang und Kontingente ergeben sich aus dem gewaehlten Leistungspaket. {{/IF}}
{{/IF}}
{{#IF HAS_END_USERS}}
(5) Der Kunde kann die Software seinen Endkunden (nachfolgend „Nutzer") im Rahmen des Vertragszwecks zur Verfuegung stellen. Ein Vertragsverhaeltnis zwischen dem Anbieter und den Nutzern des Kunden entsteht hierdurch nicht.
{{/IF}}
(6) Der Anbieter prueft die vom Kunden oder dessen Nutzern eingegebenen Daten nicht auf inhaltliche Richtigkeit oder rechtliche Zulaessigkeit. Die inhaltliche Verantwortung liegt beim Kunden.
(7) Der Anbieter ist berechtigt, den Dienst weiterzuentwickeln, sofern Kernfunktionen im Wesentlichen erhalten bleiben.
---
## § 3 Vertragsschluss
(1) Die Darstellung des Dienstes auf der Website oder im Kundenportal ist kein verbindliches Angebot.
(2) Der Vertrag kommt durch Bestaetigung der Bestellung oder Freischaltung des Dienstes zustande.
{{#IF HAS_TRIAL}}
(3) Der Anbieter stellt eine kostenfreie Testphase von {{TRIAL_DAYS}} Tagen zur Verfuegung. Wird das Abonnement nicht innerhalb der Testphase gekuendigt, wird der Vertrag ueber das gewaehlte Paket kostenpflichtig. Der Abschluss eines Auftragsverarbeitungsvertrags (AVV) ist bereits mit Beginn der Testphase erforderlich.
{{/IF}}
---
## § 4 Preise, Abrechnung, Zahlung
{{#IF HAS_PAID_PLANS}}
(1) Es gelten die bei Vertragsschluss vereinbarten Preise: {{PRICES_TEXT}}.
(2) Zahlungsbedingungen: {{PAYMENT_TERMS_TEXT}}.
(3) Preise gegenueber Verbrauchern inkl. gesetzl. USt.; gegenueber Unternehmern zzgl. USt.
(4) Bei Zahlungsverzug: gesetzliche Verzugszinsen; gegenueber Unternehmern 9 Prozentpunkte ueber Basiszinssatz (§ 288 Abs. 2 BGB).
(5) Zusatzleistungen, die ueber den vereinbarten Leistungsumfang hinausgehen (z.B. Fehlerbeseitigung aufgrund unsachgemaesser Handhabung, individuelle Anpassungen), beduerfen einer gesonderten Beauftragung und Verguetung.
{{#IF HAS_PRICE_ADJUSTMENT}}
(6) Der Anbieter kann die vereinbarte Verguetung nach billigem Ermessen anpassen, wenn die auf den Vertrag entfallenden Kosten aufgrund von nach Vertragsschluss eingetretenen, nicht vorhersehbaren Umstaenden steigen oder fallen. Preiserhoehungen duerfen nur einmal pro Kalenderjahr erfolgen und nur soweit, als der Anbieter dadurch keine ueber die Kostendeckung hinausgehenden Gewinne erzielt. Bei nicht voruebergehenden Kostensenkungen ist der Anbieter zu entsprechenden Preissenkungen verpflichtet.
(7) Der Kunde wird ueber Preisaenderungen mindestens {{PRICE_ADJUSTMENT_NOTICE_WEEKS}} Wochen vor Inkrafttreten in Textform informiert. Bei Preiserhoehungen steht dem Kunden ein Sonderkuendigungsrecht mit Wirkung zum Zeitpunkt des Inkrafttretens zu. Der Anbieter weist in der Mitteilung auf das Kuendigungsrecht und die Kuendigungsfrist hin.
{{/IF}}
{{/IF}}
{{#IF_NOT HAS_PAID_PLANS}}
(1) Der Dienst wird derzeit unentgeltlich angeboten. Der Anbieter behaelt sich vor, kostenpflichtige Leistungsstufen einzufuehren.
{{/IF_NOT}}
---
## § 5 Pflichten des Kunden
(1) Der Kunde hat bei Registrierung richtige Angaben zu machen und diese aktuell zu halten.
(2) Zugangsdaten sind vertraulich zu behandeln. Der Kunde stellt sicher, dass unbefugte Dritte keinen Zugriff auf seinen Account erhalten. Verletzt der Kunde diese Pflicht, ist er fuer hieraus entstehende Schaeden verantwortlich.
(3) Der Dienst darf nur im Rahmen der geltenden Gesetze und dieser AGB genutzt werden.
(4) Der Kunde ist verantwortlich fuer eingestellte Inhalte und Daten und stellt sicher, dass Rechte Dritter nicht verletzt werden. {{#IF HAS_END_USERS}} Der Kunde verpflichtet seine Nutzer entsprechend. {{/IF}} Der Kunde stellt den Anbieter von saemtlichen Anspruechen Dritter frei, die auf einer rechtswidrigen Nutzung durch den Kunden oder dessen Nutzer beruhen.
(5) Der Kunde ist verpflichtet, Zahlungsaufforderungen fristgerecht nachzukommen.
(6) Der Anbieter kann zusaetzliche Sicherheitsmassnahmen einfuehren und wird den Kunden hierueber informieren. Der Kunde ist verpflichtet, zumutbare Sicherheitsmassnahmen umzusetzen.
(7) Der Kunde ist ergaenzend selbst fuer die regelmaessige Sicherung seiner Daten im Rahmen der verfuegbaren Export-Funktionen verantwortlich.
{{#IF HAS_UPLOAD}}
(8) Der Kunde hat vor dem Hochladen von Dateien diese auf Viren oder sonstige schaedliche Komponenten zu pruefen und hierzu dem Stand der Technik entsprechende Schutzsoftware einzusetzen.
{{/IF}}
---
## § 6 Nutzungsrechte
(1) Der Anbieter raeumt dem Kunden ein einfaches, nicht uebertragbares, auf die Vertragsdauer beschraenktes Nutzungsrecht an der Software im Rahmen der jeweils aktuellen Leistungsbeschreibung ein. Zur Nutzung gehoert das Laden in den Arbeitsspeicher und die Installation auf den vom Kunden bzw. den Nutzern eingesetzten Endgeraeten und Servern.
{{#IF HAS_END_USERS}}
(2) Der Kunde darf die Software seinen Nutzern im Rahmen des Vertragszwecks zur Verfuegung stellen. Nutzer gelten nicht als Dritte im Sinne dieser Bestimmung.
{{/IF}}
(3) Eine Ueberlassung an sonstige Dritte, Unterlizenzierung oder oeffentliche Zugaenglichmachung ausserhalb der vorgesehenen Nutzung ist untersagt.
(4) Die vom Anbieter bereitgestellten Leistungen sind durch gewerbliche Schutzrechte geschuetzt, insbesondere durch Urheberrecht{{#IF HAS_TRADEMARK}}, Markenrecht{{/IF}}{{#IF HAS_PATENTS}}, Patentrecht{{/IF}}{{#IF HAS_DESIGN_RIGHTS}}, Designrecht{{/IF}}{{#IF HAS_TRADE_SECRETS}} sowie den Schutz von Geschaeftsgeheimnissen (GeschGehG){{/IF}}. Urhebervermerke, Logos, Marken und sonstige Kennzeichnungen duerfen nicht veraendert oder entfernt werden.
(5) Reverse Engineering, Dekompilierung und Umgehung von Sicherheitsmechanismen sind untersagt, soweit gesetzlich zulaessig.
{{#IF HAS_TDM_OPTOUT}}
(6) Die Nutzung der Leistungen fuer Text- und Data-Mining oder die Entwicklung, das Training oder die Anreicherung von KI-Systemen ist ohne ausdrueckliche Zustimmung des Anbieters untersagt.
{{/IF}}
{{#IF HAS_API_ACCESS}}
(5) Die Nutzung der bereitgestellten API ist im Rahmen der dokumentierten Schnittstellen und der vereinbarten Rate-Limits gestattet.
{{/IF}}
{{#IF HAS_MAINTENANCE_ACCESS}}
(6) Der Anbieter erhaelt fuer Wartungs- und Supportzwecke einen Fernzugang zu den vom Kunden betriebenen Installationen. Der Umfang ergibt sich aus dem Wartungsvertrag.
{{/IF}}
---
## § 7 Verfuegbarkeit, Wartung und Support
(1) Die Verfuegbarkeit der Software betraegt {{AVAILABILITY_PERCENT}} Prozent im Jahresdurchschnitt. {{#IF HAS_MAX_DOWNTIME}} Die Verfuegbarkeit darf nicht laenger als {{MAX_DOWNTIME_DAYS}} Kalendertage in Folge beeintraechtigt sein. {{/IF}} Hiervon ausgenommen sind geplante Wartungsarbeiten und Ereignisse hoeherer Gewalt.
(2) Der Anbieter fuehrt regelmaessige Wartungsarbeiten durch und stellt Updates bereit. Die Software ist auf dem jeweils aktuellen Stand zu nutzen. Geplante Wartungsarbeiten werden {{MAINTENANCE_NOTICE_HOURS}} Stunden im Voraus angekuendigt und nach Moeglichkeit ausserhalb der Hauptnutzungszeiten durchgefuehrt.
(3) Support ist erreichbar: {{SUPPORT_HOURS}}. Supportkanaele: {{SUPPORT_CHANNELS_TEXT}}.
(4) Der Kunde meldet Softwarefehler mit einer moeglichst exakten Fehlerbeschreibung. Der Kunde ist zur Mitwirkung bei der Fehlerbehebung verpflichtet, insbesondere zur Erreichbarkeit fuer Rueckfragen.
(5) Fehler werden nach folgender Kritikalitaet bearbeitet:
| Kategorie | Auswirkung | Reaktionszeit |
|-----------|-----------|---------------|
| Normal | Keine oder geringe Auswirkung | {{RESPONSE_LOW_H}} Stunden |
| Hoch | Einschraenkung des Geschaeftsbetriebs | {{RESPONSE_HIGH_H}} Stunden |
| Kritisch | Drohender Vermoegens- oder Betriebsschaden | {{RESPONSE_CRITICAL_H}} Stunden |
(6) Die Reaktionszeiten bezeichnen den Zeitraum bis zum Beginn der Bearbeitung, nicht bis zur Fehlerbehebung. Sie gelten ausschliesslich innerhalb der Servicezeiten.
{{#IF HAS_SLA}}
(7) Weitergehende Verfuegbarkeits- und Servicezusagen: {{SLA_URL}}.
{{/IF}}
---
## § 8 Datenspeicherung und Datenexport
(1) Der Anbieter trifft angemessene technische und organisatorische Massnahmen zum Schutz vor Datenverlust und unbefugtem Zugriff nach dem Stand der Technik. Regelmaessige Datensicherungen (Backups) sind Bestandteil dieser Massnahmen.
{{#IF NO_AUDIT_PROOF_STORAGE}}
(2) Der Anbieter stellt vorbehaltlich abweichender Vereinbarung keine revisionssichere Speicherung (z.B. GoBD-konform) zur Verfuegung.
{{/IF}}
(3) Der Kunde bleibt Alleinberechtigter an seinen Daten. Dem Anbieter stehen weder ein Zurueckbehaltungsrecht noch ein Pfandrecht an den Daten des Kunden zu.
(4) Der Kunde kann jederzeit die Herausgabe seiner Daten in einem gaengigen, maschinenlesbaren Format verlangen.
---
{{#IF HAS_PHYSICAL_GOODS}}
## § 8a Lieferung
(1) Die Lieferung erfolgt an die vom Kunden angegebene Lieferadresse. Lieferzeiten sind im jeweiligen Angebot angegeben und beginnen mit Zahlungseingang.
(2) Teillieferungen sind zulaessig, sofern dies fuer eine zuegige Abwicklung erforderlich und fuer den Kunden zumutbar ist. Zusaetzliche Versandkosten bei Teillieferungen traegt der Anbieter.
(3) Ist ein Produkt dauerhaft nicht verfuegbar, kommt kein Vertrag zustande. Bereits geleistete Zahlungen werden unverzueglich erstattet.
(4) Die Versandkosten ergeben sich aus der Bestelluebersicht und sind vom Kunden zu tragen. {{#IF_NOT B2B_ONLY}} Das Versandrisiko traegt der Anbieter, wenn der Kunde Verbraucher ist. {{/IF_NOT}} Im Falle eines Widerrufs traegt der Kunde die unmittelbaren Kosten der Ruecksendung.
{{#IF HAS_RETENTION_OF_TITLE}}
## § 8b Eigentumsvorbehalt
(1) Gelieferte Waren bleiben bis zur vollstaendigen Bezahlung (einschliesslich Versandkosten) im Eigentum des Anbieters.
(2) Der Kunde ist nicht berechtigt, unter Eigentumsvorbehalt stehende Waren ohne vorherige Zustimmung des Anbieters in Textform weiter zu veraeussern. {{#IF IS_B2B}} Unternehmern ist auch die Verpfaendung oder Sicherheitsuebereignung vor Eigentumsuebergang untersagt. {{/IF}}
{{#IF ALLOWS_RESALE}}
(3) Abweichend von Absatz 2 ist der Kunde zur Weiterveraeusserung der Vorbehaltsware im ordentlichen Geschaeftsgang berechtigt. Er tritt dem Anbieter bereits jetzt alle Forderungen in Hoehe des Rechnungsbetrags ab, die ihm aus der Weiterveraeusserung entstehen. Der Kunde bleibt zur Einziehung ermaechtigt, solange er seinen Zahlungspflichten nachkommt.
{{/IF}}
{{/IF}}
{{/IF}}
---
## § 9 Datenschutz
(1) Der Anbieter verarbeitet personenbezogene Daten, die der Kunde oder dessen Nutzer in die Software eingeben, als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die Einzelheiten der Auftragsverarbeitung regelt der separat geschlossene Auftragsverarbeitungsvertrag (AVV).
(2) Der Anbieter verwendet die Daten nicht zu eigenen Zwecken und nimmt nur insoweit Einsicht, als dies zur Erfuellung seiner vertraglichen Verpflichtungen erforderlich ist.
(3) Der Kunde ist eigenverantwortlich fuer die Erfuellung der ihm gegenueber betroffenen Personen obliegenden datenschutzrechtlichen Informationspflichten (Art. 13/14 DSGVO).
(4) Die Datenschutzerklaerung des Anbieters ist abrufbar unter: {{PRIVACY_POLICY_URL}}.
---
## § 10 Sperrung
(1) Der Anbieter ist zur Sperrung des Zugangs berechtigt, wenn der Kunde trotz Mahnung mit einer angemessenen Nachfrist in Zahlungsverzug ist.
(2) Der Anbieter ist ferner zur Sperrung berechtigt, wenn der begruendete Verdacht besteht, dass die Software unter Verstoss gegen geltendes Recht, diese AGB oder die Nutzungsbedingungen eingesetzt wird. Der Anbieter informiert den Kunden in der Regel mindestens 24 Stunden vor der Sperrung und gibt ihm Gelegenheit zur Stellungnahme.
(3) Waehrend einer Sperrung bleibt dem Kunden der Zugang zum Datenexport erhalten.
(4) Eine Sperrung laesst die Vertragslaufzeit unberuehrt. Die Zahlungspflicht besteht waehrend der Sperrung fort, sofern die Sperrung nicht auf einem Verschulden des Anbieters beruht.
---
## § 11 Gewaehrleistung
(1) Der Kunde hat Maengel der Software unverzueglich nach Entdeckung anzuzeigen. Die Maengelanzeige soll eine nachvollziehbare Fehlerbeschreibung enthalten.
(2) Der Anbieter behebt Maengel nach seiner Wahl durch Nachbesserung oder Bereitstellung einer fehlerfreien Version. Dem Anbieter sind mindestens zwei Nachbesserungsversuche innerhalb angemessener Frist einzuraeumen.
(3) Die Gewaehrleistung fuer nur unerhebliche Minderungen der Tauglichkeit wird ausgeschlossen.
(4) Die verschuldensunabhaengige Haftung fuer bei Vertragsschluss bereits vorhandene Maengel gemaess § 536a Abs. 1 BGB wird ausgeschlossen.
{{#IF HAS_DIGITAL_CONTENT}}
(5) Der Anbieter stellt dem Kunden Aktualisierungen (Software-Updates) kostenlos zur Verfuegung. Die Gewaehrleistung fuer Maengel, die daraus resultieren, dass der Kunde erforderliche und kostenlos bereitgestellte Updates nicht oder nicht rechtzeitig installiert hat, ist ausgeschlossen.
{{/IF}}
{{#IF IS_B2B}}
(6) Unternehmer haben offensichtliche Maengel innerhalb von einer Woche nach Erhalt schriftlich anzuzeigen (§ 377 HGB). Verdeckte Maengel sind unverzueglich nach Entdeckung anzuzeigen. Bei verspaeteter Anzeige ist die Gewaehrleistung ausgeschlossen.
{{#IF HAS_PHYSICAL_GOODS}}
(7) Bei Ruecksendung wegen Maengeln traegt der Anbieter die Versandkosten, sofern tatsaechlich ein Mangel vorliegt. Andernfalls traegt der Kunde die Kosten.
{{/IF}}
{{/IF}}
{{#IF IS_B2C}}
(8) Gegenueber Verbrauchern gelten die gesetzlichen Gewaehrleistungsrechte.
{{/IF}}
---
## § 12 Haftung
(1) Der Anbieter haftet unbeschraenkt bei Vorsatz, grober Fahrlaessigkeit und Schaeden aus Verletzung von Leib, Leben oder Gesundheit.
(2) Bei leicht fahrlaessiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) ist die Haftung auf den typischen, vorhersehbaren Schaden begrenzt.
(3) Im Uebrigen ist die Haftung ausgeschlossen, soweit gesetzlich zulaessig.
(4) Fuer Datenverlust haftet der Anbieter nur, soweit der Schaden auch bei ordnungsgemaesser Datensicherung durch den Kunden eingetreten waere. Unzureichende Datensicherung kann ein Mitverschulden im Sinne von § 254 BGB begruenden.
(5) Die gesetzliche Haftung nach dem Produkthaftungsgesetz bleibt unberuehrt.
{{#IF IS_B2B}}
(6) Die Haftung bei leichter Fahrlaessigkeit ist auf das {{LIABILITY_MULTIPLIER}}-fache der jaehrlichen Nettoverguetung begrenzt.
(7) Ansprueche wegen Sach- und Rechtsmaengeln verjaehren in einem Jahr, sofern nicht zwingend laengere Fristen gelten (insb. Verletzung von Leben/Koerper/Gesundheit, Arglist, Vorsatz).
{{/IF}}
(8) Ist ein Schaden auf Mitverschulden des Kunden zurueckzufuehren, mindert sich der Anspruch entsprechend (§ 254 BGB).
{{#IF HAS_IP_INDEMNIFICATION}}
### Freistellung bei Schutzrechtsverletzungen
(9) Der Anbieter steht dafuer ein, dass die vertragsmaessige Nutzung der Software frei von Schutzrechten Dritter ist. Macht ein Dritter gegenueber dem Kunden Ansprueche wegen einer Schutzrechtsverletzung geltend, verteidigt der Anbieter den Kunden auf eigene Kosten, sofern der Kunde den Anbieter unverzueglich benachrichtigt und ihm die Kontrolle ueber die Rechtsverteidigung ueberlaesst.
(10) Wird die Nutzung aufgrund einer Schutzrechtsverletzung beeintraechtigt, kann der Anbieter nach seiner Wahl die Software so aendern, dass sie das Schutzrecht nicht mehr verletzt, oder dem Kunden die erforderlichen Nutzungsrechte verschaffen.
{{/IF}}
---
## § 13 Vertragslaufzeit und Kuendigung
(1) Die Vertragslaufzeit richtet sich nach dem gewaehlten Abrechnungszeitraum (monatlich oder jaehrlich). Der Vertrag kann zum Ende der jeweiligen Laufzeit gekuendigt werden.
(2) Wird der Vertrag nicht fristgerecht gekuendigt, verlaengert er sich automatisch um den aktuell gebuchten Abrechnungszeitraum.
{{#IF HAS_MODULAR_PACKAGES}}
(3) Ein Wechsel in ein hoeherpreisiges Paket ist jederzeit moeglich; bereits gezahltes Entgelt wird anteilig angerechnet. Ein Wechsel in ein niedrigpreisigeres Paket ist zum Ende der laufenden Vertragslaufzeit moeglich.
{{/IF}}
(4) Das Recht zur ausserordentlichen fristlosen Kuendigung aus wichtigem Grund bleibt unberuehrt. Ein wichtiger Grund liegt insbesondere vor, wenn der Kunde trotz Mahnung und angemessener Nachfrist faellige Zahlungen nicht leistet oder wesentliche Vertragspflichten verletzt.
(5) Bereits gezahlte Entgelte fuer nicht vollstaendig genutzte Buchungszeitraeume werden bei ordentlicher Kuendigung nicht erstattet. Gesetzlich zwingende Erstattungsansprueche bleiben unberuehrt.
(6) Die Kuendigung kann in Textform oder ueber die im Kundenportal bereitgestellte Kuendigungsfunktion (§ 312k BGB) erfolgen.
---
## § 14 Daten bei Vertragsbeendigung
(1) Der Kunde kann seine Daten waehrend der Vertragslaufzeit jederzeit ueber die verfuegbaren Export-Funktionen sichern.
(2) Nach Vertragsbeendigung werden alle personenbezogenen Daten des Kunden gemaess den Regelungen des AVV geloescht oder zurueckgegeben. Die Loeschfrist betraegt {{DELETION_DAYS}} Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(3) Vertragsdaten (Rechnungen, Korrespondenz) bleiben von der Loeschung ausgenommen, soweit gesetzliche Aufbewahrungspflichten bestehen.
{{#IF HAS_RETURN_COST_CLAUSE}}
(4) Unterstuetzungsleistungen des Anbieters beim Datenexport beduerfen einer gesonderten Verguetung.
{{/IF}}
---
## § 15 Vertraulichkeit
(1) Die Parteien verpflichten sich, alle im Rahmen des Vertragsverhaeltnisses erlangten vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und nicht an unbefugte Dritte weiterzugeben. Diese Pflicht gilt auch nach Vertragsbeendigung fort.
(2) Vertrauliche Informationen duerfen nur denjenigen Mitarbeitern und Beauftragten zugaenglich gemacht werden, die sie zur Erfuellung der vertraglichen Pflichten benoetigen. Diese Personen sind entsprechend zur Vertraulichkeit zu verpflichten.
(3) Die Vertraulichkeitspflicht gilt nicht fuer Informationen, die (a) oeffentlich bekannt sind oder werden, (b) der empfangenden Partei bereits rechtmaessig bekannt waren, (c) von einem Dritten ohne Vertraulichkeitsverpflichtung uebermittelt werden, oder (d) aufgrund gesetzlicher oder behoerdlicher Anordnung offenzulegen sind.
---
{{#IF HAS_REFERENCE_MARKETING}}
## § 16 Referenzmarketing
(1) Der Kunde gestattet dem Anbieter, den Firmennamen und das Logo des Kunden als Referenz auf der eigenen Website und in Marketingmaterialien zu verwenden.
(2) Der Kunde kann diese Gestattung jederzeit mit Wirkung fuer die Zukunft widerrufen.
{{#IF HAS_WHITELABEL}}
(3) Bei Nutzung des Enterprise-/Whitelabel-Pakets entfaellt die Darstellung von Anbieter-Kennzeichen in der Software.
{{/IF}}
---
{{/IF}}
## § 17 Aenderungen der AGB
(1) Der Anbieter kann diese AGB aus sachlichem Grund aendern (z.B. Gesetzesaenderung, Aenderung der Rechtsprechung). Dieser Aenderungsvorbehalt ist nicht auf Aenderungen anwendbar, die das Verhaeltnis von Leistung und Gegenleistung wesentlich veraendern, insbesondere nicht auf Preiserhoehungen.
(2) Aenderungen werden in Textform mit einer Frist von mindestens einem Monat vor Inkrafttreten angekuendigt.
(3) Ohne Widerspruch innerhalb der gesetzten Frist gelten Aenderungen als angenommen. {{#IF_NOT B2B_ONLY}} Verbraucher werden auf ihr Widerspruchsrecht ausdruecklich hingewiesen. {{/IF_NOT}}
{{#IF HAS_PHYSICAL_GOODS}}
(4) AEnderungen dieser AGB haben keinen Einfluss auf bereits abgeschlossene Kaufvertraege. Es gilt die zum Zeitpunkt des Erwerbs gueltige Fassung.
{{/IF}}
(5) Im Einzelfall getroffene Individualvereinbarungen gehen diesen AGB vor (§ 305b BGB).
---
## § 18 Schlussbestimmungen
(1) Aenderungen und Ergaenzungen dieses Vertrages beduerfen der Textform.
(2) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
{{#IF IS_B2B}}
(3) Gerichtsstand gegenueber Kaufleuten und juristischen Personen: {{JURISDICTION_CITY}}. Ausschliessliche Gerichtsstaende bleiben unberuehrt.
{{/IF}}
(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der uebrigen Bestimmungen unberuehrt.
{{#IF HAS_PHYSICAL_GOODS}}
(5) Erfuellungsort ist {{FULFILLMENT_LOCATION}}.
{{/IF}}
{{#IF HAS_EXTERNAL_LINKS}}
(6) {{PLATFORM_NAME}} kann Links zu Internetseiten Dritter enthalten. Der Anbieter hat keinen Einfluss auf deren Inhalte und uebernimmt hierfuer keine Verantwortung.
{{/IF}}
(5) Bestandteile dieses Vertrages sind neben diesen AGB der Auftragsverarbeitungsvertrag (AVV) {{#IF HAS_COMMUNITY_GUIDELINES}} sowie die Nutzungsbedingungen (Community Guidelines) {{/IF}}.
{{#IF HAS_FORCE_MAJEURE}}
(6) Unvorhersehbare Ereignisse ausserhalb des Einflussbereichs der Parteien (hoehere Gewalt, insbesondere Epidemien, Naturkatastrophen, Krieg, Streik, behoerdliche Anordnungen), die die Leistungserbringung wesentlich erschweren oder unmoeglich machen, berechtigen die betroffene Partei, die Erfuellung fuer die Dauer der Behinderung zurueckzustellen. Zahlungspflichten bleiben hiervon unberuehrt. Die betroffene Partei unternimmt alle zumutbaren Anstrengungen zur Wiederaufnahme.
{{/IF}}
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
version = '2.0.0',
description = 'Allgemeine Geschaeftsbedingungen fuer SaaS/Cloud-Dienste. 18 Paragraphen inkl. Sperrung, Vertraulichkeit, Force Majeure, IP-Indemnification, § 312k BGB Kuendigungsbutton, § 536a BGB Ausschluss. B2B/B2C ueber Conditions steuerbar. Optionale Abschnitte fuer Testphase, modulare Pakete, Preisanpassung, Referenzmarketing, Whitelabel.',
updated_at = NOW()
WHERE document_type = 'agb'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/091_community_guidelines_v2.sql
+340
View File
@@ -0,0 +1,340 @@
-- Migration 091: Community Guidelines v2 — Modulares Template mit Detail-Bloecken
-- Drei Ebenen: Einleitung (Ton-Wahl), Verbotskategorien (modular + Detail), Moderation (DSA)
-- Jede Kategorie: Kurztext (immer) + DETAILED_* Block (optional) + EXCEPTIONS_* Block (optional)
UPDATE compliance_legal_templates
SET
title = 'Gemeinschaftsrichtlinien (modular, DSA-konform)',
description = 'Modulare Community Guidelines: 3 Tonarten, 11 Verbotskategorien mit optionalen Detaillisten und Ausnahmen, DSA-konformes Moderationsverfahren. Kunde waehlt per Checkbox welche Kategorien und Detailtiefe.',
content = $template$# Gemeinschaftsrichtlinien fuer {{PLATFORM_NAME}}
Stand: {{EFFECTIVE_DATE}} | Meldungen: {{REPORT_EMAIL}}
---
{{#IF TONE_FRIENDLY}}
## Willkommen bei {{PLATFORM_NAME}}
Wir freuen uns, dass Sie Teil unserer Gemeinschaft sind. {{PLATFORM_NAME}} lebt vom Austausch und guter Austausch braucht klare Spielregeln. Diese Richtlinien beschreiben, wie wir miteinander umgehen und welche Inhalte hier keinen Platz haben.
### Was gute Beitraege ausmacht
- **Respektvoll:** Denken Sie darueber nach, wie sich Ihre Inhalte auf andere auswirken. Guter Austausch heisst, andere willkommen zu heissen und einzubeziehen.
- **Relevant:** Bringen Sie etwas Neues ein einen Einblick, eine Perspektive, konstruktive Kritik. Qualitaet vor Quantitaet.
- **Sachlich fundiert:** Zeigen Sie, was Sie wissen, statt andere herabzusetzen. Gehaltvollere Beitraege entstehen durch eigenes Wissen, nicht durch Abwertung anderer.
- **Hilfsbereit:** Melden Sie Inhalte, die gegen diese Richtlinien verstossen. Sie helfen damit allen.
{{/IF}}
{{#IF TONE_EDITORIAL}}
## Ueber diese Richtlinien
{{PLATFORM_NAME}} ist ein Ort fuer Austausch, Lernen und gemeinsames Entdecken. Menschen mit unterschiedlichen Hintergruenden und Perspektiven kommen hier zusammen. Das funktioniert nur, wenn alle Beteiligten einige Grundregeln beachten.
Wir setzen auf Neugierde statt Rechthaberei, auf Substanz statt Lautstaerke. Wer hier Inhalte veroeffentlicht oder kommentiert, traegt zur Qualitaet der gesamten Gemeinschaft bei im Guten wie im Schlechten.
Diese Richtlinien beschreiben unsere Erwartungen und die Grenzen dessen, was auf {{PLATFORM_NAME}} zulaessig ist.
{{/IF}}
{{#IF TONE_FORMAL}}
## Geltungsbereich
Diese Gemeinschaftsrichtlinien gelten fuer alle Inhalte, die auf {{PLATFORM_NAME}} veroeffentlicht werden, unabhaengig von Form und Medium. Sie sind verbindlicher Bestandteil der Nutzungsbedingungen.
{{COMPANY_NAME}} behaelt sich das Recht vor, gegen diese Richtlinien verstossende Inhalte zu entfernen sowie Nutzer zu verwarnen oder ihren Zugang zu sperren.
{{/IF}}
---
## Verhaltensregeln
Alle Nutzer von {{PLATFORM_NAME}} verpflichten sich zu einem respektvollen, sachlichen und gesetzeskonformen Umgang miteinander. Folgende Grundregeln gelten fuer jede Interaktion:
- **Keine persoenlichen Angriffe:** Kritisieren Sie Inhalte und Argumente, nicht Personen.
- **Keine Diskriminierung:** Herabwuerdigung aufgrund von Herkunft, Geschlecht, Religion, sexueller Orientierung, Behinderung, Alter oder anderer Merkmale wird nicht toleriert.
- **Privatsphaere achten:** Veroeffentlichen Sie keine personenbezogenen Daten Dritter ohne deren Einwilligung.
- **Quellenangaben:** Verwenden Sie nur Inhalte, an denen Sie Rechte besitzen. Kennzeichnen Sie Zitate und nennen Sie Quellen.
- **Kein Trolling:** Beitraege, die erkennbar darauf abzielen, Diskussionen zu entgleisen oder andere zu provozieren, werden entfernt.
---
## Verbotene Inhalte
Die folgenden Inhaltskategorien sind auf {{PLATFORM_NAME}} verboten. Verstossende Inhalte werden gesperrt und nach Abschluss des Pruefverfahrens geloescht.
### Rechtswidrige Inhalte
Inhalte, die gegen geltendes Recht verstossen, sind nicht zulaessig. Dies umfasst alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Taetigkeit nicht im Einklang mit dem anwendbaren Recht stehen.
{{#IF DETAILED_ILLEGAL}}
Dazu zaehlen insbesondere:
- Strafbare Aeusserungen (z.B. Beleidigung, Volksverhetzung)
- Nicht genehmigte Verwendung urheberrechtlich geschuetzten Materials
- Inhalte, die gegen behoerdliche Anordnungen verstossen
- Verbreitung terroristischer Inhalte
{{/IF}}
### Hassrede und Diskriminierung
Inhalte, die Personen oder Gruppen aufgrund geschuetzter Merkmale herabwuerdigen, verleumden, einschuechtern oder zu Hass aufrufen, sind verboten. Dies umfasst auch die Leugnung, Billigung oder Verharmlosung von Voelkermord und Verbrechen gegen die Menschlichkeit.
{{#IF DETAILED_HATE_SPEECH}}
Als hasserfuelltes Verhalten gelten insbesondere:
- Hassrede und Diskriminierung jeglicher Art
- Beleidigungen oder Diffamierungen von Personen oder Gruppen
- Verleumderische Aeusserungen, die auf die Schaedigung der Reputation oder Wuerde einer Person abzielen
- Belaestigung, einschliesslich Online-Stalking und Mobbing
- Demuetigende, spoettische oder herabsetzende Kommentare und Aktivitaeten
- Einschuechterung oder Noetigung, sowohl verbal als auch physisch
- Denunziationen, falsche Anschuldigungen und Unterstellungen
- Soziale Ausgrenzung oder oeffentliche Blossstellung von Personen
- Aufrufe zu Hass oder Willkuermassnahmen gegen Personen oder Gruppen
- Leugnung des Holocaust oder anderer historisch belegter Voelkermorde
{{/IF}}
### Betrug und Falschinformationen
Inhalte, die der vorsaetzlichen Taeuschung oder Irrefuehrung dienen, werden entfernt. Dazu zaehlen erwiesen falsche Tatsachenbehauptungen, manipulierte Darstellungen ohne Kennzeichnung, Spam und betruegerische Angebote.
{{#IF DETAILED_FRAUD}}
Als Betrug und Falschinformation gelten insbesondere:
- Finanzieller oder materieller Betrug (z.B. Anlagebetrug, Versicherungsbetrug)
- Identitaetsbetrug oder Identitaetstaueschung
- Irrefuehrende Werbung (z.B. Darstellungen von uebermaessig hohen Renditen)
- Falsche oder irrefuehrende Behauptungen, insbesondere im medizinischen Bereich oder zu demokratischen Prozessen
- Kuenstlich erzeugte oder manipulierte Inhalte (Deepfakes), die Nutzern faelschlicherweise als echt erscheinen, sofern nicht eindeutig als solche gekennzeichnet
- Spam, Bots und vergleichbare umfangreiche oder wiederholende irrefuehrende Inhalte
- Gefaelschte Dokumente oder Zahlungsmittel
- Verschwoerungstheorien, die als Tatsachen dargestellt werden
{{/IF}}
{{#IF EXCEPTIONS_FRAUD}}
*Ausnahme: Parodie, Satire und Kunst sind zulaessig, sofern sie keine Persoenlichkeitsrechte verletzen und als solche erkennbar sind. Journalistische Berichterstattung ueber Betrug oder Falschinformationen ist zulaessig, wenn der journalistische Charakter erkennbar ist.*
{{/IF}}
### Sicherheit und Privatsphaere
Die Veroeffentlichung persoenlicher Informationen ohne Einwilligung der betroffenen Person (Doxing), die De-Anonymisierung von Nutzern, Identitaetsdiebstahl sowie Aktivitaeten, die die Sicherheit der Plattform oder ihrer Nutzer gefaehrden, sind verboten.
{{#IF DETAILED_PRIVACY}}
In diesem Sinne sind insbesondere verboten:
- Veroeffentlichung persoenlicher Daten ohne Einverstaendnis (Anschrift, Telefonnummer, E-Mail)
- Veroeffentlichung vertraulicher Informationen (medizinische Daten, Finanzdaten, religioese/sexuelle Identitaet)
- Veroeffentlichung von Passwoertern, Zugangsdaten oder Zahlungsmittel-Details
- Offenlegung der Identitaet, De-Anonymisierung oder De-Pseudonymisierung einer Person
- Veroeffentlichung von Abbildungen, Audio- oder Videoaufnahmen ohne Einwilligung der betroffenen Personen
- Identitaetsdiebstahl und Imitieren von Personen oder Gruppen
- Anlegen mehrerer Nutzeraccounts durch einen Nutzer
- Links zu unsicheren, irrefuehrenden oder schaedigenden Seiten (Phishing, Malware)
- Gefaehrdung der Stabilitaet oder Sicherheit der Plattform (z.B. Hacking, DoS-Angriffe)
{{/IF}}
{{#IF HAS_MEDIA_UPLOADS}}
### Gewalt und Gewaltverherrlichung
Darstellungen von Gewalt, Gewaltandrohungen und Aufrufe zur Gewalt sind verboten.
{{#IF DETAILED_VIOLENCE}}
Als inakzeptabel gelten insbesondere:
- Darstellungen von Gewalt oder gewalttaetigen Szenen, einschliesslich versuchter Gewaltanwendung
- Darstellungen von Unfaellen, Katastrophen oder Anschlaegen, die verletzte oder getoetete Menschen zeigen
- Schockierende und verstoerende Darstellungen im Zusammenhang mit Gewalt
- Androhung von Gewalt, gleich welcher Art und Haerte
- Einschuechterung mittels Gewaltandrohung
- Anstiftung oder Aufruf zu jeglicher Form von Gewalt
- Verwendung von gewaltverherrlichender Sprache oder Symbolen in einem Kontext, der erkennbar der Einschuechterung dient
{{/IF}}
{{#IF EXCEPTIONS_VIOLENCE}}
*Ausnahmen: Selbstverteidigungstraining oder Kampfsport; militaerisches oder polizeiliches Training; Darstellungen in Videospielen, Filmen oder als Teil von Kunst; journalistische Berichterstattung mit erkennbarem journalistischem Charakter; Informationen zu medizinischen, wissenschaftlichen oder paedagogischen Zwecken.*
{{/IF}}
### Pornografische und sexuell explizite Inhalte
Sexuell explizite Inhalte, einschliesslich digital erzeugter Darstellungen, sind nicht zulaessig.
{{#IF DETAILED_PORNOGRAPHY}}
Verboten sind insbesondere:
- Darstellungen sexueller Handlungen oder Aufforderungen dazu
- Exhibitionistische oder voyeuristische Inhalte
- Anzuegliche Darstellungen, die nackte Personen oder entbloesste Geschlechtsmerkmale zeigen
- Kuenstlich erstellte oder manipulierte Inhalte mit sexuellen Darstellungen
- Angebote und Werbung fuer sexuelle Dienstleistungen
- Links zu Seiten mit pornografischen Inhalten
{{/IF}}
{{#IF EXCEPTIONS_PORNOGRAPHY}}
*Ausnahmen: Koerperkunst (Bodypainting) mit blickdichter Abdeckung; Nacktheit als Teil einer Protestform; journalistische Berichterstattung; medizinische, wissenschaftliche oder paedagogische Inhalte; Darstellungen, die das Stillen oder Momente nach der Geburt zeigen.*
{{/IF}}
### Suizid und Selbstverletzung
Inhalte, die Suizid oder Selbstverletzung darstellen, verherrlichen oder dazu anleiten, werden entfernt. Nach wissenschaftlichen Erkenntnissen kann die Darstellung selbstverletzenden Verhaltens zur Nachahmung fuehren (Imitationseffekt).
{{#IF DETAILED_SELF_HARM}}
Verboten sind insbesondere:
- Darstellung oder Beschreibung von Suizid, Suizidgedanken oder Selbstverletzung
- Androhung, Anstiftung, Aufforderung oder Anleitung zu Suizid oder Selbstverletzung
- Inhalte, die koerperliche Folgen von Essstoerungen verharmlosen oder anpreisen
- Inhalte, die zu extremen oder ungesunden Diaeten anstiften
- Produkte oder Dienstleistungen, die fuer Suizid oder Selbstverletzung bestimmt sind
- Diffamierung von Personen nach Suizid oder Selbstverletzung
{{/IF}}
{{#IF EXCEPTIONS_SELF_HARM}}
*Ausnahmen: Journalistische Berichterstattung mit erkennbarem journalistischem Charakter; medizinische, wissenschaftliche oder paedagogische Inhalte; Inhalte zu Heilung, Praevention und Bewaeltigungsstrategien; gekennzeichnete Stunts mit Warnhinweis; Darstellungen in Videospielen, Filmen oder Kunst.*
{{/IF}}
Wenn Sie oder jemand, den Sie kennen, sich in einer Krise befinden, wenden Sie sich bitte an eine Krisenberatungsstelle: [https://findahelpline.com]
### Ausbeutung und Missbrauch
Inhalte, die Ausbeutung oder Missbrauch von Menschen zeigen oder foerdern, sind verboten. Insbesondere gilt dies fuer Darstellungen sexuellen Missbrauchs von Kindern (CSAM).
{{#IF DETAILED_EXPLOITATION}}
Unter Ausbeutung und Missbrauch fallen insbesondere:
- Sklaverei, Zwangsarbeit, Menschenhandel und Organhandel
- Kinderarbeit, Kindersoldaten und illegale Adoption
- Zwangsehen und jegliches Handeln, das unter Zwang gefordert wird
- Darstellungen von sexuellem Missbrauch
- Sexuelle Handlungen an Kindern oder Darstellungen von Kindern mit sexuellen Elementen
- Anzuegliche Kommentare gegenueber Minderjaehrigen
{{/IF}}
{{/IF}}
{{#IF HAS_MESSAGING}}
### Sexuelle Belaestigung und unerwuenschte Kontaktaufnahme
Sexuelle Belaestigung, sexuelle Objektivierung und unerwuenschte Kontaktaufnahmen sind verboten. Nutzer koennen unerwuenschte Nachrichten selbststaendig sperren.
{{#IF DETAILED_HARASSMENT}}
Verboten sind insbesondere:
- Sexuelle Belaestigung und sexuelle Objektivierung
- Angebot oder Aufforderung zu sexuellen Handlungen oder gewerblichen sexuellen Dienstleistungen
- Versenden von anzueglichen und sexuell orientierten Inhalten einschliesslich Nacktbildern
- Sexuelle Annaeherungsversuche oder Anzueglichkeiten
- Verwendung von Symbolen, Bildern oder Emojis in einem sexualisierten Kontext
- Kontaktaufnahmen, bei denen der Adressat zuvor mitgeteilt hat, dass eine Kontaktaufnahme unerwuenscht ist
{{/IF}}
{{/IF}}
{{#IF HAS_MARKETPLACE}}
### Gefaehrliche und verbotene Produkte
Das Anbieten, Verkaufen oder Nachfragen von Produkten und Dienstleistungen, die gesetzlichen Beschraenkungen unterliegen oder verboten sind, ist nicht zulaessig. Dies gilt auch fuer die Anbahnung von Transaktionen ausserhalb der Plattform.
{{#IF DETAILED_DANGEROUS_PRODUCTS}}
Gefaehrliche Produkte und Dienstleistungen umfassen insbesondere:
- Regulierte Produkte und Dienstleistungen (z.B. geschuetzte Tiere oder Pflanzen)
- Waffen und Munition, Sprengstoff
- Anleitungen zur Herstellung von Waffen oder Sprengstoff
- Drogen, einschliesslich Alkohol, Tabak und E-Zigaretten
- Rezeptpflichtige oder nicht zugelassene Medikamente
- Toxische oder toedliche Substanzen und Gefahrgueter
- Gestohlene Produkte oder Hehlerware
- Prostitution und vergleichbare sexuelle Dienstleistungen
{{/IF}}
{{/IF}}
### Gefaehrliche Personen und Terrorismus
Inhalte, die von oder zugunsten terroristischer Organisationen, verfassungsfeindlicher Vereinigungen oder krimineller Gruppen verbreitet werden, sind verboten. Dies schliesst Propaganda, Rekrutierung und Symbole ein.
{{#IF DETAILED_TERRORISM}}
Als gefaehrliche Personen und Gruppen gelten insbesondere:
- Terroristische Gruppierungen gemaess der EU-Terrorliste oder UN-Einstufung
- Verfassungsfeindliche oder verbotene Organisationen
- Militante oder paramilitaerische Gruppen und vergleichbare gewalttaetige Organisationen
- Kriminelle Vereinigungen und Banden
- Rassistische, diskriminierende oder extremistische Gruppen
- Sympathisanten und Unterstuetzer der vorgenannten Personen und Gruppen
{{/IF}}
### Gefaehrdende Aktivitaeten
Inhalte, die zu gefaehrlichen oder schaedigenden Aktivitaeten aufrufen, diese ankuendigen oder befuerworten, werden entfernt.
{{#IF DETAILED_DANGEROUS_ACTIVITIES}}
Als gefaehrdende Aktivitaeten gelten insbesondere:
- Mutproben oder Flashmobs, die Gesundheit oder Eigentum gefaehrden
- Missbrauch von Notrufeinrichtungen (z.B. Swatting)
- Stoerung demokratischer Prozesse (z.B. Wahlmanipulation)
- Anschlaege, Pluenderungen und Sachbeschaedigungen
- Angriffe auf physische und digitale Infrastrukturen
- Illegales Gluecksspiel und Schneeballsysteme
- Verharmlosung von Gefahren oder gezielte Falschinformationen ueber Gesundheitsrisiken
- Inhalte, die ungerechfertigte Panik ausloesen (z.B. falsche Anschlagswarnungen)
{{/IF}}
---
## Urheberrecht
Nutzer duerfen nur Inhalte veroeffentlichen, an denen sie die erforderlichen Rechte besitzen. Bei Verwendung fremder Inhalte sind Quellenangaben erforderlich. {{COMPANY_NAME}} entfernt Inhalte, die Urheberrechte verletzen, und informiert den betroffenen Nutzer.
---
## Moderation und Durchsetzung
### Erkennung von Verstoessen
{{COMPANY_NAME}} ueberprueft Inhalte sowohl proaktiv (automatisierte Erkennung und manuelle Stichproben) als auch reaktiv (Nutzer-Meldungen). Meldungen koennen unter {{REPORT_EMAIL}} eingereicht werden.
### Massnahmen bei Verstoessen
Bei Verstoessen gegen diese Richtlinien kann {{COMPANY_NAME}} folgende Massnahmen ergreifen:
- Entfernung oder Sperrung des betroffenen Inhalts
- Verwarnung des Nutzers
- Voruebergehende Einschraenkung von Funktionen
- Voruebergehende oder dauerhafte Sperrung des Nutzerkontos
Bei schwerwiegenden Verstoessen (insbesondere rechtswidrige Inhalte, Gewaltandrohungen, CSAM) koennen Massnahmen ohne Vorwarnung ergriffen werden.
### Benachrichtigung
Nach einer Sperrung oder Entfernung informiert {{COMPANY_NAME}} den betroffenen Nutzer unverzueglich per E-Mail ueber die Massnahme und deren Begruendung.
### Beschwerde und Ueberpruefung
Der betroffene Nutzer kann innerhalb von 14 Tagen nach Zugang der Benachrichtigung eine Stellungnahme an {{REPORT_EMAIL}} uebermitteln. {{COMPANY_NAME}} prueft den Sachverhalt unter Beruecksichtigung der Stellungnahme durch einen Menschen und teilt die Entscheidung mit einzelfallbezogener Begruendung mit.
Wird festgestellt, dass der Inhalt nicht gegen diese Richtlinien verstoesst, wird die Sperre aufgehoben. Andernfalls wird der Inhalt endgueltig geloescht.
### Aussergerichtliche Streitbeilegung
Unabhaengig vom internen Beschwerdeverfahren steht Nutzern der Weg zu einer zertifizierten aussergerichtlichen Streitbeilegungsstelle offen (Art. 21 Verordnung (EU) 2022/2065).
---
## Aenderungen
{{COMPANY_NAME}} kann diese Richtlinien bei Bedarf anpassen und informiert ueber wesentliche Aenderungen. Die jeweils aktuelle Fassung ist unter {{GUIDELINES_URL}} abrufbar.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{EFFECTIVE_DATE}}*
$template$,
placeholders = '["PLATFORM_NAME", "EFFECTIVE_DATE", "REPORT_EMAIL", "COMPANY_NAME", "CONTACT_EMAIL", "GUIDELINES_URL"]'::jsonb,
version = '3.0.0',
updated_at = NOW()
WHERE document_type = 'community_guidelines'
AND language = 'de'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/092_media_content_modules.sql
+207
View File
@@ -0,0 +1,207 @@
-- Migration 092: Media & Content Module — 4 zusaetzliche Bloecke
-- Fuer Nutzungsbedingungen und Community Guidelines
-- Module: Journalistische Medien, KI-Kennzeichnung, Werbekennzeichnung, Pressekodex
-- Rechtsgrundlagen: MStV §§ 18-22, AI Act Art. 50, § 5a UWG, Presserat
-- Diese Migration erstellt ein separates Template 'media_content_policy'
-- das als Zusatzmodul zu den Nutzungsbedingungen oder eigenstaendig verwendet werden kann
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'media_content_policy',
'Medien- und Inhalte-Richtlinie (MStV, AI Act, UWG)',
'Ergaenzende Richtlinie fuer Plattformen mit journalistischen, KI-generierten oder werblichen Inhalten. 4 unabhaengige Module: Journalistische Sorgfalt (MStV), KI-Kennzeichnung (AI Act Art. 50), Werbekennzeichnung (UWG/MStV), Pressekodex. Einzeln oder kombiniert aktivierbar.',
$template$# Medien- und Inhalte-Richtlinie fuer {{PLATFORM_NAME}}
Stand: {{EFFECTIVE_DATE}}
Diese Richtlinie ergaenzt die Nutzungsbedingungen und Gemeinschaftsrichtlinien von {{PLATFORM_NAME}} um spezifische Regelungen fuer journalistische, KI-generierte und werbliche Inhalte.
---
{{#IF IS_JOURNALISTIC_MEDIA}}
## Modul 1: Journalistische Sorgfalt und redaktionelle Verantwortung
### Anwendungsbereich
Dieses Modul gilt fuer alle Inhalte auf {{PLATFORM_NAME}}, die journalistisch-redaktionell gestaltet sind und regelmaessig Nachrichten oder politische Informationen enthalten (§ 18 Abs. 1 Medienstaatsvertrag MStV).
### Journalistische Grundsaetze
(1) Nutzer, die journalistische oder redaktionelle Inhalte auf {{PLATFORM_NAME}} veroeffentlichen, sind verpflichtet, die anerkannten journalistischen Grundsaetze zu beachten (§ 19 Abs. 1 MStV). Dazu gehoeren insbesondere:
- **Sorgfaltspflicht:** Nachrichten sind vor ihrer Veroeffentlichung mit der nach den Umstaenden gebotenen Sorgfalt auf Inhalt, Herkunft und Wahrheit zu pruefen (§ 19 Abs. 1 MStV).
- **Trennungsgebot:** Redaktionelle Inhalte sind von werblichen Inhalten klar zu trennen. Werbung ist als solche eindeutig zu kennzeichnen (§ 22 Abs. 1 MStV).
- **Quellenangaben:** Nachrichten und Informationen sollen nach ihrer Herkunft gekennzeichnet werden. Eigene Informationen sind von uebernommenen Meldungen zu unterscheiden.
- **Richtigstellungspflicht:** Erweist sich eine veroeffentlichte Nachricht als falsch, ist unverzueglich eine Richtigstellung zu veroeffentlichen.
### Gegendarstellungsrecht
(2) Jede natuerliche oder juristische Person kann von {{COMPANY_NAME}} die Veroeffentlichung einer Gegendarstellung verlangen, wenn in einem auf {{PLATFORM_NAME}} veroeffentlichten journalistischen Inhalt Tatsachenbehauptungen ueber sie aufgestellt wurden (§ 20 MStV).
(3) Anfragen zur Gegendarstellung sind in Textform an {{EDITORIAL_EMAIL}} zu richten. {{COMPANY_NAME}} prueft die Anfrage unverzueglich und veroeffentlicht die Gegendarstellung ohne schuldhaftes Zoegern, sofern die gesetzlichen Voraussetzungen vorliegen.
### Verantwortliche Person
(4) Verantwortlich fuer den redaktionellen Inhalt im Sinne von § 18 Abs. 2 MStV:
**{{EDITORIAL_RESPONSIBLE_NAME}}**
{{EDITORIAL_RESPONSIBLE_ADDRESS}}
{{/IF}}
---
{{#IF HAS_AI_GENERATED_CONTENT}}
## Modul 2: KI-generierte Inhalte und Kennzeichnungspflicht
### Rechtsgrundlage
Dieses Modul setzt die Transparenzpflichten fuer KI-generierte Inhalte gemaess Art. 50 der Verordnung (EU) 2024/1689 (KI-Verordnung / AI Act) um.
### Kennzeichnungspflicht
(1) Inhalte auf {{PLATFORM_NAME}}, die ganz oder teilweise durch Systeme der kuenstlichen Intelligenz erzeugt oder wesentlich veraendert wurden, muessen als solche gekennzeichnet werden. Dies gilt fuer:
- KI-generierte Texte, die ueber oeffentliche Angelegenheiten informieren
- KI-generierte oder KI-manipulierte Bilder, Audio- und Videoinhalte (Deepfakes)
- Synthetische Inhalte, die realen Personen, Gegenstaenden, Orten oder Ereignissen aehneln
(2) Die Kennzeichnung muss fuer den durchschnittlichen Nutzer **klar erkennbar** sein und erfolgt durch:
- Einen deutlich sichtbaren Hinweis am Inhalt (z.B. KI-generiert", „Mit KI erstellt")
- Maschinenlesbare Metadaten gemaess dem Stand der Technik (z.B. C2PA Content Credentials)
{{#IF DETAILED_AI_LABELING}}
(3) Im Einzelnen gelten folgende Kennzeichnungsregeln:
| Inhaltstyp | Kennzeichnung erforderlich | Beispiel |
|-----------|:---:|---|
| Vollstaendig KI-generierter Text | Ja | ChatGPT-Artikel, KI-Zusammenfassung |
| KI-unterstuetzter Text mit menschlicher Redaktion | Nein* | Menschlicher Autor nutzt KI als Schreibhilfe |
| KI-generiertes Bild | Ja | DALL-E, Midjourney, Stable Diffusion |
| KI-bearbeitetes Foto (wesentliche Aenderung) | Ja | Hintergrund ersetzt, Person hinzugefuegt |
| KI-bearbeitetes Foto (Standard-Bearbeitung) | Nein | Filter, Farbkorrektur, Zuschnitt |
| KI-generiertes Audio / Stimme | Ja | Text-to-Speech, Stimmklonung |
| KI-generiertes Video / Deepfake | Ja | Gesichts-Swap, synthetische Person |
| KI-generierte Untertitel / Transkripte | Nein | Assistenzfunktion |
*Sofern eine natuerliche oder juristische Person die redaktionelle Verantwortung fuer den Inhalt traegt.
{{/IF}}
### Ausnahmen
(4) Keine Kennzeichnungspflicht besteht fuer:
- KI-Systeme, die reine Assistenzfunktionen ausueben (z.B. Rechtschreibpruefung, Autokorrektur)
- Inhalte, bei denen ein Mensch die redaktionelle Verantwortung traegt und der KI-Einsatz den Inhalt nicht wesentlich veraendert
- Offensichtlich kuenstlerische, satirische oder fiktionale Werke, sofern die KI-Erzeugung die Darbietung nicht beeintraechtigt
### Verantwortlichkeit
(5) Die Pflicht zur Kennzeichnung trifft den Nutzer, der den KI-generierten Inhalt auf {{PLATFORM_NAME}} veroeffentlicht. {{COMPANY_NAME}} stellt Werkzeuge zur Kennzeichnung bereit und kann nicht gekennzeichnete KI-Inhalte entfernen.
(6) {{COMPANY_NAME}} setzt nach Moeglichkeit automatisierte Erkennungssysteme ein, um nicht gekennzeichnete KI-generierte Inhalte zu identifizieren.
{{/IF}}
---
{{#IF HAS_SPONSORED_CONTENT}}
## Modul 3: Werbekennzeichnung und bezahlte Inhalte
### Rechtsgrundlage
Dieses Modul setzt die Kennzeichnungspflichten fuer werbliche Inhalte gemaess § 5a Abs. 4 UWG (Gesetz gegen den unlauteren Wettbewerb) und § 22 MStV (Medienstaatsvertrag) um.
### Grundsatz der Transparenz
(1) Inhalte auf {{PLATFORM_NAME}}, die ganz oder teilweise werblichen Charakter haben, muessen als Werbung gekennzeichnet werden. Der kommerzielle Zweck muss fuer den durchschnittlichen Nutzer erkennbar sein.
(2) Ein kommerzieller Zweck liegt insbesondere vor, wenn der Nutzer fuer die Veroeffentlichung eine Gegenleistung erhaelt oder erhalten hat. Als Gegenleistung gelten:
- Geldzahlungen (Honorare, Provisionen, Affiliate-Verguetungen)
- Sachleistungen (Produkte, Reisen, Einladungen, Rabatte)
- Dienstleistungen (kostenlose Accounts, Premium-Zugaenge)
- Sonstige geldwerte Vorteile
### Kennzeichnungsregeln
(3) Werbliche Inhalte sind wie folgt zu kennzeichnen:
| Inhaltstyp | Kennzeichnung | Platzierung |
|-----------|-------------|------------|
| Bezahlte Kooperation | Werbung" oder „Anzeige" | Am Anfang des Inhalts, deutlich sichtbar |
| Affiliate-Links | Affiliate-Link" oder „Werbelink" | Unmittelbar beim Link |
| Kostenlose Produktueberlassung | Werbung" | Am Anfang des Inhalts |
| Eigenwerbung | „Eigenwerbung" (empfohlen) | Am Anfang des Inhalts |
| Redaktionell unabhaengiger Test | Keine Kennzeichnung | |
(4) Die Kennzeichnung muss **vor** dem werblichen Inhalt stehen, nicht am Ende. Hashtags wie #ad" oder „#sponsored" am Ende eines Beitrags genuegen nicht.
### Trennung redaktioneller und werblicher Inhalte
(5) Redaktionelle Inhalte und Werbung sind klar voneinander zu trennen (§ 22 Abs. 1 MStV). Eine Vermischung, die den Eindruck redaktioneller Unabhaengigkeit erweckt, ist unzulaessig.
### Verantwortlichkeit
(6) Die Pflicht zur Werbekennzeichnung trifft den Nutzer, der den werblichen Inhalt veroeffentlicht. {{COMPANY_NAME}} kann nicht gekennzeichnete werbliche Inhalte nachtraeglich kennzeichnen oder entfernen.
{{/IF}}
---
{{#IF HAS_PRESS_COUNCIL}}
## Modul 4: Pressekodex-Selbstverpflichtung
### Selbstverpflichtung
(1) {{COMPANY_NAME}} hat sich dem Deutschen Presserat angeschlossen und verpflichtet sich zur Einhaltung der Publizistischen Grundsaetze (Pressekodex) des Deutschen Presserats.
(2) Der Pressekodex ist abrufbar unter: [https://www.presserat.de/pressekodex.html]
### Wirkungen der Selbstverpflichtung
(3) Durch die Anerkennung des Pressekodex unterliegen die journalistischen Inhalte auf {{PLATFORM_NAME}}:
- Der Selbstregulierung durch den Deutschen Presserat (statt Regulierung durch die Landesmedienanstalten)
- Dem datenschutzrechtlichen Medienprivileg (§ 12 MStV), das Erleichterungen bei der Verarbeitung personenbezogener Daten zu journalistischen Zwecken vorsieht
### Beschwerden
(4) Beschwerden ueber journalistische Inhalte auf {{PLATFORM_NAME}} koennen direkt beim Deutschen Presserat eingereicht werden:
Deutscher Presserat
Fritschestraße 27/28
10585 Berlin
https://www.presserat.de/beschwerde-einreichen.html
(5) Unabhaengig davon koennen Beschwerden auch ueber das interne Beschwerdeverfahren (siehe Gemeinschaftsrichtlinien) eingereicht werden.
{{/IF}}
---
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{EFFECTIVE_DATE}}*
$template$,
'["PLATFORM_NAME","EFFECTIVE_DATE","COMPANY_NAME","EDITORIAL_EMAIL","EDITORIAL_RESPONSIBLE_NAME","EDITORIAL_RESPONSIBLE_ADDRESS"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'media_content_policy'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
backend-compliance/migrations/093_privacy_policy_v2.sql
+322
View File
@@ -0,0 +1,322 @@
-- Migration 093: Datenschutzinformation (DSI) v2
-- Ueberarbeitet basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Neue Pflichtabschnitte: Datenkategorien-Tabelle, Bereitstellungspflicht (Art. 13 Abs. 2 lit. e),
-- Speicherdauer-Tabelle, Empfaenger (AV + Verantwortliche), Widerspruchsrecht hervorgehoben
UPDATE compliance_legal_templates
SET
content = $template$# {{DSI_TITLE}}
**Stand:** {{VERSION_DATE}}
**Gueltig fuer:** {{SERVICE_SCOPE_DESCRIPTION}}
---
## 1. Verantwortlicher
Verantwortlich fuer die in dieser {{DSI_TITLE}} beschriebene Verarbeitung personenbezogener Daten:
**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
{{COMPANY_ADDRESS_LINE}}
{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}, {{COMPANY_COUNTRY}}
{{#IF REPRESENTED_BY_NAME}}Gesetzlich vertreten durch: {{REPRESENTED_BY_NAME}}{{/IF}}
E-Mail: {{CONTACT_EMAIL}}
{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
---
## 2. Datenschutzbeauftragter
{{#IF HAS_DPO}}
{{#IF DPO_NAME}}Unser Datenschutzbeauftragter: **{{DPO_NAME}}**{{/IF}}
E-Mail: {{DPO_EMAIL}}
{{/IF}}
{{#IF_NOT HAS_DPO}}
Fragen zum Datenschutz richten Sie bitte an: {{CONTACT_EMAIL}}
{{/IF_NOT}}
---
## 3. Grundsaetze der Verarbeitung
Wir verarbeiten personenbezogene Daten ausschliesslich im Einklang mit der DSGVO. Wir beachten Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integritaet/Vertraulichkeit und Transparenz.
---
## 4. Welche Daten verarbeiten wir?
Die folgende Uebersicht zeigt die Kategorien personenbezogener Daten, die wir im Zusammenhang mit {{SERVICE_SCOPE_DESCRIPTION}} verarbeiten:
| Kategorie | Beispiele | Details |
|-----------|----------|---------|
| Protokolldaten | IP-Adresse, Geraetetyp, Betriebssystem, Zeitstempel | § 5 |
| Accountdaten | E-Mail, Nutzername, Passwort (gehasht), Profilbild | § 5 |
| Identifikatoren | Nutzer-ID, Geraete-ID, Session-ID | § 5 |
{{#IF HAS_UGC}} | Inhaltsdaten | Veroeffentlichte Texte, Bilder, Videos, Kommentare, Likes | § 5 | {{/IF}}
{{#IF HAS_MESSAGING}} | Kommunikationsdaten | Nachrichten zwischen Nutzern {{#IF HAS_E2E_ENCRYPTION}}(Ende-zu-Ende-verschluesselt Anbieter kann Inhalt nicht einsehen){{/IF}} | § 5 | {{/IF}}
{{#IF HAS_LOCATION}} | Standortdaten | Geographischer Standort bei Nutzung, Aufnahmeort von Inhalten | § 5 | {{/IF}}
| Nutzungsdaten | Funktionsnutzung, Verweildauer, Abrufe, Absturzberichte | § 5 |
{{#IF HAS_PAYMENTS}} | Zahlungs-/Stammdaten | Name, Anschrift, Zahlungsmethode | § 5 | {{/IF}}
{{#IF HAS_CRYPTO_PAYMENTS}} | Transaktionsdaten | Wallet-Adresse, Guthaben, Transaktionshistorie | § 5 | {{/IF}}
{{#IF HAS_IDENTITY_VERIFICATION}} | Identifizierungsdaten | Name, Geburtsdatum, Ausweisdokument, Gesichtsbild | § 5 | {{/IF}}
| Moderationsdaten | Beschwerden, Verstoesse, Sperrinformationen | § 5 |
| Korrespondenzdaten | Inhalt der Kommunikation mit dem Anbieter | § 5 |
---
## 5. Zwecke und Rechtsgrundlagen der Verarbeitung
### 5.1 Bereitstellung der Plattform und Kernfunktionen
Fuer die Bereitstellung von {{PLATFORM_NAME}} und der angebotenen Funktionen verarbeiten wir Protokolldaten, Accountdaten, Identifikatoren und Einstellungsdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
### 5.2 Hosting und Infrastruktur
{{PLATFORM_NAME}} wird gehostet bei: **{{HOSTING_PROVIDER_NAME}}**, {{HOSTING_PROVIDER_COUNTRY}}. Mit dem Hosting-Provider besteht ein Vertrag zur Auftragsverarbeitung ({{HOSTING_PROVIDER_CONTRACT_TYPE}}).
{{#IF HAS_UGC}}
### 5.3 Veroeffentlichung und Moderation von Nutzer-Inhalten
Fuer die Bereitstellung der Inhaltsfunktionen und die Moderation verarbeiten wir Inhaltsdaten, Moderationsdaten und ggf. Standortdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung) fuer die Bereitstellung; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer die Moderation und Vermeidung rechtswidriger Nutzung.
{{/IF}}
### 5.4 IT-Sicherheit und Missbrauchserkennung
Fuer die Gewaehrleistung der IT-Sicherheit verarbeiten wir Protokolldaten, Accountdaten und Identifikatoren.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der IT-Infrastruktur).
{{#IF HAS_ANALYTICS}}
### 5.5 Nutzungsanalyse und Verbesserung
Fuer die Verbesserung von {{PLATFORM_NAME}} verarbeiten wir sofern Sie einwilligen Nutzungsdaten und Identifikatoren.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
**Details:** {{ANALYTICS_TOOLS_DETAIL}}
{{/IF}}
{{#IF HAS_PAYMENTS}}
### 5.6 Zahlungsabwicklung
Fuer kostenpflichtige Leistungen verarbeiten wir Stamm- und Transaktionsdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer steuer- und handelsrechtliche Aufbewahrung.
**Hinweis:** Zahlungsdienstleister (z.B. Stripe, PayPal) verarbeiten Ihre Zahlungsdaten als eigenstaendige Verantwortliche nicht als unsere Auftragsverarbeiter. Deren Datenschutzinformationen finden Sie in der Empfaenger-Uebersicht (§ 7).
{{PAYMENT_PROVIDER_DETAIL}}
{{/IF}}
{{#IF HAS_ONLINE_SHOP}}
### 5.7 Bestell- und Lieferfunktionen
Fuer die Bearbeitung von Bestellungen, die Berechnung von Versandkosten und Lieferzeiten sowie die Lieferung verarbeiten wir Stamm- und Protokolldaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer steuer- und handelsrechtliche Anforderungen.
{{/IF}}
{{#IF HAS_SUBSCRIPTION}}
### 5.8 Abo-Verwaltung und Kuendigung
Fuer die Verwaltung und Kuendigung von Abonnements verarbeiten wir Protokoll- und Stammdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht, insb. § 312k BGB).
{{/IF}}
{{#IF HAS_IDENTITY_VERIFICATION}}
### 5.9 Identitaetspruefung
Fuer die Verifizierung Ihrer Identitaet verarbeiten wir sofern Sie einwilligen Identifizierungsdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
{{/IF}}
### 5.8 Kontaktanfragen und Support
Bei Kontaktaufnahme verarbeiten wir Ihre Korrespondenzdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b oder f DSGVO.
### 5.9 Gesetzliche Aufbewahrungspflichten und Rechtsverteidigung
Fuer die Erfuellung gesetzlicher Aufbewahrungspflichten und zur Geltendmachung, Ausuebung oder Verteidigung von Rechtsanspruechen verarbeiten wir die jeweils erforderlichen Datenkategorien.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer EU-/EWR-Recht; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer die Erfuellung rechtlicher Pflichten in Drittstaaten sowie fuer die Rechtsverteidigung.
### 5.10 Kooperation mit Behoerden
Soweit wir gesetzlich zur Herausgabe von Daten an Behoerden oder Gerichte verpflichtet sind, verarbeiten wir die jeweils erforderlichen Datenkategorien.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht).
{{#IF HAS_NEWSLETTER}}
### 5.11 Newsletter
Fuer den Newsletter-Versand verarbeiten wir Ihre E-Mail-Adresse (Double-Opt-In).
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf: Abmeldelink oder {{CONTACT_EMAIL}}.
{{NEWSLETTER_PROVIDER_DETAIL}}
{{/IF}}
{{#IF HAS_MARKETING}}
### 5.12 Marketing und Tracking
Wir setzen sofern Sie einwilligen Marketing-Tools ein.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
{{MARKETING_TOOLS_DETAIL}}
{{/IF}}
---
## 6. Sind Sie zur Bereitstellung von Daten verpflichtet?
Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Bestimmte Daten sind jedoch fuer die Nutzung von {{PLATFORM_NAME}} technisch erforderlich:
| Daten | Erforderlichkeit | Folge bei Nichtbereitstellung |
|-------|:---:|---|
| Protokolldaten, Accountdaten, Identifikatoren | Fuer Grundnutzung erforderlich | Nutzung nicht moeglich |
{{#IF HAS_UGC}} | Inhaltsdaten | Fuer Veroeffentlichung | Inhalte-Funktionen nicht nutzbar | {{/IF}}
{{#IF HAS_LOCATION}} | Standortdaten | Fuer standortbezogene Funktionen | Eingeschraenkte Funktionalitaet | {{/IF}}
{{#IF HAS_PAYMENTS}} | Zahlungs-/Transaktionsdaten | Fuer Zahlungsfunktionen | Zahlungsfunktionen nicht nutzbar | {{/IF}}
{{#IF HAS_IDENTITY_VERIFICATION}} | Identifizierungsdaten | Fuer verifizierte Funktionen | Verifizierte Funktionen nicht nutzbar | {{/IF}}
| Nutzungsdaten, Korrespondenzdaten | Optional | Keine Einschraenkung |
---
## 7. Empfaenger personenbezogener Daten
### 7.1 Auftragsverarbeiter
Wir setzen Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten. Mit allen Auftragsverarbeitern bestehen Vertraege gemaess Art. 28 DSGVO.
{{PROCESSOR_LIST}}
{{#IF HAS_PARENT_COMPANY}}
### 7.1a Verbundene Unternehmen (Konzernstruktur)
{{COMPANY_LEGAL_NAME}} uebermittelt personenbezogene Daten an folgende verbundene Unternehmen, die als Auftragsverarbeiter taetig sind:
{{AFFILIATED_COMPANIES_LIST}}
Diese verbundenen Unternehmen uebermitteln im Rahmen ihrer Leistungserbringung ggf. Daten an weitere Auftragsverarbeiter:
{{AFFILIATED_SUB_PROCESSORS_LIST}}
{{/IF}}
### 7.2 Sonstige Empfaenger (eigene Verantwortliche)
In bestimmten Faellen uebermitteln wir personenbezogene Daten an Empfaenger, die diese zu eigenen Zwecken verarbeiten:
{{THIRD_PARTY_RECIPIENTS}}
**Hinweis:** Zahlungsdienstleister, Banken und Identifizierungsdienste verarbeiten Ihre Daten als eigenstaendige Verantwortliche aufgrund eigener gesetzlicher Pflichten (KYC, AML, PSD2). Weitere Informationen entnehmen Sie deren Datenschutzinformationen.
Darueber hinaus uebermitteln wir Daten an Behoerden und Gerichte, soweit wir gesetzlich hierzu verpflichtet sind, sowie an andere Nutzer und Dritte zur Unterstuetzung bei der Geltendmachung ihrer Rechte.
---
## 8. Drittlanduebermittlungen
{{#IF HAS_THIRD_COUNTRY}}
Uebermittlungen ausserhalb der EU/des EWR koennen bei einzelnen Dienstleistern nicht ausgeschlossen werden. Wir stellen ein angemessenes Schutzniveau durch {{TRANSFER_GUARDS}} sicher.
{{/IF}}
{{#IF_NOT HAS_THIRD_COUNTRY}}
Uebermittlungen in Drittlaender ausserhalb der EU/des EWR finden nicht statt.
{{/IF_NOT}}
---
## 9. Speicherdauer
| Datenkategorie | Speicherdauer |
|---------------|--------------|
| Protokolldaten, Session-Identifikatoren | Dauer der Nutzungssession |
| Accountdaten, Einstellungen | Bis 1 Woche nach Accountloeschung |
{{#IF HAS_UGC}} | Inhaltsdaten | Bis zur Entfernung durch Nutzer/Moderation, spaetestens 1 Woche nach Accountloeschung | {{/IF}}
{{#IF HAS_LOCATION}} | Standortdaten (Echtzeit) | Dauer der Nutzungssession | {{/IF}}
| Nutzungsdaten | 4 Wochen nach Session-Ende |
{{#IF HAS_PAYMENTS}} | Stamm-, Transaktions-, Identifizierungsdaten | 6 bzw. 10 Jahre (§ 147 AO, § 257 HGB) | {{/IF}}
| Moderationsdaten | 3 Jahre nach Abschluss des Vorgangs |
| Korrespondenzdaten | 3 Jahre (allgemein), 6 Jahre (Handelsbriefe) |
**Ausnahme:** Bei sicherheits- oder rechtlich relevanten Ereignissen speichern wir die betroffenen Daten bis zur vollstaendigen Aufklaerung. Bei Rechtsstreitigkeiten bis zu deren rechtskraeftiger Beendigung.
---
## 10. Cookies und Einwilligungsmanagement
Details zu Cookies, Speicherdauern und eingesetzten Tools: {{COOKIE_POLICY_URL}}.
Einwilligung verwalten/widerrufen: {{CONSENT_WITHDRAWAL_PATH}}.
---
## 11. Sicherheit
Wir setzen technische und organisatorische Massnahmen zum Schutz Ihrer Daten ein: {{SECURITY_MEASURES_SUMMARY}}.
---
## 12. Ihre Rechte
Sie haben folgende Rechte bezueglich Ihrer personenbezogenen Daten:
{{#IF DETAILED_RIGHTS}}
- **Auskunft (Art. 15 DSGVO):** Sie haben das Recht zu erfahren, welche Daten wir verarbeiten, einschliesslich Zweck, Rechtsgrundlage und Empfaenger. Sie koennen eine Kopie Ihrer Daten anfordern.
- **Berichtigung (Art. 16 DSGVO):** Sie koennen die Berichtigung unrichtiger oder die Vervollstaendigung unvollstaendiger Daten verlangen.
- **Loeschung (Art. 17 DSGVO):** Sie koennen die Loeschung Ihrer Daten verlangen, wenn diese nicht mehr erforderlich sind oder unrechtmaessig verarbeitet werden.
- **Einschraenkung (Art. 18 DSGVO):** Sie koennen die Einschraenkung der Verarbeitung verlangen, z.B. wenn Sie die Richtigkeit bestreiten.
- **Datenuebertragbarkeit (Art. 20 DSGVO):** Sie haben das Recht, Ihre Daten in einem strukturierten, gaengigen und maschinenlesbaren Format zu erhalten.
{{/IF}}
{{#IF_NOT DETAILED_RIGHTS}}
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Loeschung (Art. 17 DSGVO)
- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
- Datenuebertragbarkeit (Art. 20 DSGVO)
{{/IF_NOT}}
Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
### Widerrufsrecht
Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberuehrt.
### Widerspruchsrecht
**Sie haben das Recht, aus Gruenden, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO). Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, es liegen zwingende schutzwuerdige Gruende vor.**
{{#IF HAS_MARKETING}}
**Gegen die Verarbeitung Ihrer Daten fuer Zwecke der Direktwerbung koennen Sie jederzeit ohne Angabe von Gruenden Widerspruch einlegen.**
{{/IF}}
---
## 13. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehoerde zu beschweren (Art. 77 DSGVO):
**{{SUPERVISORY_AUTHORITY_NAME}}**
{{SUPERVISORY_AUTHORITY_ADDRESS}}
---
## 14. Aenderungen
Wir koennen diese {{DSI_TITLE}} anpassen. Die aktuelle Version finden Sie unter {{WEBSITE_URL}}.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
title = 'Datenschutzinformation / Datenschutzerklaerung (DSGVO, modular)',
description = 'Vollstaendige Datenschutzinformation nach DSGVO Art. 13/14 mit modularen Abschnitten. Inkl. Datenkategorien-Tabelle, Zweck-Rechtsgrundlage-Zuordnung, Bereitstellungspflicht (Art. 13 Abs. 2 lit. e), Speicherdauer-Tabelle, Empfaenger (AV + Verantwortliche mit Stripe-Hinweis), hervorgehobenes Widerspruchsrecht (Art. 21 Abs. 4). DSI/DSE Titel waehlbar.',
version = '2.0.0',
updated_at = NOW()
WHERE document_type = 'privacy_policy'
AND language = 'de'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/094_terms_of_use.sql
+263
View File
@@ -0,0 +1,263 @@
-- Migration 094: Nutzungsbedingungen (Terms of Use) — Neues Template
-- Separates Dokument von AGB (B2B) — richtet sich an Endnutzer
-- Module: Registrierung, Identitaetspruefung, Zugangsdaten, UGC, Tipping,
-- Wallet, Content Auth, CC-Lizenzen, TDM-Opt-out, Sperrung, Kuendigung
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'terms_of_use',
'Nutzungsbedingungen (Endnutzer, modular)',
'Nutzungsbedingungen fuer Endnutzer von Apps und Plattformen. 10 Paragraphen mit modularen Bloecken fuer UGC, Tipping, Wallet, Content Authenticity, Creative Commons, KI-Kennzeichnung, Sperrung/Kuendigung. Ergaenzt AGB (B2B) und Community Guidelines.',
$template$# Nutzungsbedingungen fuer {{PLATFORM_NAME}}
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## § 1 Anwendungsbereich
(1) Diese Nutzungsbedingungen regeln die Nutzung von {{PLATFORM_NAME}} (die Plattform"). Die Plattform wird von {{COMPANY_LEGAL_NAME}}, {{COMPANY_ADDRESS_FULL}} („Anbieter") betrieben.
(2) Mit der Registrierung oder Nutzung der Plattform erklaert sich der Nutzer mit diesen Nutzungsbedingungen einverstanden.
(3) Diese Nutzungsbedingungen gelten ergaenzend zu den Allgemeinen Geschaeftsbedingungen und den Gemeinschaftsrichtlinien des Anbieters.
---
## § 2 Registrierung und Nutzerkonto
(1) Die Nutzung von {{PLATFORM_NAME}} setzt eine Registrierung voraus. Mit der Bestaetigung der Registrierung durch den Anbieter kommt ein Nutzungsvertrag nach Massgabe dieser Nutzungsbedingungen und der Gemeinschaftsrichtlinien zustande. Ein Anspruch auf Bestaetigung der Registrierung besteht nicht.
(2) Natuerliche Personen muessen zum Zeitpunkt der Registrierung mindestens {{MIN_AGE}} Jahre alt und voll geschaeftsfaehig sein. {{#IF ALLOWS_MINORS}} Minderjaehrige ab {{MIN_AGE}} Jahren benoetigen die Einwilligung eines Erziehungsberechtigten. {{/IF}} Die Registrierung einer juristischen Person darf nur durch eine vertretungsberechtigte Person erfolgen.
(3) Jeder Nutzer darf nur ein Nutzerkonto fuehren. Das Nutzerkonto ist nicht uebertragbar.
(4) Die im Registrierungsprozess abgefragten Pflichtangaben sind vollstaendig und korrekt anzugeben und bei Aenderungen unverzueglich zu aktualisieren.
{{#IF HAS_IDENTITY_VERIFICATION}}
### Identitaetspruefung
(5) Bestimmte Funktionen von {{PLATFORM_NAME}} ({{VERIFICATION_REQUIRED_FEATURES}}) setzen eine erfolgreiche Identitaetspruefung voraus. Der Anbieter schaltet diese Funktionen frei, sobald die Identitaet des Nutzers ueber das angebotene Identifizierungsverfahren verifiziert wurde.
(6) Informationen zur Verarbeitung personenbezogener Daten im Rahmen der Identitaetspruefung sind in der Datenschutzerklaerung unter {{PRIVACY_POLICY_URL}} abrufbar.
{{/IF}}
---
## § 3 Zugangsdaten und Kontosicherheit
(1) Der Nutzer ist verpflichtet, seine Zugangsdaten geheim zu halten und den Zugang zu seinem Nutzerkonto vor unbefugter Nutzung durch Dritte zu schuetzen.
(2) Hat der Nutzer den begruendeten Verdacht, dass Dritte von seinen Zugangsdaten Kenntnis erlangt haben, ist er verpflichtet, den Anbieter unverzueglich zu informieren und sein Passwort zu aendern.
(3) Der Nutzer ist fuer Aktivitaeten verantwortlich, die unter seinen Zugangsdaten ausgefuehrt werden, sofern er die Kompromittierung nicht unverzueglich gemeldet und seine Sorgfaltspflichten erfuellt hat.
{{#IF HAS_MFA}}
(4) {{#IF MFA_REQUIRED}} Die Nutzung der Zwei-Faktor-Authentifizierung ist fuer alle Nutzer verpflichtend. {{/IF}} {{#IF_NOT MFA_REQUIRED}} Der Anbieter empfiehlt die Aktivierung der Zwei-Faktor-Authentifizierung. {{/IF_NOT}}
{{/IF}}
---
## § 4 Funktionen und Inhalte
(1) Die verfuegbaren Funktionen von {{PLATFORM_NAME}} ergeben sich aus der jeweils aktuellen Leistungsbeschreibung. Der Anbieter kann Funktionen weiterentwickeln, sofern Kernfunktionen im Wesentlichen erhalten bleiben.
(2) Der Anbieter prueft die vom Nutzer eingegebenen Daten nicht auf inhaltliche Richtigkeit oder rechtliche Zulaessigkeit. Die inhaltliche Verantwortung liegt beim Nutzer.
{{#IF HAS_UGC}}
(3) Nutzer koennen eigene Inhalte (Text, Bilder, Videos, Audio) auf {{PLATFORM_NAME}} veroeffentlichen. Bei der Veroeffentlichung gelten die Gemeinschaftsrichtlinien. Der Anbieter kann Inhalte ablehnen oder entfernen, die gegen die Nutzungsbedingungen, die Gemeinschaftsrichtlinien oder geltendes Recht verstossen.
{{/IF}}
{{#IF HAS_MESSAGING}}
(4) Nutzer koennen veroeffentlichte Inhalte kommentieren und untereinander Nachrichten austauschen. Fuer Kommentare und Nachrichten gelten die Gemeinschaftsrichtlinien.
{{/IF}}
{{#IF HAS_TIPPING}}
### Anerkennungsfunktion (Tipping)
(5) Nutzer koennen anderen Nutzern fuer veroeffentlichte Inhalte eine Anerkennung aussprechen. Mit der Anerkennung kann optional eine Zuwendung in {{SUPPORTED_CURRENCIES}} verbunden werden.
(6) Fuer Zuwendungen wird eine Nutzungsgebuehr in Hoehe von {{TIPPING_FEE_PERCENT}} % erhoben, die automatisch von der Zuwendung abgezogen wird.
(7) Die Anerkennungsfunktion darf ausschliesslich fuer freiwillige Zuwendungen genutzt werden. Die Abwicklung von Geschaeften ausserhalb von {{PLATFORM_NAME}} ist ueber diese Funktion nicht gestattet.
{{/IF}}
{{#IF HAS_CONTENT_AUTHENTICITY}}
### Authentizitaetspruefung von Inhalten
(8) {{PLATFORM_NAME}} bietet ein Verfahren zur Verifizierung der Urheberschaft von Inhalten an. Bei erfolgreicher Verifizierung werden den Metadaten des Inhalts automatisch kryptographische Herkunftsinformationen hinzugefuegt.
{{/IF}}
---
{{#IF HAS_CRYPTO_PAYMENTS}}
## § 4a Transaktionen mit Kryptowerten
(1) Transaktionen auf {{PLATFORM_NAME}} koennen in {{SUPPORTED_CURRENCIES}} abgewickelt werden. Kryptowerte sind digitale Darstellungen eines Wertes, die nicht von einer Zentralbank emittiert oder garantiert werden und nicht den gesetzlichen Status einer Waehrung besitzen.
(2) **Risikohinweis:** Der Wert von Kryptowerten unterliegt Schwankungen. Es ist nicht gewaehrleistet, dass Kryptowerte von Dritten als Zahlungsmittel akzeptiert oder in gesetzliche Waehrungen getauscht werden koennen.
(3) Betraege werden in {{SUPPORTED_CURRENCIES}} sowie informationshalber in Euro angezeigt. Die Umrechnung erfolgt auf Basis des zuletzt festgestellten Wechselkurses.
(4) {{COMPANY_NAME}} ist nicht als Zahlungsdienstleister oder Kryptowerte-Dienstleister taetig, sondern stellt lediglich die technische Infrastruktur fuer Transaktionen zwischen Nutzern bereit.
{{#IF HAS_INTEGRATED_WALLET}}
### Wallet
(5) Fuer die Abwicklung von Transaktionen stellt {{PLATFORM_NAME}} dem Nutzer ein integriertes Wallet zur Verfuegung. Das Wallet wird lokal auf dem Endgeraet des Nutzers gespeichert. {{COMPANY_NAME}} hat keinen Zugriff auf das Wallet oder die darin gespeicherten Guthaben.
(6) Der Nutzer sichert sein Wallet durch einen geheimen Schluessel (Seed/Recovery-Phrase), den ausschliesslich der Nutzer kennt. {{COMPANY_NAME}} kann diesen weder einsehen noch wiederherstellen.
(7) **Wichtiger Hinweis:** Bei Verlust des Endgeraets, Deinstallation der Software oder Vergessen des Schluessels kann {{COMPANY_NAME}} das Wallet und das darin gespeicherte Guthaben nicht wiederherstellen. Der Nutzer traegt die alleinige Verantwortung fuer die sichere Aufbewahrung seines Schluessels.
{{/IF}}
{{/IF}}
---
## § 5 Nutzungsrechte und Urheberrecht
### Nutzungsrecht des Nutzers
(1) Der Anbieter raeumt dem Nutzer ein einfaches, nicht uebertragbares, auf die Vertragsdauer beschraenktes Nutzungsrecht an {{PLATFORM_NAME}} im Rahmen der jeweils aktuellen Leistungsbeschreibung ein. Zur Nutzung gehoert das Laden in den Arbeitsspeicher und die Installation auf den vom Nutzer eingesetzten Endgeraeten. Gesetzliche Nutzungsrechte (insb. §§ 69d, 69e UrhG) bleiben unberuehrt.
{{#IF HAS_END_USERS}}
(2) Nutzer im Sinne dieser Nutzungsbedingungen gelten nicht als Dritte. Eine Ueberlassung an sonstige Dritte, Unterlizenzierung oder oeffentliche Zugaenglichmachung ist untersagt.
{{/IF}}
(3) Reverse Engineering, Dekompilierung und Umgehung von Sicherheitsmechanismen sind untersagt, soweit gesetzlich zulaessig.
{{#IF HAS_UGC}}
### Nutzungsrecht des Anbieters an Nutzer-Inhalten
(4) An Inhalten, die der Nutzer auf {{PLATFORM_NAME}} veroeffentlicht, raeumt der Nutzer dem Anbieter ein einfaches, nicht uebertragbares Nutzungsrecht ein, das sachlich auf den Betrieb von {{PLATFORM_NAME}} und zeitlich auf die vom Nutzer bestimmte Veroeffentlichungsdauer beschraenkt ist.
{{/IF}}
{{#IF HAS_CONTENT_LICENSING}}
### Lizenzierung von Nutzer-Inhalten (Creative Commons)
(5) Der Nutzer kann bei der Veroeffentlichung eines Inhalts festlegen, unter welcher Lizenz andere Nutzer diesen Inhalt verwenden duerfen. Ohne ausdrueckliche Lizenzwahl gilt: Alle Rechte vorbehalten.
(6) Verfuegbare Lizenzen: CC0, CC BY, CC BY-SA, CC BY-NC, CC BY-NC-SA, CC BY-ND, CC BY-NC-ND (jeweils Version 4.0 International). Der vollstaendige Lizenztext ist unter [https://creativecommons.org/licenses/] abrufbar.
(7) Die Lizenzwahl ist verbindlich und kann fuer bereits veroeffentlichte Inhalte nicht nachtraeglich eingeschraenkt werden. Der Nutzer kann einen Inhalt jederzeit entfernen; bereits erteilte Lizenzen bleiben hiervon unberuehrt.
(8) Der Nutzer versichert, dass er ueber die erforderlichen Rechte verfuegt, um den Inhalt unter der gewaehlten Lizenz zu veroeffentlichen.
{{/IF}}
{{#IF HAS_TDM_OPTOUT}}
### Text- und Data-Mining
(9) Die Vervielfaeltigung und Entnahme von Inhalten auf {{PLATFORM_NAME}} zum Zwecke des Text- und Data-Mining (Art. 4 Richtlinie (EU) 2019/790) ist untersagt. {{#IF HAS_CONTENT_LICENSING}} Hiervon ausgenommen sind Inhalte, deren Lizenzbestimmungen dies ausdruecklich gestatten. {{/IF}}
{{/IF}}
### Rechte Dritter und Freistellung
(10) Der Nutzer ist verpflichtet, bei der Veroeffentlichung von Inhalten alle gesetzlichen Vorschriften und Rechte Dritter zu beachten.
(11) Macht ein Dritter gegenueber dem Anbieter Ansprueche wegen einer Rechtsverletzung durch Nutzer-Inhalte geltend, stellt der Nutzer den Anbieter von diesen Anspruechen einschliesslich der Kosten einer angemessenen Rechtsverteidigung frei, sofern der Nutzer die Rechtsverletzung zu vertreten hat.
{{#IF HAS_COPYRIGHT_TAKEDOWN}}
(12) Rechteinhaber koennen die Entfernung rechtsverletzender Inhalte unter {{REPORT_EMAIL}} beantragen. Der Anbieter prueft die Berechtigung und informiert den betroffenen Nutzer, der innerhalb von 14 Tagen eine Gegendarstellung einreichen kann.
{{/IF}}
---
## § 6 Sperrung und Einschraenkung des Zugangs
(1) Der Anbieter kann den Zugang des Nutzers voruebergehend ganz oder teilweise einschraenken oder sperren, wenn der begruendete Verdacht besteht, dass der Nutzer gegen diese Nutzungsbedingungen, die Gemeinschaftsrichtlinien oder geltendes Recht verstoesst und ein unmittelbares Handeln zur Schadensabwehr erforderlich ist.
(2) Der Anbieter kann den Zugang ferner voruebergehend sperren, wenn Tatsachen die Annahme rechtfertigen, dass Dritte den Zugang unbefugt nutzen.
(3) Die Einschraenkung oder Sperrung wird auf den zur Schadensabwehr erforderlichen Zeitraum begrenzt. Der Anbieter informiert den Nutzer nach Moeglichkeit vor, jedenfalls aber unverzueglich nach einer Sperrung per E-Mail. Nach Wegfall des Sperrgrundes wird der Zugang automatisch reaktiviert.
(4) Bei wiederholten oder fortgesetzten Verstoessen trotz Abmahnung kann der Anbieter den Zugang dauerhaft sperren. {{#IF DATA_EXPORT_BEFORE_DELETION}} Der Nutzer erhaelt eine Frist von {{EXPORT_BEFORE_DELETION_DAYS}} Tagen zum Export seiner Inhalte, bevor das Nutzerkonto endgueltig geloescht wird. {{/IF}} Ein dauerhaft gesperrtes Konto kann nicht reaktiviert werden.
(5) Der Nutzer kann gegen eine Sperrung im Rahmen des in den Gemeinschaftsrichtlinien beschriebenen Beschwerdeverfahrens Einspruch einlegen.
---
## § 7 Kuendigung
(1) Der Nutzer kann den Nutzungsvertrag jederzeit ohne Angabe von Gruenden kuendigen. Die Kuendigung kann in Textform oder ueber die im Nutzerkonto bereitgestellte Kuendigungsfunktion (§ 312k BGB) erfolgen.
(2) Der Anbieter kann den Nutzungsvertrag mit einer Frist von 14 Tagen zum Monatsende kuendigen.
(3) Das Recht beider Parteien zur Kuendigung aus wichtigem Grund bleibt unberuehrt.
(4) Nach Kuendigung kann der Nutzer seine Inhalte und Daten innerhalb von {{EXPORT_BEFORE_DELETION_DAYS}} Tagen exportieren. Nach Ablauf dieser Frist werden die Daten gemaess den Regelungen des AVV geloescht.
{{#IF HAS_CONTENT_LICENSING}}
(5) Bereits erteilte Lizenzen an Nutzer-Inhalten bleiben von der Kuendigung unberuehrt, soweit die jeweilige Lizenz dies vorsieht.
{{/IF}}
(6) Nutzern, deren Zugang wegen wiederholter Verstoesse dauerhaft gesperrt wurde (§ 6 Abs. 4), ist eine erneute Registrierung untersagt.
---
## § 8 Haftung
(1) Der Anbieter haftet fuer Schaeden nur bei Vorsatz, grober Fahrlaessigkeit oder bei leicht fahrlaessiger Verletzung wesentlicher Vertragspflichten. Wesentliche Vertragspflichten sind solche, deren Erfuellung die ordnungsgemaesse Durchfuehrung des Nutzungsvertrages erst ermoeglicht und auf deren Einhaltung der Nutzer regelmaessig vertrauen darf.
(2) Bei leicht fahrlaessiger Verletzung wesentlicher Vertragspflichten ist die Haftung auf den vorhersehbaren, vertragstypischen Schaden begrenzt.
(3) Die vorstehenden Beschraenkungen gelten nicht fuer Schaeden aus der Verletzung von Leben, Koerper oder Gesundheit, fuer Ansprueche aus Garantien sowie fuer Ansprueche nach dem Produkthaftungsgesetz.
(4) Die verschuldensunabhaengige Haftung fuer bei Vertragsschluss vorhandene Maengel (§ 536a Abs. 1 BGB) ist ausgeschlossen.
(5) Fuer Datenverlust haftet der Anbieter nur, soweit der Schaden auch bei ordnungsgemaesser Datensicherung durch den Nutzer eingetreten waere.
{{#IF HAS_PAID_USER_ACCOUNTS}}
## § 8a Aufrechnung und Abtretung
(1) Der Nutzer kann gegenueber dem Anbieter nur mit unbestrittenen oder rechtskraeftig festgestellten Forderungen aufrechnen.
{{/IF}}
---
## § 9 Schlussbestimmungen
### Aenderungen
(1) Der Anbieter kann diese Nutzungsbedingungen und die Gemeinschaftsrichtlinien aus sachlichem Grund aendern. Aenderungen werden dem Nutzer mindestens 30 Tage vor Inkrafttreten in Textform mitgeteilt. Widerspricht der Nutzer nicht vor Inkrafttreten in Textform, gelten die Aenderungen als angenommen. Der Anbieter weist ausdruecklich auf das Ablehnungsrecht und die Folgen des Schweigens hin.
### Kommunikation und Form
(2) Erklaerungen des Nutzers gegenueber dem Anbieter beduerfen der Textform. Die Kuendigung kann auch ueber die im Nutzerkonto bereitgestellte Kuendigungsfunktion (§ 312k BGB) erfolgen.
(3) Der Anbieter kommuniziert mit dem Nutzer per E-Mail an die im Nutzerkonto hinterlegte Adresse.
### Anwendbares Recht
(4) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. {{#IF HAS_EU_USERS}} Fuer Verbraucher mit Wohnsitz in der EU gelten zusaetzlich die zwingenden Verbraucherschutzbestimmungen ihres Wohnsitzstaates. {{/IF}}
### Streitbeilegung
(5) Der Anbieter ist nicht verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§ 36 VSBG). Das Recht auf aussergerichtliche Streitbeilegung bei Content-Moderation-Entscheidungen gemaess den Gemeinschaftsrichtlinien bleibt hiervon unberuehrt.
### Salvatorische Klausel
(6) Die Unwirksamkeit einzelner Bestimmungen beruehrt die Gueltigkeit der uebrigen Bestimmungen nicht.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["PLATFORM_NAME","COMPANY_LEGAL_NAME","COMPANY_ADDRESS_FULL","VERSION_DATE","MIN_AGE","PRIVACY_POLICY_URL","SUPPORTED_CURRENCIES","TIPPING_FEE_PERCENT","REPORT_EMAIL","EXPORT_BEFORE_DELETION_DAYS","VERIFICATION_REQUIRED_FEATURES","COMPANY_NAME"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'terms_of_use'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
backend-compliance/migrations/095_widerrufsbelehrung_v2.sql
+124
View File
@@ -0,0 +1,124 @@
-- Migration 095: Widerrufsbelehrung v2
-- Gesetzlich vorgeschriebenes Muster (Art. 246a EGBGB) mit Bloecken fuer:
-- SaaS/digitale Inhalte (§ 356 Abs. 5 BGB)
-- Physische Waren (Ruecksendung)
-- Kombi-Paket (Hardware + Software)
-- Nur relevant fuer B2C — bei B2B_ONLY nicht anwendbar
UPDATE compliance_legal_templates
SET
title = 'Widerrufsbelehrung (B2C, SaaS/Waren/Kombi)',
description = 'Gesetzliche Widerrufsbelehrung nach Art. 246a EGBGB mit modularen Bloecken fuer SaaS/digitale Inhalte, physische Waren und Kombi-Pakete. Inkl. Muster-Widerrufsformular. Nur fuer B2C-Vertraege.',
content = $template$# Widerrufsbelehrung
## 1. Allgemeine Informationen
Verbraucher haben bei Abschluss eines Fernabsatzgeschaefts ein gesetzliches Widerrufsrecht, ueber das {{COMPANY_LEGAL_NAME}} nachfolgend informiert.
---
## 2. Widerrufsrecht
(1) Sie haben das Recht, binnen 14 Tagen ohne Angabe von Gruenden diesen Vertrag zu widerrufen.
{{#IF HAS_PHYSICAL_GOODS}}
(2) Die Widerrufsfrist betraegt 14 Tage ab dem Tag, an dem Sie oder ein von Ihnen benannter Dritter, der nicht der Befoerderer ist, die Waren in Besitz genommen haben bzw. hat. Bei mehreren Waren in getrennten Lieferungen beginnt die Frist mit Besitznahme der letzten Ware.
{{/IF}}
{{#IF_NOT HAS_PHYSICAL_GOODS}}
(2) Die Widerrufsfrist betraegt 14 Tage ab dem Tag des Vertragsschlusses.
{{/IF_NOT}}
(3) Um Ihr Widerrufsrecht auszuueben, muessen Sie uns
**{{COMPANY_LEGAL_NAME}}**
{{COMPANY_ADDRESS_LINE}}
{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}
{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
E-Mail: {{CONTACT_EMAIL}}
mittels einer eindeutigen Erklaerung (z.B. per Post oder E-Mail) ueber Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Sie koennen dafuer das Muster-Widerrufsformular (Abschnitt 5) verwenden, dies ist jedoch nicht vorgeschrieben.
(4) Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung ueber die Ausuebung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.
---
## 3. Folgen des Widerrufs
(1) Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschliesslich etwaiger Lieferkosten (mit Ausnahme zusaetzlicher Kosten durch eine von Ihnen gewaehlte andere als die guenstigste Standardlieferung), unverzueglich und spaetestens binnen 14 Tagen ab dem Tag zurueckzuzahlen, an dem die Mitteilung ueber Ihren Widerruf bei uns eingegangen ist.
(2) Fuer die Rueckzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der urspruenglichen Transaktion eingesetzt haben, es sei denn, es wurde ausdruecklich etwas anderes vereinbart. In keinem Fall werden Ihnen wegen dieser Rueckzahlung Entgelte berechnet.
{{#IF HAS_PHYSICAL_GOODS}}
(3) Wir koennen die Rueckzahlung verweigern, bis wir die Waren zurueckerhalten haben oder bis Sie den Nachweis der Ruecksendung erbracht haben, je nachdem, welches der fruehere Zeitpunkt ist.
(4) Sie haben die Waren unverzueglich und in jedem Fall spaetestens binnen 14 Tagen ab dem Tag, an dem Sie uns ueber den Widerruf informieren, an {{RETURN_ADDRESS}} zurueckzusenden. Die Frist ist gewahrt, wenn Sie die Waren vor Ablauf der 14-Tage-Frist absenden.
(5) Sie tragen die unmittelbaren Kosten der Ruecksendung der Waren.
(6) Sie muessen fuer einen etwaigen Wertverlust der Waren nur aufkommen, wenn dieser auf einen zur Pruefung der Beschaffenheit, Eigenschaften und Funktionsweise nicht notwendigen Umgang zurueckzufuehren ist.
{{/IF}}
{{#IF HAS_COMBO_PACKAGE}}
(7) Fuer den Kauf eines Kombi-Pakets (Hardware und Software) gelten die vorstehenden Regelungen zur Ruecksendung der physischen Ware entsprechend.
{{/IF}}
---
## 4. Ausschluss- und Erloeschengruende
Das Widerrufsrecht besteht nicht oder erlischt vorzeitig in folgenden Faellen:
{{#IF HAS_DIGITAL_CONTENT}}
(a) Bei Vertraegen ueber die Bereitstellung digitaler Inhalte, die nicht auf einem koerperlichen Datentraeger geliefert werden, erlischt das Widerrufsrecht, wenn der Anbieter mit der Ausfuehrung des Vertrags begonnen hat, nachdem der Verbraucher ausdruecklich zugestimmt hat, dass der Anbieter mit der Ausfuehrung vor Ablauf der Widerrufsfrist beginnt, und der Verbraucher seine Kenntnis davon bestaetigt hat, dass er durch seine Zustimmung sein Widerrufsrecht verliert (§ 356 Abs. 5 BGB).
{{/IF}}
{{#IF HAS_SAAS_SERVICE}}
(b) Bei Vertraegen ueber die Erbringung von Dienstleistungen erlischt das Widerrufsrecht, wenn der Anbieter die Dienstleistung vollstaendig erbracht hat und mit der Ausfuehrung erst begonnen hat, nachdem der Verbraucher dazu seine ausdrueckliche Zustimmung gegeben und gleichzeitig seine Kenntnis davon bestaetigt hat, dass er sein Widerrufsrecht bei vollstaendiger Vertragsererfuellung verliert (§ 356 Abs. 4 BGB).
{{/IF}}
{{#IF HAS_PHYSICAL_GOODS}}
(c) Bei Vertraegen zur Lieferung von Ton- und Videoaufnahmen oder Computersoftware in einer versiegelten Packung erlischt das Widerrufsrecht, wenn die Versiegelung nach der Lieferung entfernt wurde.
{{/IF}}
{{#IF HAS_IOT_BUNDLE}}
(d) Bei Vertraegen ueber ein verbundenes Produkt (Hardware mit zugehoeriger App und/oder Cloud-Dienst) erstreckt sich der Widerruf auf das gesamte Produkt. Bei Rueckgabe der Hardware endet der Zugang zu den verbundenen digitalen Diensten. {{#IF IOT_SEPARATE_CONTRACTS}} Abweichend hiervon koennen Hardware-Kaufvertrag und Cloud-Dienstvertrag unabhaengig voneinander widerrufen werden, sofern die Produkte auch einzeln nutzbar sind. {{/IF}}
{{/IF}}
(e) Unternehmer im Sinne von § 14 BGB haben kein Widerrufsrecht.
---
## 5. Muster-Widerrufsformular
*(Wenn Sie den Vertrag widerrufen wollen, fuellen Sie bitte dieses Formular aus und senden Sie es zurueck.)*
An:
{{COMPANY_LEGAL_NAME}}
{{COMPANY_ADDRESS_LINE}}
{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}
E-Mail: {{CONTACT_EMAIL}}
Hiermit widerrufe(n) ich/wir (*) den von mir/uns (*) abgeschlossenen Vertrag ueber den Kauf der folgenden Waren (*) / die Erbringung der folgenden Dienstleistung (*):
\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
Bestellt am (*) / erhalten am (*): \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
Name des/der Verbraucher(s): \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
Anschrift des/der Verbraucher(s): \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
Datum: \_\_\_\_\_\_\_\_\_\_ Unterschrift: \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
(*) Unzutreffendes streichen.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
version = '2.0.0',
updated_at = NOW()
WHERE document_type = 'widerruf'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/096_social_media_dsi.sql
+199
View File
@@ -0,0 +1,199 @@
-- Migration 096: Social Media Datenschutzinformation
-- Separater Dokumenttyp fuer DSI der Social-Media-Praesenz
-- Art. 26 DSGVO Joint Controllership, plattform-modular
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'social_media_dsi',
'Datenschutzinformation — Social Media (Art. 26 DSGVO)',
'Datenschutzinformation fuer Social-Media-Praesenz des Unternehmens. Modulare Plattform-Bloecke (Facebook/Instagram, YouTube, LinkedIn, TikTok, X). Art. 26 Joint Controllership, Page Insights, Meta Pixel, Drittlanduebermittlung (DPF).',
$template$# Datenschutzinformation Social Media
Informationen zum Datenschutz bei Nutzung unserer Social-Media-Kanaele
gemaess Art. 13, 14 DSGVO
**Stand:** {{VERSION_DATE}}
---
Im Folgenden informieren wir Sie ueber die Verarbeitung Ihrer personenbezogenen Daten beim Besuch und bei der Nutzung unserer Social-Media-Kanaele auf {{SOCIAL_MEDIA_PLATFORMS_LIST}} (im Folgenden Social-Media-Plattformen") sowie ueber Ihre Rechte im Datenschutz.
## 1. Grundsaetze
Bitte pruefen Sie sorgfaeltig, welche personenbezogenen Daten Sie ueber Social-Media-Plattformen mit uns teilen. Wenn Sie vermeiden moechten, dass der Plattformbetreiber von Ihnen uebermittelte Daten verarbeitet, kontaktieren Sie uns bitte auf anderem Wege (z.B. per E-Mail oder Post).
Sie koennen sich ueber uns und unsere Angebote auch ueber {{WEBSITE_URL}} informieren in diesem Fall erhalten die Plattformbetreiber keinerlei Informationen.
---
## 2. Verantwortliche
Verantwortlich gemaess Art. 4 Nr. 7 DSGVO sind:
**(a) {{COMPANY_LEGAL_NAME}}**
{{COMPANY_ADDRESS_FULL}}
{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
E-Mail: {{CONTACT_EMAIL}}
**(b) der jeweilige Plattformbetreiber:**
{{#IF HAS_FACEBOOK}}
- **Facebook & Instagram:** Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland
{{/IF}}
{{#IF HAS_YOUTUBE}}
- **YouTube:** Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland
{{/IF}}
{{#IF HAS_LINKEDIN}}
- **LinkedIn:** LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Irland
{{/IF}}
{{#IF HAS_TIKTOK}}
- **TikTok:** TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, D02 T380, Irland
{{/IF}}
{{#IF HAS_X_TWITTER}}
- **X (Twitter):** Twitter International Unlimited Company, One Cumberland Place, Dublin 2, D02 AP32, Irland
{{/IF}}
### Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Wenn Nutzer unsere Social-Media-Kanaele besuchen, erheben die Plattformbetreiber Daten, die insbesondere in Statistiken (sog. Seiten-Insights/Page Insights) fliessen. Fuer diese Verarbeitungen haben wir mit den Plattformbetreibern Vereinbarungen ueber die gemeinsame Verantwortlichkeit gemaess Art. 26 DSGVO geschlossen:
{{#IF HAS_FACEBOOK}}
- Facebook & Instagram: [Page Controller Addendum](https://facebook.com/legal/terms/page_controller_addendum)
{{/IF}}
{{#IF HAS_YOUTUBE}}
- YouTube: [YouTube Analytics Controller Terms](https://support.google.com/youtube/answer/9002587)
{{/IF}}
---
## 3. Datenschutzbeauftragter
Unseren Datenschutzbeauftragten erreichen Sie unter:
{{COMPANY_LEGAL_NAME}} | z.Hd. Datenschutzbeauftragter | {{DPO_EMAIL}}
Datenschutzbeauftragte der Plattformbetreiber:
{{#IF HAS_FACEBOOK}}
- Facebook & Instagram: [Kontakt](https://www.facebook.com/help/contact/540977946302970)
{{/IF}}
{{#IF HAS_YOUTUBE}}
- YouTube: [Kontakt](https://support.google.com/policies/contact/general_privacy_form)
{{/IF}}
---
## 4. Cookies und Tracking
Die Plattformbetreiber setzen Cookies und vergleichbare Technologien ein, auf die wir keinen Einfluss haben. Informationen zu den eingesetzten Cookies finden Sie bei den jeweiligen Anbietern:
{{#IF HAS_FACEBOOK}}
- Facebook & Instagram: [Cookie-Richtlinie](https://facebook.com/policies/cookies/)
{{/IF}}
{{#IF HAS_YOUTUBE}}
- YouTube: [Cookie-Einstellungen](https://consent.youtube.com/)
{{/IF}}
**Empfehlung:** Loggen Sie sich aus Ihren Social-Media-Konten aus, bevor Sie unsere Kanaele besuchen, und loeschen Sie vorhandene Cookies. Sie koennen auch die Cookie-Einstellungen Ihres Browsers anpassen.
---
## 5. Verarbeitung personenbezogener Daten
**Betroffene:** Besucher und Nutzer unserer Social-Media-Kanaele
**Datenkategorien:** Interaktionsdaten (Likes, Kommentare, Shares, Follows), Profilinformationen, die Sie oeffentlich teilen, Insights-Daten (aggregierte Statistiken)
**Seiten-Insights:** Wir erhalten vom Plattformbetreiber aggregierte, anonymisierte oder pseudonymisierte Statistiken ueber die Nutzung unserer Kanaele. Ein Rueckschluss auf Sie als individualisierbare Person ist fuer uns nicht moeglich. Eine Zusammenfuehrung mit bei uns gespeicherten Daten nehmen wir nicht vor.
**Zwecke:**
- Bereitstellung und Betreuung unserer Social-Media-Kanaele
- Kommunikation und Interaktion mit Nutzern
- Beantwortung von Kontaktanfragen
- Analyse und Optimierung unserer Inhalte anhand von Insights-Daten
- Durchfuehrung von Marketingaktivitaeten
{{#IF HAS_RECRUITING_VIA_SOCIAL}} - Personalgewinnung und Bearbeitung von Bewerbungen {{/IF}}
**Rechtsgrundlagen:**
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer Kommunikation, Analyse und Marketing
{{#IF HAS_RECRUITING_VIA_SOCIAL}} - Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen) fuer Bewerbungsverfahren {{/IF}}
- Art. 9 Abs. 2 lit. e DSGVO soweit Sie von sich aus besondere Kategorien von Daten (z.B. Gesundheitsdaten) oeffentlich machen
Datenschutzinformationen der Plattformbetreiber:
{{#IF HAS_FACEBOOK}} - Facebook & Instagram: [Datenschutzrichtlinie](https://facebook.com/privacy/center/) {{/IF}}
{{#IF HAS_YOUTUBE}} - YouTube: [Datenschutzerklaerung](https://policies.google.com/privacy?hl=de) {{/IF}}
{{#IF HAS_LINKEDIN}} - LinkedIn: [Datenschutzrichtlinie](https://www.linkedin.com/legal/privacy-policy) {{/IF}}
---
{{#IF HAS_META_PIXEL}}
## 5a. Meta Pixel (Konversionsmessung)
Auf unserer Website setzen wir sofern Sie einwilligen das Meta Pixel zur Konversionsmessung ein. Anbieter: Meta Platforms Ireland Limited.
**Zweck:** Nachverfolgung des Nutzerverhaltens nach Klick auf eine Meta-Werbeanzeige, Auswertung der Wirksamkeit fuer statistische und Marktforschungszwecke, Optimierung zukuenftiger Werbemassnahmen.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar.
**Gemeinsame Verantwortlichkeit:** Fuer die Erfassung und Weitergabe der Daten an Meta sind wir und Meta gemeinsam verantwortlich (Art. 26 DSGVO). Die Vereinbarung: [Controller Addendum](https://www.facebook.com/legal/controller_addendum).
**Drittlanduebermittlung:** Meta ist nach dem EU-US Data Privacy Framework (DPF) [zertifiziert](https://dataprivacyframework.gov). Zusaetzlich werden EU-Standardvertragsklauseln eingesetzt.
**Opt-out:** [Einstellungen fuer Werbeanzeigen](https://www.facebook.com/ads/preferences/) (Facebook-Konto erforderlich) oder [youronlinechoices.com](http://www.youronlinechoices.com/de/praferenzmanagement/).
{{/IF}}
---
## 6. Drittlanduebermittlung
Eine Uebermittlung personenbezogener Daten in Laender ausserhalb der EU/des EWR durch uns findet nur statt, soweit dies fuer das Betreiben des Social-Media-Kanals oder die Kommunikation mit Ihnen erforderlich ist. Soweit Plattformbetreiber Daten an Konzerngesellschaften in den USA uebermitteln, stuetzen sich diese auf das EU-US Data Privacy Framework (DPF) und/oder EU-Standardvertragsklauseln.
---
## 7. Speicherdauer
Wir loeschen personenbezogene Daten auf den Social-Media-Plattformen, sobald die Speicherung nicht mehr erforderlich ist. Ausnahmen bestehen bei gesetzlichen Aufbewahrungspflichten oder zur Durchsetzung und Abwehr von Rechtsanspruechen.
Informationen zur Speicherdauer bei den Plattformbetreibern:
{{#IF HAS_FACEBOOK}} - Facebook & Instagram: [Datenschutzrichtlinie](https://facebook.com/privacy/center/) {{/IF}}
{{#IF HAS_YOUTUBE}} - YouTube: [Datenschutzerklaerung](https://policies.google.com/privacy?hl=de) {{/IF}}
---
## 8. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Datenuebertragbarkeit (Art. 20) und das Recht, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO).
**Sie koennen Ihre Rechte sowohl gegenueber uns als auch gegenueber dem jeweiligen Plattformbetreiber geltend machen.**
Soweit Sie Ihre Rechte uns gegenueber geltend machen, leiten wir Ihre Anfrage an den betreffenden Plattformbetreiber weiter.
### Widerspruchsrecht
**Sie haben das Recht, aus Gruenden Ihrer besonderen Situation jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einzulegen (Art. 21 DSGVO).**
### Beschwerderecht
Sie haben das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehoerde (Art. 77 DSGVO):
**{{SUPERVISORY_AUTHORITY_NAME}}**
{{SUPERVISORY_AUTHORITY_ADDRESS}}
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["COMPANY_LEGAL_NAME","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","CONTACT_PHONE","WEBSITE_URL","DPO_EMAIL","VERSION_DATE","SUPERVISORY_AUTHORITY_NAME","SUPERVISORY_AUTHORITY_ADDRESS","SOCIAL_MEDIA_PLATFORMS_LIST"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'social_media_dsi'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
backend-compliance/migrations/097_cookie_policy_v2.sql
+128
View File
@@ -0,0 +1,128 @@
-- Migration 097: Cookie-Richtlinie v2
-- Ausfuehrliches Erklaerungsdokument zu Cookies, Skripten, Web-Beacons
-- TDDDG § 25, DSGVO Art. 6, Consent-Banner, Browser-Verwaltung
UPDATE compliance_legal_templates
SET
title = 'Cookie-Richtlinie (TDDDG § 25 / DSGVO)',
description = 'Ausfuehrliche Cookie-Richtlinie mit Erklaerung der Technologien (Cookies, Skripte, Web-Beacons), Rechtsgrundlagen (TDDDG § 25, Art. 6 DSGVO), Consent-Banner-Verweis, Widerrufsrecht und Browser-Verwaltungslinks.',
content = $template$# Cookie-Richtlinie
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## 1. Verantwortlicher
{{COMPANY_LEGAL_NAME}}, {{COMPANY_ADDRESS_FULL}}, ist fuer die in dieser Cookie-Richtlinie beschriebene Verarbeitung personenbezogener Daten gemaess Art. 4 Nr. 7 DSGVO verantwortlich.
Kontakt: {{CONTACT_EMAIL}}
{{#IF DPO_NAME}}Datenschutzbeauftragter: {{DPO_NAME}} {{DPO_EMAIL}}{{/IF}}
---
## 2. Was sind Cookies und andere Technologien?
Beim Betrieb von Webseiten und Apps kommen Technologien zum Einsatz, die personenbezogene Daten verarbeiten koennen:
- **Cookies** sind kleine Textdateien, die vom Webbrowser auf Ihrem Endgeraet hinterlegt werden. Sie ermoeglichen es, Informationen zwischen Seitenaufrufen zu speichern und Sie bei einem erneuten Besuch wiederzuerkennen.
- **Skripte** sind Programmcode-Fragmente, die auf unseren Servern oder auf Ihrem Endgeraet ausgefuehrt werden und der Website Funktionalitaet und Interaktivitaet ermoeglichen.
- **Web-Beacons** (auch Pixel-Tags) sind kleine, unsichtbare Elemente auf einer Website, die zur Ueberwachung des Nutzerverhaltens eingesetzt werden.
Cookies koennen keine Programme ausfuehren und keine Viren auf Ihr Endgeraet uebertragen.
---
## 3. Wozu werden diese Technologien eingesetzt?
Durch Cookies und vergleichbare Technologien koennen Informationen auf Ihrem Endgeraet gespeichert und abgerufen werden. Anhand eindeutiger Kennungen (z.B. IP-Adresse, Geraete-ID) ist eine Zuordnung zu Ihnen moeglich.
Wir unterscheiden folgende Kategorien:
| Kategorie | Zweck | Einwilligung erforderlich |
|-----------|-------|:---:|
| **Technisch notwendig** | Grundfunktionen, Sicherheit, Spracheinstellungen, Warenkorb | Nein |
| **Funktional** | Komfortfunktionen, Personalisierung, Praeferenzen | Ja |
| **Analyse/Statistik** | Reichweitenmessung, Nutzungsanalyse, Optimierung | Ja |
| **Marketing/Tracking** | Werbemessung, Remarketing, Profiling | Ja |
Welche Technologie welchen Zweck verfolgt, entnehmen Sie bitte unserem Consent-Banner.
{{COOKIE_TABLE}}
---
## 4. Rechtsgrundlagen
### Technisch notwendige Cookies
Der Einsatz technisch notwendiger Cookies erfolgt auf Grundlage von § 25 Abs. 2 TDDDG (unbedingt erforderlich fuer den vom Nutzer ausdruecklich gewuenschten Dienst) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stoerungsfreien Betrieb).
### Einwilligungspflichtige Cookies und Dienste
Fuer alle uebrigen Technologien (funktional, Analyse, Marketing) ist Ihre Einwilligung erforderlich. Rechtsgrundlage: § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.
Die Einwilligung wird ueber unser Consent-Banner eingeholt, das beim ersten Besuch der Website automatisch erscheint. Sie haben folgende Optionen:
- **Alle akzeptieren** Einwilligung in alle Kategorien
- **Auswahl erlauben** individuelle Auswahl pro Kategorie
- **Nur essenzielle** nur technisch notwendige Cookies
---
## 5. Consent-Banner und Widerruf
Sie koennen Ihre Einwilligung jederzeit unentgeltlich und mit Wirkung fuer die Zukunft widerrufen, indem Sie das Consent-Banner erneut aufrufen und Ihre Einstellungen aendern.
**So rufen Sie das Consent-Banner auf:** {{CONSENT_WITHDRAWAL_PATH}}
Die Entscheidung ueber die Verwendung von Technologien wird in einem eigenen Cookie gespeichert. Wird dieses Cookie geloescht, oeffnet sich das Banner beim naechsten Besuch erneut.
Durch den Widerruf der Einwilligung wird die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung nicht beruehrt. Nach erfolgtem Widerruf koennen einzelne Funktionen eingeschraenkt sein.
---
## 6. Drittanbieter und Drittlanduebermittlung
Durch die Einbindung von Drittanbieterdiensten koennen Server ausserhalb der EU/des EWR aufgerufen werden.
{{#IF HAS_THIRD_COUNTRY}}
Fuer Uebermittlungen in die USA achten wir darauf, dass sich Drittanbieter nach dem EU-US Data Privacy Framework (DPF) zertifiziert haben. In allen anderen Faellen stellen wir sicher, dass ein angemessenes Datenschutzniveau durch Angemessenheitsbeschluss der EU-Kommission oder andere geeignete Garantien (z.B. EU-Standardvertragsklauseln) besteht.
{{/IF}}
---
## 7. Cookies in Ihrem Browser verwalten
Sie koennen Cookies auch ueber die Einstellungen Ihres Browsers verwalten:
- [Chrome](https://support.google.com/accounts/answer/61416?hl=de)
- [Firefox](https://support.mozilla.org/de/kb/cookies-erlauben-und-ablehnen)
- [Safari](https://support.apple.com/de-de/guide/safari/manage-cookies-and-website-data-sfri11471/mac)
- [Edge](https://support.microsoft.com/de-de/help/17442/windows-internet-explorer-delete-manage-cookies)
- [Opera](https://help.opera.com/de/latest/web-preferences/)
Auf mobilen Endgeraeten koennen Sie Tracking ueber die Geraeteeinstellungen (z.B. Werbe-ID) beschraenken.
---
## 8. Loeschung von Cookies
Session-Cookies werden automatisch geloescht, wenn Sie den Browser schliessen oder sich ausloggen. Persistente Cookies loeschen sich nach Ablauf ihrer definierten Lebensdauer. Sie koennen alle Cookies jederzeit manuell ueber Ihre Browser-Einstellungen loeschen.
---
## 9. Weitere Informationen
Alle Informationen zur Verarbeitung Ihrer personenbezogenen Daten, zu Ihren Betroffenenrechten und zum Verantwortlichen finden Sie in unserer {{DSI_TITLE}}: {{PRIVACY_POLICY_URL}}
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
version = '2.0.0',
updated_at = NOW()
WHERE document_type = 'cookie_policy'
AND language = 'de'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/098_whistleblower_policy.sql
+198
View File
@@ -0,0 +1,198 @@
-- Migration 098: Whistleblower-Richtlinie (HinSchG)
-- Neues Template fuer das /sdk/whistleblower Modul
-- Pflicht ab 50 MA (seit Dez 2023), anonyme Meldungen ab 2025
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'whistleblower_policy',
'Hinweisgeberrichtlinie (HinSchG)',
'Interne Richtlinie zum Hinweisgeberschutz gemaess Hinweisgeberschutzgesetz (HinSchG). Meldestelle, Verfahren, Vertraulichkeit, Schutz vor Repressalien, Fristen. Pflicht ab 50 Mitarbeitende.',
$template$# Hinweisgeberrichtlinie
Interne Richtlinie zum Schutz hinweisgebender Personen gemaess Hinweisgeberschutzgesetz (HinSchG)
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## 1. Zweck und Geltungsbereich
(1) Diese Richtlinie regelt das Verfahren zur Meldung von Verstoessen und den Schutz hinweisgebender Personen bei **{{COMPANY_LEGAL_NAME}}** gemaess dem Hinweisgeberschutzgesetz (HinSchG).
(2) Die Richtlinie gilt fuer alle Beschaeftigten, Leiharbeitnehmer, Praktikanten, Bewerber, ehemalige Beschaeftigte sowie Personen, die im Rahmen ihrer beruflichen Taetigkeit mit {{COMPANY_LEGAL_NAME}} in Kontakt stehen (Lieferanten, Auftragnehmer, Anteilseigner).
(3) Die Richtlinie ergaenzt bestehende Compliance-Regelungen und ersetzt diese nicht.
---
## 2. Sachlicher Anwendungsbereich
(1) Meldungen ueber folgende Verstoesse werden entgegengenommen und bearbeitet:
- Verstoesse gegen Strafvorschriften
- Verstoesse gegen bussgeldbewehrte Vorschriften (Ordnungswidrigkeiten), soweit die verletzte Vorschrift dem Schutz von Leben, Leib, Gesundheit oder dem Schutz der Rechte von Beschaeftigten oder ihrer Vertretungsorgane dient
- Verstoesse gegen Rechtsvorschriften des Bundes und der Laender, die zur Umsetzung von EU-Richtlinien erlassen wurden, insbesondere in den Bereichen:
- Datenschutz und IT-Sicherheit
- Umweltschutz
- Verbraucherschutz
- Produktsicherheit
- Vergaberecht
- Geldwaeschebekaempfung
- Lebensmittel- und Futtermittelsicherheit
- Steuerbetrug
(2) Nicht erfasst sind Meldungen, die ausschliesslich persoenliche Beschwerden oder arbeitsrechtliche Streitigkeiten betreffen, sofern diese keine Verstoesse im Sinne von Absatz 1 darstellen.
---
## 3. Interne Meldestelle
(1) {{COMPANY_LEGAL_NAME}} hat eine interne Meldestelle eingerichtet. Die Meldestelle ist besetzt durch:
**{{WHISTLEBLOWER_CONTACT_NAME}}**
{{WHISTLEBLOWER_CONTACT_ROLE}}
E-Mail: {{WHISTLEBLOWER_EMAIL}}
{{#IF WHISTLEBLOWER_PHONE}}Telefon: {{WHISTLEBLOWER_PHONE}}{{/IF}}
{{#IF WHISTLEBLOWER_URL}}Online-Meldeformular: {{WHISTLEBLOWER_URL}}{{/IF}}
(2) Die mit den Aufgaben der internen Meldestelle betraute Person ist bei der Ausuebung ihrer Taetigkeit unabhaengig und weisungsfrei. Sie verfuegt ueber die erforderliche Fachkunde.
{{#IF HAS_EXTERNAL_REPORTING}}
(3) Alternativ oder ergaenzend steht die externe Meldestelle des Bundes beim Bundesamt fuer Justiz (BfJ) zur Verfuegung:
Bundesamt fuer Justiz
Adenauerallee 99-103, 53113 Bonn
https://www.bundesjustizamt.de/DE/MeldestelledesHinweisgeberschutzgesetzes
Hinweisgebende Personen koennen frei waehlen, ob sie sich an die interne oder externe Meldestelle wenden. {{COMPANY_LEGAL_NAME}} ermutigt jedoch, zunaechst die interne Meldestelle zu nutzen, sofern dem Verstoss intern wirksam abgeholfen werden kann.
{{/IF}}
---
## 4. Meldevorgaenge
### 4.1 Meldewege
(1) Meldungen koennen auf folgenden Wegen abgegeben werden:
- **Schriftlich:** per E-Mail an {{WHISTLEBLOWER_EMAIL}} oder ueber das Meldeformular ({{WHISTLEBLOWER_URL}})
- **Muendlich:** per Telefon unter {{WHISTLEBLOWER_PHONE}} oder auf Wunsch in einem persoenlichen Gespraech
{{#IF HAS_ANONYMOUS_REPORTING}}
- **Anonym:** Anonyme Meldungen werden entgegengenommen und bearbeitet. Die Meldestelle stellt einen anonymen Kommunikationskanal zur Verfuegung, ueber den auch Rueckfragen moeglich sind, ohne die Identitaet preiszugeben.
{{/IF}}
### 4.2 Inhalt einer Meldung
(2) Eine Meldung sollte nach Moeglichkeit folgende Angaben enthalten:
- Beschreibung des gemeldeten Verstosses
- Beteiligte Personen (soweit bekannt)
- Zeitpunkt und Ort des Verstosses
- Vorhandene Belege oder Beweismittel
- Angabe, ob die meldende Person bereits anderweitig Meldung erstattet hat
### 4.3 Verfahrensablauf
(3) Die Meldestelle bestaetigt den Eingang der Meldung **innerhalb von 7 Tagen**.
(4) Die Meldestelle prueft die Stichhaltigkeit der Meldung und ergreift angemessene Folgemassnahmen. Dies kann insbesondere umfassen:
- Interne Untersuchungen
- Weiterleitung an zustaendige interne Stellen (unter Wahrung der Vertraulichkeit)
- Weiterleitung an zustaendige Behoerden
- Abschluss des Verfahrens bei fehlender Stichhaltigkeit
(5) Die Meldestelle gibt der hinweisgebenden Person **innerhalb von 3 Monaten** nach Eingangsbestaetigung eine Rueckmeldung ueber die ergriffenen oder geplanten Folgemassnahmen sowie die Gruende hierfuer.
---
## 5. Vertraulichkeit
(1) Die Identitaet der hinweisgebenden Person wird von der Meldestelle vertraulich behandelt. Sie darf ohne deren ausdrueckliche Zustimmung nicht an Dritte weitergegeben werden.
(2) Ausnahmen bestehen nur, wenn die Weitergabe:
- durch Rechtsvorschrift oder gerichtliche Entscheidung angeordnet ist
- fuer die Durchfuehrung eines Strafverfahrens zwingend erforderlich ist
(3) In diesen Faellen wird die hinweisgebende Person vorab informiert, sofern dies die Ermittlungen nicht gefaehrdet.
(4) Alle an der Bearbeitung einer Meldung beteiligten Personen sind zur Vertraulichkeit verpflichtet.
---
## 6. Schutz vor Repressalien
(1) Hinweisgebende Personen duerfen wegen einer Meldung keine Repressalien erleiden. Repressalien sind insbesondere:
- Kuendigung oder Suspendierung
- Herabstufung, Versetzung oder Verweigerung einer Befoerderung
- Gehaltsminderung oder Entzug von Leistungen
- Abmahnung, Disziplinarmassnahmen
- Einschuechterung, Belaestigung, Diskriminierung
- Schaedigung des Ansehens, insbesondere in sozialen Medien
- Nichtverlaengerung oder vorzeitige Beendigung eines befristeten Vertrags
(2) Erleidet eine hinweisgebende Person nach einer Meldung eine Benachteiligung, wird vermutet, dass diese Benachteiligung eine Repressalie ist (Beweislastumkehr gemaess § 36 HinSchG).
(3) Personen, die Repressalien gegenueber hinweisgebenden Personen ausueben, koennen disziplinar- und schadensersatzrechtlich zur Verantwortung gezogen werden.
---
## 7. Datenschutz
(1) Die Verarbeitung personenbezogener Daten im Rahmen des Meldeverfahrens erfolgt gemaess den Bestimmungen der DSGVO und des BDSG.
(2) Personenbezogene Daten werden nur erhoben, verarbeitet und gespeichert, soweit dies fuer die Bearbeitung der Meldung und die Durchfuehrung von Folgemassnahmen erforderlich ist.
(3) Die Dokumentation einer Meldung wird **3 Jahre** nach Abschluss des Verfahrens geloescht, sofern keine laengere Aufbewahrung gesetzlich vorgeschrieben oder fuer die Durchsetzung von Rechtsanspruechen erforderlich ist.
(4) Weitere Informationen zur Datenverarbeitung finden sich in der Datenschutzerklaerung unter {{PRIVACY_POLICY_URL}}.
---
## 8. Dokumentation und Berichterstattung
(1) Die Meldestelle dokumentiert alle eingehenden Meldungen unter Wahrung der Vertraulichkeit. Die Dokumentation umfasst:
- Eingangsdatum und Art der Meldung
- Gegenstand des gemeldeten Verstosses
- Ergriffene Folgemassnahmen
- Ergebnis und Abschlussdatum
(2) Die Meldestelle erstellt einen jaehrlichen Bericht ueber die Anzahl der eingegangenen Meldungen, die Art der gemeldeten Verstoesse und die ergriffenen Massnahmen. Dieser Bericht enthaelt keine Angaben, die Rueckschluesse auf die Identitaet von Hinweisgebern oder beschuldigten Personen ermoeglichen.
---
## 9. Schulung und Information
(1) {{COMPANY_LEGAL_NAME}} informiert alle Beschaeftigten ueber die Existenz und den Zweck dieser Richtlinie sowie ueber die verfuegbaren Meldewege.
(2) Die mit den Aufgaben der Meldestelle betrauten Personen erhalten regelmaessige Schulungen zu den Anforderungen des HinSchG und zum Umgang mit Meldungen.
---
## 10. Inkrafttreten und Aenderungen
Diese Richtlinie tritt am {{EFFECTIVE_DATE}} in Kraft. {{COMPANY_LEGAL_NAME}} behaelt sich vor, diese Richtlinie bei Aenderungen der Rechtslage oder des internen Verfahrens anzupassen.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["COMPANY_LEGAL_NAME","VERSION_DATE","EFFECTIVE_DATE","WHISTLEBLOWER_CONTACT_NAME","WHISTLEBLOWER_CONTACT_ROLE","WHISTLEBLOWER_EMAIL","WHISTLEBLOWER_PHONE","WHISTLEBLOWER_URL","PRIVACY_POLICY_URL"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'whistleblower_policy'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
backend-compliance/migrations/099_cookie_banner_impressum_v2.sql
+36
View File
@@ -0,0 +1,36 @@
-- Migration 099: Cookie-Banner + Impressum Updates
-- Cookie-Banner: Bereits TDDDG-konform (Migration 023), nur Feinschliff
-- Impressum: OS-Plattform seit Juli 2025 abgeschaltet — Hinweis aktualisieren
-- ===========================================================================
-- 1. Impressum: Streitbeilegungstext aktualisieren (OS-Plattform abgeschaltet)
-- ===========================================================================
-- Fuer alle Impressum-Templates den Standard-Streitbeilegungstext setzen,
-- der die abgeschaltete OS-Plattform nicht mehr erwaehnt
-- Keine strukturellen Aenderungen am Impressum noetig — DDG § 5 bereits korrekt.
-- Nur der Hinweis: Kunden die noch einen OS-Plattform-Link haben, muessen ihn entfernen.
-- Wir fuegen einen Hinweis als Kommentar in die description ein:
UPDATE compliance_legal_templates
SET
description = 'Impressum nach § 5 DDG mit optionalen Abschnitten. WICHTIG: Die EU-OS-Plattform wurde am 20.07.2025 abgeschaltet — Links zur OS-Plattform muessen entfernt werden (wettbewerbsrechtliches Risiko). § 36 VSBG Hinweis bleibt erforderlich.',
version = '2.1.0',
updated_at = NOW()
WHERE document_type = 'impressum'
AND language = 'de'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 2. Cookie-Banner: Version-Bump + Description aktualisieren
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Cookie-Banner Texte mit Erst-/Zweitlayer, 4 Kategorien (notwendig/funktional/analyse/marketing), TDDDG § 25 konform. Consent-Protokollierung optional. Drittlanduebermittlungshinweis bei Analytics/Marketing.',
version = '2.1.0',
updated_at = NOW()
WHERE document_type = 'cookie_banner'
AND language = 'de'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/100_employee_applicant_dsi.sql
+295
View File
@@ -0,0 +1,295 @@
-- Migration 100: Bewerber-DSI + Mitarbeiter-DSI
-- Zwei neue Templates fuer den HR-Bereich
-- Jedes Unternehmen mit Stellenanzeigen oder Mitarbeitern braucht diese
-- ===========================================================================
-- Template 1: Bewerber-Datenschutzinformation (Art. 13 DSGVO)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'applicant_dsi',
'Datenschutzinformation fuer Bewerber (Art. 13 DSGVO)',
'Datenschutzinformation fuer Bewerberinnen und Bewerber gemaess Art. 13 DSGVO. Verarbeitung im Bewerbungsverfahren, Rechtsgrundlagen (§ 26 BDSG / Art. 88 DSGVO), Aufbewahrungsfristen (6 Monate), Betroffenenrechte.',
$template$# Datenschutzinformation fuer Bewerberinnen und Bewerber
Informationen gemaess Art. 13 DSGVO ueber die Verarbeitung personenbezogener Daten im Bewerbungsverfahren
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## 1. Verantwortlicher
**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
{{COMPANY_ADDRESS_FULL}}
E-Mail: {{CONTACT_EMAIL}}
{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
{{#IF DPO_NAME}}
**Datenschutzbeauftragter:** {{DPO_NAME}} {{DPO_EMAIL}}
{{/IF}}
---
## 2. Welche Daten verarbeiten wir?
Im Rahmen Ihres Bewerbungsverfahrens verarbeiten wir folgende Kategorien personenbezogener Daten:
| Kategorie | Beispiele |
|-----------|----------|
| Stammdaten | Name, Vorname, Anschrift, Geburtsdatum |
| Kontaktdaten | E-Mail-Adresse, Telefonnummer |
| Bewerbungsunterlagen | Anschreiben, Lebenslauf, Zeugnisse, Zertifikate, Arbeitsproben |
| Qualifikationsdaten | Ausbildung, Berufserfahrung, Sprachkenntnisse, Faehigkeiten |
| Gehaltsvorstellungen | Gewuenschtes Gehalt, fruehester Eintrittstermin |
{{#IF HAS_VIDEO_INTERVIEW}} | Videointerview-Daten | Videoaufnahme, Audio, Metadaten | {{/IF}}
{{#IF HAS_ASSESSMENT}} | Assessment-Daten | Testergebnisse, Bewertungen | {{/IF}}
| Korrespondenzdaten | Inhalt der Kommunikation waehrend des Bewerbungsverfahrens |
{{#IF HAS_SPECIAL_CATEGORIES}}
**Besondere Kategorien (Art. 9 DSGVO):** Soweit Sie uns im Rahmen Ihrer Bewerbung freiwillig besondere Kategorien personenbezogener Daten mitteilen (z.B. Schwerbehinderung, Gesundheitsdaten), verarbeiten wir diese ausschliesslich auf Grundlage Ihrer ausdruecklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder soweit dies zur Ausuebung oder Erfuellung arbeitsrechtlicher Pflichten erforderlich ist (Art. 9 Abs. 2 lit. b DSGVO).
{{/IF}}
---
## 3. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|-------|----------------|
| Durchfuehrung des Bewerbungsverfahrens | § 26 Abs. 1 BDSG i.V.m. Art. 88 DSGVO (Anbahnung eines Beschaeftigungsverhaeltnisses) |
| Beurteilung der Eignung fuer die ausgeschriebene Stelle | § 26 Abs. 1 BDSG |
| Kommunikation mit Ihnen waehrend des Verfahrens | Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen) |
| Aufbewahrung nach Ablehnung (Frist fuer AGG-Ansprueche) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Anspruechen) |
{{#IF HAS_TALENT_POOL}} | Aufnahme in den Talentpool (bei Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | {{/IF}}
| Erfuellung gesetzlicher Pflichten (z.B. AGG) | Art. 6 Abs. 1 lit. c DSGVO |
---
## 4. Datenquellen
Wir verarbeiten personenbezogene Daten, die:
- Sie uns im Rahmen Ihrer Bewerbung uebermitteln
- Aus oeffentlich zugaenglichen Quellen stammen (z.B. berufliche Netzwerke wie LinkedIn, XING), soweit dies fuer die Beurteilung Ihrer Eignung relevant und zulaessig ist
{{#IF HAS_RECRUITING_AGENCY}} - Von beauftragten Personalvermittlern an uns uebermittelt werden {{/IF}}
{{#IF HAS_EMPLOYEE_REFERRAL}} - Im Rahmen von Mitarbeiterempfehlungen an uns gelangen {{/IF}}
---
## 5. Empfaenger
Ihre Bewerbungsdaten werden ausschliesslich den am Bewerbungsverfahren beteiligten Personen zugaenglich gemacht:
- Personalabteilung (HR)
- Fachvorgesetzte der ausgeschriebenen Stelle
- Geschaeftsfuehrung (bei Fuehrungspositionen)
{{#IF HAS_RECRUITING_SOFTWARE}} - Anbieter unserer Bewerbermanagement-Software (Auftragsverarbeiter gemaess Art. 28 DSGVO) {{/IF}}
{{#IF HAS_RECRUITING_AGENCY}} - Beauftragte Personalvermittler (Auftragsverarbeiter oder eigene Verantwortliche) {{/IF}}
Eine Weitergabe an sonstige Dritte erfolgt nicht.
---
## 6. Speicherdauer
| Szenario | Speicherdauer | Begruendung |
|----------|:---:|---|
| Ablehnung | **6 Monate** nach Ende des Verfahrens | Frist fuer AGG-Ansprueche (§ 15 Abs. 4 AGG: 2 Monate + Sicherheitszuschlag) |
| Einstellung | Uebernahme in die Personalakte | § 26 BDSG |
{{#IF HAS_TALENT_POOL}} | Talentpool (bei Einwilligung) | Bis zum Widerruf, max. {{TALENT_POOL_MONTHS}} Monate | Art. 6 Abs. 1 lit. a DSGVO | {{/IF}}
Nach Ablauf der Aufbewahrungsfrist werden Ihre Daten vollstaendig geloescht oder vernichtet.
---
## 7. Ihre Rechte
Sie haben folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Loeschung (Art. 17 DSGVO)
- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
- Datenuebertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO): **{{SUPERVISORY_AUTHORITY_NAME}}**
Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
---
## 8. Pflicht zur Bereitstellung
Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die erforderlichen Angaben (insb. Kontaktdaten, Qualifikationsnachweise) kann Ihre Bewerbung jedoch nicht beruecksichtigt werden.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["COMPANY_LEGAL_NAME","COMPANY_LEGAL_FORM","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","CONTACT_PHONE","DPO_NAME","DPO_EMAIL","VERSION_DATE","DATA_SUBJECT_REQUEST_CHANNEL","SUPERVISORY_AUTHORITY_NAME","TALENT_POOL_MONTHS"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'applicant_dsi'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
-- ===========================================================================
-- Template 2: Mitarbeiter-Datenschutzinformation (Art. 13 DSGVO)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'employee_dsi',
'Datenschutzinformation fuer Beschaeftigte (Art. 13 DSGVO)',
'Datenschutzinformation fuer Mitarbeiterinnen und Mitarbeiter gemaess Art. 13 DSGVO. Verarbeitung im Beschaeftigungsverhaeltnis, Rechtsgrundlagen (§ 26 BDSG), Datenkategorien (Personal, Gehaltsabrechnung, Zeiterfassung, IT-Nutzung), Empfaenger, Aufbewahrungsfristen.',
$template$# Datenschutzinformation fuer Beschaeftigte
Informationen gemaess Art. 13 DSGVO ueber die Verarbeitung personenbezogener Daten im Beschaeftigungsverhaeltnis
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## 1. Verantwortlicher
**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
{{COMPANY_ADDRESS_FULL}}
E-Mail: {{CONTACT_EMAIL}}
{{#IF DPO_NAME}}
**Datenschutzbeauftragter:** {{DPO_NAME}} {{DPO_EMAIL}}
{{/IF}}
---
## 2. Welche Daten verarbeiten wir?
Im Rahmen des Beschaeftigungsverhaeltnisses verarbeiten wir folgende Kategorien personenbezogener Daten:
| Kategorie | Beispiele |
|-----------|----------|
| Stammdaten | Name, Adresse, Geburtsdatum, Familienstand, Staatsangehoerigkeit |
| Kontaktdaten | Telefon, E-Mail (privat/dienstlich), Notfallkontakte |
| Vertragsdaten | Arbeitsvertrag, Position, Abteilung, Eintrittsdatum, Verguetung |
| Steuer- und Sozialversicherungsdaten | Steuer-ID, SV-Nummer, Steuerklasse, Krankenkasse |
| Bankdaten | IBAN, BIC (fuer Gehaltsabrechnung) |
| Zeiterfassungsdaten | Arbeitszeiten, Ueberstunden, Urlaub, Krankheitstage |
| Qualifikationsdaten | Zeugnisse, Zertifikate, Weiterbildungen |
{{#IF HAS_IT_USAGE_MONITORING}} | IT-Nutzungsdaten | Anmeldedaten, E-Mail-Nutzung (Metadaten), Internetzugriff (Protokolldaten) | {{/IF}}
{{#IF HAS_COMPANY_VEHICLE}} | Fahrzeugdaten | Fuhrpark-Zuordnung, Fahrtenbuch, Tankkartendaten | {{/IF}}
{{#IF HAS_ACCESS_CONTROL}} | Zutrittsdaten | Chipkarten-Protokolle, Zutrittszeiten | {{/IF}}
{{#IF HAS_VIDEO_SURVEILLANCE}} | Videoueberwachungsdaten | Aufnahmen aus ueberwachten Bereichen | {{/IF}}
| Leistungsdaten | Beurteilungen, Zielvereinbarungen, Feedbackgespraeche |
| Disziplinarische Daten | Abmahnungen, Verwarnungen |
{{#IF HAS_SPECIAL_CATEGORIES_EMPLOYEES}}
**Besondere Kategorien (Art. 9 DSGVO):** Gesundheitsdaten (Arbeitsunfaehigkeitsbescheinigungen, BEM-Verfahren), Schwerbehinderteneigenschaft, Religionszugehoerigkeit (fuer Kirchensteuer). Rechtsgrundlage: § 26 Abs. 3 BDSG.
{{/IF}}
---
## 3. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|-------|----------------|
| Begruendung, Durchfuehrung und Beendigung des Beschaeftigungsverhaeltnisses | § 26 Abs. 1 BDSG |
| Gehaltsabrechnung und Sozialversicherungsmeldungen | Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) |
| Steuerliche Pflichten (Lohnsteuer) | Art. 6 Abs. 1 lit. c DSGVO |
| Arbeitszeiterfassung (ArbZG) | Art. 6 Abs. 1 lit. c DSGVO |
| Betriebliche Altersvorsorge | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
{{#IF HAS_IT_USAGE_MONITORING}} | IT-Sicherheit und Missbrauchserkennung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | {{/IF}}
{{#IF HAS_COMPANY_VEHICLE}} | Fuhrparkverwaltung und Fahrtenbuch | Art. 6 Abs. 1 lit. c/f DSGVO | {{/IF}}
| Weiterbildung und Personalentwicklung | Art. 6 Abs. 1 lit. b/f DSGVO |
| Arbeitssicherheit und Gesundheitsschutz | Art. 6 Abs. 1 lit. c DSGVO (ArbSchG) |
| Betriebliches Eingliederungsmanagement (BEM) | § 167 Abs. 2 SGB IX |
---
## 4. Empfaenger
| Empfaenger | Zweck | Rolle |
|-----------|-------|------|
| Personalabteilung (HR) | Personalverwaltung | Intern |
| Vorgesetzte/Fachabteilung | Arbeitsorganisation | Intern |
| Gehaltsabrechnungsdienstleister | Lohn-/Gehaltsabrechnung | Auftragsverarbeiter |
| Finanzamt | Lohnsteuer | Gesetzliche Pflicht |
| Sozialversicherungstraeger | SV-Meldungen | Gesetzliche Pflicht |
| Krankenkasse | Krankmeldungen | Gesetzliche Pflicht |
| Berufsgenossenschaft | Unfallversicherung | Gesetzliche Pflicht |
{{#IF HAS_COMPANY_PENSION}} | Pensionskasse/Versorgungswerk | Betriebliche Altersvorsorge | Vertrag | {{/IF}}
{{#IF HAS_EXTERNAL_HR_SOFTWARE}} | HR-Software-Anbieter | Personalverwaltung | Auftragsverarbeiter | {{/IF}}
---
## 5. Speicherdauer
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---------------|:---:|---|
| Personalakte (allgemein) | 3 Jahre nach Austritt | § 195 BGB (Verjaehrung) |
| Lohn-/Gehaltsunterlagen | 6 Jahre | § 257 HGB |
| Steuerunterlagen | 10 Jahre | § 147 AO |
| Sozialversicherungsnachweise | 5 Jahre | §§ 28f, 110 SGB IV |
| Zeugnisse (Erstellung) | Bis 3 Jahre nach Austritt | § 195 BGB |
| BEM-Dokumentation | 3 Jahre nach Abschluss | § 195 BGB |
{{#IF HAS_IT_USAGE_MONITORING}} | IT-Protokolldaten | {{LOG_RETENTION_DAYS}} Tage | Berechtigtes Interesse | {{/IF}}
{{#IF HAS_VIDEO_SURVEILLANCE}} | Videoueberwachungsdaten | Max. 72 Stunden | Berechtigtes Interesse | {{/IF}}
---
## 6. Ihre Rechte
Sie haben folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Loeschung (Art. 17 DSGVO)
- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
- Datenuebertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO): **{{SUPERVISORY_AUTHORITY_NAME}}**
Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
{{#IF HAS_WORKS_COUNCIL}}
**Hinweis:** Bei Fragen zum Beschaeftigtendatenschutz koennen Sie sich auch an den Betriebsrat wenden.
{{/IF}}
---
## 7. Pflicht zur Bereitstellung
Die Bereitstellung der fuer die Begruendung und Durchfuehrung des Beschaeftigungsverhaeltnisses sowie zur Erfuellung gesetzlicher Pflichten erforderlichen Daten ist notwendig. Ohne diese Daten kann das Beschaeftigungsverhaeltnis nicht begruendet oder durchgefuehrt werden.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["COMPANY_LEGAL_NAME","COMPANY_LEGAL_FORM","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","DPO_NAME","DPO_EMAIL","VERSION_DATE","DATA_SUBJECT_REQUEST_CHANNEL","SUPERVISORY_AUTHORITY_NAME","LOG_RETENTION_DAYS"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'employee_dsi'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
backend-compliance/migrations/101_security_concepts_v2.sql
+130
View File
@@ -0,0 +1,130 @@
-- Migration 101: Security Concepts v2 — Updates fuer alle 7 Templates aus Migration 051
-- Keine strukturellen Aenderungen — die Templates sind bereits auf gutem Niveau
-- Updates: NIS2UmsuCG Referenz, BSI Grundschutz++ Hinweis, AI Act, Version-Bump
-- Cross-Document-Verweise auf TOM (087), AVV (088), DSI (093)
-- ===========================================================================
-- 1. IT-Sicherheitskonzept: NIS2UmsuCG + BSI Grundschutz++ + AI Act
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'IT-Sicherheitskonzept nach ISO/IEC 27001:2022, BSI IT-Grundschutz (inkl. Grundschutz++ Modernisierung), DSGVO Art. 32, NIS2-Richtlinie/NIS2UmsuCG und AI Act. Definiert Sicherheitsziele, Organisation, technische und organisatorische Massnahmen.',
content = REPLACE(
REPLACE(
content,
'- NIS2-Richtlinie Art. 21 (Risikomanagementmassnahmen)',
'- NIS2-Richtlinie Art. 21 / NIS2UmsuCG (Risikomanagementmassnahmen, seit Dez. 2025)
- KI-Verordnung (EU) 2024/1689 Art. 9, 15 (falls KI-Systeme eingesetzt werden)'
),
'NIS2 Art. 21: Risikomanagementmassnahmen',
'NIS2 Art. 21 / NIS2UmsuCG: Risikomanagementmassnahmen (seit Dez. 2025)
- AI Act Art. 9/15: Risikomanagement fuer KI-Systeme (falls zutreffend)
- Verweis: TOM-Dokumentation (Art. 32 DSGVO) fuer detaillierte Massnahmen'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'it_security_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 2. Datenschutzkonzept: NIS2 + Verweis auf TOM/AVV/DSI
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Datenschutzkonzept gemaess DSGVO Art. 5, 6, 12-22, 24, 25, 28, 32-35 mit NIS2-Bezug. Beschreibt Datenschutzstrategie, Betroffenenrechte, TOMs und Auftragsverarbeitung. Verweist auf TOM-Dokumentation, AVV und DSI.',
content = REPLACE(
content,
'## 7. Technisch-Organisatorische Massnahmen (Art. 32 DSGVO)',
'## 7. Technisch-Organisatorische Massnahmen (Art. 32 DSGVO)
*Detaillierte Massnahmenbeschreibung: siehe TOM-Dokumentation (Art. 32 DSGVO)*'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'data_protection_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 3. Backup-Recovery-Konzept: Ransomware-Schutz ergaenzen
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Backup- und Recovery-Konzept nach BSI IT-Grundschutz CON.3 und ISO 27001. Definiert Backup-Strategie (3-2-1), RTO/RPO, Speicherorte, Verschluesselung und Testplan. Inkl. Ransomware-Schutz.',
content = REPLACE(
content,
'- **1** Kopie offsite',
'- **1** Kopie offsite (air-gapped oder immutable fuer Ransomware-Schutz)'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'backup_recovery_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 4. Logging-Konzept: NIS2 Meldepflicht-Verweis
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Logging-Konzept nach BSI IT-Grundschutz OPS.1.1.5, ISO 27001 A.8.15 und BSI TR-03161. Definiert zu protokollierende Ereignisse, Speicherung, SIEM-Integration und NIS2-Nachweispflichten.',
content = REPLACE(
content,
'| ISO 27001 A.8.15 | Logging |',
'| ISO 27001 A.8.15 | Logging |
| NIS2 Art. 23 | Nachweispflicht bei Sicherheitsvorfaellen |'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'logging_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 5. Incident-Response-Plan: NIS2UmsuCG Fristen bestaetigen
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Incident-Response-Plan fuer Sicherheitsvorfaelle und Datenpannen. DSGVO Art. 33/34, NIS2 Art. 23 / NIS2UmsuCG. Klassifizierung, Response-Team, Meldepflichten (72h DSGVO, 24h NIS2) und Kommunikationsplan.',
content = REPLACE(
content,
'### NIS2 Art. 23 — BSI',
'### NIS2 Art. 23 / NIS2UmsuCG — BSI (seit Dez. 2025)'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'incident_response_plan'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 6. Zugriffskonzept: Zero-Trust-Verweis
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Zugriffskonzept nach ISO 27001 und BSI IT-Grundschutz ORP.4. Definiert RBAC, Benutzerlebenszyklus (On-/Offboarding), Authentifizierung (MFA/FIDO2), privilegierten Zugriff (PAM) und Rezertifizierung. Zero-Trust-Ansatz.',
content = REPLACE(
content,
'## 1. Grundsaetze
- **Need-to-Know**: Zugriff nur bei Erforderlichkeit
- **Least Privilege**: Minimal notwendige Berechtigungen
- **Separation of Duties**: Kritische Vorgaenge erfordern mehrere Personen',
'## 1. Grundsaetze
- **Need-to-Know**: Zugriff nur bei Erforderlichkeit
- **Least Privilege**: Minimal notwendige Berechtigungen
- **Separation of Duties**: Kritische Vorgaenge erfordern mehrere Personen
- **Zero Trust**: Kein implizites Vertrauen jeder Zugriff wird verifiziert, unabhaengig vom Netzwerkstandort'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'access_control_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 7. Risikomanagement-Konzept: AI Act + NIS2 Risikobezug
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Risikomanagement-Konzept nach ISO 31000:2018, ISO 27005:2022, BSI-Standard 200-3, DSGVO Art. 32 und NIS2/AI Act. Definiert Risikoprozess, 5x5-Matrix, Behandlungsoptionen und KPIs.',
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'risk_management_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/102_dsfa_pflichten_dsr_v2.sql
+43
View File
@@ -0,0 +1,43 @@
-- Migration 102: DSFA + Pflichtenregister + DSR-Prozesse — v2 Updates
-- Alle drei Template-Gruppen sind bereits auf gutem Niveau
-- Updates: AI Act Bezug (DSFA), NIS2 (Pflichten), Tenant-ID Fix (DSR), Version-Bump
-- ===========================================================================
-- 1. DSFA: AI Act Art. 9 Bezug + Konsultationspflicht Art. 36 klarstellen
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO mit IF-Bloecken. Fuer Hochrisiko-Verarbeitungen, KI-Systeme (EU AI Act Art. 9), automatisierte Entscheidungen (Art. 22). Inkl. Risikomatrix, TOM-Verweis und Unterschriftenblock.',
version = '1.1',
updated_at = NOW()
WHERE document_type = 'dsfa'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 2. Pflichtenregister: NIS2UmsuCG + AI Act als Rechtsrahmen
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Vollstaendiges Pflichtenregister fuer alle regulatorischen Pflichten aus DSGVO, AI Act (EU 2024/1689), NIS2/NIS2UmsuCG und BDSG. Dokumentiert Pflichten, Verantwortlichkeiten, Fristen, Nachweise und Compliance-Status.',
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'pflichtenregister'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 3. DSR-Prozesse: Tenant-ID auf Standard setzen (war '__default__')
-- ===========================================================================
UPDATE compliance_legal_templates
SET
tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
updated_at = NOW()
WHERE document_type LIKE 'dsr_process_art%'
AND tenant_id = '__default__';
-- Version-Bump fuer alle DSR-Prozesse
UPDATE compliance_legal_templates
SET
version = '1.1',
updated_at = NOW()
WHERE document_type LIKE 'dsr_process_art%'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/103_security_policies_new.sql
+429
View File
@@ -0,0 +1,429 @@
-- Migration 103: 4 neue Security Policies + Updates fuer 056 + 072
-- Neue Templates: information_security_policy, access_control_policy,
-- password_policy, encryption_policy
-- Updates: CRA (056) + alle 15 HR/Vendor/BCM (072) — AI Act + NIS2UmsuCG
-- ===========================================================================
-- NEUE TEMPLATES
-- ===========================================================================
-- Template 1: Informationssicherheitsrichtlinie
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'information_security_policy',
'Informationssicherheitsrichtlinie (ISMS-Leitlinie)',
'Uebergeordnete Leitlinie fuer Informationssicherheit nach ISO 27001:2022. Definiert Sicherheitsziele, Geltungsbereich, Rollen, Verantwortlichkeiten und Grundsaetze des ISMS.',
$template$# Informationssicherheitsrichtlinie
**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. Zweck und Stellenwert
Diese Richtlinie definiert die uebergeordneten Grundsaetze und Ziele der Informationssicherheit bei {{COMPANY_NAME}}. Sie bildet die Grundlage des Informationssicherheits-Managementsystems (ISMS) und ist fuer alle Beschaeftigten, Auftragnehmer und Dienstleister verbindlich.
Die Geschaeftsfuehrung bekennt sich zur Informationssicherheit und stellt die erforderlichen Ressourcen bereit.
---
## 2. Geltungsbereich
Diese Richtlinie gilt fuer alle Informationswerte (Daten, Systeme, Anwendungen, Infrastruktur), Geschaeftsprozesse und Standorte von {{COMPANY_NAME}} sowie fuer alle Personen, die auf diese Informationswerte zugreifen.
---
## 3. Sicherheitsziele
| Schutzziel | Beschreibung |
|-----------|-------------|
| **Vertraulichkeit** | Informationen sind nur fuer autorisierte Personen zugaenglich |
| **Integritaet** | Informationen sind vollstaendig, korrekt und vor unbefugter Aenderung geschuetzt |
| **Verfuegbarkeit** | Informationen und Systeme stehen bei Bedarf zur Verfuegung |
---
## 4. Grundsaetze
- **Risikoorientierung:** Sicherheitsmassnahmen orientieren sich am Schutzbedarf und der Risikoanalyse
- **Angemessenheit:** Massnahmen stehen im Verhaeltnis zum Schutzbedarf (Verhaeltnismaessigkeit)
- **Kontinuierliche Verbesserung:** Das ISMS wird regelmaessig ueberprueft und verbessert (PDCA-Zyklus)
- **Compliance:** Alle anwendbaren gesetzlichen und vertraglichen Anforderungen werden eingehalten
- **Awareness:** Alle Mitarbeitenden werden geschult und sensibilisiert
---
## 5. Rollen und Verantwortlichkeiten
| Rolle | Verantwortung |
|-------|-------------|
| Geschaeftsfuehrung ({{GF_NAME}}) | Gesamtverantwortung, Ressourcenbereitstellung, Freigabe |
| Informationssicherheitsbeauftragter ({{ISB_NAME}}) | Operative Steuerung des ISMS, Risikomanagement, Audits |
| Datenschutzbeauftragter ({{DPO_NAME}}) | Datenschutz-Compliance, Beratung |
| Fuehrungskraefte | Umsetzung in ihrem Verantwortungsbereich |
| Alle Mitarbeitenden | Einhaltung der Richtlinien, Meldung von Vorfaellen |
---
## 6. Untergeordnete Richtlinien
Diese Leitlinie wird durch folgende Einzelrichtlinien konkretisiert:
- Passwortrichtlinie
- Zugriffskontrollrichtlinie
- Verschluesselungsrichtlinie
- IT-Nutzungsrichtlinie
- Remote-Work-Richtlinie
- Datenschutzrichtlinie
- Incident-Response-Plan
- Backup- und Recovery-Konzept
- Logging-Konzept
---
## 7. Normative Referenzen
| Standard | Relevanz |
|----------|----------|
| ISO/IEC 27001:2022 | ISMS-Anforderungen |
| ISO/IEC 27002:2022 | Controls-Katalog |
| BSI IT-Grundschutz | Nationale Umsetzung |
| DSGVO Art. 32 | Sicherheit der Verarbeitung |
| NIS2 / NIS2UmsuCG | Cybersicherheitspflichten |
---
## 8. Durchsetzung und Sanktionen
Verstoesse gegen diese Richtlinie koennen arbeitsrechtliche Konsequenzen nach sich ziehen. Bei Verdacht auf Verstoesse ist der ISB unverzueglich zu informieren.
---
## 9. Revision
Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","GF_NAME","ISB_NAME","DPO_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'information_security_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- Template 2: Passwortrichtlinie
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'password_policy',
'Passwortrichtlinie',
'Passwortrichtlinie nach BSI IT-Grundschutz ORP.4 und NIST SP 800-63B. Passwortkomplexitaet, MFA, Sperrung, Speicherung, Service-Accounts.',
$template$# Passwortrichtlinie
**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. Geltungsbereich
Diese Richtlinie gilt fuer alle Systeme, Anwendungen und Dienste von {{COMPANY_NAME}} sowie fuer alle Nutzer dieser Systeme (Mitarbeitende, Auftragnehmer, Dienstleister).
---
## 2. Passwortanforderungen
| Anforderung | Wert |
|-------------|------|
| Mindestlaenge | 12 Zeichen (Administratoren: 16 Zeichen) |
| Komplexitaet | Mind. 3 von 4 Kategorien (Gross-, Kleinbuchstaben, Ziffern, Sonderzeichen) |
| Passworthistorie | Letzte 10 Passwoerter duerfen nicht wiederverwendet werden |
| Maximale Gueltigkeit | Kein erzwungener Wechsel (NIST-Empfehlung), ausser bei Kompromittierungsverdacht |
| Sperrung | Nach 5 aufeinanderfolgenden Fehlversuchen fuer 15 Minuten |
**Verboten:** Woerterbuch-Woerter, persoenliche Daten (Name, Geburtsdatum), Firmenname, Tastaturmuster (qwerty, 12345).
---
## 3. Multi-Faktor-Authentifizierung (MFA)
| System | MFA Pflicht | Empfohlene Methode |
|--------|:---:|---|
| E-Mail | Ja | TOTP oder FIDO2 |
| VPN/Remote | Ja | TOTP oder FIDO2 |
| Cloud-Dienste | Ja | TOTP oder FIDO2 |
| Admin-Zugaenge | Ja | FIDO2 (Hardware-Token) |
| Interne Anwendungen | Empfohlen | TOTP |
---
## 4. Passwortspeicherung
- Passwoerter werden ausschliesslich als **salted Hash** gespeichert (bcrypt, scrypt oder Argon2)
- Klartext-Speicherung ist **verboten**
- Die Verwendung eines Passwort-Managers wird empfohlen
---
## 5. Service-Accounts und technische Zugaenge
- Individuelle Credentials pro Service-Account
- Passwoerter fuer Service-Accounts mind. 24 Zeichen, zufaellig generiert
- Rotation alle 12 Monate oder bei Personalwechsel
- Dokumentation in einem Secrets-Management-System
---
## 6. Kompromittierung
Bei Verdacht auf Kompromittierung eines Passworts:
1. Sofortige Aenderung des betroffenen Passworts
2. Meldung an IT-Support und ISB
3. Pruefung ob das Passwort in Breach-Datenbanken auftaucht (z.B. haveibeenpwned)
4. Pruefung aller Systeme, fuer die dasselbe Passwort verwendet wurde
---
## 7. Revision
Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'password_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- Template 3: Verschluesselungsrichtlinie
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'encryption_policy',
'Verschluesselungsrichtlinie',
'Verschluesselungsrichtlinie nach BSI TR-02102 und ISO 27001 A.8.24. Zugelassene Algorithmen, Schluesselmanagement, TLS-Konfiguration, Datenverschluesselung.',
$template$# Verschluesselungsrichtlinie
**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. Geltungsbereich
Diese Richtlinie regelt den Einsatz kryptographischer Massnahmen bei {{COMPANY_NAME}} zum Schutz der Vertraulichkeit, Integritaet und Authentizitaet von Informationen.
---
## 2. Zugelassene Algorithmen
### 2.1 Symmetrische Verschluesselung
| Algorithmus | Schluessellaenge | Status | Verwendung |
|------------|:---:|:---:|---|
| AES-256 | 256 Bit | Zugelassen | Datenverschluesselung at-rest + in-transit |
| AES-128 | 128 Bit | Zugelassen | Nur fuer Performance-kritische Anwendungen |
| ChaCha20-Poly1305 | 256 Bit | Zugelassen | Alternative zu AES (mobile Geraete) |
### 2.2 Asymmetrische Verschluesselung
| Algorithmus | Schluessellaenge | Status |
|------------|:---:|:---:|
| RSA | >= 3072 Bit | Zugelassen (4096 empfohlen) |
| ECDSA | >= 256 Bit (P-256) | Zugelassen (P-384 empfohlen) |
| Ed25519 | 256 Bit | Zugelassen (bevorzugt fuer Signaturen) |
### 2.3 Hash-Funktionen
| Algorithmus | Status |
|------------|:---:|
| SHA-256 / SHA-384 / SHA-512 | Zugelassen |
| SHA-3 | Zugelassen |
| SHA-1 | **Verboten** (nur Legacy-Kompatibilitaet) |
| MD5 | **Verboten** |
### 2.4 Verbotene Algorithmen
DES, 3DES, RC4, MD5, SHA-1 (ausser Legacy), RSA < 2048 Bit
---
## 3. Verschluesselung in der Praxis
### 3.1 Transport (in-transit)
| Protokoll | Mindestversion | Empfehlung |
|-----------|:---:|:---:|
| TLS | 1.2 | TLS 1.3 |
| SSH | 2.0 | Aktuelle Version |
| IPsec | | Fuer Site-to-Site VPN |
TLS 1.0 und TLS 1.1 sind **verboten**.
### 3.2 Speicherung (at-rest)
- Datenbanken: Transparent Data Encryption (TDE) oder Spalten-Verschluesselung
- Dateisysteme: Festplattenverschluesselung (BitLocker, FileVault, LUKS)
- Cloud: Server-seitige Verschluesselung mit kundenverwaltetem Schluessel (BYOK)
- Backups: Verschluesselung vor Uebertragung
---
## 4. Schluesselmanagement
| Aspekt | Regelung |
|--------|---------|
| Erzeugung | Kryptographisch sichere Zufallsgeneratoren (CSPRNG) |
| Speicherung | Hardware Security Module (HSM) oder Secrets Manager |
| Rotation | Alle 12 Monate oder bei Kompromittierungsverdacht |
| Zugriff | Streng limitiert, 4-Augen-Prinzip fuer Master-Keys |
| Vernichtung | Kryptographisches Loeschen (Key Zeroization) |
| Backup | Separates Key-Backup, nicht zusammen mit verschluesselten Daten |
---
## 5. Zertifikatsmanagement
- TLS-Zertifikate: Automatische Erneuerung (Let's Encrypt / ACME)
- Monitoring: Alerting 30 Tage vor Ablauf
- Certificate Transparency Logs: Ueberwachung auf unautorisierte Ausstellung
---
## 6. Normative Referenzen
| Standard | Relevanz |
|----------|----------|
| BSI TR-02102-1 | Kryptographische Verfahren: Empfehlungen und Schluessellaengen |
| BSI TR-02102-2 | TLS-Konfiguration |
| ISO 27001 A.8.24 | Einsatz kryptographischer Massnahmen |
| DSGVO Art. 32 Abs. 1 lit. a | Verschluesselung als TOM |
---
## 7. Revision
Jaehrliche Pruefung durch ISB anhand aktueller BSI-Empfehlungen. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'encryption_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- Template 4: Zugriffskontrollrichtlinie (ergaenzt das Zugriffskonzept aus 051)
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'access_control_policy',
'Zugriffskontrollrichtlinie',
'Kurzfassung der Zugriffsregeln fuer Mitarbeitende. Abgeleitet vom detaillierten Zugriffskonzept (access_control_concept). RBAC, MFA, Least Privilege, Rezertifizierung.',
$template$# Zugriffskontrollrichtlinie
**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. Geltungsbereich
Diese Richtlinie regelt den Zugriff auf IT-Systeme, Anwendungen und Daten bei {{COMPANY_NAME}}. Sie gilt fuer alle Mitarbeitenden, Auftragnehmer und externen Dienstleister.
Detaillierte technische Vorgaben finden sich im Zugriffskonzept.
---
## 2. Grundsaetze
- **Need-to-Know:** Zugriff nur bei dienstlicher Erforderlichkeit
- **Least Privilege:** Nur die minimal notwendigen Berechtigungen
- **Separation of Duties:** Kritische Vorgaenge erfordern mehrere Personen
- **Zero Trust:** Jeder Zugriff wird verifiziert, unabhaengig vom Standort
---
## 3. Berechtigungsvergabe
- Berechtigungen werden ueber den Vorgesetzten beantragt
- IT setzt die Berechtigungen innerhalb von 2 Werktagen um
- Aenderungen bei Versetzung: alte Rechte entziehen, neue beantragen
- Bei Austritt: alle Zugaenge am letzten Arbeitstag deaktivieren
---
## 4. Authentifizierung
- Mindestens 12 Zeichen, komplexes Passwort (siehe Passwortrichtlinie)
- Multi-Faktor-Authentifizierung fuer alle externen Zugaenge und privilegierten Accounts
- Gemeinsam genutzte Accounts sind **verboten**
---
## 5. Rezertifizierung
- Standard-Berechtigungen: halbjaehrlich
- Privilegierte Zugaenge: quartalsweise
- Service-Accounts: jaehrlich
---
## 6. Pflichten der Nutzer
- Zugangsdaten geheim halten und nicht weitergeben
- Bildschirmsperre bei Verlassen des Arbeitsplatzes
- Verdacht auf Missbrauch sofort an IT-Support und ISB melden
---
## 7. Revision
Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'access_control_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- ===========================================================================
-- UPDATES fuer bestehende Templates (056 + 072)
-- ===========================================================================
-- CRA Cybersecurity Policy: AI Act Referenz
UPDATE compliance_legal_templates
SET
description = 'CRA Cybersecurity Policy nach Cyber Resilience Act (EU 2024/2847), ISO 27001, NIS2/NIS2UmsuCG, DSGVO Art. 32 und AI Act (EU 2024/1689). SSDLC, Vulnerability Management, SBOM, Supply Chain Security.',
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'cybersecurity_policy'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- Alle 15 HR/Vendor/BCM Policies: NIS2UmsuCG + AI Act in Description
UPDATE compliance_legal_templates
SET
version = '1.1.0',
updated_at = NOW()
WHERE document_type IN (
'data_protection_policy', 'data_classification_policy', 'data_retention_policy',
'data_transfer_policy', 'privacy_incident_policy', 'employee_security_policy',
'security_awareness_policy', 'remote_work_policy', 'offboarding_policy',
'vendor_risk_management_policy', 'third_party_security_policy',
'supplier_security_policy', 'business_continuity_policy',
'disaster_recovery_policy', 'crisis_management_policy'
)
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/104_special_templates.sql
+577
View File
@@ -0,0 +1,577 @@
-- Migration 104: Spezial-Templates — Phase 5
-- 5 neue Templates: KI-Nutzungsrichtlinie, BYOD, ISMS-Leitfaden,
-- Consent-Texte (Double-Opt-In), Videokonferenz-DSI
-- ===========================================================================
-- Template 1: KI-Nutzungsrichtlinie (AI Act + interne Governance)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'ai_usage_policy',
'KI-Nutzungsrichtlinie (AI Act / interne Governance)',
'Interne Richtlinie fuer den Einsatz von KI-Systemen (ChatGPT, Copilot, etc.). AI Act Schulungspflicht (Art. 4, seit Feb 2025), erlaubte/verbotene Nutzung, Datenschutz, Qualitaetspruefung, Kennzeichnungspflicht.',
$template$# KI-Nutzungsrichtlinie
Interne Richtlinie fuer den Einsatz von Systemen der kuenstlichen Intelligenz
**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. Zweck und Geltungsbereich
(1) Diese Richtlinie regelt den Einsatz von KI-Systemen bei {{COMPANY_NAME}}. Sie gilt fuer alle Beschaeftigten, Auftragnehmer und Dienstleister, die im Rahmen ihrer Taetigkeit KI-Werkzeuge nutzen.
(2) Als KI-Systeme gelten insbesondere: Generative KI (ChatGPT, Claude, Gemini, Copilot), Bild-/Video-Generatoren (DALL-E, Midjourney), Code-Assistenten (GitHub Copilot), Uebersetzungstools und sonstige automatisierte Entscheidungssysteme.
---
## 2. Rechtsrahmen
| Vorschrift | Relevanz |
|-----------|----------|
| **AI Act (EU) 2024/1689** | Risikoklassifizierung, Verbote, Transparenz, Schulungspflicht (Art. 4) |
| **DSGVO** | Verarbeitung personenbezogener Daten durch KI |
| **UrhG** | Urheberrecht an KI-generierten Inhalten |
| **GeschGehG** | Schutz von Geschaeftsgeheimnissen |
**Schulungspflicht (Art. 4 AI Act):** Seit Februar 2025 muessen alle Personen, die KI-Systeme einsetzen, ueber ausreichende KI-Kompetenz verfuegen. {{COMPANY_NAME}} stellt die erforderlichen Schulungen bereit.
---
## 3. Freigegebene KI-Systeme
{{#IF HAS_APPROVED_AI_LIST}}
Folgende KI-Systeme sind fuer die dienstliche Nutzung freigegeben:
{{APPROVED_AI_SYSTEMS}}
Die Nutzung nicht freigegebener KI-Systeme fuer dienstliche Zwecke ist untersagt. Vorschlaege zur Freigabe weiterer Systeme koennen beim ISB eingereicht werden.
{{/IF}}
{{#IF_NOT HAS_APPROVED_AI_LIST}}
Die Nutzung von KI-Systemen fuer dienstliche Zwecke bedarf der vorherigen Freigabe durch den ISB. Ohne Freigabe duerfen keine KI-Systeme fuer die Verarbeitung dienstlicher Daten eingesetzt werden.
{{/IF_NOT}}
---
## 4. Verbotene Eingaben
Folgende Daten duerfen **niemals** in externe KI-Systeme eingegeben werden:
- **Personenbezogene Daten** (Namen, Adressen, E-Mail-Adressen von Kunden, Mitarbeitenden oder Dritten)
- **Geschaeftsgeheimnisse** (Strategien, Finanzdaten, unveroeffenlichte Produkte, Quellcode)
- **Vertrauliche Kundendaten** (Vertraege, Angebote, Korrespondenz)
- **Passwoerter, Zugangsdaten, API-Keys**
- **Gesundheitsdaten, Bewerberdaten, Personaldaten**
**Faustregel:** Wenn Sie die Information nicht an eine fremde Person per E-Mail senden wuerden, geben Sie sie nicht in ein KI-System ein.
---
## 5. Erlaubte Nutzung
KI-Systeme duerfen fuer folgende Zwecke eingesetzt werden:
- Formulierungshilfe fuer allgemeine Texte (ohne vertrauliche Inhalte)
- Recherche und Zusammenfassung oeffentlich verfuegbarer Informationen
- Ideengenerierung und Brainstorming
- Code-Unterstuetzung (ohne proprietaeren Quellcode)
- Uebersetzung nicht-vertraulicher Texte
---
## 6. Qualitaetspruefung (Human-in-the-Loop)
(1) **Alle KI-generierten Inhalte muessen vor der Verwendung durch einen Menschen geprueft werden.** KI-Ausgaben koennen fehlerhaft, veraltet oder voreingenommen sein.
(2) Insbesondere ist zu pruefen:
- Sachliche Richtigkeit (Faktencheck)
- Vollstaendigkeit
- Urheberrechtliche Unbedenklichkeit
- Diskriminierungsfreiheit
(3) KI-generierte Inhalte duerfen nicht als eigene Leistung ausgegeben werden, wenn dies taeuschend waere.
---
## 7. Kennzeichnungspflicht
{{#IF HAS_AI_LABELING_INTERNAL}}
(1) Intern: KI-unterstuetzte Dokumente, Praesentationen und Analysen sind als solche zu kennzeichnen (z.B. Fussnote "Mit KI-Unterstuetzung erstellt").
(2) Extern: KI-generierte Inhalte, die veroeffentlicht oder an Kunden uebermittelt werden, unterliegen der Kennzeichnungspflicht nach Art. 50 AI Act (ab August 2026). Bis dahin empfiehlt {{COMPANY_NAME}} eine freiwillige Kennzeichnung.
{{/IF}}
---
## 8. Datenschutz
(1) Die Nutzung von KI-Systemen, die personenbezogene Daten verarbeiten, erfordert eine Datenschutz-Folgenabschaetzung (Art. 35 DSGVO), sofern ein hohes Risiko fuer die Rechte und Freiheiten betroffener Personen besteht.
(2) Bei der Nutzung externer KI-Dienste ist zu pruefen, ob ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) erforderlich ist und ob Daten in Drittlaender uebermittelt werden.
(3) KI-Systeme, die automatisierte Einzelentscheidungen treffen (Art. 22 DSGVO), beduerfen besonderer Pruefung und Dokumentation.
---
## 9. Urheberrecht
(1) KI-generierte Inhalte geniessen nach aktueller Rechtslage in der Regel keinen urheberrechtlichen Schutz (kein menschlicher Schoepfer).
(2) Bei der Eingabe von Inhalten in KI-Systeme ist sicherzustellen, dass keine Urheberrechte Dritter verletzt werden.
(3) Der TDM-Opt-out (Art. 4 Richtlinie (EU) 2019/790) ist fuer Inhalte von {{COMPANY_NAME}} aktiviert unsere Inhalte duerfen nicht fuer KI-Training verwendet werden.
---
## 10. Verstoesse
Verstoesse gegen diese Richtlinie koennen arbeitsrechtliche Konsequenzen nach sich ziehen. Bei Verdacht auf einen Verstoss ist der ISB unverzueglich zu informieren.
---
## 11. Revision
Diese Richtlinie wird aufgrund der dynamischen Entwicklung im KI-Bereich **halbjaehrlich** ueberprueft. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","APPROVED_AI_SYSTEMS"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'ai_usage_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- ===========================================================================
-- Template 2: BYOD-Richtlinie
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'byod_policy',
'BYOD-Richtlinie (Bring Your Own Device)',
'Richtlinie fuer die Nutzung privater Endgeraete im Unternehmenskontext. DSGVO-konform, Container-Loesung, Remote-Loeschung, On-/Offboarding, DSFA-Hinweis.',
$template$# BYOD-Richtlinie (Bring Your Own Device)
**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. Zweck und Geltungsbereich
Diese Richtlinie regelt die Nutzung privater Endgeraete (Smartphones, Tablets, Laptops) fuer dienstliche Zwecke bei {{COMPANY_NAME}} (Bring Your Own Device BYOD).
Sie gilt fuer alle Beschaeftigten, die private Geraete fuer den Zugriff auf Unternehmensdaten, E-Mail, Kalender oder interne Systeme nutzen moechten.
---
## 2. Teilnahme und Freigabe
(1) Die Teilnahme am BYOD-Programm ist **freiwillig**. Es besteht kein Anspruch auf Nutzung privater Geraete.
(2) Die Teilnahme setzt voraus:
- Schriftliche Vereinbarung zwischen Mitarbeitendem und {{COMPANY_NAME}}
- Installation der vorgeschriebenen Sicherheitssoftware (MDM/Container)
- Teilnahme an der BYOD-Sicherheitsschulung
(3) {{COMPANY_NAME}} behaelt sich vor, die BYOD-Berechtigung jederzeit zu widerrufen.
---
## 3. Technische Anforderungen
### 3.1 Mindestanforderungen
| Anforderung | Beschreibung |
|-------------|-------------|
| Betriebssystem | Aktuelle oder vorletzte Version (iOS/Android/Windows/macOS) |
| Sicherheitsupdates | Automatische Installation aktiviert |
| Bildschirmsperre | PIN (mind. 6 Zeichen) oder biometrisch |
| Verschluesselung | Geraeteverschluesselung aktiviert |
| Jailbreak/Root | **Verboten** gerootete/gejailbreakte Geraete sind ausgeschlossen |
### 3.2 Container-Loesung
Unternehmensdaten werden in einem verschluesselten Container auf dem Geraet gespeichert. Der Container ist vom privaten Bereich des Geraets getrennt. {{COMPANY_NAME}} hat **keinen Zugriff** auf private Daten, Apps oder Inhalte ausserhalb des Containers.
---
## 4. Datenschutz und Datentrennung
(1) **Strikte Trennung:** Unternehmensdaten und private Daten werden technisch getrennt (Container). Ein Zugriff privater Apps auf Unternehmensdaten ist nicht moeglich.
(2) **Kein Zugriff auf Privatdaten:** {{COMPANY_NAME}} greift nicht auf private Daten, Fotos, Nachrichten, Standortdaten oder Apps zu. Die MDM-Loesung verwaltet ausschliesslich den Unternehmens-Container.
(3) **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Unternehmensdaten), abgestuetzt durch die freiwillige BYOD-Vereinbarung.
(4) **DSFA:** Eine Datenschutz-Folgenabschaetzung wurde fuer das BYOD-Programm durchgefuehrt.
---
## 5. Remote-Loeschung
(1) {{COMPANY_NAME}} kann den Unternehmens-Container im Verlust- oder Diebstahlfall **fernloeschen** (Selective Wipe). Private Daten werden dabei **nicht** geloescht.
(2) Der Mitarbeitende ist verpflichtet, den Verlust oder Diebstahl eines BYOD-Geraets **unverzueglich** dem IT-Support zu melden.
---
## 6. Offboarding
Bei Beendigung des Beschaeftigungsverhaeltnisses:
- Unternehmens-Container wird geloescht
- MDM-Profil wird entfernt
- Alle Unternehmensdaten werden vom Geraet entfernt
- Private Daten bleiben unberuehrt
---
## 7. Pflichten der Mitarbeitenden
- Sicherheitsupdates zeitnah installieren
- Geraet nicht an Dritte weitergeben (mit aktivem Container)
- Verlust oder Diebstahl unverzueglich melden
- Keine Unternehmensdaten ausserhalb des Containers speichern
- Keine Screenshots von vertraulichen Unternehmensdaten
---
## 8. Kosten
{{#IF BYOD_COST_SHARING}}
{{COMPANY_NAME}} beteiligt sich an den Kosten fuer die dienstliche Nutzung des privaten Geraets: {{BYOD_COST_DETAILS}}
{{/IF}}
{{#IF_NOT BYOD_COST_SHARING}}
Die Kosten fuer das private Geraet und den Mobilfunkvertrag traegt der Mitarbeitende. {{COMPANY_NAME}} stellt die erforderliche Sicherheitssoftware kostenlos bereit.
{{/IF_NOT}}
---
## 9. Revision
Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","BYOD_COST_DETAILS"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'byod_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- ===========================================================================
-- Template 3: Consent-Texte (Double-Opt-In fuer E-Mail-Marketing)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'consent_texts',
'Einwilligungstexte (Double-Opt-In, Newsletter, Marketing)',
'Sammlung von Einwilligungstexten fuer Newsletter, E-Mail-Marketing, Tracking und Profiling. DSGVO Art. 6 Abs. 1 lit. a, Art. 7, UWG § 7 Abs. 2 Nr. 3. Mit Double-Opt-In Bestaetigungsmail.',
$template$# Einwilligungstexte
Vorlagen fuer DSGVO-konforme Einwilligungserklaerungen
**{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}}
---
## 1. Newsletter-Anmeldung (Checkbox-Text)
> Ich moechte den Newsletter von {{COMPANY_NAME}} erhalten und willige in die Verarbeitung meiner E-Mail-Adresse zum Versand des Newsletters ein. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen, z.B. ueber den Abmeldelink in jeder E-Mail. Datenschutzinformation: {{PRIVACY_POLICY_URL}}
---
## 2. Double-Opt-In Bestaetigungsmail
**Betreff:** Bitte bestaetigen Sie Ihre Newsletter-Anmeldung
**Text:**
> Vielen Dank fuer Ihr Interesse am Newsletter von {{COMPANY_NAME}}.
>
> Bitte bestaetigen Sie Ihre Anmeldung durch Klick auf den folgenden Link:
>
> [Anmeldung bestaetigen]
>
> Falls Sie diese Anmeldung nicht angefordert haben, ignorieren Sie bitte diese E-Mail. Ihre E-Mail-Adresse wird dann nicht gespeichert.
>
> Mit freundlichen Gruessen
> {{COMPANY_NAME}}
---
## 3. Marketing-Einwilligung (erweitert)
> Ich willige ein, dass {{COMPANY_NAME}} meine E-Mail-Adresse nutzt, um mir Informationen zu Produkten, Angeboten und Neuigkeiten per E-Mail zuzusenden. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen. Datenschutzinformation: {{PRIVACY_POLICY_URL}}
---
{{#IF HAS_TRACKING_CONSENT}}
## 4. Tracking in E-Mails (Oeffnungs-/Klicktracking)
> Ich willige ein, dass {{COMPANY_NAME}} mein Oeffnungs- und Klickverhalten in E-Mails analysiert, um die Inhalte an meine Interessen anzupassen. Die Analyse erfolgt ueber eingebettete Tracking-Pixel und Link-Weiterleitungen. Ich kann diese Einwilligung jederzeit widerrufen.
{{/IF}}
---
{{#IF HAS_PROFILING_CONSENT}}
## 5. Profiling/Personalisierung
> Ich willige ein, dass {{COMPANY_NAME}} mein Nutzungsverhalten auf {{PLATFORM_NAME}} analysiert, um mir personalisierte Inhalte und Empfehlungen anzuzeigen. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung statt (Art. 22 DSGVO). Ich kann diese Einwilligung jederzeit widerrufen.
{{/IF}}
---
## 6. Abmeldebestaetigung
**Betreff:** Ihre Newsletter-Abmeldung
**Text:**
> Sie wurden erfolgreich vom Newsletter von {{COMPANY_NAME}} abgemeldet.
>
> Ihre E-Mail-Adresse wird innerhalb von 7 Tagen aus unserem Verteiler geloescht.
>
> Falls Sie sich erneut anmelden moechten: {{NEWSLETTER_SIGNUP_URL}}
---
## 7. Hinweise zur Implementierung
- Die Einwilligung muss **aktiv** erfolgen (Checkbox nicht vorausgewaehlt)
- Die Einwilligung muss **dokumentiert** werden (Zeitpunkt, IP-Adresse, Text)
- **Koppelungsverbot** (Art. 7 Abs. 4 DSGVO): Die Einwilligung darf nicht an eine Vertragsbedingung gekoppelt werden
- **Double-Opt-In** ist in Deutschland fuer E-Mail-Marketing **zwingend** (UWG § 7 Abs. 2 Nr. 3)
- Der Widerruf muss ebenso einfach sein wie die Erteilung (Abmeldelink in jeder E-Mail)
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","VERSION_DATE","PRIVACY_POLICY_URL","PLATFORM_NAME","NEWSLETTER_SIGNUP_URL"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'consent_texts' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- ===========================================================================
-- Template 4: Videokonferenz-DSI
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'video_conference_dsi',
'Datenschutzinformation — Videokonferenzen',
'Datenschutzinformation fuer Teilnehmer von Videokonferenzen (Zoom, Teams, Meet). Art. 13 DSGVO, Aufzeichnungshinweis, Drittlanduebermittlung.',
$template$# Datenschutzinformation Videokonferenzen
Informationen gemaess Art. 13 DSGVO fuer Teilnehmer von Videokonferenzen
**{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}}
---
## 1. Verantwortlicher
**{{COMPANY_NAME}}**, {{COMPANY_ADDRESS_FULL}}
E-Mail: {{CONTACT_EMAIL}}
{{#IF DPO_NAME}}DSB: {{DPO_NAME}} {{DPO_EMAIL}}{{/IF}}
---
## 2. Eingesetztes Tool
| Eigenschaft | Angabe |
|-------------|--------|
| Anbieter | {{VIDEO_PROVIDER_NAME}} |
| Sitz | {{VIDEO_PROVIDER_COUNTRY}} |
| Rolle | {{VIDEO_PROVIDER_ROLE}} |
| Datenschutzinformationen | {{VIDEO_PROVIDER_PRIVACY_URL}} |
{{#IF VIDEO_PROVIDER_IS_US}}
**Drittlanduebermittlung:** Der Anbieter ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusaetzlich werden EU-Standardvertragsklauseln eingesetzt.
{{/IF}}
---
## 3. Verarbeitete Daten
| Kategorie | Beispiele |
|-----------|----------|
| Accountdaten | Name, E-Mail (bei registrierten Nutzern) |
| Meetingdaten | Datum, Uhrzeit, Dauer, Teilnehmer, Meeting-ID |
| Inhaltsdaten | Audio, Video, Chat-Nachrichten, geteilte Inhalte |
| Technische Daten | IP-Adresse, Geraetetyp, Browserversion |
{{#IF HAS_RECORDING}} | Aufzeichnungen | Audio-/Videoaufzeichnung des Meetings | {{/IF}}
---
## 4. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|-------|----------------|
| Durchfuehrung der Videokonferenz | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) oder lit. f (berechtigtes Interesse) |
| IT-Sicherheit und Stoerungsbehebung | Art. 6 Abs. 1 lit. f DSGVO |
{{#IF HAS_RECORDING}} | Aufzeichnung (bei Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO | {{/IF}}
{{#IF HAS_RECORDING}}
**Hinweis Aufzeichnung:** Videokonferenzen werden nur mit **vorheriger Einwilligung aller Teilnehmer** aufgezeichnet. Die Einwilligung wird zu Beginn des Meetings eingeholt. Teilnehmer, die nicht einwilligen, koennen ohne Aufzeichnung teilnehmen oder das Meeting verlassen.
{{/IF}}
---
## 5. Speicherdauer
| Daten | Speicherdauer |
|-------|:---:|
| Meeting-Metadaten | 30 Tage |
| Chat-Nachrichten | Bis Meeting-Ende (nicht gespeichert) |
{{#IF HAS_RECORDING}} | Aufzeichnungen | {{RECORDING_RETENTION_DAYS}} Tage | {{/IF}}
| Technische Logs | 7 Tage |
---
## 6. Ihre Rechte
Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Widerspruch (Art. 21), Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO).
Kontakt: {{DATA_SUBJECT_REQUEST_CHANNEL}}
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","DPO_NAME","DPO_EMAIL","VERSION_DATE","VIDEO_PROVIDER_NAME","VIDEO_PROVIDER_COUNTRY","VIDEO_PROVIDER_ROLE","VIDEO_PROVIDER_PRIVACY_URL","DATA_SUBJECT_REQUEST_CHANNEL","RECORDING_RETENTION_DAYS"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'video_conference_dsi' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- ===========================================================================
-- Template 5: ISMS-Leitfaden (Kurzfassung fuer /sdk/isms Modul)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'isms_manual',
'ISMS-Handbuch (ISO 27001)',
'ISMS-Handbuch als uebergeordnetes Dokument des Informationssicherheits-Managementsystems nach ISO 27001:2022. Verweist auf alle untergeordneten Konzepte und Richtlinien.',
$template$# ISMS-Handbuch
Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022
**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. ISMS-Leitlinie
Siehe: **Informationssicherheitsrichtlinie** (information_security_policy)
---
## 2. Geltungsbereich (Scope)
### 2.1 Eingeschlossene Bereiche
{{SCOPE_DESCRIPTION}}
### 2.2 Interessierte Parteien
| Partei | Erwartungen |
|--------|-----------|
| Geschaeftsfuehrung | Schutz der Geschaeftswerte, Compliance |
| Kunden | Vertraulichkeit ihrer Daten, Verfuegbarkeit |
| Mitarbeitende | Klare Regeln, Schulung |
| Aufsichtsbehoerden | Gesetzeskonformitaet (DSGVO, NIS2) |
| Lieferanten | Faire Sicherheitsanforderungen |
---
## 3. Dokumentenstruktur
### 3.1 Uebergeordnete Dokumente
| Dokument | Zweck |
|----------|-------|
| ISMS-Handbuch (dieses Dokument) | Gesamtueberblick, Scope, Dokumentenstruktur |
| Informationssicherheitsrichtlinie | Sicherheitsziele, Grundsaetze, Rollen |
| Risikomanagement-Konzept | Risikoprozess, Bewertungsmatrix |
| Statement of Applicability (SoA) | Anwendbarkeit der ISO 27001 Controls |
### 3.2 Konzepte und Plaene
| Dokument | Verweis |
|----------|--------|
| IT-Sicherheitskonzept | it_security_concept |
| Datenschutzkonzept | data_protection_concept |
| Zugriffskonzept | access_control_concept |
| Backup-Recovery-Konzept | backup_recovery_concept |
| Logging-Konzept | logging_concept |
| Incident-Response-Plan | incident_response_plan |
### 3.3 Richtlinien
| Dokument | Verweis |
|----------|--------|
| Passwortrichtlinie | password_policy |
| Verschluesselungsrichtlinie | encryption_policy |
| BYOD-Richtlinie | byod_policy |
| KI-Nutzungsrichtlinie | ai_usage_policy |
| Remote-Work-Richtlinie | remote_work_policy |
| Alle weiteren Richtlinien | Siehe Document Generator |
### 3.4 Compliance-Dokumente
| Dokument | Verweis |
|----------|--------|
| TOM-Dokumentation | tom_documentation |
| VVT (Art. 30 DSGVO) | vvt_register |
| Loeschkonzept | loeschkonzept |
| Pflichtenregister | pflichtenregister |
| DSFA (Art. 35 DSGVO) | dsfa |
---
## 4. PDCA-Zyklus
| Phase | Aktivitaeten | Verantwortlich |
|-------|-------------|---------------|
| **Plan** | Risikoanalyse, Massnahmenplanung, Schulungsplanung | ISB |
| **Do** | Massnahmen umsetzen, Schulungen durchfuehren | Alle |
| **Check** | Interne Audits, KPI-Auswertung, Management-Review | ISB + GF |
| **Act** | Korrekturmassnahmen, kontinuierliche Verbesserung | ISB |
---
## 5. Management-Review
Jaehrliches Management-Review durch die Geschaeftsfuehrung. Inhalt:
- Ergebnisse der internen Audits
- Status der Korrekturmassnahmen
- Risikobewertung und -behandlung
- KPI-Auswertung
- Aenderungen im Kontext der Organisation
- Verbesserungsvorschlaege
---
## 6. Revision
Jaehrliche Pruefung. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","SCOPE_DESCRIPTION"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'isms_manual' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
backend-compliance/migrations/105_scc_tia_templates.sql
+309
View File
@@ -0,0 +1,309 @@
-- Migration 105: SCC + TIA Templates
-- Standardvertragsklauseln (EU 2021/914) + Transfer Impact Assessment (Schrems II)
-- Logisch dem Vendor-Compliance-Modul zugeordnet (pro Drittland-Anbieter generiert)
-- ===========================================================================
-- Template 1: Transfer Impact Assessment (TIA)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'transfer_impact_assessment',
'Transfer Impact Assessment (TIA) — Drittlandtransfer-Risikobewertung',
'Risikobewertung fuer Datenuebermittlungen in Drittlaender nach EuGH Schrems II (C-311/18) und EDPB Empfehlungen 01/2020. Bewertet Rechtslage im Empfaengerstaat, Zugriffsbefugnisse von Behoerden, ergaenzende Massnahmen.',
$template$# Transfer Impact Assessment (TIA)
Risikobewertung fuer die Uebermittlung personenbezogener Daten in ein Drittland
---
## Dokumentenkontrolle
| Feld | Wert |
|------|------|
| Verantwortlicher (Exporteur) | {{COMPANY_NAME}} |
| Datenimporteur | {{RECIPIENT_NAME}} |
| Empfaengerstaat | {{RECIPIENT_COUNTRY}} |
| Transfermechanismus | {{TRANSFER_MECHANISM}} |
| Erstellt von | {{DPO_NAME}} |
| Datum | {{VERSION_DATE}} |
| Version | {{DOCUMENT_VERSION}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
---
## 1. Beschreibung der Datenuebermittlung
### 1.1 Gegenstand und Zweck
| Aspekt | Beschreibung |
|--------|-------------|
| **Zweck der Uebermittlung** | {{TRANSFER_PURPOSE}} |
| **Art der uebermittelten Daten** | {{DATA_CATEGORIES_TRANSFERRED}} |
| **Betroffene Personengruppen** | {{DATA_SUBJECTS}} |
| **Haeufigkeit der Uebermittlung** | {{TRANSFER_FREQUENCY}} |
| **Rolle des Importeurs** | {{RECIPIENT_ROLE}} |
### 1.2 Transfermechanismus
| Mechanismus | Status |
|-------------|:---:|
| Angemessenheitsbeschluss (Art. 45 DSGVO) | {{HAS_ADEQUACY_DECISION}} |
| EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) | {{HAS_SCC}} |
| Binding Corporate Rules (Art. 47) | {{HAS_BCR}} |
| Einwilligung der Betroffenen (Art. 49 Abs. 1 lit. a) | {{HAS_CONSENT_TRANSFER}} |
| EU-US Data Privacy Framework (DPF) | {{HAS_DPF}} |
---
## 2. Bewertung der Rechtslage im Empfaengerstaat
### 2.1 Allgemeine Datenschutzgesetzgebung
| Frage | Bewertung |
|-------|-----------|
| Existiert ein umfassendes Datenschutzgesetz? | {{DS_LAW_EXISTS}} |
| Ist eine unabhaengige Datenschutzbehoerde eingerichtet? | {{DS_AUTHORITY_EXISTS}} |
| Sind Betroffenenrechte (Auskunft, Loeschung, etc.) gesetzlich verankert? | {{DS_RIGHTS_EXIST}} |
| Gibt es Sanktionsmechanismen bei Verstoessen? | {{DS_SANCTIONS_EXIST}} |
### 2.2 Zugriffsbefugnisse staatlicher Behoerden
| Frage | Bewertung |
|-------|-----------|
| Koennen Behoerden auf die uebermittelten Daten zugreifen? | {{GOV_ACCESS_POSSIBLE}} |
| Ist der Zugriff auf das notwendige Mass beschraenkt (Verhaeltnismaessigkeit)? | {{GOV_ACCESS_PROPORTIONAL}} |
| Unterliegt der Zugriff einer richterlichen Genehmigung? | {{GOV_ACCESS_JUDICIAL}} |
| Gibt es wirksame Rechtsbehelfe fuer Betroffene gegen behoerdlichen Zugriff? | {{GOV_ACCESS_REMEDIES}} |
| Existieren Massenueberwachungsprogramme, die die Daten betreffen koennten? | {{GOV_MASS_SURVEILLANCE}} |
### 2.3 Gesamtbewertung der Rechtslage
| Bewertung | Erlaeuterung |
|-----------|-------------|
| {{LEGAL_ASSESSMENT_RESULT}} | {{LEGAL_ASSESSMENT_REASONING}} |
**Bewertungsskala:**
- **Im Wesentlichen gleichwertig:** Die Rechtslage bietet ein dem EU-Recht im Wesentlichen gleichwertiges Schutzniveau
- **Eingeschraenkt gleichwertig:** Es bestehen Defizite, die durch ergaenzende Massnahmen kompensiert werden koennen
- **Nicht gleichwertig:** Die Rechtslage bietet kein angemessenes Schutzniveau Uebermittlung nur mit starken ergaenzenden Massnahmen oder gar nicht moeglich
---
## 3. Ergaenzende Massnahmen (Supplementary Measures)
### 3.1 Technische Massnahmen
| Massnahme | Implementiert | Details |
|-----------|:---:|---|
| Verschluesselung der Daten bei der Uebermittlung (TLS 1.2+) | {{TM_ENCRYPTION_TRANSIT}} | |
| Verschluesselung der Daten im Ruhezustand (AES-256) | {{TM_ENCRYPTION_REST}} | |
| Pseudonymisierung vor der Uebermittlung | {{TM_PSEUDONYMIZATION}} | |
| Schluessel verbleiben ausschliesslich beim Exporteur | {{TM_KEY_CONTROL}} | |
| Zugriff des Importeurs auf das fuer den Zweck erforderliche Minimum beschraenkt | {{TM_ACCESS_LIMITATION}} | |
### 3.2 Organisatorische Massnahmen
| Massnahme | Implementiert | Details |
|-----------|:---:|---|
| Transparenzbericht des Importeurs ueber Behoerdenanfragen | {{OM_TRANSPARENCY_REPORT}} | |
| Verpflichtung zur Benachrichtigung bei Behoerdenzugriff | {{OM_NOTIFICATION}} | |
| Regelmässige Audits beim Importeur | {{OM_AUDITS}} | |
| Dokumentierte Datenschutzschulung beim Importeur | {{OM_TRAINING}} | |
### 3.3 Vertragliche Massnahmen
| Massnahme | Implementiert | Details |
|-----------|:---:|---|
| EU-Standardvertragsklauseln (aktueller Durchfuehrungsbeschluss 2021/914) | {{CM_SCC}} | |
| Zusaetzliche vertragliche Garantien ueber SCC hinaus | {{CM_ADDITIONAL_CLAUSES}} | |
| Pflicht des Importeurs, Behoerdenanfragen anzufechten | {{CM_CHALLENGE_OBLIGATION}} | |
| Kuendigungsrecht bei Aenderung der Rechtslage | {{CM_TERMINATION_RIGHT}} | |
---
## 4. Risikobewertung
### 4.1 Wahrscheinlichkeit eines behoerdlichen Zugriffs
| Faktor | Bewertung |
|--------|-----------|
| Branche des Importeurs | {{RISK_INDUSTRY}} |
| Art der uebermittelten Daten | {{RISK_DATA_TYPE}} |
| Volumen der uebermittelten Daten | {{RISK_DATA_VOLUME}} |
| Bisherige Erfahrungen des Importeurs mit Behoerdenanfragen | {{RISK_PRIOR_REQUESTS}} |
| **Gesamtwahrscheinlichkeit** | {{RISK_PROBABILITY}} |
### 4.2 Schwere eines moeglichen Eingriffs
| Faktor | Bewertung |
|--------|-----------|
| Sensibilitaet der Daten | {{RISK_DATA_SENSITIVITY}} |
| Auswirkungen auf Betroffene bei Zugriff | {{RISK_IMPACT}} |
| **Gesamtschwere** | {{RISK_SEVERITY}} |
### 4.3 Gesamtrisikobewertung
| Gesamtrisiko | Bewertung |
|-------------|-----------|
| **{{OVERALL_RISK_LEVEL}}** | {{OVERALL_RISK_REASONING}} |
---
## 5. Ergebnis und Entscheidung
### 5.1 Fazit
{{#IF TRANSFER_APPROVED}}
Die Datenuebermittlung an {{RECIPIENT_NAME}} in {{RECIPIENT_COUNTRY}} kann unter Einhaltung der beschriebenen ergaenzenden Massnahmen durchgefuehrt werden. Das Restrisiko wird als **akzeptabel** bewertet.
{{/IF}}
{{#IF TRANSFER_CONDITIONAL}}
Die Datenuebermittlung ist nur unter der Bedingung zulaessig, dass die in Abschnitt 3 beschriebenen ergaenzenden Massnahmen **vollstaendig** implementiert werden. Vor Beginn der Uebermittlung ist die Implementierung zu bestätigen.
{{/IF}}
{{#IF TRANSFER_DENIED}}
Die Datenuebermittlung an {{RECIPIENT_NAME}} in {{RECIPIENT_COUNTRY}} kann **nicht** durchgefuehrt werden. Die Rechtslage im Empfaengerstaat bietet kein dem EU-Recht im Wesentlichen gleichwertiges Schutzniveau, und die verfuegbaren ergaenzenden Massnahmen koennen die Defizite nicht ausreichend kompensieren.
**Empfehlung:** Alternative Verarbeitungsmoeglichkeiten innerhalb der EU/des EWR pruefen.
{{/IF}}
### 5.2 Ueberpruefungsintervall
Dieses TIA ist bei wesentlichen Aenderungen der Rechtslage im Empfaengerstaat, spaetestens jedoch alle **12 Monate**, zu ueberpruefen.
---
## 6. Unterschriften
| Rolle | Name | Datum |
|-------|------|-------|
| Datenschutzbeauftragter | {{DPO_NAME}} | {{VERSION_DATE}} |
| Verantwortlicher | {{GF_NAME}} | |
---
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","RECIPIENT_NAME","RECIPIENT_COUNTRY","TRANSFER_MECHANISM","TRANSFER_PURPOSE","DATA_CATEGORIES_TRANSFERRED","DATA_SUBJECTS","TRANSFER_FREQUENCY","RECIPIENT_ROLE","DPO_NAME","GF_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'transfer_impact_assessment' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- ===========================================================================
-- Template 2: Standardvertragsklauseln (SCC) — Begleitdokument
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'scc_companion',
'Standardvertragsklauseln (SCC) — Begleitdokument und Anhaenge',
'Begleitdokument zu den EU-Standardvertragsklauseln (Durchfuehrungsbeschluss 2021/914). Enthaelt die auszufuellenden Anhaenge (Parteien, Beschreibung der Uebermittlung, TOMs) und Modulauswahl (C2C, C2P, P2P, P2C). Der SCC-Kerntext ist EU-vorgegeben und wird nicht geaendert.',
$template$# Standardvertragsklauseln (SCC) Begleitdokument
Anhaenge zum Durchfuehrungsbeschluss (EU) 2021/914 der Kommission
---
## Hinweis
Der Kerntext der Standardvertragsklauseln ist durch den EU-Durchfuehrungsbeschluss 2021/914 vorgegeben und darf **nicht veraendert** werden. Dieses Dokument enthaelt die individuell auszufuellenden **Anhaenge** zu den SCC.
Den vollstaendigen SCC-Text finden Sie unter:
[EU-Durchfuehrungsbeschluss 2021/914](https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj)
---
## Modulauswahl
| Modul | Beschreibung | Gewaehlt |
|-------|-------------|:---:|
| **Modul 1** | Verantwortlicher Verantwortlicher (C2C) | {{SCC_MODULE_1}} |
| **Modul 2** | Verantwortlicher Auftragsverarbeiter (C2P) | {{SCC_MODULE_2}} |
| **Modul 3** | Auftragsverarbeiter Auftragsverarbeiter (P2P) | {{SCC_MODULE_3}} |
| **Modul 4** | Auftragsverarbeiter Verantwortlicher (P2C) | {{SCC_MODULE_4}} |
---
## Anhang I Verzeichnis der Parteien
### A. Datenexporteur
| Feld | Angabe |
|------|--------|
| Name | {{COMPANY_NAME}} |
| Anschrift | {{COMPANY_ADDRESS_FULL}} |
| Kontaktperson | {{DPO_NAME}} |
| E-Mail | {{DPO_EMAIL}} |
| Rolle | {{EXPORTER_ROLE}} |
| Taetigkeiten | {{EXPORTER_ACTIVITIES}} |
### B. Datenimporteur
| Feld | Angabe |
|------|--------|
| Name | {{RECIPIENT_NAME}} |
| Anschrift | {{RECIPIENT_ADDRESS}} |
| Kontaktperson | {{RECIPIENT_CONTACT}} |
| E-Mail | {{RECIPIENT_EMAIL}} |
| Rolle | {{RECIPIENT_ROLE}} |
| Taetigkeiten | {{RECIPIENT_ACTIVITIES}} |
| Land | {{RECIPIENT_COUNTRY}} |
---
## Anhang I Beschreibung der Uebermittlung
### C. Beschreibung der Uebermittlung
| Aspekt | Beschreibung |
|--------|-------------|
| **Kategorien betroffener Personen** | {{DATA_SUBJECTS}} |
| **Kategorien personenbezogener Daten** | {{DATA_CATEGORIES_TRANSFERRED}} |
| **Besondere Datenkategorien (Art. 9)** | {{SPECIAL_CATEGORIES}} |
| **Haeufigkeit der Uebermittlung** | {{TRANSFER_FREQUENCY}} |
| **Art der Verarbeitung** | {{PROCESSING_NATURE}} |
| **Zweck der Uebermittlung** | {{TRANSFER_PURPOSE}} |
| **Aufbewahrungsfrist** | {{RETENTION_PERIOD}} |
| **Unterauftragsverarbeiter** | {{SUB_PROCESSORS}} |
---
## Anhang II Technische und organisatorische Massnahmen
*Die vom Datenimporteur getroffenen TOMs gemaess Klausel 8.6 (Modul 2) bzw. Klausel 9 (Module 1/3):*
{{RECIPIENT_TOMS}}
**Hinweis:** Die detaillierten TOMs des Datenexporteurs sind in der TOM-Dokumentation beschrieben.
---
## Anhang III Unterauftragsverarbeiter
*Liste der vom Datenimporteur eingesetzten Unterauftragsverarbeiter (nur bei Modul 2 und 3):*
{{SUB_PROCESSOR_LIST}}
---
## Verweis auf Transfer Impact Assessment
Fuer diese Datenuebermittlung wurde ein Transfer Impact Assessment (TIA) durchgefuehrt. Das TIA ist als separates Dokument verfuegbar und bewertet die Rechtslage im Empfaengerstaat sowie die Wirksamkeit der ergaenzenden Massnahmen.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","COMPANY_ADDRESS_FULL","DPO_NAME","DPO_EMAIL","RECIPIENT_NAME","RECIPIENT_ADDRESS","RECIPIENT_CONTACT","RECIPIENT_EMAIL","RECIPIENT_COUNTRY","RECIPIENT_ROLE","RECIPIENT_ACTIVITIES","EXPORTER_ROLE","EXPORTER_ACTIVITIES","DATA_SUBJECTS","DATA_CATEGORIES_TRANSFERRED","SPECIAL_CATEGORIES","TRANSFER_FREQUENCY","PROCESSING_NATURE","TRANSFER_PURPOSE","RETENTION_PERIOD","SUB_PROCESSORS","RECIPIENT_TOMS","SUB_PROCESSOR_LIST","VERSION_DATE","DOCUMENT_VERSION"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'scc_companion' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
backend-compliance/migrations/106_cleanup_agb_duplicates.sql
+51
View File
@@ -0,0 +1,51 @@
-- Migration 106: AGB-Bereinigung — Duplikate und veraltete Templates entfernen
--
-- Entfernt:
-- 1. AGB Duplikat (zweiter Eintrag aus Migration 023, identischer Inhalt wie 090)
-- 2. terms_of_service DE v1.0.0 (allererste Version aus Migration 018, ersetzt durch agb v2)
-- 3. terms_of_service EN v1.0.0 (alte englische Version aus Migration 019, wird durch agb EN v2 ersetzt)
-- 4. clause/liability_clause EN (redundant — AGB v2 § 12 deckt Haftung vollstaendig ab)
-- Sicherheitshalber: Nur loeschen wenn die neuen Templates existieren
DO $$
BEGIN
-- Pruefe ob unser AGB v2 existiert
IF EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'agb' AND version = '2.0.0'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND length(content) > 20000
) THEN
-- 1. AGB Duplikat loeschen (behalte nur das neueste)
DELETE FROM compliance_legal_templates
WHERE document_type = 'agb'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND id != (
SELECT id FROM compliance_legal_templates
WHERE document_type = 'agb'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
ORDER BY updated_at DESC
LIMIT 1
);
RAISE NOTICE 'AGB Duplikat entfernt';
-- 2. Veraltete terms_of_service loeschen
DELETE FROM compliance_legal_templates
WHERE document_type = 'terms_of_service'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
RAISE NOTICE 'terms_of_service (DE+EN v1) entfernt';
-- 3. Liability Clause loeschen (redundant zu AGB § 12)
DELETE FROM compliance_legal_templates
WHERE document_type = 'clause'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
RAISE NOTICE 'clause (Liability) entfernt';
ELSE
RAISE NOTICE 'AGB v2 nicht gefunden — keine Bereinigung durchgefuehrt';
END IF;
END $$;
backend-compliance/migrations/107_agb_en_v2.sql
+299
View File
@@ -0,0 +1,299 @@
-- Migration 107: AGB EN v2 — English Terms and Conditions
-- English version of the AGB SaaS/Shop template (Migration 090)
-- EU/UK law compatible, same structure and IF-blocks as DE version
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'agb',
'Terms and Conditions (SaaS/Shop, EU-compliant)',
'General Terms and Conditions for SaaS/Cloud services and online shops. 18 sections with modular IF-blocks for B2B/B2C, trial period, physical goods, IoT bundles, IP indemnification, force majeure. EU/UK law compatible.',
$template$# General Terms and Conditions
**{{COMPANY_LEGAL_NAME}}**
Effective: {{VERSION_DATE}}
---
## § 1 Scope
(1) These Terms and Conditions ("Terms") apply to all contracts between {{COMPANY_LEGAL_NAME}} ("Provider") and the customer regarding the use of **{{SERVICE_NAME}}**.
(2) Any deviating terms of the customer shall not become part of the contract unless the Provider expressly agrees in writing.
{{#IF B2B_ONLY}}
(3) These Terms are exclusively directed at entrepreneurs within the meaning of applicable commercial law. Contracts with consumers are not concluded.
{{/IF}}
{{#IF_NOT B2B_ONLY}}
(3) These Terms apply to both businesses and consumers unless expressly stated otherwise.
{{/IF_NOT}}
---
## § 2 Description of Services
(1) The Provider makes **{{SERVICE_NAME}}** available as web-based software (Software as a Service) including maintenance and support: {{SERVICE_DESCRIPTION_SHORT}}.
(2) The scope of services and system requirements are set out in the current service description.
{{#IF HAS_MODULAR_PACKAGES}}
(3) The software is offered in various packages with different feature sets. The specific scope of services is determined by the selected package.
{{/IF}}
{{#IF HAS_END_USERS}}
(4) The customer may make the software available to its end users within the scope of the contractual purpose. No contractual relationship is established between the Provider and the customer's end users.
{{/IF}}
(5) The Provider does not review the content entered by the customer for accuracy or legal compliance. Content responsibility lies with the customer.
(6) The Provider is entitled to further develop the service, provided that core functionalities are essentially maintained.
---
## § 3 Conclusion of Contract
(1) The presentation of the service on the website does not constitute a binding offer.
(2) The contract is concluded upon confirmation of the order or activation of the service.
{{#IF HAS_TRIAL}}
(3) The Provider offers a free trial period of {{TRIAL_DAYS}} days. If the subscription is not cancelled during the trial period, the contract becomes chargeable. A Data Processing Agreement (DPA) is required from the start of the trial.
{{/IF}}
---
## § 4 Prices, Billing, Payment
{{#IF HAS_PAID_PLANS}}
(1) The prices agreed at the time of contract conclusion apply: {{PRICES_TEXT}}.
(2) Payment terms: {{PAYMENT_TERMS_TEXT}}.
(3) All prices are exclusive of applicable VAT.
(4) In the event of late payment, statutory default interest shall apply.
(5) Additional services beyond the agreed scope of services (e.g. error correction due to improper use, individual customisations) require separate commissioning and remuneration.
{{#IF HAS_PRICE_ADJUSTMENT}}
(6) The Provider may adjust the agreed fees at its reasonable discretion if costs attributable to the contract increase or decrease due to unforeseeable circumstances arising after conclusion of the contract. Price increases may only occur once per calendar year and only to the extent that the Provider does not generate profits exceeding cost coverage. Where cost reductions are not temporary, the Provider is obliged to reduce prices accordingly.
(7) The customer shall be notified of price changes at least {{PRICE_ADJUSTMENT_NOTICE_WEEKS}} weeks before they take effect. In the event of price increases, the customer has a special right of termination effective as of the date the increase takes effect.
{{/IF}}
{{/IF}}
{{#IF_NOT HAS_PAID_PLANS}}
(1) The service is currently offered free of charge. The Provider reserves the right to introduce paid service tiers.
{{/IF_NOT}}
---
## § 5 Customer Obligations
(1) The customer shall provide accurate information upon registration and keep it up to date.
(2) Access credentials shall be kept confidential. The customer shall ensure that unauthorised third parties do not gain access to the account.
(3) The service may only be used in accordance with applicable law and these Terms.
(4) The customer is responsible for uploaded content and data and shall ensure that third-party rights are not infringed. {{#IF HAS_END_USERS}} The customer shall obligate its end users accordingly. {{/IF}} The customer shall indemnify the Provider against all third-party claims arising from unlawful use.
(5) The customer is obliged to make payments on time.
(6) The Provider may introduce additional security measures and shall inform the customer accordingly. The customer is obliged to implement reasonable security measures.
(7) The customer is additionally responsible for regular backup of its data using the available export functions.
---
## § 6 Rights of Use
(1) The Provider grants the customer a simple, non-transferable, time-limited right of use for the software within the scope of the current service description. Use includes loading into working memory and installation on the customer's devices and servers.
(2) The services provided by the Provider are protected by intellectual property rights, in particular copyright{{#IF HAS_TRADEMARK}}, trademark law{{/IF}}{{#IF HAS_PATENTS}}, patent law{{/IF}}. Copyright notices, logos, trademarks and other identifying features must not be altered or removed.
(3) Any transfer to third parties, sublicensing or making publicly available beyond the intended use is prohibited.
(4) Reverse engineering, decompilation and circumvention of security mechanisms are prohibited to the extent permitted by law.
{{#IF HAS_TDM_OPTOUT}}
(5) The use of the services for text and data mining or the development, training or enrichment of AI systems is prohibited without the Provider's express consent.
{{/IF}}
{{#IF HAS_API_ACCESS}}
(6) Use of the provided API is permitted within the scope of the documented interfaces and agreed rate limits.
{{/IF}}
{{#IF HAS_MAINTENANCE_ACCESS}}
(7) The Provider shall have remote access to customer-operated installations for maintenance and support purposes.
{{/IF}}
---
## § 7 Availability, Maintenance and Support
(1) The availability of the software is {{AVAILABILITY_PERCENT}} percent on an annual average. {{#IF HAS_MAX_DOWNTIME}} Availability shall not be impaired for more than {{MAX_DOWNTIME_DAYS}} consecutive calendar days. {{/IF}} Scheduled maintenance and force majeure events are excluded.
(2) The Provider performs regular maintenance and provides updates. The software shall be used in its current version. Scheduled maintenance shall be announced {{MAINTENANCE_NOTICE_HOURS}} hours in advance.
(3) Support is available: {{SUPPORT_HOURS}}. Support channels: {{SUPPORT_CHANNELS_TEXT}}.
(4) The customer shall report software errors with as precise a description as possible and shall cooperate in error resolution.
(5) Errors are processed according to the following criticality levels:
| Category | Impact | Response Time |
|----------|--------|:---:|
| Normal | No or minor impact | {{RESPONSE_LOW_H}} hours |
| High | Business operations impaired | {{RESPONSE_HIGH_H}} hours |
| Critical | Imminent financial or operational damage | {{RESPONSE_CRITICAL_H}} hours |
(6) Response times refer to the period until processing begins, not until the error is resolved. They apply exclusively within service hours.
---
## § 8 Data Storage and Export
(1) The Provider takes appropriate technical and organisational measures to protect against data loss and unauthorised access in accordance with the state of the art.
(2) The customer remains the sole owner of its data. The Provider has neither a right of retention nor a lien on the customer's data.
(3) The customer may request the return of its data in a common, machine-readable format at any time.
---
## § 9 Data Protection
(1) The Provider processes personal data entered by the customer or its users as a processor within the meaning of Art. 28 GDPR. The details are governed by the separately concluded Data Processing Agreement (DPA).
(2) The Provider shall not use the data for its own purposes.
(3) The customer is independently responsible for fulfilling its data protection information obligations (Art. 13/14 GDPR).
(4) The Provider's privacy policy is available at: {{PRIVACY_POLICY_URL}}.
---
## § 10 Suspension
(1) The Provider is entitled to suspend access if the customer is in default of payment despite a reminder with a reasonable grace period.
(2) The Provider may also suspend access if there is a reasonable suspicion that the software is being used in violation of applicable law, these Terms or the terms of use.
(3) During a suspension, the customer retains access to data export.
---
## § 11 Warranty
(1) The customer shall report defects without undue delay after discovery.
(2) The Provider shall remedy defects at its discretion by repair or provision of a defect-free version. The Provider shall be granted at least two attempts at remedy.
(3) Warranty for merely insignificant reductions in fitness is excluded.
{{#IF HAS_DIGITAL_CONTENT}}
(4) Warranty for defects resulting from the customer's failure to install required and freely provided updates is excluded.
{{/IF}}
---
## § 12 Liability
(1) The Provider shall have unlimited liability for intent, gross negligence and injury to life, body or health.
(2) For slightly negligent breach of material contractual obligations (cardinal obligations), liability is limited to the typical, foreseeable damage.
(3) Otherwise, liability is excluded to the extent permitted by law.
(4) For data loss, the Provider shall only be liable to the extent that the damage would also have occurred with proper data backup by the customer.
(5) Statutory liability under product liability law remains unaffected.
{{#IF IS_B2B}}
(6) Liability for slight negligence is limited to {{LIABILITY_MULTIPLIER}} times the annual net remuneration.
{{/IF}}
{{#IF HAS_IP_INDEMNIFICATION}}
(9) The Provider warrants that the contractual use of the software is free from third-party intellectual property rights. If a third party asserts claims against the customer due to an IP infringement, the Provider shall defend the customer at its own expense.
{{/IF}}
---
## § 13 Term and Termination
(1) The contract term is determined by the selected billing period (monthly or annual). The contract may be terminated at the end of the respective term.
(2) If the contract is not terminated in due time, it shall automatically renew for the current billing period.
(3) The right to extraordinary termination for good cause remains unaffected.
(4) Fees already paid for unused billing periods are not refunded upon ordinary termination. Mandatory statutory refund claims remain unaffected.
(5) Termination may be made in text form or via the cancellation function provided in the customer portal.
---
## § 14 Data Upon Termination
(1) After termination, all personal data of the customer shall be deleted or returned in accordance with the DPA. The deletion period is {{DELETION_DAYS}} days after contract end.
(2) Contract data (invoices, correspondence) are exempt from deletion to the extent that statutory retention obligations exist.
---
## § 15 Confidentiality
(1) The parties undertake to treat all confidential information of the other party obtained in the course of the contractual relationship as confidential. This obligation shall survive termination.
(2) The confidentiality obligation does not apply to information that (a) is or becomes publicly known, (b) was already lawfully known to the receiving party, (c) is transmitted by a third party without confidentiality obligations, or (d) must be disclosed by law or official order.
---
## § 16 Amendments
(1) The Provider may amend these Terms for objective reasons (e.g. changes in legislation). This amendment mechanism does not apply to changes that materially alter the balance of performance and consideration, in particular not to price increases.
(2) Amendments shall be announced in text form at least one month before they take effect.
(3) If no objection is raised within the specified period, the amendments shall be deemed accepted.
---
## § 17 Final Provisions
(1) Amendments and supplements to this contract require text form.
(2) The law of the Federal Republic of Germany shall apply, excluding the UN Convention on Contracts for the International Sale of Goods (CISG). {{#IF HAS_EU_USERS}} For consumers resident in the EU, the mandatory consumer protection provisions of their country of residence shall additionally apply. {{/IF}}
{{#IF IS_B2B}}
(3) The place of jurisdiction for merchants and legal entities is {{JURISDICTION_CITY}}.
{{/IF}}
(4) Should individual provisions be invalid, the validity of the remaining provisions shall remain unaffected.
(5) Components of this contract include, in addition to these Terms, the Data Processing Agreement (DPA) {{#IF HAS_COMMUNITY_GUIDELINES}} and the Community Guidelines {{/IF}}.
{{#IF HAS_FORCE_MAJEURE}}
(6) Unforeseeable events beyond the control of the parties (force majeure) that materially impede or render impossible the performance of obligations shall entitle the affected party to postpone performance for the duration of the impediment. Payment obligations remain unaffected.
{{/IF}}
---
*Generated with BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_LEGAL_NAME","VERSION_DATE","SERVICE_NAME","SERVICE_DESCRIPTION_SHORT","PRIVACY_POLICY_URL","AVAILABILITY_PERCENT","MAINTENANCE_NOTICE_HOURS","SUPPORT_HOURS","SUPPORT_CHANNELS_TEXT","RESPONSE_LOW_H","RESPONSE_HIGH_H","RESPONSE_CRITICAL_H","PRICES_TEXT","PAYMENT_TERMS_TEXT","PRICE_ADJUSTMENT_NOTICE_WEEKS","TRIAL_DAYS","DELETION_DAYS","LIABILITY_MULTIPLIER","JURISDICTION_CITY","SLA_URL"]'::jsonb,
'en', 'EU',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '2.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'agb' AND language = 'en' AND version = '2.0.0'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
backend-compliance/migrations/108_privacy_policy_cleanup_en.sql
+316
View File
@@ -0,0 +1,316 @@
-- Migration 108: DSI Bereinigung + Englische Version
-- 1. Duplikat entfernen (Migration 023 + 093 haben beide privacy_policy DE geschrieben)
-- 2. Veraltete EN v1 entfernen
-- 3. Englische DSI v2 erstellen
-- ===========================================================================
-- 1. DSI Duplikat loeschen (behalte nur das neueste)
-- ===========================================================================
DELETE FROM compliance_legal_templates
WHERE document_type = 'privacy_policy'
AND language = 'de'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND id != (
SELECT id FROM compliance_legal_templates
WHERE document_type = 'privacy_policy'
AND language = 'de'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
ORDER BY updated_at DESC
LIMIT 1
);
-- ===========================================================================
-- 2. Veraltete EN v1 loeschen
-- ===========================================================================
DELETE FROM compliance_legal_templates
WHERE document_type = 'privacy_policy'
AND language = 'en'
AND version = '1.0.0'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 3. Englische DSI v2
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'privacy_policy',
'Privacy Notice (GDPR, modular)',
'Comprehensive privacy notice pursuant to Art. 13/14 GDPR with modular sections. Data categories table, purpose-legal basis mapping, retention periods, recipient categories (processors vs. controllers incl. payment provider guidance), data subject rights with highlighted right to object (Art. 21).',
$template$# Privacy Notice
**Effective:** {{VERSION_DATE}}
**Applies to:** {{SERVICE_SCOPE_DESCRIPTION}}
---
## 1. Controller
The controller responsible for the processing described in this privacy notice:
**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
{{COMPANY_ADDRESS_LINE}}
{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}, {{COMPANY_COUNTRY}}
{{#IF REPRESENTED_BY_NAME}}Represented by: {{REPRESENTED_BY_NAME}}{{/IF}}
Email: {{CONTACT_EMAIL}}
{{#IF CONTACT_PHONE}}Phone: {{CONTACT_PHONE}}{{/IF}}
---
## 2. Data Protection Officer
{{#IF HAS_DPO}}
{{#IF DPO_NAME}}Our Data Protection Officer: **{{DPO_NAME}}**{{/IF}}
Email: {{DPO_EMAIL}}
{{/IF}}
{{#IF_NOT HAS_DPO}}
For data protection enquiries, please contact: {{CONTACT_EMAIL}}
{{/IF_NOT}}
---
## 3. Principles of Processing
We process personal data exclusively in accordance with the GDPR and applicable national data protection legislation. We observe purpose limitation, data minimisation, accuracy, storage limitation, integrity/confidentiality and transparency.
---
## 4. Categories of Data We Process
| Category | Examples | Details |
|----------|---------|---------|
| Log data | IP address, device type, operating system, timestamp | § 5 |
| Account data | Email, username, password (hashed), profile image | § 5 |
| Identifiers | User ID, device ID, session ID | § 5 |
{{#IF HAS_UGC}} | Content data | Published texts, images, videos, comments, likes | § 5 | {{/IF}}
{{#IF HAS_MESSAGING}} | Communication data | Messages between users {{#IF HAS_E2E_ENCRYPTION}}(end-to-end encrypted provider cannot access content){{/IF}} | § 5 | {{/IF}}
{{#IF HAS_LOCATION}} | Location data | Geographic location during use, content capture location | § 5 | {{/IF}}
| Usage data | Feature usage, time spent, page views, crash reports | § 5 |
{{#IF HAS_PAYMENTS}} | Payment/master data | Name, address, payment method | § 5 | {{/IF}}
{{#IF HAS_IDENTITY_VERIFICATION}} | Identification data | Name, date of birth, identity document, facial image | § 5 | {{/IF}}
| Moderation data | Complaints, violations, suspension information | § 5 |
| Correspondence data | Content of communication with the provider | § 5 |
---
## 5. Purposes and Legal Bases
### 5.1 Provision of Platform and Core Functions
We process log data, account data and identifiers to provide {{PLATFORM_NAME}} and its functions.
**Legal basis:** Art. 6(1)(b) GDPR (performance of contract).
### 5.2 Hosting and Infrastructure
{{PLATFORM_NAME}} is hosted by: **{{HOSTING_PROVIDER_NAME}}**, {{HOSTING_PROVIDER_COUNTRY}}. A data processing agreement is in place ({{HOSTING_PROVIDER_CONTRACT_TYPE}}).
{{#IF HAS_UGC}}
### 5.3 Publication and Moderation of User Content
We process content data and moderation data to provide content functions and ensure compliance.
**Legal basis:** Art. 6(1)(b) GDPR (contract); Art. 6(1)(f) GDPR (legitimate interest) for moderation.
{{/IF}}
### 5.4 IT Security and Abuse Detection
We process log data and identifiers to ensure the security of our IT infrastructure.
**Legal basis:** Art. 6(1)(f) GDPR (legitimate interest in IT security).
{{#IF HAS_ANALYTICS}}
### 5.5 Usage Analysis and Improvement
With your consent, we process usage data and identifiers to improve {{PLATFORM_NAME}}.
**Legal basis:** Art. 6(1)(a) GDPR (consent).
**Details:** {{ANALYTICS_TOOLS_DETAIL}}
{{/IF}}
{{#IF HAS_PAYMENTS}}
### 5.6 Payment Processing
We process master and transaction data for chargeable services.
**Legal basis:** Art. 6(1)(b) GDPR (contract); Art. 6(1)(c) GDPR (legal obligation) for tax/commercial retention.
**Note:** Payment service providers (e.g. Stripe, PayPal) process your payment data as independent controllers not as our processors. Their privacy notices are listed in the recipients section (§ 7).
{{/IF}}
{{#IF HAS_ONLINE_SHOP}}
### 5.7 Order and Delivery Functions
We process master and log data for order processing, shipping cost calculation and delivery.
**Legal basis:** Art. 6(1)(b) GDPR (contract); Art. 6(1)(c) GDPR (legal obligation).
{{/IF}}
### 5.8 Contact Enquiries and Support
We process correspondence data when you contact us.
**Legal basis:** Art. 6(1)(b) or (f) GDPR.
### 5.9 Legal Retention and Legal Defence
We process the respectively required data categories for statutory retention and for establishing, exercising or defending legal claims.
**Legal basis:** Art. 6(1)(c) GDPR (legal obligation); Art. 6(1)(f) GDPR (legitimate interest) for legal defence.
{{#IF HAS_NEWSLETTER}}
### 5.10 Newsletter
We process your email address for newsletter delivery (double opt-in).
**Legal basis:** Art. 6(1)(a) GDPR (consent). Revocation: unsubscribe link or {{CONTACT_EMAIL}}.
{{/IF}}
---
## 6. Are You Obliged to Provide Data?
The provision of personal data is neither legally nor contractually required. However, certain data is technically necessary for the use of {{PLATFORM_NAME}}:
| Data | Necessity | Consequence of Non-Provision |
|------|:---:|---|
| Log data, account data, identifiers | Required for basic use | Use not possible |
{{#IF HAS_UGC}} | Content data | Required for publishing | Content functions unavailable | {{/IF}}
{{#IF HAS_PAYMENTS}} | Payment/transaction data | Required for payment | Payment functions unavailable | {{/IF}}
| Usage data, correspondence data | Optional | No restriction |
---
## 7. Recipients of Personal Data
### 7.1 Processors
We use service providers who process personal data on our behalf. Data processing agreements pursuant to Art. 28 GDPR are in place with all processors.
{{PROCESSOR_LIST}}
{{#IF HAS_PARENT_COMPANY}}
### 7.1a Affiliated Companies
{{COMPANY_LEGAL_NAME}} transfers personal data to affiliated companies acting as processors:
{{AFFILIATED_COMPANIES_LIST}}
{{/IF}}
### 7.2 Other Recipients (Independent Controllers)
In certain cases, we transfer personal data to recipients who process it for their own purposes:
{{THIRD_PARTY_RECIPIENTS}}
**Note:** Payment service providers, banks and identification services process your data as independent controllers due to their own legal obligations (KYC, AML, PSD2).
We also transfer data to authorities and courts where legally required, and to other users and third parties to support the exercise of their rights.
---
## 8. International Transfers
{{#IF HAS_THIRD_COUNTRY}}
Transfers outside the EU/EEA may occur with certain service providers. We ensure an adequate level of protection through {{TRANSFER_GUARDS}}.
{{/IF}}
{{#IF_NOT HAS_THIRD_COUNTRY}}
Transfers to third countries outside the EU/EEA do not take place.
{{/IF_NOT}}
---
## 9. Retention Periods
| Data Category | Retention Period |
|--------------|----------------|
| Log data, session identifiers | Duration of usage session |
| Account data, settings | Until 1 week after account deletion |
{{#IF HAS_UGC}} | Content data | Until removal by user/moderation, latest 1 week after account deletion | {{/IF}}
| Usage data | 4 weeks after session end |
{{#IF HAS_PAYMENTS}} | Master, transaction, identification data | 6 or 10 years (Sec. 147 AO, Sec. 257 HGB) | {{/IF}}
| Moderation data | 3 years after case closure |
| Correspondence data | 3 years (general), 6 years (commercial correspondence) |
**Exception:** In the event of security or legally relevant incidents, affected data is retained until the matter is fully resolved.
---
## 10. Cookies and Consent Management
Details on cookies, retention periods and tools: {{COOKIE_POLICY_URL}}.
Manage/revoke consent: {{CONSENT_WITHDRAWAL_PATH}}.
---
## 11. Security
We employ technical and organisational measures to protect your data: {{SECURITY_MEASURES_SUMMARY}}.
---
## 12. Your Rights
{{#IF DETAILED_RIGHTS}}
- **Access (Art. 15 GDPR):** You have the right to know which data we process, including purpose, legal basis and recipients. You may request a copy of your data.
- **Rectification (Art. 16 GDPR):** You may request the correction of inaccurate or the completion of incomplete data.
- **Erasure (Art. 17 GDPR):** You may request erasure of your data where it is no longer necessary or is unlawfully processed.
- **Restriction (Art. 18 GDPR):** You may request restriction of processing, e.g. where you contest accuracy.
- **Data portability (Art. 20 GDPR):** You have the right to receive your data in a structured, commonly used and machine-readable format.
{{/IF}}
{{#IF_NOT DETAILED_RIGHTS}}
- Access (Art. 15 GDPR)
- Rectification (Art. 16 GDPR)
- Erasure (Art. 17 GDPR)
- Restriction of processing (Art. 18 GDPR)
- Data portability (Art. 20 GDPR)
{{/IF_NOT}}
To exercise your rights: {{DATA_SUBJECT_REQUEST_CHANNEL}}
### Right of Withdrawal
You have the right to withdraw any consent at any time (Art. 7(3) GDPR). The lawfulness of processing carried out prior to withdrawal remains unaffected.
### Right to Object
**You have the right to object at any time, on grounds relating to your particular situation, to the processing of your data based on Art. 6(1)(f) GDPR (legitimate interest) (Art. 21(1) GDPR). We will then no longer process your data unless there are compelling legitimate grounds.**
{{#IF HAS_MARKETING}}
**You may object to the processing of your data for direct marketing purposes at any time without giving reasons.**
{{/IF}}
---
## 13. Right to Lodge a Complaint
You have the right to lodge a complaint with a supervisory authority (Art. 77 GDPR):
**{{SUPERVISORY_AUTHORITY_NAME}}**
{{SUPERVISORY_AUTHORITY_ADDRESS}}
---
## 14. Changes
We may update this privacy notice. The current version is available at {{WEBSITE_URL}}.
---
*Generated with BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_LEGAL_NAME","COMPANY_LEGAL_FORM","COMPANY_ADDRESS_LINE","COMPANY_POSTAL_CODE","COMPANY_CITY","COMPANY_COUNTRY","CONTACT_EMAIL","CONTACT_PHONE","DPO_NAME","DPO_EMAIL","VERSION_DATE","WEBSITE_URL","PLATFORM_NAME","SERVICE_SCOPE_DESCRIPTION","HOSTING_PROVIDER_NAME","HOSTING_PROVIDER_COUNTRY","HOSTING_PROVIDER_CONTRACT_TYPE","COOKIE_POLICY_URL","CONSENT_WITHDRAWAL_PATH","SECURITY_MEASURES_SUMMARY","DATA_SUBJECT_REQUEST_CHANNEL","SUPERVISORY_AUTHORITY_NAME","SUPERVISORY_AUTHORITY_ADDRESS","ANALYTICS_TOOLS_DETAIL","REPRESENTED_BY_NAME"]'::jsonb,
'en', 'EU',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '2.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'privacy_policy' AND language = 'en' AND version = '2.0.0'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
backend-compliance/migrations/109_full_template_cleanup.sql
+78
View File
@@ -0,0 +1,78 @@
-- Migration 109: Vollstaendige Template-Bereinigung
-- Entfernt Duplikate, behaelt jeweils die neueste/groesste Version
-- ===========================================================================
-- 1. DPA: Behalte v2 DE (unseres aus 088), loesche v1 DE + v1 EN
-- ===========================================================================
DELETE FROM compliance_legal_templates
WHERE document_type = 'dpa'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND version != '2.0'
AND language = 'de';
DELETE FROM compliance_legal_templates
WHERE document_type = 'dpa'
AND language = 'en'
AND version = '1.0.0'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 2. Cookie-Banner: Behalte das groessere (IF-Bloecke), loesche das kleinere
-- ===========================================================================
DELETE FROM compliance_legal_templates
WHERE document_type = 'cookie_banner'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND id != (
SELECT id FROM compliance_legal_templates
WHERE document_type = 'cookie_banner'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
ORDER BY length(content) DESC
LIMIT 1
);
-- ===========================================================================
-- 3. Impressum: Behalte das groessere (IF-Bloecke), loesche das kleinere
-- ===========================================================================
DELETE FROM compliance_legal_templates
WHERE document_type = 'impressum'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND id != (
SELECT id FROM compliance_legal_templates
WHERE document_type = 'impressum'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
ORDER BY length(content) DESC
LIMIT 1
);
-- ===========================================================================
-- 4. TOM: Behalte das neueste, loesche Duplikat
-- ===========================================================================
DELETE FROM compliance_legal_templates
WHERE document_type = 'tom_documentation'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND id != (
SELECT id FROM compliance_legal_templates
WHERE document_type = 'tom_documentation'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
ORDER BY updated_at DESC
LIMIT 1
);
-- ===========================================================================
-- 5. DSFA: Behalte v2 (groesser), loesche v1
-- ===========================================================================
DELETE FROM compliance_legal_templates
WHERE document_type = 'dsfa'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND id != (
SELECT id FROM compliance_legal_templates
WHERE document_type = 'dsfa'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
ORDER BY length(content) DESC
LIMIT 1
);
-- ===========================================================================
-- 6. VVT: NICHT loeschen — alle 7 behalten (Branchenvorlagen sind wertvoll)
-- ===========================================================================
-- Keine Aktion
backend-compliance/migrations/110_unreviewed_policies_v2.sql
+87
View File
@@ -0,0 +1,87 @@
-- Migration 110: Review + Update der 12 bisher ungeprüften Policy-Templates
-- Alle Templates sind bereits auf gutem Niveau (7-14 Abschnitte, ISO/BSI/DSGVO)
-- Updates: AI Act Referenz, CRA, NIS2UmsuCG, Version-Bump
-- Zusaetzlich: informationspflichten + verpflichtungserklaerung pruefen
-- ===========================================================================
-- IT Security Policies (Migration 071) — 10 Templates
-- ===========================================================================
-- 1. Asset-Management-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Asset-Management-Richtlinie nach ISO 27001 A.5.9. CMDB, Lebenszyklus, Klassifizierung, sichere Entsorgung (DIN 66399), Verantwortlichkeiten. Inkl. virtuelle Assets (APIs, KI-Modelle).',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'asset_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 2. Datensicherungsrichtlinie
UPDATE compliance_legal_templates SET
description = 'Datensicherungsrichtlinie nach BSI CON.3. 3-2-1-Regel, RTO/RPO, Backup-Zyklen, Verschluesselung, Restore-Tests. Immutable Backups fuer Ransomware-Schutz.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'backup_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 3. Change-Management-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Change-Management-Richtlinie nach ITIL/ISO 20000. Change-Klassen (Standard/Normal/Emergency), CAB, Risikobewertung, Rollback, Dokumentation.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'change_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 4. Cloud-Security-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Cloud-Security-Richtlinie nach ISO 27017/27018. Shared Responsibility, Vendor-Assessment, Datenresidenz, Verschluesselung (BYOK), Exit-Strategie. NIS2/CRA-konform.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'cloud_security_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 5. DevSecOps-Richtlinie
UPDATE compliance_legal_templates SET
description = 'DevSecOps-Richtlinie fuer sichere Softwareentwicklung. SDLC, CI/CD-Gates (SAST/SCA/Container-Scan), Code-Review, Secrets Management. CRA Art. 21 konform.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'devsecops_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 6. Incident-Response-Richtlinie (ergaenzt den Incident-Response-Plan aus 051)
UPDATE compliance_legal_templates SET
description = 'Incident-Response-Richtlinie: Kurzfassung der Reaktionsprozesse fuer Mitarbeitende. Klassifizierung (P1-P4), Eskalation, Meldepflichten (DSGVO 72h, NIS2 24h). Ergaenzt den detaillierten Incident-Response-Plan.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'incident_response_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 7. Protokollierungsrichtlinie (ergaenzt das Logging-Konzept aus 051)
UPDATE compliance_legal_templates SET
description = 'Protokollierungsrichtlinie: Kurzfassung der Logging-Anforderungen fuer Mitarbeitende und Entwickler. Pflicht-Events, Log-Format, Aufbewahrung, SIEM. Ergaenzt das detaillierte Logging-Konzept.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'logging_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 8. Patch-Management-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Patch-Management-Richtlinie nach BSI OPS.1.1.3. Scan-Zyklen, CVSS-Klassifizierung, SLAs (72h-90d), Ausnahmen, Automatisierung. NIS2/CRA-konform.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'patch_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 9. Secrets-Management-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Secrets-Management-Richtlinie: Vault-basierte zentrale Verwaltung, Rotation (90d DB, 180d API), kein Hardcoding, Break-Glass-Verfahren.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'secrets_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 10. Schwachstellenmanagement-Richtlinie
UPDATE compliance_legal_templates SET
description = 'Schwachstellenmanagement-Richtlinie nach ISO 27001 A.8.8. Scan-Schedule, CVSS-Klassifizierung, SLAs, Triage, Responsible Disclosure (90d), Metriken. CRA-konform.',
version = '1.1.0', updated_at = NOW()
WHERE document_type = 'vulnerability_management_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- Altbestand aus Migration 021 — 2 Templates
-- ===========================================================================
-- 11. Informationspflichten — evtl. Duplikat zu privacy_policy
-- Entscheidung: BEHALTEN als separates, kuerzeres Dokument fuer interne Zwecke
-- (privacy_policy ist die ausfuehrliche DSI fuer externe Kommunikation)
UPDATE compliance_legal_templates SET
description = 'Kompakte Uebersicht der Informationspflichten gemaess Art. 13/14 DSGVO. Kurzfassung fuer interne Verwendung (Checkliste). Die ausfuehrliche Datenschutzinformation fuer Kunden/Nutzer ist das privacy_policy Template.',
version = '1.1', updated_at = NOW()
WHERE document_type = 'informationspflichten' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- 12. Verpflichtungserklaerung auf das Datengeheimnis
-- Eigenstaendiges HR-Dokument: Mitarbeiter unterschreiben bei Eintritt
UPDATE compliance_legal_templates SET
description = 'Verpflichtungserklaerung auf das Datengeheimnis fuer Mitarbeitende. Wird bei Eintritt unterschrieben. Bezieht sich auf DSGVO, BDSG und betriebliche Datenschutzrichtlinien. Eigenstaendiges HR-Dokument.',
version = '1.1', updated_at = NOW()
WHERE document_type = 'verpflichtungserklaerung' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/111_org_roles_reviews.sql
+177
View File
@@ -0,0 +1,177 @@
-- Migration 111: Organizational Compliance Roles + Document Review Workflow
-- Creates tables for:
-- 1. compliance_org_roles — role assignments per project (DSB, GF, IT-Leiter, etc.)
-- 2. compliance_document_reviews — review tracking for generated documents
-- 3. compliance_document_role_mapping — which roles review which document types
BEGIN;
-- =============================================================================
-- Table 1: Organizational Compliance Roles
-- =============================================================================
CREATE TABLE IF NOT EXISTS compliance_org_roles (
id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
tenant_id UUID NOT NULL,
project_id UUID,
role_key VARCHAR(50) NOT NULL,
role_label VARCHAR(200) NOT NULL,
person_name VARCHAR(300),
person_email VARCHAR(300),
department VARCHAR(200),
is_active BOOLEAN NOT NULL DEFAULT TRUE,
created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
updated_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
UNIQUE(tenant_id, project_id, role_key)
);
CREATE INDEX IF NOT EXISTS idx_org_roles_tenant ON compliance_org_roles(tenant_id);
CREATE INDEX IF NOT EXISTS idx_org_roles_project ON compliance_org_roles(tenant_id, project_id);
-- =============================================================================
-- Table 2: Document Reviews
-- =============================================================================
CREATE TABLE IF NOT EXISTS compliance_document_reviews (
id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
tenant_id UUID NOT NULL,
project_id UUID,
document_type VARCHAR(100) NOT NULL,
document_title VARCHAR(500) NOT NULL,
document_content_hash VARCHAR(64),
reviewer_role_key VARCHAR(50) NOT NULL,
reviewer_name VARCHAR(300),
reviewer_email VARCHAR(300),
status VARCHAR(20) NOT NULL DEFAULT 'pending'
CHECK (status IN ('pending', 'in_review', 'approved', 'rejected')),
submitted_at TIMESTAMPTZ,
submitted_by VARCHAR(200),
reviewed_at TIMESTAMPTZ,
review_comment TEXT,
review_link TEXT,
email_sent BOOLEAN NOT NULL DEFAULT FALSE,
email_sent_at TIMESTAMPTZ,
created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
updated_at TIMESTAMPTZ NOT NULL DEFAULT NOW()
);
CREATE INDEX IF NOT EXISTS idx_doc_reviews_tenant ON compliance_document_reviews(tenant_id);
CREATE INDEX IF NOT EXISTS idx_doc_reviews_status ON compliance_document_reviews(tenant_id, status);
CREATE INDEX IF NOT EXISTS idx_doc_reviews_doctype ON compliance_document_reviews(document_type);
-- =============================================================================
-- Table 3: Document-to-Role Mapping (seed defaults)
-- =============================================================================
CREATE TABLE IF NOT EXISTS compliance_document_role_mapping (
id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
tenant_id UUID NOT NULL,
document_type VARCHAR(100) NOT NULL,
role_key VARCHAR(50) NOT NULL,
is_primary BOOLEAN NOT NULL DEFAULT TRUE,
created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
UNIQUE(tenant_id, document_type, role_key)
);
CREATE INDEX IF NOT EXISTS idx_role_mapping_tenant ON compliance_document_role_mapping(tenant_id);
-- =============================================================================
-- Seed: Default document-to-role mapping (tenant_id = '__default__')
-- Every document type has at least one primary reviewer.
-- Tenants get a copy on first use; editable per tenant.
-- =============================================================================
-- DSB — Datenschutzbeauftragter
INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
('__default__', 'privacy_policy', 'dsb'), ('__default__', 'vvt_register', 'dsb'),
('__default__', 'tom_documentation', 'dsb'), ('__default__', 'dsfa', 'dsb'),
('__default__', 'loeschkonzept', 'dsb'), ('__default__', 'dpa', 'dsb'),
('__default__', 'pflichtenregister', 'dsb'), ('__default__', 'data_protection_concept', 'dsb'),
('__default__', 'data_protection_policy', 'dsb'), ('__default__', 'data_retention_policy', 'dsb'),
('__default__', 'data_transfer_policy', 'dsb'), ('__default__', 'data_classification_policy', 'dsb'),
('__default__', 'privacy_incident_policy', 'dsb'), ('__default__', 'informationspflichten', 'dsb'),
('__default__', 'verpflichtungserklaerung', 'dsb'), ('__default__', 'consent_texts', 'dsb'),
('__default__', 'dsr_process_art15', 'dsb'), ('__default__', 'dsr_process_art16', 'dsb'),
('__default__', 'dsr_process_art17', 'dsb'), ('__default__', 'dsr_process_art18', 'dsb'),
('__default__', 'dsr_process_art19', 'dsb'), ('__default__', 'dsr_process_art20', 'dsb'),
('__default__', 'dsr_process_art21', 'dsb')
ON CONFLICT DO NOTHING;
-- GF — Geschaeftsfuehrung
INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
('__default__', 'agb', 'gf'), ('__default__', 'terms_of_use', 'gf'),
('__default__', 'nda', 'gf'), ('__default__', 'sla', 'gf'),
('__default__', 'impressum', 'gf'), ('__default__', 'widerruf', 'gf'),
('__default__', 'whistleblower_policy', 'gf'),
('__default__', 'cloud_service_agreement', 'gf'),
('__default__', 'standard_operating_procedure', 'gf'),
('__default__', 'data_usage_clause', 'gf')
ON CONFLICT DO NOTHING;
-- IT-Leiter / CISO
INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
('__default__', 'it_security_concept', 'it_leiter'),
('__default__', 'isms_manual', 'it_leiter'),
('__default__', 'backup_recovery_concept', 'it_leiter'),
('__default__', 'logging_concept', 'it_leiter'),
('__default__', 'incident_response_plan', 'it_leiter'),
('__default__', 'access_control_concept', 'it_leiter'),
('__default__', 'risk_management_concept', 'it_leiter'),
('__default__', 'information_security_policy', 'it_leiter'),
('__default__', 'access_control_policy', 'it_leiter'),
('__default__', 'password_policy', 'it_leiter'),
('__default__', 'encryption_policy', 'it_leiter'),
('__default__', 'logging_policy', 'it_leiter'),
('__default__', 'backup_policy', 'it_leiter'),
('__default__', 'incident_response_policy', 'it_leiter'),
('__default__', 'change_management_policy', 'it_leiter'),
('__default__', 'patch_management_policy', 'it_leiter'),
('__default__', 'asset_management_policy', 'it_leiter'),
('__default__', 'cloud_security_policy', 'it_leiter'),
('__default__', 'devsecops_policy', 'it_leiter'),
('__default__', 'secrets_management_policy', 'it_leiter'),
('__default__', 'vulnerability_management_policy', 'it_leiter'),
('__default__', 'cybersecurity_policy', 'it_leiter'),
('__default__', 'business_continuity_policy', 'it_leiter'),
('__default__', 'disaster_recovery_policy', 'it_leiter'),
('__default__', 'crisis_management_policy', 'it_leiter')
ON CONFLICT DO NOTHING;
-- HR-Leitung
INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
('__default__', 'employee_dsi', 'hr_leitung'),
('__default__', 'applicant_dsi', 'hr_leitung'),
('__default__', 'employee_security_policy', 'hr_leitung'),
('__default__', 'security_awareness_policy', 'hr_leitung'),
('__default__', 'remote_work_policy', 'hr_leitung'),
('__default__', 'offboarding_policy', 'hr_leitung'),
('__default__', 'byod_policy', 'hr_leitung')
ON CONFLICT DO NOTHING;
-- Marketing-Leitung
INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
('__default__', 'cookie_banner', 'marketing_leitung'),
('__default__', 'cookie_policy', 'marketing_leitung'),
('__default__', 'social_media_dsi', 'marketing_leitung'),
('__default__', 'community_guidelines', 'marketing_leitung'),
('__default__', 'acceptable_use', 'marketing_leitung'),
('__default__', 'media_content_policy', 'marketing_leitung'),
('__default__', 'copyright_policy', 'marketing_leitung'),
('__default__', 'video_conference_dsi', 'marketing_leitung')
ON CONFLICT DO NOTHING;
-- Compliance-Beauftragter
INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
('__default__', 'ai_usage_policy', 'compliance_beauftragter')
ON CONFLICT DO NOTHING;
-- Einkauf / Vendor Management
INSERT INTO compliance_document_role_mapping (tenant_id, document_type, role_key) VALUES
('__default__', 'vendor_risk_management_policy', 'einkauf'),
('__default__', 'third_party_security_policy', 'einkauf'),
('__default__', 'supplier_security_policy', 'einkauf'),
('__default__', 'transfer_impact_assessment', 'einkauf'),
('__default__', 'scc_companion', 'einkauf')
ON CONFLICT DO NOTHING;
COMMIT;
backend-compliance/migrations/112_sop_template.sql
+137
View File
@@ -0,0 +1,137 @@
-- Migration 112: Standard Operating Procedure (SOP) Template
-- ISO 9001-konforme Struktur, eigene Formulierung (kein Normtext)
INSERT INTO compliance_legal_templates (
tenant_id, document_type, template_type, language, jurisdiction,
document_title, description, version, status,
text, placeholders,
license_id, license_name, source_name, attribution_required
) VALUES (
'__default__',
'standard_operating_procedure',
'standard_operating_procedure',
'de',
'DE',
'Standard Operating Procedure (SOP)',
'Vorlage fuer standardisierte Verfahrensanweisungen mit Rollen-Matrix, Ablaufbeschreibung und Freigabeprozess',
'1.0',
'published',
$template$# Standard Operating Procedure (SOP)
**{{COMPANY_NAME}}** | SOP-Nr.: {{SOP_NUMBER}} | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. Zweck
{{SOP_PURPOSE}}
## 2. Geltungsbereich
{{SOP_SCOPE}}
## 3. Verantwortlichkeiten
| Rolle | Verantwortung | Name |
|-------|---------------|------|
| Ersteller | Erstellung und Pflege dieser SOP | {{SOP_AUTHOR_NAME}} |
| Pruefer/in | Fachliche Pruefung auf Richtigkeit | {{SOP_REVIEWER_NAME}} |
| Freigebende/r | Formale Freigabe und Inkraftsetzung | {{SOP_APPROVER_NAME}} |
| Durchfuehrende/r | Operative Umsetzung des Verfahrens | {{SOP_EXECUTOR_NAME}} |
### Zusaetzliche Rollen
{{#IF HAS_ADDITIONAL_ROLES}}
| Rolle | Verantwortung | Kontakt |
|-------|---------------|---------|
{{SOP_ADDITIONAL_ROLES}}
{{/IF}}
## 4. Begriffe und Abkuerzungen
{{SOP_DEFINITIONS}}
## 5. Ablaufbeschreibung
### 5.1 Voraussetzungen
{{SOP_PREREQUISITES}}
### 5.2 Durchfuehrung
{{SOP_PROCEDURE_STEPS}}
### 5.3 Nachbereitung und Qualitaetskontrolle
{{SOP_POST_STEPS}}
### 5.4 Eskalation
{{#IF HAS_ESCALATION}}
Bei Abweichungen vom Standardprozess gilt folgender Eskalationsweg:
{{SOP_ESCALATION_PATH}}
{{/IF}}
{{#IF_NOT HAS_ESCALATION}}
Abweichungen sind dem/der Freigebenden ({{SOP_APPROVER_NAME}}) unverzueglich zu melden.
{{/IF_NOT}}
## 6. Dokumentation und Nachweise
{{SOP_DOCUMENTATION_REQUIREMENTS}}
**Aufbewahrungsfrist:** {{SOP_RETENTION_PERIOD}}
**Speicherort:** {{SOP_STORAGE_LOCATION}}
## 7. Abweichungsbehandlung
{{SOP_DEVIATION_HANDLING}}
## 8. Referenzen
{{SOP_REFERENCES}}
## 9. Revisionshistorie
| Version | Datum | Autor | Aenderungen |
|---------|-------|-------|-------------|
| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{SOP_AUTHOR_NAME}} | Erstversion |
## 10. Freigabe
| Rolle | Name | Datum | Unterschrift |
|-------|------|-------|-------------|
| Erstellt von | {{SOP_AUTHOR_NAME}} | {{VERSION_DATE}} | _______________ |
| Geprueft von | {{SOP_REVIEWER_NAME}} | | _______________ |
| Freigegeben von | {{SOP_APPROVER_NAME}} | | _______________ |
---
*Dieses Dokument wurde mit dem BreakPilot Compliance SDK erstellt.*
$template$,
'[
{"key": "{{COMPANY_NAME}}", "label": "Firmenname", "required": true, "section": "PROVIDER"},
{"key": "{{SOP_NUMBER}}", "label": "SOP-Nummer (z.B. SOP-DS-001)", "required": true, "section": "LEGAL"},
{"key": "{{DOCUMENT_VERSION}}", "label": "Version (z.B. 1.0)", "required": true, "section": "LEGAL"},
{"key": "{{VERSION_DATE}}", "label": "Datum (YYYY-MM-DD)", "required": true, "section": "LEGAL"},
{"key": "{{SOP_PURPOSE}}", "label": "Zweck der SOP", "required": true, "section": "LEGAL"},
{"key": "{{SOP_SCOPE}}", "label": "Geltungsbereich", "required": true, "section": "LEGAL"},
{"key": "{{SOP_AUTHOR_NAME}}", "label": "Ersteller (Name)", "required": true, "section": "PROVIDER"},
{"key": "{{SOP_REVIEWER_NAME}}", "label": "Pruefer/in (Name)", "required": true, "section": "PROVIDER"},
{"key": "{{SOP_APPROVER_NAME}}", "label": "Freigebende/r (Name)", "required": true, "section": "PROVIDER"},
{"key": "{{SOP_EXECUTOR_NAME}}", "label": "Durchfuehrende/r (Name)", "required": true, "section": "PROVIDER"},
{"key": "{{SOP_ADDITIONAL_ROLES}}", "label": "Weitere Rollen (Markdown-Tabelle)", "required": false, "section": "PROVIDER"},
{"key": "{{SOP_DEFINITIONS}}", "label": "Begriffe und Abkuerzungen", "required": false, "section": "LEGAL"},
{"key": "{{SOP_PREREQUISITES}}", "label": "Voraussetzungen", "required": true, "section": "LEGAL"},
{"key": "{{SOP_PROCEDURE_STEPS}}", "label": "Ablaufbeschreibung (Schritte)", "required": true, "section": "LEGAL"},
{"key": "{{SOP_POST_STEPS}}", "label": "Nachbereitung / QS", "required": false, "section": "LEGAL"},
{"key": "{{SOP_ESCALATION_PATH}}", "label": "Eskalationsweg", "required": false, "section": "LEGAL"},
{"key": "{{SOP_DOCUMENTATION_REQUIREMENTS}}", "label": "Dokumentationspflichten", "required": true, "section": "LEGAL"},
{"key": "{{SOP_RETENTION_PERIOD}}", "label": "Aufbewahrungsfrist", "required": false, "section": "LEGAL"},
{"key": "{{SOP_STORAGE_LOCATION}}", "label": "Speicherort", "required": false, "section": "LEGAL"},
{"key": "{{SOP_DEVIATION_HANDLING}}", "label": "Abweichungsbehandlung", "required": true, "section": "LEGAL"},
{"key": "{{SOP_REFERENCES}}", "label": "Referenzen / Normen", "required": false, "section": "LEGAL"}
]'::jsonb,
'mit', 'MIT License', 'BreakPilot Compliance', false
) ON CONFLICT DO NOTHING;
backend-compliance/migrations/113_vendor_consent_granular.sql
+9
View File
@@ -0,0 +1,9 @@
-- Migration 113: Granularer Vendor-Level Consent
-- Erweitert Banner-Consents um vendor_consents JSONB ({"vendor_id": true/false})
-- Additiv und rueckwaerts-kompatibel
ALTER TABLE compliance_banner_consents
ADD COLUMN IF NOT EXISTS vendor_consents JSONB DEFAULT '{}';
ALTER TABLE compliance_banner_consent_audit_log
ADD COLUMN IF NOT EXISTS vendor_consents JSONB DEFAULT '{}';
backend-compliance/migrations/114_banner_analytics.sql
+8
View File
@@ -0,0 +1,8 @@
-- Migration 114: Banner Analytics Enrichment
-- Adds user_agent to audit log for device classification + time-series index
ALTER TABLE compliance_banner_consent_audit_log
ADD COLUMN IF NOT EXISTS user_agent TEXT;
CREATE INDEX IF NOT EXISTS idx_banner_audit_timeseries
ON compliance_banner_consent_audit_log(tenant_id, site_id, action, created_at);
backend-compliance/migrations/115_role_training_mapping.sql
+22
View File
@@ -0,0 +1,22 @@
-- Migration 115: Mapping between organizational compliance roles and training role codes
-- Bridges the Rollenkonzept (org_roles) with the Academy (training_matrix)
CREATE TABLE IF NOT EXISTS compliance_role_training_mapping (
id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
tenant_id VARCHAR(100) NOT NULL DEFAULT '__default__',
org_role_key VARCHAR(50) NOT NULL,
training_role_code VARCHAR(10) NOT NULL,
created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
UNIQUE(tenant_id, org_role_key)
);
-- Seed default mapping
INSERT INTO compliance_role_training_mapping (tenant_id, org_role_key, training_role_code) VALUES
('__default__', 'dsb', 'R3'),
('__default__', 'gf', 'R1'),
('__default__', 'it_leiter', 'R2'),
('__default__', 'hr_leitung', 'R5'),
('__default__', 'einkauf', 'R6'),
('__default__', 'compliance_beauftragter', 'R4'),
('__default__', 'marketing_leitung', 'R7')
ON CONFLICT DO NOTHING;
backend-compliance/migrations/116_banner_ab_testing.sql
+31
View File
@@ -0,0 +1,31 @@
-- Migration 116: Banner A/B Testing
-- Enables variant testing for consent rate optimization
CREATE TABLE IF NOT EXISTS compliance_banner_variants (
id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
tenant_id UUID NOT NULL,
site_config_id UUID NOT NULL,
variant_name VARCHAR(100) NOT NULL,
variant_key VARCHAR(20) NOT NULL,
traffic_percent INT NOT NULL DEFAULT 50 CHECK (traffic_percent BETWEEN 0 AND 100),
is_control BOOLEAN NOT NULL DEFAULT FALSE,
banner_title TEXT,
banner_description TEXT,
position VARCHAR(20),
style VARCHAR(20),
primary_color VARCHAR(20),
show_decline_all BOOLEAN,
theme_overrides JSONB DEFAULT '{}',
is_active BOOLEAN NOT NULL DEFAULT TRUE,
created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
updated_at TIMESTAMPTZ DEFAULT NOW(),
UNIQUE(site_config_id, variant_key)
);
CREATE INDEX IF NOT EXISTS idx_banner_variants_site
ON compliance_banner_variants(site_config_id);
ALTER TABLE compliance_banner_consent_audit_log
ADD COLUMN IF NOT EXISTS variant_id UUID;
ALTER TABLE compliance_banner_consent_audit_log
ADD COLUMN IF NOT EXISTS variant_key VARCHAR(20);
backend-compliance/migrations/117_dsr_email_templates_content.sql
+164
View File
@@ -0,0 +1,164 @@
-- Migration 117: Professional DSR email template content
-- Updates published versions with proper HTML for all 5 DSR template types
-- Note: This updates existing template versions. If no versions exist yet,
-- the email_delivery_service falls back to inline HTML.
-- dsr_receipt: Eingangsbestaetigung
UPDATE compliance_email_template_versions SET
subject = 'Eingangsbestaetigung Ihrer Anfrage {{reference_number}} ({{request_type}})',
body_html = '<div style="font-family:system-ui,sans-serif;max-width:600px;margin:0 auto;">
<div style="background:#7c3aed;color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
<h1 style="margin:0;font-size:20px;">Eingangsbestaetigung</h1>
<p style="margin:4px 0 0;opacity:0.9;font-size:14px;">Ihre Anfrage nach {{request_type}}</p>
</div>
<div style="background:white;padding:24px;border:1px solid #e5e7eb;border-top:none;border-radius:0 0 12px 12px;">
<p>Sehr geehrte/r <strong>{{requester_name}}</strong>,</p>
<p>wir bestaetigen den Eingang Ihrer Anfrage auf Datenauskunft gemaess DSGVO.</p>
<table style="width:100%;border-collapse:collapse;margin:16px 0;">
<tr><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;color:#6b7280;">Vorgangsnummer:</td><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;font-weight:bold;">{{reference_number}}</td></tr>
<tr><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;color:#6b7280;">Art der Anfrage:</td><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;">{{request_type}}</td></tr>
<tr><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;color:#6b7280;">Frist:</td><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;">{{deadline}}</td></tr>
</table>
<p>Wir werden Ihre Anfrage schnellstmoeglich bearbeiten und Ihnen die angeforderten Informationen innerhalb der gesetzlichen Frist zukommen lassen.</p>
<p>Bei Rueckfragen wenden Sie sich bitte unter Angabe der Vorgangsnummer an unseren Datenschutzbeauftragten.</p>
<p style="margin-top:24px;color:#6b7280;font-size:12px;">Mit freundlichen Gruessen<br/><strong>{{sender_name}}</strong></p>
</div></div>',
body_text = 'Eingangsbestaetigung - {{reference_number}}
Sehr geehrte/r {{requester_name}},
wir bestaetigen den Eingang Ihrer Anfrage ({{reference_number}}) auf {{request_type}}.
Frist: {{deadline}}
Mit freundlichen Gruessen
{{sender_name}}',
updated_at = NOW()
WHERE template_id IN (
SELECT id FROM compliance_email_templates WHERE template_type = 'dsr_receipt'
) AND status = 'published';
-- dsr_completion: Abschluss / Datenauskunft
UPDATE compliance_email_template_versions SET
subject = 'Ihre Datenauskunft {{reference_number}} — abgeschlossen',
body_html = '<div style="font-family:system-ui,sans-serif;max-width:600px;margin:0 auto;">
<div style="background:#16a34a;color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
<h1 style="margin:0;font-size:20px;">Datenauskunft</h1>
<p style="margin:4px 0 0;opacity:0.9;font-size:14px;">Vorgangsnummer {{reference_number}}</p>
</div>
<div style="background:white;padding:24px;border:1px solid #e5e7eb;border-top:none;border-radius:0 0 12px 12px;">
<p>Sehr geehrte/r <strong>{{requester_name}}</strong>,</p>
<p>Ihre Anfrage ({{reference_number}}) vom Typ <strong>{{request_type}}</strong> wurde am <strong>{{completion_date}}</strong> abgeschlossen.</p>
<p>Die angeforderten Daten stehen Ihnen in folgenden Formaten zur Verfuegung:</p>
<ul><li><strong>PDF</strong> druckbare Uebersicht</li><li><strong>JSON</strong> maschinenlesbar (Art. 20 DSGVO)</li><li><strong>CSV</strong> tabellarisch</li></ul>
<p>Sollten Sie Fragen haben oder weitere Rechte ausueben wollen (Berichtigung Art. 16, Loeschung Art. 17, Einschraenkung Art. 18), wenden Sie sich bitte erneut an uns.</p>
<p style="margin-top:24px;color:#6b7280;font-size:12px;">Mit freundlichen Gruessen<br/><strong>{{sender_name}}</strong></p>
</div></div>',
body_text = 'Datenauskunft - {{reference_number}}
Sehr geehrte/r {{requester_name}},
Ihre Anfrage ({{reference_number}}) wurde am {{completion_date}} abgeschlossen.
Die Daten stehen als PDF, JSON und CSV zur Verfuegung.
Mit freundlichen Gruessen
{{sender_name}}',
updated_at = NOW()
WHERE template_id IN (
SELECT id FROM compliance_email_templates WHERE template_type = 'dsr_completion'
) AND status = 'published';
-- dsr_rejection: Ablehnung
UPDATE compliance_email_template_versions SET
subject = 'Zu Ihrer Anfrage {{reference_number}} — Entscheidung',
body_html = '<div style="font-family:system-ui,sans-serif;max-width:600px;margin:0 auto;">
<div style="background:#6b7280;color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
<h1 style="margin:0;font-size:20px;">Mitteilung zu Ihrer Anfrage</h1>
</div>
<div style="background:white;padding:24px;border:1px solid #e5e7eb;border-top:none;border-radius:0 0 12px 12px;">
<p>Sehr geehrte/r <strong>{{requester_name}}</strong>,</p>
<p>wir haben Ihre Anfrage ({{reference_number}}) geprueft und muessen Ihnen leider mitteilen, dass wir dieser nicht nachkommen koennen.</p>
<div style="background:#fef2f2;border:1px solid #fecaca;border-radius:8px;padding:16px;margin:16px 0;">
<p style="margin:0;font-weight:bold;color:#991b1b;">Grund:</p>
<p style="margin:4px 0 0;">{{rejection_reason}}</p>
<p style="margin:8px 0 0;font-size:13px;color:#6b7280;">Rechtsgrundlage: {{legal_basis}}</p>
</div>
<p>Sie haben das Recht, eine Beschwerde bei der zustaendigen Aufsichtsbehoerde einzureichen.</p>
<p style="margin-top:24px;color:#6b7280;font-size:12px;">Mit freundlichen Gruessen<br/><strong>{{sender_name}}</strong></p>
</div></div>',
body_text = 'Mitteilung zu {{reference_number}}
Sehr geehrte/r {{requester_name}},
wir koennen Ihrer Anfrage leider nicht nachkommen.
Grund: {{rejection_reason}}
Rechtsgrundlage: {{legal_basis}}
Mit freundlichen Gruessen
{{sender_name}}',
updated_at = NOW()
WHERE template_id IN (
SELECT id FROM compliance_email_templates WHERE template_type = 'dsr_rejection'
) AND status = 'published';
-- dsr_identity_request: Identitaetspruefung
UPDATE compliance_email_template_versions SET
subject = 'Identitaetspruefung erforderlich — {{reference_number}}',
body_html = '<div style="font-family:system-ui,sans-serif;max-width:600px;margin:0 auto;">
<div style="background:#ca8a04;color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
<h1 style="margin:0;font-size:20px;">Identitaetspruefung erforderlich</h1>
</div>
<div style="background:white;padding:24px;border:1px solid #e5e7eb;border-top:none;border-radius:0 0 12px 12px;">
<p>Sehr geehrte/r <strong>{{requester_name}}</strong>,</p>
<p>fuer die Bearbeitung Ihrer Anfrage ({{reference_number}}) benoetigen wir gemaess Art. 12 Abs. 6 DSGVO eine Bestaetigung Ihrer Identitaet.</p>
<p>Bitte senden Sie uns <strong>eines</strong> der folgenden Dokumente:</p>
<ul><li>Kopie Ihres Personalausweises (Vorder-/Rueckseite, Adresse + Foto duerfen geschwärzt werden)</li><li>Screenshot Ihres Kundenkontos mit sichtbarer E-Mail-Adresse</li><li>Antwort von der bei uns registrierten E-Mail-Adresse</li></ul>
<p style="margin-top:24px;color:#6b7280;font-size:12px;">Mit freundlichen Gruessen<br/><strong>{{sender_name}}</strong></p>
</div></div>',
body_text = 'Identitaetspruefung - {{reference_number}}
Sehr geehrte/r {{requester_name}},
fuer Ihre Anfrage ({{reference_number}}) benoetigen wir eine Identitaetsbestaetigung.
Mit freundlichen Gruessen
{{sender_name}}',
updated_at = NOW()
WHERE template_id IN (
SELECT id FROM compliance_email_templates WHERE template_type = 'dsr_identity_request'
) AND status = 'published';
-- dsr_extension: Fristverlaengerung
UPDATE compliance_email_template_versions SET
subject = 'Fristverlaengerung Ihrer Anfrage {{reference_number}}',
body_html = '<div style="font-family:system-ui,sans-serif;max-width:600px;margin:0 auto;">
<div style="background:#2563eb;color:white;padding:20px 24px;border-radius:12px 12px 0 0;">
<h1 style="margin:0;font-size:20px;">Fristverlaengerung</h1>
</div>
<div style="background:white;padding:24px;border:1px solid #e5e7eb;border-top:none;border-radius:0 0 12px 12px;">
<p>Sehr geehrte/r <strong>{{requester_name}}</strong>,</p>
<p>wir informieren Sie, dass die Bearbeitung Ihrer Anfrage ({{reference_number}}) mehr Zeit in Anspruch nimmt als urspruenglich geplant.</p>
<p>Gemaess Art. 12 Abs. 3 DSGVO verlaengern wir die Frist:</p>
<table style="width:100%;border-collapse:collapse;margin:16px 0;">
<tr><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;color:#6b7280;">Neue Frist:</td><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;font-weight:bold;">{{new_deadline}}</td></tr>
<tr><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;color:#6b7280;">Grund:</td><td style="padding:8px 12px;border-bottom:1px solid #f3f4f6;">{{extension_reason}}</td></tr>
</table>
<p style="margin-top:24px;color:#6b7280;font-size:12px;">Mit freundlichen Gruessen<br/><strong>{{sender_name}}</strong></p>
</div></div>',
body_text = 'Fristverlaengerung - {{reference_number}}
Sehr geehrte/r {{requester_name}},
die Frist fuer Ihre Anfrage wurde verlaengert.
Neue Frist: {{new_deadline}}
Grund: {{extension_reason}}
Mit freundlichen Gruessen
{{sender_name}}',
updated_at = NOW()
WHERE template_id IN (
SELECT id FROM compliance_email_templates WHERE template_type = 'dsr_extension'
) AND status = 'published';
backend-compliance/migrations/118_whistleblower.sql
+58
View File
@@ -0,0 +1,58 @@
-- Migration 118: Whistleblower (HinSchG) — Report + Message tables
-- Meldestelle fuer Hinweisgeber gemaess HinSchG §§ 12-18
CREATE TABLE IF NOT EXISTS compliance_whistleblower_reports (
id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
tenant_id UUID NOT NULL,
reference_number VARCHAR(50) NOT NULL,
access_key VARCHAR(20) NOT NULL,
category VARCHAR(30) NOT NULL DEFAULT 'other',
status VARCHAR(30) NOT NULL DEFAULT 'new',
priority VARCHAR(20) NOT NULL DEFAULT 'normal',
title VARCHAR(500) NOT NULL,
description TEXT NOT NULL,
is_anonymous BOOLEAN NOT NULL DEFAULT TRUE,
reporter_name VARCHAR(300),
reporter_email VARCHAR(300),
reporter_phone VARCHAR(100),
assigned_to VARCHAR(300),
received_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
acknowledged_at TIMESTAMPTZ,
deadline_acknowledgment TIMESTAMPTZ,
deadline_feedback TIMESTAMPTZ,
closed_at TIMESTAMPTZ,
closure_reason TEXT,
created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
updated_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
UNIQUE(tenant_id, reference_number),
UNIQUE(tenant_id, access_key)
);
CREATE INDEX IF NOT EXISTS idx_wb_reports_tenant ON compliance_whistleblower_reports(tenant_id);
CREATE INDEX IF NOT EXISTS idx_wb_reports_status ON compliance_whistleblower_reports(tenant_id, status);
CREATE INDEX IF NOT EXISTS idx_wb_reports_access ON compliance_whistleblower_reports(access_key);
CREATE TABLE IF NOT EXISTS compliance_whistleblower_messages (
id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
report_id UUID NOT NULL REFERENCES compliance_whistleblower_reports(id) ON DELETE CASCADE,
sender_type VARCHAR(20) NOT NULL DEFAULT 'reporter',
message TEXT NOT NULL,
is_internal BOOLEAN NOT NULL DEFAULT FALSE,
created_at TIMESTAMPTZ NOT NULL DEFAULT NOW()
);
CREATE INDEX IF NOT EXISTS idx_wb_messages_report ON compliance_whistleblower_messages(report_id);
CREATE TABLE IF NOT EXISTS compliance_whistleblower_measures (
id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
report_id UUID NOT NULL REFERENCES compliance_whistleblower_reports(id) ON DELETE CASCADE,
title VARCHAR(500) NOT NULL,
description TEXT,
status VARCHAR(20) NOT NULL DEFAULT 'planned',
responsible VARCHAR(300),
due_date TIMESTAMPTZ,
completed_at TIMESTAMPTZ,
created_at TIMESTAMPTZ NOT NULL DEFAULT NOW()
);
CREATE INDEX IF NOT EXISTS idx_wb_measures_report ON compliance_whistleblower_measures(report_id);