From 3984f3932936aaba4e31d93018c84c502063181b Mon Sep 17 00:00:00 2001 From: Benjamin Admin Date: Fri, 1 May 2026 09:25:32 +0200 Subject: [PATCH] =?UTF-8?q?feat:=20Phase=205=20=E2=80=94=20Special=20templ?= =?UTF-8?q?ates=20(AI=20policy,=20BYOD,=20ISMS,=20consent,=20video=20DSI)?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Phase 5 of the Document Templates Masterplan: - 104: 5 new special templates: - ai_usage_policy: AI usage policy (AI Act Art. 4 training obligation, forbidden inputs, quality check, labeling, TDM opt-out) - byod_policy: Bring Your Own Device (container solution, remote wipe, DSFA, cost sharing options) - consent_texts: Double-Opt-In texts, newsletter, marketing, tracking, profiling consent, unsubscribe confirmation - video_conference_dsi: Video conference privacy notice (Zoom/Teams/Meet, recording consent, third-country transfer) - isms_manual: ISMS handbook (ISO 27001, document structure map to all other templates, PDCA cycle, management review) Generator: 6 new categories (AI governance, ISMS, consent, special DSI, internal policies) Co-Authored-By: Claude Opus 4.6 (1M context) --- .../app/sdk/document-generator/_constants.ts | 5 + .../migrations/104_special_templates.sql | 577 ++++++++++++++++++ 2 files changed, 582 insertions(+) create mode 100644 backend-compliance/migrations/104_special_templates.sql diff --git a/admin-compliance/app/sdk/document-generator/_constants.ts b/admin-compliance/app/sdk/document-generator/_constants.ts index d55a527..6f4b973 100644 --- a/admin-compliance/app/sdk/document-generator/_constants.ts +++ b/admin-compliance/app/sdk/document-generator/_constants.ts @@ -28,6 +28,11 @@ export const CATEGORIES: { key: string; label: string; types: string[] | null }[ { key: 'social_media', label: 'Social Media DSI', types: ['social_media_dsi'] }, { key: 'whistleblower', label: 'Whistleblower', types: ['whistleblower_policy'] }, { key: 'hr_dsi', label: 'HR-Datenschutz', types: ['applicant_dsi', 'employee_dsi'] }, + { key: 'ai_governance', label: 'KI-Governance', types: ['ai_usage_policy'] }, + { key: 'isms', label: 'ISMS', types: ['isms_manual'] }, + { key: 'consent_texts', label: 'Einwilligungen', types: ['consent_texts'] }, + { key: 'special_dsi', label: 'Spezial-DSI', types: ['video_conference_dsi'] }, + { key: 'internal_policies', label: 'Interne Richtlinien', types: ['byod_policy'] }, { key: 'module_docs', label: 'Konzepte', types: ['vvt_register', 'loeschkonzept', 'pflichtenregister', 'it_security_concept', 'data_protection_concept', 'backup_recovery_concept', 'logging_concept', 'incident_response_plan', 'access_control_concept', 'risk_management_concept'] }, { key: 'security_policies', label: 'Sicherheitsrichtlinien', types: ['information_security_policy', 'access_control_policy', 'password_policy', 'encryption_policy', 'cybersecurity_policy'] }, { key: 'hr_policies', label: 'HR-Richtlinien', types: ['employee_security_policy', 'security_awareness_policy', 'remote_work_policy', 'offboarding_policy'] }, diff --git a/backend-compliance/migrations/104_special_templates.sql b/backend-compliance/migrations/104_special_templates.sql new file mode 100644 index 0000000..ba5028d --- /dev/null +++ b/backend-compliance/migrations/104_special_templates.sql @@ -0,0 +1,577 @@ +-- Migration 104: Spezial-Templates — Phase 5 +-- 5 neue Templates: KI-Nutzungsrichtlinie, BYOD, ISMS-Leitfaden, +-- Consent-Texte (Double-Opt-In), Videokonferenz-DSI + +-- =========================================================================== +-- Template 1: KI-Nutzungsrichtlinie (AI Act + interne Governance) +-- =========================================================================== +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'ai_usage_policy', + 'KI-Nutzungsrichtlinie (AI Act / interne Governance)', + 'Interne Richtlinie fuer den Einsatz von KI-Systemen (ChatGPT, Copilot, etc.). AI Act Schulungspflicht (Art. 4, seit Feb 2025), erlaubte/verbotene Nutzung, Datenschutz, Qualitaetspruefung, Kennzeichnungspflicht.', + $template$# KI-Nutzungsrichtlinie + +Interne Richtlinie fuer den Einsatz von Systemen der kuenstlichen Intelligenz + +**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}} + +--- + +## 1. Zweck und Geltungsbereich + +(1) Diese Richtlinie regelt den Einsatz von KI-Systemen bei {{COMPANY_NAME}}. Sie gilt fuer alle Beschaeftigten, Auftragnehmer und Dienstleister, die im Rahmen ihrer Taetigkeit KI-Werkzeuge nutzen. + +(2) Als KI-Systeme gelten insbesondere: Generative KI (ChatGPT, Claude, Gemini, Copilot), Bild-/Video-Generatoren (DALL-E, Midjourney), Code-Assistenten (GitHub Copilot), Uebersetzungstools und sonstige automatisierte Entscheidungssysteme. + +--- + +## 2. Rechtsrahmen + +| Vorschrift | Relevanz | +|-----------|----------| +| **AI Act (EU) 2024/1689** | Risikoklassifizierung, Verbote, Transparenz, Schulungspflicht (Art. 4) | +| **DSGVO** | Verarbeitung personenbezogener Daten durch KI | +| **UrhG** | Urheberrecht an KI-generierten Inhalten | +| **GeschGehG** | Schutz von Geschaeftsgeheimnissen | + +**Schulungspflicht (Art. 4 AI Act):** Seit Februar 2025 muessen alle Personen, die KI-Systeme einsetzen, ueber ausreichende KI-Kompetenz verfuegen. {{COMPANY_NAME}} stellt die erforderlichen Schulungen bereit. + +--- + +## 3. Freigegebene KI-Systeme + +{{#IF HAS_APPROVED_AI_LIST}} +Folgende KI-Systeme sind fuer die dienstliche Nutzung freigegeben: + +{{APPROVED_AI_SYSTEMS}} + +Die Nutzung nicht freigegebener KI-Systeme fuer dienstliche Zwecke ist untersagt. Vorschlaege zur Freigabe weiterer Systeme koennen beim ISB eingereicht werden. +{{/IF}} +{{#IF_NOT HAS_APPROVED_AI_LIST}} +Die Nutzung von KI-Systemen fuer dienstliche Zwecke bedarf der vorherigen Freigabe durch den ISB. Ohne Freigabe duerfen keine KI-Systeme fuer die Verarbeitung dienstlicher Daten eingesetzt werden. +{{/IF_NOT}} + +--- + +## 4. Verbotene Eingaben + +Folgende Daten duerfen **niemals** in externe KI-Systeme eingegeben werden: + +- **Personenbezogene Daten** (Namen, Adressen, E-Mail-Adressen von Kunden, Mitarbeitenden oder Dritten) +- **Geschaeftsgeheimnisse** (Strategien, Finanzdaten, unveroeffenlichte Produkte, Quellcode) +- **Vertrauliche Kundendaten** (Vertraege, Angebote, Korrespondenz) +- **Passwoerter, Zugangsdaten, API-Keys** +- **Gesundheitsdaten, Bewerberdaten, Personaldaten** + +**Faustregel:** Wenn Sie die Information nicht an eine fremde Person per E-Mail senden wuerden, geben Sie sie nicht in ein KI-System ein. + +--- + +## 5. Erlaubte Nutzung + +KI-Systeme duerfen fuer folgende Zwecke eingesetzt werden: + +- Formulierungshilfe fuer allgemeine Texte (ohne vertrauliche Inhalte) +- Recherche und Zusammenfassung oeffentlich verfuegbarer Informationen +- Ideengenerierung und Brainstorming +- Code-Unterstuetzung (ohne proprietaeren Quellcode) +- Uebersetzung nicht-vertraulicher Texte + +--- + +## 6. Qualitaetspruefung (Human-in-the-Loop) + +(1) **Alle KI-generierten Inhalte muessen vor der Verwendung durch einen Menschen geprueft werden.** KI-Ausgaben koennen fehlerhaft, veraltet oder voreingenommen sein. + +(2) Insbesondere ist zu pruefen: +- Sachliche Richtigkeit (Faktencheck) +- Vollstaendigkeit +- Urheberrechtliche Unbedenklichkeit +- Diskriminierungsfreiheit + +(3) KI-generierte Inhalte duerfen nicht als eigene Leistung ausgegeben werden, wenn dies taeuschend waere. + +--- + +## 7. Kennzeichnungspflicht + +{{#IF HAS_AI_LABELING_INTERNAL}} +(1) Intern: KI-unterstuetzte Dokumente, Praesentationen und Analysen sind als solche zu kennzeichnen (z.B. Fussnote "Mit KI-Unterstuetzung erstellt"). + +(2) Extern: KI-generierte Inhalte, die veroeffentlicht oder an Kunden uebermittelt werden, unterliegen der Kennzeichnungspflicht nach Art. 50 AI Act (ab August 2026). Bis dahin empfiehlt {{COMPANY_NAME}} eine freiwillige Kennzeichnung. +{{/IF}} + +--- + +## 8. Datenschutz + +(1) Die Nutzung von KI-Systemen, die personenbezogene Daten verarbeiten, erfordert eine Datenschutz-Folgenabschaetzung (Art. 35 DSGVO), sofern ein hohes Risiko fuer die Rechte und Freiheiten betroffener Personen besteht. + +(2) Bei der Nutzung externer KI-Dienste ist zu pruefen, ob ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) erforderlich ist und ob Daten in Drittlaender uebermittelt werden. + +(3) KI-Systeme, die automatisierte Einzelentscheidungen treffen (Art. 22 DSGVO), beduerfen besonderer Pruefung und Dokumentation. + +--- + +## 9. Urheberrecht + +(1) KI-generierte Inhalte geniessen nach aktueller Rechtslage in der Regel keinen urheberrechtlichen Schutz (kein menschlicher Schoepfer). + +(2) Bei der Eingabe von Inhalten in KI-Systeme ist sicherzustellen, dass keine Urheberrechte Dritter verletzt werden. + +(3) Der TDM-Opt-out (Art. 4 Richtlinie (EU) 2019/790) ist fuer Inhalte von {{COMPANY_NAME}} aktiviert — unsere Inhalte duerfen nicht fuer KI-Training verwendet werden. + +--- + +## 10. Verstoesse + +Verstoesse gegen diese Richtlinie koennen arbeitsrechtliche Konsequenzen nach sich ziehen. Bei Verdacht auf einen Verstoss ist der ISB unverzueglich zu informieren. + +--- + +## 11. Revision + +Diese Richtlinie wird aufgrund der dynamischen Entwicklung im KI-Bereich **halbjaehrlich** ueberprueft. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. + +*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}* +$template$, + '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","APPROVED_AI_SYSTEMS"]'::jsonb, + 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'ai_usage_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- =========================================================================== +-- Template 2: BYOD-Richtlinie +-- =========================================================================== +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'byod_policy', + 'BYOD-Richtlinie (Bring Your Own Device)', + 'Richtlinie fuer die Nutzung privater Endgeraete im Unternehmenskontext. DSGVO-konform, Container-Loesung, Remote-Loeschung, On-/Offboarding, DSFA-Hinweis.', + $template$# BYOD-Richtlinie (Bring Your Own Device) + +**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}} + +--- + +## 1. Zweck und Geltungsbereich + +Diese Richtlinie regelt die Nutzung privater Endgeraete (Smartphones, Tablets, Laptops) fuer dienstliche Zwecke bei {{COMPANY_NAME}} (Bring Your Own Device — BYOD). + +Sie gilt fuer alle Beschaeftigten, die private Geraete fuer den Zugriff auf Unternehmensdaten, E-Mail, Kalender oder interne Systeme nutzen moechten. + +--- + +## 2. Teilnahme und Freigabe + +(1) Die Teilnahme am BYOD-Programm ist **freiwillig**. Es besteht kein Anspruch auf Nutzung privater Geraete. + +(2) Die Teilnahme setzt voraus: +- Schriftliche Vereinbarung zwischen Mitarbeitendem und {{COMPANY_NAME}} +- Installation der vorgeschriebenen Sicherheitssoftware (MDM/Container) +- Teilnahme an der BYOD-Sicherheitsschulung + +(3) {{COMPANY_NAME}} behaelt sich vor, die BYOD-Berechtigung jederzeit zu widerrufen. + +--- + +## 3. Technische Anforderungen + +### 3.1 Mindestanforderungen + +| Anforderung | Beschreibung | +|-------------|-------------| +| Betriebssystem | Aktuelle oder vorletzte Version (iOS/Android/Windows/macOS) | +| Sicherheitsupdates | Automatische Installation aktiviert | +| Bildschirmsperre | PIN (mind. 6 Zeichen) oder biometrisch | +| Verschluesselung | Geraeteverschluesselung aktiviert | +| Jailbreak/Root | **Verboten** — gerootete/gejailbreakte Geraete sind ausgeschlossen | + +### 3.2 Container-Loesung + +Unternehmensdaten werden in einem verschluesselten Container auf dem Geraet gespeichert. Der Container ist vom privaten Bereich des Geraets getrennt. {{COMPANY_NAME}} hat **keinen Zugriff** auf private Daten, Apps oder Inhalte ausserhalb des Containers. + +--- + +## 4. Datenschutz und Datentrennung + +(1) **Strikte Trennung:** Unternehmensdaten und private Daten werden technisch getrennt (Container). Ein Zugriff privater Apps auf Unternehmensdaten ist nicht moeglich. + +(2) **Kein Zugriff auf Privatdaten:** {{COMPANY_NAME}} greift nicht auf private Daten, Fotos, Nachrichten, Standortdaten oder Apps zu. Die MDM-Loesung verwaltet ausschliesslich den Unternehmens-Container. + +(3) **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Unternehmensdaten), abgestuetzt durch die freiwillige BYOD-Vereinbarung. + +(4) **DSFA:** Eine Datenschutz-Folgenabschaetzung wurde fuer das BYOD-Programm durchgefuehrt. + +--- + +## 5. Remote-Loeschung + +(1) {{COMPANY_NAME}} kann den Unternehmens-Container im Verlust- oder Diebstahlfall **fernloeschen** (Selective Wipe). Private Daten werden dabei **nicht** geloescht. + +(2) Der Mitarbeitende ist verpflichtet, den Verlust oder Diebstahl eines BYOD-Geraets **unverzueglich** dem IT-Support zu melden. + +--- + +## 6. Offboarding + +Bei Beendigung des Beschaeftigungsverhaeltnisses: +- Unternehmens-Container wird geloescht +- MDM-Profil wird entfernt +- Alle Unternehmensdaten werden vom Geraet entfernt +- Private Daten bleiben unberuehrt + +--- + +## 7. Pflichten der Mitarbeitenden + +- Sicherheitsupdates zeitnah installieren +- Geraet nicht an Dritte weitergeben (mit aktivem Container) +- Verlust oder Diebstahl unverzueglich melden +- Keine Unternehmensdaten ausserhalb des Containers speichern +- Keine Screenshots von vertraulichen Unternehmensdaten + +--- + +## 8. Kosten + +{{#IF BYOD_COST_SHARING}} +{{COMPANY_NAME}} beteiligt sich an den Kosten fuer die dienstliche Nutzung des privaten Geraets: {{BYOD_COST_DETAILS}} +{{/IF}} +{{#IF_NOT BYOD_COST_SHARING}} +Die Kosten fuer das private Geraet und den Mobilfunkvertrag traegt der Mitarbeitende. {{COMPANY_NAME}} stellt die erforderliche Sicherheitssoftware kostenlos bereit. +{{/IF_NOT}} + +--- + +## 9. Revision + +Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. + +*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}* +$template$, + '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","BYOD_COST_DETAILS"]'::jsonb, + 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'byod_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- =========================================================================== +-- Template 3: Consent-Texte (Double-Opt-In fuer E-Mail-Marketing) +-- =========================================================================== +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'consent_texts', + 'Einwilligungstexte (Double-Opt-In, Newsletter, Marketing)', + 'Sammlung von Einwilligungstexten fuer Newsletter, E-Mail-Marketing, Tracking und Profiling. DSGVO Art. 6 Abs. 1 lit. a, Art. 7, UWG § 7 Abs. 2 Nr. 3. Mit Double-Opt-In Bestaetigungsmail.', + $template$# Einwilligungstexte + +Vorlagen fuer DSGVO-konforme Einwilligungserklaerungen + +**{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}} + +--- + +## 1. Newsletter-Anmeldung (Checkbox-Text) + +> Ich moechte den Newsletter von {{COMPANY_NAME}} erhalten und willige in die Verarbeitung meiner E-Mail-Adresse zum Versand des Newsletters ein. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen, z.B. ueber den Abmeldelink in jeder E-Mail. Datenschutzinformation: {{PRIVACY_POLICY_URL}} + +--- + +## 2. Double-Opt-In Bestaetigungsmail + +**Betreff:** Bitte bestaetigen Sie Ihre Newsletter-Anmeldung + +**Text:** + +> Vielen Dank fuer Ihr Interesse am Newsletter von {{COMPANY_NAME}}. +> +> Bitte bestaetigen Sie Ihre Anmeldung durch Klick auf den folgenden Link: +> +> [Anmeldung bestaetigen] +> +> Falls Sie diese Anmeldung nicht angefordert haben, ignorieren Sie bitte diese E-Mail. Ihre E-Mail-Adresse wird dann nicht gespeichert. +> +> Mit freundlichen Gruessen +> {{COMPANY_NAME}} + +--- + +## 3. Marketing-Einwilligung (erweitert) + +> Ich willige ein, dass {{COMPANY_NAME}} meine E-Mail-Adresse nutzt, um mir Informationen zu Produkten, Angeboten und Neuigkeiten per E-Mail zuzusenden. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen. Datenschutzinformation: {{PRIVACY_POLICY_URL}} + +--- + +{{#IF HAS_TRACKING_CONSENT}} +## 4. Tracking in E-Mails (Oeffnungs-/Klicktracking) + +> Ich willige ein, dass {{COMPANY_NAME}} mein Oeffnungs- und Klickverhalten in E-Mails analysiert, um die Inhalte an meine Interessen anzupassen. Die Analyse erfolgt ueber eingebettete Tracking-Pixel und Link-Weiterleitungen. Ich kann diese Einwilligung jederzeit widerrufen. +{{/IF}} + +--- + +{{#IF HAS_PROFILING_CONSENT}} +## 5. Profiling/Personalisierung + +> Ich willige ein, dass {{COMPANY_NAME}} mein Nutzungsverhalten auf {{PLATFORM_NAME}} analysiert, um mir personalisierte Inhalte und Empfehlungen anzuzeigen. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung statt (Art. 22 DSGVO). Ich kann diese Einwilligung jederzeit widerrufen. +{{/IF}} + +--- + +## 6. Abmeldebestaetigung + +**Betreff:** Ihre Newsletter-Abmeldung + +**Text:** + +> Sie wurden erfolgreich vom Newsletter von {{COMPANY_NAME}} abgemeldet. +> +> Ihre E-Mail-Adresse wird innerhalb von 7 Tagen aus unserem Verteiler geloescht. +> +> Falls Sie sich erneut anmelden moechten: {{NEWSLETTER_SIGNUP_URL}} + +--- + +## 7. Hinweise zur Implementierung + +- Die Einwilligung muss **aktiv** erfolgen (Checkbox nicht vorausgewaehlt) +- Die Einwilligung muss **dokumentiert** werden (Zeitpunkt, IP-Adresse, Text) +- **Koppelungsverbot** (Art. 7 Abs. 4 DSGVO): Die Einwilligung darf nicht an eine Vertragsbedingung gekoppelt werden +- **Double-Opt-In** ist in Deutschland fuer E-Mail-Marketing **zwingend** (UWG § 7 Abs. 2 Nr. 3) +- Der Widerruf muss ebenso einfach sein wie die Erteilung (Abmeldelink in jeder E-Mail) + +*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}* +$template$, + '["COMPANY_NAME","VERSION_DATE","PRIVACY_POLICY_URL","PLATFORM_NAME","NEWSLETTER_SIGNUP_URL"]'::jsonb, + 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'consent_texts' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- =========================================================================== +-- Template 4: Videokonferenz-DSI +-- =========================================================================== +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'video_conference_dsi', + 'Datenschutzinformation — Videokonferenzen', + 'Datenschutzinformation fuer Teilnehmer von Videokonferenzen (Zoom, Teams, Meet). Art. 13 DSGVO, Aufzeichnungshinweis, Drittlanduebermittlung.', + $template$# Datenschutzinformation — Videokonferenzen + +Informationen gemaess Art. 13 DSGVO fuer Teilnehmer von Videokonferenzen + +**{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}} + +--- + +## 1. Verantwortlicher + +**{{COMPANY_NAME}}**, {{COMPANY_ADDRESS_FULL}} +E-Mail: {{CONTACT_EMAIL}} +{{#IF DPO_NAME}}DSB: {{DPO_NAME}} — {{DPO_EMAIL}}{{/IF}} + +--- + +## 2. Eingesetztes Tool + +| Eigenschaft | Angabe | +|-------------|--------| +| Anbieter | {{VIDEO_PROVIDER_NAME}} | +| Sitz | {{VIDEO_PROVIDER_COUNTRY}} | +| Rolle | {{VIDEO_PROVIDER_ROLE}} | +| Datenschutzinformationen | {{VIDEO_PROVIDER_PRIVACY_URL}} | + +{{#IF VIDEO_PROVIDER_IS_US}} +**Drittlanduebermittlung:** Der Anbieter ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusaetzlich werden EU-Standardvertragsklauseln eingesetzt. +{{/IF}} + +--- + +## 3. Verarbeitete Daten + +| Kategorie | Beispiele | +|-----------|----------| +| Accountdaten | Name, E-Mail (bei registrierten Nutzern) | +| Meetingdaten | Datum, Uhrzeit, Dauer, Teilnehmer, Meeting-ID | +| Inhaltsdaten | Audio, Video, Chat-Nachrichten, geteilte Inhalte | +| Technische Daten | IP-Adresse, Geraetetyp, Browserversion | +{{#IF HAS_RECORDING}} | Aufzeichnungen | Audio-/Videoaufzeichnung des Meetings | {{/IF}} + +--- + +## 4. Zwecke und Rechtsgrundlagen + +| Zweck | Rechtsgrundlage | +|-------|----------------| +| Durchfuehrung der Videokonferenz | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) oder lit. f (berechtigtes Interesse) | +| IT-Sicherheit und Stoerungsbehebung | Art. 6 Abs. 1 lit. f DSGVO | +{{#IF HAS_RECORDING}} | Aufzeichnung (bei Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO | {{/IF}} + +{{#IF HAS_RECORDING}} +**Hinweis Aufzeichnung:** Videokonferenzen werden nur mit **vorheriger Einwilligung aller Teilnehmer** aufgezeichnet. Die Einwilligung wird zu Beginn des Meetings eingeholt. Teilnehmer, die nicht einwilligen, koennen ohne Aufzeichnung teilnehmen oder das Meeting verlassen. +{{/IF}} + +--- + +## 5. Speicherdauer + +| Daten | Speicherdauer | +|-------|:---:| +| Meeting-Metadaten | 30 Tage | +| Chat-Nachrichten | Bis Meeting-Ende (nicht gespeichert) | +{{#IF HAS_RECORDING}} | Aufzeichnungen | {{RECORDING_RETENTION_DAYS}} Tage | {{/IF}} +| Technische Logs | 7 Tage | + +--- + +## 6. Ihre Rechte + +Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Widerspruch (Art. 21), Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO). + +Kontakt: {{DATA_SUBJECT_REQUEST_CHANNEL}} + +*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}* +$template$, + '["COMPANY_NAME","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","DPO_NAME","DPO_EMAIL","VERSION_DATE","VIDEO_PROVIDER_NAME","VIDEO_PROVIDER_COUNTRY","VIDEO_PROVIDER_ROLE","VIDEO_PROVIDER_PRIVACY_URL","DATA_SUBJECT_REQUEST_CHANNEL","RECORDING_RETENTION_DAYS"]'::jsonb, + 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'video_conference_dsi' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'); + +-- =========================================================================== +-- Template 5: ISMS-Leitfaden (Kurzfassung fuer /sdk/isms Modul) +-- =========================================================================== +INSERT INTO compliance_legal_templates ( + id, tenant_id, document_type, title, description, content, + placeholders, language, jurisdiction, + license_id, license_name, source_name, + attribution_required, is_complete_document, version, status, + created_at, updated_at +) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e', + 'isms_manual', + 'ISMS-Handbuch (ISO 27001)', + 'ISMS-Handbuch als uebergeordnetes Dokument des Informationssicherheits-Managementsystems nach ISO 27001:2022. Verweist auf alle untergeordneten Konzepte und Richtlinien.', + $template$# ISMS-Handbuch + +Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022 + +**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}} + +--- + +## 1. ISMS-Leitlinie + +Siehe: **Informationssicherheitsrichtlinie** (information_security_policy) + +--- + +## 2. Geltungsbereich (Scope) + +### 2.1 Eingeschlossene Bereiche +{{SCOPE_DESCRIPTION}} + +### 2.2 Interessierte Parteien +| Partei | Erwartungen | +|--------|-----------| +| Geschaeftsfuehrung | Schutz der Geschaeftswerte, Compliance | +| Kunden | Vertraulichkeit ihrer Daten, Verfuegbarkeit | +| Mitarbeitende | Klare Regeln, Schulung | +| Aufsichtsbehoerden | Gesetzeskonformitaet (DSGVO, NIS2) | +| Lieferanten | Faire Sicherheitsanforderungen | + +--- + +## 3. Dokumentenstruktur + +### 3.1 Uebergeordnete Dokumente +| Dokument | Zweck | +|----------|-------| +| ISMS-Handbuch (dieses Dokument) | Gesamtueberblick, Scope, Dokumentenstruktur | +| Informationssicherheitsrichtlinie | Sicherheitsziele, Grundsaetze, Rollen | +| Risikomanagement-Konzept | Risikoprozess, Bewertungsmatrix | +| Statement of Applicability (SoA) | Anwendbarkeit der ISO 27001 Controls | + +### 3.2 Konzepte und Plaene +| Dokument | Verweis | +|----------|--------| +| IT-Sicherheitskonzept | it_security_concept | +| Datenschutzkonzept | data_protection_concept | +| Zugriffskonzept | access_control_concept | +| Backup-Recovery-Konzept | backup_recovery_concept | +| Logging-Konzept | logging_concept | +| Incident-Response-Plan | incident_response_plan | + +### 3.3 Richtlinien +| Dokument | Verweis | +|----------|--------| +| Passwortrichtlinie | password_policy | +| Verschluesselungsrichtlinie | encryption_policy | +| BYOD-Richtlinie | byod_policy | +| KI-Nutzungsrichtlinie | ai_usage_policy | +| Remote-Work-Richtlinie | remote_work_policy | +| Alle weiteren Richtlinien | Siehe Document Generator | + +### 3.4 Compliance-Dokumente +| Dokument | Verweis | +|----------|--------| +| TOM-Dokumentation | tom_documentation | +| VVT (Art. 30 DSGVO) | vvt_register | +| Loeschkonzept | loeschkonzept | +| Pflichtenregister | pflichtenregister | +| DSFA (Art. 35 DSGVO) | dsfa | + +--- + +## 4. PDCA-Zyklus + +| Phase | Aktivitaeten | Verantwortlich | +|-------|-------------|---------------| +| **Plan** | Risikoanalyse, Massnahmenplanung, Schulungsplanung | ISB | +| **Do** | Massnahmen umsetzen, Schulungen durchfuehren | Alle | +| **Check** | Interne Audits, KPI-Auswertung, Management-Review | ISB + GF | +| **Act** | Korrekturmassnahmen, kontinuierliche Verbesserung | ISB | + +--- + +## 5. Management-Review + +Jaehrliches Management-Review durch die Geschaeftsfuehrung. Inhalt: + +- Ergebnisse der internen Audits +- Status der Korrekturmassnahmen +- Risikobewertung und -behandlung +- KPI-Auswertung +- Aenderungen im Kontext der Organisation +- Verbesserungsvorschlaege + +--- + +## 6. Revision + +Jaehrliche Pruefung. Naechste Pruefung: {{NEXT_REVIEW_DATE}}. + +*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}* +$template$, + '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","SCOPE_DESCRIPTION"]'::jsonb, + 'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance', + false, true, '1.0.0', 'published', NOW(), NOW() +WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'isms_manual' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');