feat: Phase 5 — Special templates (AI policy, BYOD, ISMS, consent, video DSI)

Phase 5 of the Document Templates Masterplan: - 104: 5 new special templates: - ai_usage_policy: AI usage policy (AI Act Art. 4 training obligation, forbidden inputs, quality check, labeling, TDM opt-out) - byod_policy: Bring Your Own Device (container solution, remote wipe, DSFA, cost sharing options) - consent_texts: Double-Opt-In texts, newsletter, marketing, tracking, profiling consent, unsubscribe confirmation - video_conference_dsi: Video conference privacy notice (Zoom/Teams/Meet, recording consent, third-country transfer) - isms_manual: ISMS handbook (ISO 27001, document structure map to all other templates, PDCA cycle, management review) Generator: 6 new categories (AI governance, ISMS, consent, special DSI, internal policies) Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-05-01 09:25:32 +02:00
parent 4417938558
commit 3984f39329
2 changed files with 582 additions and 0 deletions
@@ -28,6 +28,11 @@ export const CATEGORIES: { key: string; label: string; types: string[] | null }[
  { key: 'social_media', label: 'Social Media DSI', types: ['social_media_dsi'] },
  { key: 'whistleblower', label: 'Whistleblower', types: ['whistleblower_policy'] },
  { key: 'hr_dsi', label: 'HR-Datenschutz', types: ['applicant_dsi', 'employee_dsi'] },
  { key: 'ai_governance', label: 'KI-Governance', types: ['ai_usage_policy'] },
  { key: 'isms', label: 'ISMS', types: ['isms_manual'] },
  { key: 'consent_texts', label: 'Einwilligungen', types: ['consent_texts'] },
  { key: 'special_dsi', label: 'Spezial-DSI', types: ['video_conference_dsi'] },
  { key: 'internal_policies', label: 'Interne Richtlinien', types: ['byod_policy'] },
  { key: 'module_docs', label: 'Konzepte', types: ['vvt_register', 'loeschkonzept', 'pflichtenregister', 'it_security_concept', 'data_protection_concept', 'backup_recovery_concept', 'logging_concept', 'incident_response_plan', 'access_control_concept', 'risk_management_concept'] },
  { key: 'security_policies', label: 'Sicherheitsrichtlinien', types: ['information_security_policy', 'access_control_policy', 'password_policy', 'encryption_policy', 'cybersecurity_policy'] },
  { key: 'hr_policies', label: 'HR-Richtlinien', types: ['employee_security_policy', 'security_awareness_policy', 'remote_work_policy', 'offboarding_policy'] },
@@ -0,0 +1,577 @@
 -- Migration 104: Spezial-Templates — Phase 5
 -- 5 neue Templates: KI-Nutzungsrichtlinie, BYOD, ISMS-Leitfaden,
 --   Consent-Texte (Double-Opt-In), Videokonferenz-DSI
 -- ===========================================================================
 -- Template 1: KI-Nutzungsrichtlinie (AI Act + interne Governance)
 -- ===========================================================================
 INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
 ) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'ai_usage_policy',
    'KI-Nutzungsrichtlinie (AI Act / interne Governance)',
    'Interne Richtlinie fuer den Einsatz von KI-Systemen (ChatGPT, Copilot, etc.). AI Act Schulungspflicht (Art. 4, seit Feb 2025), erlaubte/verbotene Nutzung, Datenschutz, Qualitaetspruefung, Kennzeichnungspflicht.',
    $template$# KI-Nutzungsrichtlinie
 Interne Richtlinie fuer den Einsatz von Systemen der kuenstlichen Intelligenz
 **{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
 ---
 ## 1. Zweck und Geltungsbereich
 (1) Diese Richtlinie regelt den Einsatz von KI-Systemen bei {{COMPANY_NAME}}. Sie gilt fuer alle Beschaeftigten, Auftragnehmer und Dienstleister, die im Rahmen ihrer Taetigkeit KI-Werkzeuge nutzen.
 (2) Als KI-Systeme gelten insbesondere: Generative KI (ChatGPT, Claude, Gemini, Copilot), Bild-/Video-Generatoren (DALL-E, Midjourney), Code-Assistenten (GitHub Copilot), Uebersetzungstools und sonstige automatisierte Entscheidungssysteme.
 ---
 ## 2. Rechtsrahmen
 | Vorschrift | Relevanz |
 |-----------|----------|
 | **AI Act (EU) 2024/1689** | Risikoklassifizierung, Verbote, Transparenz, Schulungspflicht (Art. 4) |
 | **DSGVO** | Verarbeitung personenbezogener Daten durch KI |
 | **UrhG** | Urheberrecht an KI-generierten Inhalten |
 | **GeschGehG** | Schutz von Geschaeftsgeheimnissen |
 **Schulungspflicht (Art. 4 AI Act):** Seit Februar 2025 muessen alle Personen, die KI-Systeme einsetzen, ueber ausreichende KI-Kompetenz verfuegen. {{COMPANY_NAME}} stellt die erforderlichen Schulungen bereit.
 ---
 ## 3. Freigegebene KI-Systeme
 {{#IF HAS_APPROVED_AI_LIST}}
 Folgende KI-Systeme sind fuer die dienstliche Nutzung freigegeben:
 {{APPROVED_AI_SYSTEMS}}
 Die Nutzung nicht freigegebener KI-Systeme fuer dienstliche Zwecke ist untersagt. Vorschlaege zur Freigabe weiterer Systeme koennen beim ISB eingereicht werden.
 {{/IF}}
 {{#IF_NOT HAS_APPROVED_AI_LIST}}
 Die Nutzung von KI-Systemen fuer dienstliche Zwecke bedarf der vorherigen Freigabe durch den ISB. Ohne Freigabe duerfen keine KI-Systeme fuer die Verarbeitung dienstlicher Daten eingesetzt werden.
 {{/IF_NOT}}
 ---
 ## 4. Verbotene Eingaben
 Folgende Daten duerfen **niemals** in externe KI-Systeme eingegeben werden:
 - **Personenbezogene Daten** (Namen, Adressen, E-Mail-Adressen von Kunden, Mitarbeitenden oder Dritten)
 - **Geschaeftsgeheimnisse** (Strategien, Finanzdaten, unveroeffenlichte Produkte, Quellcode)
 - **Vertrauliche Kundendaten** (Vertraege, Angebote, Korrespondenz)
 - **Passwoerter, Zugangsdaten, API-Keys**
 - **Gesundheitsdaten, Bewerberdaten, Personaldaten**
 **Faustregel:** Wenn Sie die Information nicht an eine fremde Person per E-Mail senden wuerden, geben Sie sie nicht in ein KI-System ein.
 ---
 ## 5. Erlaubte Nutzung
 KI-Systeme duerfen fuer folgende Zwecke eingesetzt werden:
 - Formulierungshilfe fuer allgemeine Texte (ohne vertrauliche Inhalte)
 - Recherche und Zusammenfassung oeffentlich verfuegbarer Informationen
 - Ideengenerierung und Brainstorming
 - Code-Unterstuetzung (ohne proprietaeren Quellcode)
 - Uebersetzung nicht-vertraulicher Texte
 ---
 ## 6. Qualitaetspruefung (Human-in-the-Loop)
 (1) **Alle KI-generierten Inhalte muessen vor der Verwendung durch einen Menschen geprueft werden.** KI-Ausgaben koennen fehlerhaft, veraltet oder voreingenommen sein.
 (2) Insbesondere ist zu pruefen:
 - Sachliche Richtigkeit (Faktencheck)
 - Vollstaendigkeit
 - Urheberrechtliche Unbedenklichkeit
 - Diskriminierungsfreiheit
 (3) KI-generierte Inhalte duerfen nicht als eigene Leistung ausgegeben werden, wenn dies taeuschend waere.
 ---
 ## 7. Kennzeichnungspflicht
 {{#IF HAS_AI_LABELING_INTERNAL}}
 (1) Intern: KI-unterstuetzte Dokumente, Praesentationen und Analysen sind als solche zu kennzeichnen (z.B. Fussnote "Mit KI-Unterstuetzung erstellt").
 (2) Extern: KI-generierte Inhalte, die veroeffentlicht oder an Kunden uebermittelt werden, unterliegen der Kennzeichnungspflicht nach Art. 50 AI Act (ab August 2026). Bis dahin empfiehlt {{COMPANY_NAME}} eine freiwillige Kennzeichnung.
 {{/IF}}
 ---
 ## 8. Datenschutz
 (1) Die Nutzung von KI-Systemen, die personenbezogene Daten verarbeiten, erfordert eine Datenschutz-Folgenabschaetzung (Art. 35 DSGVO), sofern ein hohes Risiko fuer die Rechte und Freiheiten betroffener Personen besteht.
 (2) Bei der Nutzung externer KI-Dienste ist zu pruefen, ob ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) erforderlich ist und ob Daten in Drittlaender uebermittelt werden.
 (3) KI-Systeme, die automatisierte Einzelentscheidungen treffen (Art. 22 DSGVO), beduerfen besonderer Pruefung und Dokumentation.
 ---
 ## 9. Urheberrecht
 (1) KI-generierte Inhalte geniessen nach aktueller Rechtslage in der Regel keinen urheberrechtlichen Schutz (kein menschlicher Schoepfer).
 (2) Bei der Eingabe von Inhalten in KI-Systeme ist sicherzustellen, dass keine Urheberrechte Dritter verletzt werden.
 (3) Der TDM-Opt-out (Art. 4 Richtlinie (EU) 2019/790) ist fuer Inhalte von {{COMPANY_NAME}} aktiviert — unsere Inhalte duerfen nicht fuer KI-Training verwendet werden.
 ---
 ## 10. Verstoesse
 Verstoesse gegen diese Richtlinie koennen arbeitsrechtliche Konsequenzen nach sich ziehen. Bei Verdacht auf einen Verstoss ist der ISB unverzueglich zu informieren.
 ---
 ## 11. Revision
 Diese Richtlinie wird aufgrund der dynamischen Entwicklung im KI-Bereich **halbjaehrlich** ueberprueft. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
 *Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
 $template$,
    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","APPROVED_AI_SYSTEMS"]'::jsonb,
    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published', NOW(), NOW()
 WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'ai_usage_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
 -- ===========================================================================
 -- Template 2: BYOD-Richtlinie
 -- ===========================================================================
 INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
 ) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'byod_policy',
    'BYOD-Richtlinie (Bring Your Own Device)',
    'Richtlinie fuer die Nutzung privater Endgeraete im Unternehmenskontext. DSGVO-konform, Container-Loesung, Remote-Loeschung, On-/Offboarding, DSFA-Hinweis.',
    $template$# BYOD-Richtlinie (Bring Your Own Device)
 **{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
 ---
 ## 1. Zweck und Geltungsbereich
 Diese Richtlinie regelt die Nutzung privater Endgeraete (Smartphones, Tablets, Laptops) fuer dienstliche Zwecke bei {{COMPANY_NAME}} (Bring Your Own Device — BYOD).
 Sie gilt fuer alle Beschaeftigten, die private Geraete fuer den Zugriff auf Unternehmensdaten, E-Mail, Kalender oder interne Systeme nutzen moechten.
 ---
 ## 2. Teilnahme und Freigabe
 (1) Die Teilnahme am BYOD-Programm ist **freiwillig**. Es besteht kein Anspruch auf Nutzung privater Geraete.
 (2) Die Teilnahme setzt voraus:
 - Schriftliche Vereinbarung zwischen Mitarbeitendem und {{COMPANY_NAME}}
 - Installation der vorgeschriebenen Sicherheitssoftware (MDM/Container)
 - Teilnahme an der BYOD-Sicherheitsschulung
 (3) {{COMPANY_NAME}} behaelt sich vor, die BYOD-Berechtigung jederzeit zu widerrufen.
 ---
 ## 3. Technische Anforderungen
 ### 3.1 Mindestanforderungen
 | Anforderung | Beschreibung |
 |-------------|-------------|
 | Betriebssystem | Aktuelle oder vorletzte Version (iOS/Android/Windows/macOS) |
 | Sicherheitsupdates | Automatische Installation aktiviert |
 | Bildschirmsperre | PIN (mind. 6 Zeichen) oder biometrisch |
 | Verschluesselung | Geraeteverschluesselung aktiviert |
 | Jailbreak/Root | **Verboten** — gerootete/gejailbreakte Geraete sind ausgeschlossen |
 ### 3.2 Container-Loesung
 Unternehmensdaten werden in einem verschluesselten Container auf dem Geraet gespeichert. Der Container ist vom privaten Bereich des Geraets getrennt. {{COMPANY_NAME}} hat **keinen Zugriff** auf private Daten, Apps oder Inhalte ausserhalb des Containers.
 ---
 ## 4. Datenschutz und Datentrennung
 (1) **Strikte Trennung:** Unternehmensdaten und private Daten werden technisch getrennt (Container). Ein Zugriff privater Apps auf Unternehmensdaten ist nicht moeglich.
 (2) **Kein Zugriff auf Privatdaten:** {{COMPANY_NAME}} greift nicht auf private Daten, Fotos, Nachrichten, Standortdaten oder Apps zu. Die MDM-Loesung verwaltet ausschliesslich den Unternehmens-Container.
 (3) **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Unternehmensdaten), abgestuetzt durch die freiwillige BYOD-Vereinbarung.
 (4) **DSFA:** Eine Datenschutz-Folgenabschaetzung wurde fuer das BYOD-Programm durchgefuehrt.
 ---
 ## 5. Remote-Loeschung
 (1) {{COMPANY_NAME}} kann den Unternehmens-Container im Verlust- oder Diebstahlfall **fernloeschen** (Selective Wipe). Private Daten werden dabei **nicht** geloescht.
 (2) Der Mitarbeitende ist verpflichtet, den Verlust oder Diebstahl eines BYOD-Geraets **unverzueglich** dem IT-Support zu melden.
 ---
 ## 6. Offboarding
 Bei Beendigung des Beschaeftigungsverhaeltnisses:
 - Unternehmens-Container wird geloescht
 - MDM-Profil wird entfernt
 - Alle Unternehmensdaten werden vom Geraet entfernt
 - Private Daten bleiben unberuehrt
 ---
 ## 7. Pflichten der Mitarbeitenden
 - Sicherheitsupdates zeitnah installieren
 - Geraet nicht an Dritte weitergeben (mit aktivem Container)
 - Verlust oder Diebstahl unverzueglich melden
 - Keine Unternehmensdaten ausserhalb des Containers speichern
 - Keine Screenshots von vertraulichen Unternehmensdaten
 ---
 ## 8. Kosten
 {{#IF BYOD_COST_SHARING}}
 {{COMPANY_NAME}} beteiligt sich an den Kosten fuer die dienstliche Nutzung des privaten Geraets: {{BYOD_COST_DETAILS}}
 {{/IF}}
 {{#IF_NOT BYOD_COST_SHARING}}
 Die Kosten fuer das private Geraet und den Mobilfunkvertrag traegt der Mitarbeitende. {{COMPANY_NAME}} stellt die erforderliche Sicherheitssoftware kostenlos bereit.
 {{/IF_NOT}}
 ---
 ## 9. Revision
 Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
 *Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
 $template$,
    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","BYOD_COST_DETAILS"]'::jsonb,
    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published', NOW(), NOW()
 WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'byod_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
 -- ===========================================================================
 -- Template 3: Consent-Texte (Double-Opt-In fuer E-Mail-Marketing)
 -- ===========================================================================
 INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
 ) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'consent_texts',
    'Einwilligungstexte (Double-Opt-In, Newsletter, Marketing)',
    'Sammlung von Einwilligungstexten fuer Newsletter, E-Mail-Marketing, Tracking und Profiling. DSGVO Art. 6 Abs. 1 lit. a, Art. 7, UWG § 7 Abs. 2 Nr. 3. Mit Double-Opt-In Bestaetigungsmail.',
    $template$# Einwilligungstexte
 Vorlagen fuer DSGVO-konforme Einwilligungserklaerungen
 **{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}}
 ---
 ## 1. Newsletter-Anmeldung (Checkbox-Text)
 > Ich moechte den Newsletter von {{COMPANY_NAME}} erhalten und willige in die Verarbeitung meiner E-Mail-Adresse zum Versand des Newsletters ein. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen, z.B. ueber den Abmeldelink in jeder E-Mail. Datenschutzinformation: {{PRIVACY_POLICY_URL}}
 ---
 ## 2. Double-Opt-In Bestaetigungsmail
 **Betreff:** Bitte bestaetigen Sie Ihre Newsletter-Anmeldung
 **Text:**
 > Vielen Dank fuer Ihr Interesse am Newsletter von {{COMPANY_NAME}}.
 >
 > Bitte bestaetigen Sie Ihre Anmeldung durch Klick auf den folgenden Link:
 >
 > [Anmeldung bestaetigen]
 >
 > Falls Sie diese Anmeldung nicht angefordert haben, ignorieren Sie bitte diese E-Mail. Ihre E-Mail-Adresse wird dann nicht gespeichert.
 >
 > Mit freundlichen Gruessen
 > {{COMPANY_NAME}}
 ---
 ## 3. Marketing-Einwilligung (erweitert)
 > Ich willige ein, dass {{COMPANY_NAME}} meine E-Mail-Adresse nutzt, um mir Informationen zu Produkten, Angeboten und Neuigkeiten per E-Mail zuzusenden. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen. Datenschutzinformation: {{PRIVACY_POLICY_URL}}
 ---
 {{#IF HAS_TRACKING_CONSENT}}
 ## 4. Tracking in E-Mails (Oeffnungs-/Klicktracking)
 > Ich willige ein, dass {{COMPANY_NAME}} mein Oeffnungs- und Klickverhalten in E-Mails analysiert, um die Inhalte an meine Interessen anzupassen. Die Analyse erfolgt ueber eingebettete Tracking-Pixel und Link-Weiterleitungen. Ich kann diese Einwilligung jederzeit widerrufen.
 {{/IF}}
 ---
 {{#IF HAS_PROFILING_CONSENT}}
 ## 5. Profiling/Personalisierung
 > Ich willige ein, dass {{COMPANY_NAME}} mein Nutzungsverhalten auf {{PLATFORM_NAME}} analysiert, um mir personalisierte Inhalte und Empfehlungen anzuzeigen. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung statt (Art. 22 DSGVO). Ich kann diese Einwilligung jederzeit widerrufen.
 {{/IF}}
 ---
 ## 6. Abmeldebestaetigung
 **Betreff:** Ihre Newsletter-Abmeldung
 **Text:**
 > Sie wurden erfolgreich vom Newsletter von {{COMPANY_NAME}} abgemeldet.
 >
 > Ihre E-Mail-Adresse wird innerhalb von 7 Tagen aus unserem Verteiler geloescht.
 >
 > Falls Sie sich erneut anmelden moechten: {{NEWSLETTER_SIGNUP_URL}}
 ---
 ## 7. Hinweise zur Implementierung
 - Die Einwilligung muss **aktiv** erfolgen (Checkbox nicht vorausgewaehlt)
 - Die Einwilligung muss **dokumentiert** werden (Zeitpunkt, IP-Adresse, Text)
 - **Koppelungsverbot** (Art. 7 Abs. 4 DSGVO): Die Einwilligung darf nicht an eine Vertragsbedingung gekoppelt werden
 - **Double-Opt-In** ist in Deutschland fuer E-Mail-Marketing **zwingend** (UWG § 7 Abs. 2 Nr. 3)
 - Der Widerruf muss ebenso einfach sein wie die Erteilung (Abmeldelink in jeder E-Mail)
 *Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
 $template$,
    '["COMPANY_NAME","VERSION_DATE","PRIVACY_POLICY_URL","PLATFORM_NAME","NEWSLETTER_SIGNUP_URL"]'::jsonb,
    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published', NOW(), NOW()
 WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'consent_texts' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
 -- ===========================================================================
 -- Template 4: Videokonferenz-DSI
 -- ===========================================================================
 INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
 ) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'video_conference_dsi',
    'Datenschutzinformation — Videokonferenzen',
    'Datenschutzinformation fuer Teilnehmer von Videokonferenzen (Zoom, Teams, Meet). Art. 13 DSGVO, Aufzeichnungshinweis, Drittlanduebermittlung.',
    $template$# Datenschutzinformation — Videokonferenzen
 Informationen gemaess Art. 13 DSGVO fuer Teilnehmer von Videokonferenzen
 **{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}}
 ---
 ## 1. Verantwortlicher
 **{{COMPANY_NAME}}**, {{COMPANY_ADDRESS_FULL}}
 E-Mail: {{CONTACT_EMAIL}}
 {{#IF DPO_NAME}}DSB: {{DPO_NAME}} — {{DPO_EMAIL}}{{/IF}}
 ---
 ## 2. Eingesetztes Tool
 | Eigenschaft | Angabe |
 |-------------|--------|
 | Anbieter | {{VIDEO_PROVIDER_NAME}} |
 | Sitz | {{VIDEO_PROVIDER_COUNTRY}} |
 | Rolle | {{VIDEO_PROVIDER_ROLE}} |
 | Datenschutzinformationen | {{VIDEO_PROVIDER_PRIVACY_URL}} |
 {{#IF VIDEO_PROVIDER_IS_US}}
 **Drittlanduebermittlung:** Der Anbieter ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusaetzlich werden EU-Standardvertragsklauseln eingesetzt.
 {{/IF}}
 ---
 ## 3. Verarbeitete Daten
 | Kategorie | Beispiele |
 |-----------|----------|
 | Accountdaten | Name, E-Mail (bei registrierten Nutzern) |
 | Meetingdaten | Datum, Uhrzeit, Dauer, Teilnehmer, Meeting-ID |
 | Inhaltsdaten | Audio, Video, Chat-Nachrichten, geteilte Inhalte |
 | Technische Daten | IP-Adresse, Geraetetyp, Browserversion |
 {{#IF HAS_RECORDING}} | Aufzeichnungen | Audio-/Videoaufzeichnung des Meetings | {{/IF}}
 ---
 ## 4. Zwecke und Rechtsgrundlagen
 | Zweck | Rechtsgrundlage |
 |-------|----------------|
 | Durchfuehrung der Videokonferenz | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) oder lit. f (berechtigtes Interesse) |
 | IT-Sicherheit und Stoerungsbehebung | Art. 6 Abs. 1 lit. f DSGVO |
 {{#IF HAS_RECORDING}} | Aufzeichnung (bei Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO | {{/IF}}
 {{#IF HAS_RECORDING}}
 **Hinweis Aufzeichnung:** Videokonferenzen werden nur mit **vorheriger Einwilligung aller Teilnehmer** aufgezeichnet. Die Einwilligung wird zu Beginn des Meetings eingeholt. Teilnehmer, die nicht einwilligen, koennen ohne Aufzeichnung teilnehmen oder das Meeting verlassen.
 {{/IF}}
 ---
 ## 5. Speicherdauer
 | Daten | Speicherdauer |
 |-------|:---:|
 | Meeting-Metadaten | 30 Tage |
 | Chat-Nachrichten | Bis Meeting-Ende (nicht gespeichert) |
 {{#IF HAS_RECORDING}} | Aufzeichnungen | {{RECORDING_RETENTION_DAYS}} Tage | {{/IF}}
 | Technische Logs | 7 Tage |
 ---
 ## 6. Ihre Rechte
 Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Widerspruch (Art. 21), Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO).
 Kontakt: {{DATA_SUBJECT_REQUEST_CHANNEL}}
 *Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
 $template$,
    '["COMPANY_NAME","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","DPO_NAME","DPO_EMAIL","VERSION_DATE","VIDEO_PROVIDER_NAME","VIDEO_PROVIDER_COUNTRY","VIDEO_PROVIDER_ROLE","VIDEO_PROVIDER_PRIVACY_URL","DATA_SUBJECT_REQUEST_CHANNEL","RECORDING_RETENTION_DAYS"]'::jsonb,
    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published', NOW(), NOW()
 WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'video_conference_dsi' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
 -- ===========================================================================
 -- Template 5: ISMS-Leitfaden (Kurzfassung fuer /sdk/isms Modul)
 -- ===========================================================================
 INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
 ) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'isms_manual',
    'ISMS-Handbuch (ISO 27001)',
    'ISMS-Handbuch als uebergeordnetes Dokument des Informationssicherheits-Managementsystems nach ISO 27001:2022. Verweist auf alle untergeordneten Konzepte und Richtlinien.',
    $template$# ISMS-Handbuch
 Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022
 **{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
 ---
 ## 1. ISMS-Leitlinie
 Siehe: **Informationssicherheitsrichtlinie** (information_security_policy)
 ---
 ## 2. Geltungsbereich (Scope)
 ### 2.1 Eingeschlossene Bereiche
 {{SCOPE_DESCRIPTION}}
 ### 2.2 Interessierte Parteien
 | Partei | Erwartungen |
 |--------|-----------|
 | Geschaeftsfuehrung | Schutz der Geschaeftswerte, Compliance |
 | Kunden | Vertraulichkeit ihrer Daten, Verfuegbarkeit |
 | Mitarbeitende | Klare Regeln, Schulung |
 | Aufsichtsbehoerden | Gesetzeskonformitaet (DSGVO, NIS2) |
 | Lieferanten | Faire Sicherheitsanforderungen |
 ---
 ## 3. Dokumentenstruktur
 ### 3.1 Uebergeordnete Dokumente
 | Dokument | Zweck |
 |----------|-------|
 | ISMS-Handbuch (dieses Dokument) | Gesamtueberblick, Scope, Dokumentenstruktur |
 | Informationssicherheitsrichtlinie | Sicherheitsziele, Grundsaetze, Rollen |
 | Risikomanagement-Konzept | Risikoprozess, Bewertungsmatrix |
 | Statement of Applicability (SoA) | Anwendbarkeit der ISO 27001 Controls |
 ### 3.2 Konzepte und Plaene
 | Dokument | Verweis |
 |----------|--------|
 | IT-Sicherheitskonzept | it_security_concept |
 | Datenschutzkonzept | data_protection_concept |
 | Zugriffskonzept | access_control_concept |
 | Backup-Recovery-Konzept | backup_recovery_concept |
 | Logging-Konzept | logging_concept |
 | Incident-Response-Plan | incident_response_plan |
 ### 3.3 Richtlinien
 | Dokument | Verweis |
 |----------|--------|
 | Passwortrichtlinie | password_policy |
 | Verschluesselungsrichtlinie | encryption_policy |
 | BYOD-Richtlinie | byod_policy |
 | KI-Nutzungsrichtlinie | ai_usage_policy |
 | Remote-Work-Richtlinie | remote_work_policy |
 | Alle weiteren Richtlinien | Siehe Document Generator |
 ### 3.4 Compliance-Dokumente
 | Dokument | Verweis |
 |----------|--------|
 | TOM-Dokumentation | tom_documentation |
 | VVT (Art. 30 DSGVO) | vvt_register |
 | Loeschkonzept | loeschkonzept |
 | Pflichtenregister | pflichtenregister |
 | DSFA (Art. 35 DSGVO) | dsfa |
 ---
 ## 4. PDCA-Zyklus
 | Phase | Aktivitaeten | Verantwortlich |
 |-------|-------------|---------------|
 | **Plan** | Risikoanalyse, Massnahmenplanung, Schulungsplanung | ISB |
 | **Do** | Massnahmen umsetzen, Schulungen durchfuehren | Alle |
 | **Check** | Interne Audits, KPI-Auswertung, Management-Review | ISB + GF |
 | **Act** | Korrekturmassnahmen, kontinuierliche Verbesserung | ISB |
 ---
 ## 5. Management-Review
 Jaehrliches Management-Review durch die Geschaeftsfuehrung. Inhalt:
 - Ergebnisse der internen Audits
 - Status der Korrekturmassnahmen
 - Risikobewertung und -behandlung
 - KPI-Auswertung
 - Aenderungen im Kontext der Organisation
 - Verbesserungsvorschlaege
 ---
 ## 6. Revision
 Jaehrliche Pruefung. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
 *Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
 $template$,
    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","SCOPE_DESCRIPTION"]'::jsonb,
    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published', NOW(), NOW()
 WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'isms_manual' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');