From b4d39b9709ce15941288f85869a144fda653c01b Mon Sep 17 00:00:00 2001 From: Benjamin Admin Date: Wed, 4 Mar 2026 23:43:59 +0100 Subject: [PATCH] =?UTF-8?q?feat:=20DSFA-Template=20f=C3=BCr=20Document=20G?= =?UTF-8?q?enerator=20(Migration=20025)?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Vollständige Vorlage für Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO mit IF-Blöcken, Risikomatrix, TOM-Tabelle und Unterschriften-Abschnitt. document_type=dsfa, Sprache=de, 19 Platzhalter. Co-Authored-By: Claude Opus 4.6 --- .../migrations/025_dsfa_template.sql | 54 +++++++++++++++++++ 1 file changed, 54 insertions(+) create mode 100644 backend-compliance/migrations/025_dsfa_template.sql diff --git a/backend-compliance/migrations/025_dsfa_template.sql b/backend-compliance/migrations/025_dsfa_template.sql new file mode 100644 index 0000000..928828a --- /dev/null +++ b/backend-compliance/migrations/025_dsfa_template.sql @@ -0,0 +1,54 @@ +-- Migration 025: DSFA Template für Document Generator +-- Datenschutz-Folgenabschätzung (Art. 35 DSGVO) + +INSERT INTO compliance_legal_templates ( + tenant_id, + document_type, + title, + description, + language, + jurisdiction, + version, + status, + license_name, + source_name, + attribution_required, + is_complete_document, + placeholders, + content +) VALUES ( + 'default', + 'dsfa', + 'Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO', + 'Vollständige Vorlage für eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO mit IF-Blöcken für alle Pflichtfelder. Geeignet für Hochrisiko-Verarbeitungen, KI-Systeme (EU AI Act) und automatisierte Entscheidungsprozesse.', + 'de', + 'EU/DSGVO', + '1.0', + 'active', + 'MIT', + 'BreakPilot Compliance', + false, + true, + CAST('[ + "{{ORGANISATION_NAME}}", + "{{ORGANISATION_ADRESSE}}", + "{{DSB_NAME}}", + "{{DSB_KONTAKT}}", + "{{VERARBEITUNG_TITEL}}", + "{{VERARBEITUNG_BESCHREIBUNG}}", + "{{ZWECK_VERARBEITUNG}}", + "{{RECHTSGRUNDLAGE}}", + "{{DATENKATEGORIEN}}", + "{{BETROFFENENGRUPPEN}}", + "{{EMPFAENGER}}", + "{{DRITTLANDTRANSFER}}", + "{{SPEICHERDAUER}}", + "{{RISIKO_BEWERTUNG}}", + "{{MASSNAHMEN}}", + "{{ERSTELLT_VON}}", + "{{ERSTELLT_AM}}", + "{{GENEHMIGT_VON}}", + "{{GENEHMIGT_AM}}" + ]' AS jsonb), + E'# Datenschutz-Folgenabschätzung (DSFA)\n**gemäß Art. 35 DSGVO**\n\n---\n\n## 1. Allgemeine Informationen\n\n| Feld | Inhalt |\n|------|--------|\n| **Organisation** | {{ORGANISATION_NAME}} |\n| **Adresse** | {{ORGANISATION_ADRESSE}} |\n| **Datenschutzbeauftragter** | {{DSB_NAME}} |\n| **DSB-Kontakt** | {{DSB_KONTAKT}} |\n| **Erstellt von** | {{ERSTELLT_VON}} |\n| **Erstellt am** | {{ERSTELLT_AM}} |\n{{IF GENEHMIGT_VON}}| **Genehmigt von** | {{GENEHMIGT_VON}} |\n| **Genehmigt am** | {{GENEHMIGT_AM}} |\n{{/IF}}\n\n---\n\n## 2. Beschreibung der Verarbeitungstätigkeit\n\n### 2.1 Bezeichnung\n\n**{{VERARBEITUNG_TITEL}}**\n\n### 2.2 Beschreibung\n\n{{VERARBEITUNG_BESCHREIBUNG}}\n\n### 2.3 Zweck der Verarbeitung\n\n{{ZWECK_VERARBEITUNG}}\n\n### 2.4 Rechtsgrundlage\n\n{{RECHTSGRUNDLAGE}}\n\n---\n\n## 3. Umfang und Art der Verarbeitung\n\n### 3.1 Verarbeitete Datenkategorien\n\n{{DATENKATEGORIEN}}\n\n### 3.2 Betroffene Personengruppen\n\n{{BETROFFENENGRUPPEN}}\n\n### 3.3 Empfänger und Auftragsverarbeiter\n\n{{EMPFAENGER}}\n\n{{IF DRITTLANDTRANSFER}}\n### 3.4 Drittlandtransfer\n\n{{DRITTLANDTRANSFER}}\n\n{{/IF}}\n### 3.5 Speicherdauer und Löschfristen\n\n{{SPEICHERDAUER}}\n\n---\n\n## 4. Notwendigkeit und Verhältnismäßigkeit\n\n### 4.1 Notwendigkeit der Verarbeitung\n\nDie Verarbeitung ist für den beschriebenen Zweck notwendig. Es wurden keine milderen Mittel identifiziert, die den gleichen Zweck mit geringerem Risiko für die Betroffenen erreichen könnten.\n\n### 4.2 Verhältnismäßigkeit\n\nDie verarbeiteten Datenkategorien beschränken sich auf das für den Verarbeitungszweck erforderliche Minimum (Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO).\n\n### 4.3 Betroffenenrechte\n\nDie folgenden Betroffenenrechte werden gewährleistet:\n\n- **Auskunftsrecht** (Art. 15 DSGVO): Betroffene können jederzeit Auskunft über gespeicherte Daten anfordern.\n- **Berichtigungsrecht** (Art. 16 DSGVO): Unrichtige Daten werden auf Anfrage korrigiert.\n- **Löschungsrecht** (Art. 17 DSGVO): Daten werden auf Anfrage oder nach Zweckentfall gelöscht.\n- **Widerspruchsrecht** (Art. 21 DSGVO): Betroffene können der Verarbeitung widersprechen.\n{{IF RECHTSGRUNDLAGE}}\n- **Widerrufsrecht** (Art. 7 Abs. 3 DSGVO): Einwilligungen können jederzeit widerrufen werden.\n{{/IF}}\n\n---\n\n## 5. Risikobewertung\n\n### 5.1 Identifizierte Risiken\n\n{{RISIKO_BEWERTUNG}}\n\n### 5.2 Risikomatrix\n\n| Risiko | Eintrittswahrscheinlichkeit | Schwere | Gesamt-Risiko |\n|--------|----------------------------|---------|----------------|\n| Unbefugter Zugriff | Mittel | Hoch | **Hoch** |\n| Datenverlust | Niedrig | Hoch | **Mittel** |\n| Fehlerhafte Verarbeitung | Niedrig | Mittel | **Niedrig** |\n| Zweckentfremdung | Niedrig | Hoch | **Mittel** |\n\n### 5.3 Risikoeinstufung\n\nNach Abwägung der identifizierten Risiken und der ergriffenen Maßnahmen wird das Restrisiko als **akzeptabel** eingestuft. Eine Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO ist\n{{IF RISIKO_BEWERTUNG}}\nnicht erforderlich.\n{{/IF}}\n\n---\n\n## 6. Technische und Organisatorische Maßnahmen (TOM)\n\n### 6.1 Ergriffene Maßnahmen\n\n{{MASSNAHMEN}}\n\n### 6.2 Standardmaßnahmen\n\nZusätzlich zu den spezifischen Maßnahmen gelten folgende organisationsweite Schutzmaßnahmen:\n\n| Kategorie | Maßnahme |\n|-----------|----------|\n| **Verschlüsselung** | TLS 1.3 für alle Datenübertragungen, AES-256 für Daten im Ruhezustand |\n| **Zugriffskontrolle** | Rollenbasiertes Zugriffssystem (RBAC), Least-Privilege-Prinzip |\n| **Authentifizierung** | Starke Passwortrichtlinien, Zwei-Faktor-Authentifizierung |\n| **Protokollierung** | Vollständiges Audit-Log aller Datenzugriffe |\n| **Datensicherung** | Regelmäßige verschlüsselte Backups, Wiederherstellungstests |\n| **Incident Response** | Dokumentierter Prozess für Datenpannen gemäß Art. 33/34 DSGVO |\n| **Auftragsverarbeitung** | AVV-Verträge mit allen Auftragsverarbeitern gemäß Art. 28 DSGVO |\n| **Schulung** | Regelmäßige Datenschutzschulungen für alle Mitarbeitenden |\n\n---\n\n## 7. Ergebnis der DSFA\n\n### 7.1 Zusammenfassung\n\nDie Datenschutz-Folgenabschätzung für die Verarbeitungstätigkeit **{{VERARBEITUNG_TITEL}}** wurde gemäß Art. 35 DSGVO durchgeführt. Die identifizierten Risiken wurden bewertet und durch geeignete technische und organisatorische Maßnahmen auf ein akzeptables Niveau reduziert.\n\n### 7.2 Fazit\n\nDie geplante Verarbeitungstätigkeit kann unter Einhaltung der beschriebenen Maßnahmen durchgeführt werden. Die Verarbeitung ist notwendig, verhältnismäßig und rechtskonform.\n\n### 7.3 Überprüfungsintervall\n\nDiese DSFA ist spätestens alle **12 Monate** oder bei wesentlichen Änderungen der Verarbeitungstätigkeit zu überprüfen und ggf. zu aktualisieren.\n\n---\n\n## 8. Unterschriften\n\n| Rolle | Name | Datum | Unterschrift |\n|-------|------|-------|--------------|\n| Erstellt von | {{ERSTELLT_VON}} | {{ERSTELLT_AM}} | _________________ |\n{{IF GENEHMIGT_VON}}| Genehmigt von (DSB) | {{GENEHMIGT_VON}} | {{GENEHMIGT_AM}} | _________________ |\n{{/IF}}\n| Verantwortlicher | | | _________________ |\n\n---\n\n*Dieses Dokument wurde erstellt mit BreakPilot Compliance gemäß den Anforderungen der DSGVO (Verordnung (EU) 2016/679). Es ist vertraulich und intern zu behandeln.*' +) ON CONFLICT DO NOTHING;